DE102014113582A1 - Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung - Google Patents

Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung Download PDF

Info

Publication number
DE102014113582A1
DE102014113582A1 DE102014113582.2A DE102014113582A DE102014113582A1 DE 102014113582 A1 DE102014113582 A1 DE 102014113582A1 DE 102014113582 A DE102014113582 A DE 102014113582A DE 102014113582 A1 DE102014113582 A1 DE 102014113582A1
Authority
DE
Germany
Prior art keywords
authentication header
packet data
user terminal
remote user
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102014113582.2A
Other languages
English (en)
Other versions
DE102014113582B4 (de
Inventor
Sung-jin Kim
Chul Woo Lee
Byung Joon Kim
Hyoung Chun Kim
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of DE102014113582A1 publication Critical patent/DE102014113582A1/de
Application granted granted Critical
Publication of DE102014113582B4 publication Critical patent/DE102014113582B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

Es werden eine Vorrichtung, ein Verfahren und ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung offenbart. Die Vorrichtung enthält eine Authentifizierungsanfangsblock-Untersuchungseinheit und eine Paketdaten-Verarbeitungseinheit. Die Authentifizierungsanfangsblock-Untersuchungseinheit erzeugt auf der Grundlage der empfangenen Kontextinformationen und eines Schlüssels eines Anwenders einen Authentifizierungsanfangsblock, vergleicht den erzeugten Authentifizierungsanfangsblock mit dem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten und gibt die Ergebnisse des Vergleichs aus. Die Paketdaten-Verarbeitungseinheit führt auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit die Sendung oder die Modulation oder das Verwerfen der Paketdaten von dem Cloud-Server eines Cloud-Dienst-Netzes aus.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Technisches Gebiet
  • Die vorliegende Offenbarung bezieht sich allgemein auf eine Vorrichtung, auf ein Verfahren und auf ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung und insbesondere auf eine Vorrichtung, auf ein Verfahren und auf ein System zum Steuern der Datenübertragung zwischen einem Anwender und einer Cloud auf der Grundlage von Kontextinformationen in den Open-Systems-Interconnection-Netzschichten (OSI-Netzschichten) 3 und 4 in Verbindung mit einem virtuellen Cloud-Desktop oder mit einem Cloud-Speicherdienst.
  • 2. Beschreibung des verwandten Gebiets
  • Die kontextbewusste Sicherheitstechnologie bezieht sich auf eine Technologie zum Ausführen einer Sicherheitsfunktionalität wie etwa der Steuerung einer Datenübertragung auf der Grundlage von Kontextinformationen wie etwa des Orts und der Vorrichtung eines Anwenders und der Zeit.
  • Ein Cloud-Dienst ermöglicht, dass ein fernes Anwenderendgerät über ein Netz auf einen Cloud-Server zugreift und ihn verwendet. Zu diesem Zweck stellt ein Cloud-Dienst des Virtual Desktops Protokolle des Virtual Desktops für das Zusammenwirken wie etwa PC-over-IP (PCOIP), Independent Computing Architecture (ICA), das Simple Protocol for Independent Computing Environments (SPICE) usw. bereit und stellt ein Cloud-Speicherdienst Datenübertragungsprotokolle wie etwa Hyper Text Transfer Protocol (HTTP), Web Distribute Authoring and Versioning (WebDAV) usw. bereit und unterstützt er dadurch die Datenübertragung zwischen einem Cloud-Dienst und einem fernen Anwenderendgerät.
  • Die Datenübertragungssteuerung eines herkömmlichen Cloud-Dienstes wird unter Verwendung eines Verfahrens des einfachen Sperrens einer Internetprotokoll-Zugriffsadresse (IP-Zugriffsadresse) oder eines Verfahrens des Deaktivierens einer Datenübertragungsfunktion in einem Cloud-Server oder in einem Anwenderendgerät ausgeführt. Allerdings ist dieser herkömmliche Cloud-Dienst dadurch nachteilig, dass es wie in dem Fall, dass ein Dienst auf der Grundlage von Kontextinformationen wie etwa des Orts eines Anwenders, Vorrichtungsinformationen und der Zeit gesteuert wird, schwierig ist, feinkörnige Sicherheitsrichtlinien anzuwenden.
  • Als eine verwandte Technologie offenbart die koreanische Patentanmeldungsveröffentlichung Nr. 10-2013-0094359 mit dem Titel ”System and Method for Enhancing Authentication using Mobile Cloud Access Contextual Information” ein Verfahren zum Verbessern der Anwenderauthentifizierung auf der Grundlage von Kontextinformationen in einem Cloud-Dienst.
  • Die in der koreanischen Patentanmeldungsveröffentlichung Nr. 10-2013-0094359 offenbarte Erfindung hat den Vorteil des Diversifizierens von Authentifizierungsmitteln oder des Bereitstellens verschiedener Netzsicherheits-Zugriffsebenen auf der Grundlage von Kontextinformationen. Da ein Anwenderendgerät und ein Authentifizierungsserver eine Anwenderauthentifizierung ausführen, während sie direkt miteinander kommunizieren, kann einem böswilligen Angreifer allerdings eine Gelegenheit für den Angriff auf eine Schwachstelle eines Authentifizierungsservers geboten werden.
  • Eine andere verwandte Technologie ist in der Abhandlung mit dem Titel "Enabling Secure Location-base Services in Mobile Cloud Computing", Proceedings of the second ACM SIGCOMM Workshop an Mobile cloud computing, Yan Zhu u. a., 12. August 2013, offenbart.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Dementsprechend soll die vorliegende Erfindung eine Vorrichtung, ein Verfahren und ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung schaffen, die ermöglichen, dass ein Anwender die Datenübertragung zwischen einem fernen Anwenderendgerät und einem Cloud-Dienst auf der Grundlage verschiedener Typen von Kontextinformationen wie etwa eines Anwenderorts, eines Anwenderendgeräts und der Zeit in Bezug auf Daten, die zwischen innerhalb und außerhalb eines Cloud-Dienstes übertragen werden, steuert.
  • In Übereinstimmung mit einem Aspekt der vorliegenden Erfindung wird eine Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, die enthält: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage der empfangenen Kontextinformationen und eines Schlüssels eines Anwenders einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und die Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen eines Datenpakets von dem Cloud-Server eines Cloud-Dienst-Netzes auszuführen.
  • Die Authentifizierungsanfangsblock-Untersuchungseinheit kann den Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer durch das ferne Anwenderendgerät gesendeten Datenempfangsanforderung wiederherstellen und kann auf der Grundlage des erzeugten Authentifizierungsanfangsblocks die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks untersuchen.
  • Der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten können unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
  • Die Paketdaten-Verarbeitungseinheit kann unter der Sendung, der Modulation und dem Verwerfen der Paketdaten eine Sendung ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen ursprünglichen Paketdaten ohne Änderung an das ferne Anwenderendgerät senden.
  • Die Paketdaten-Verarbeitungseinheit kann unter der Sendung, der Modulation und dem Verwerfen der Paketdaten die Modulation ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen Paketdaten modulieren und die modulierten Paketdaten daraufhin an das ferne Anwenderendgerät senden.
  • Die Paketdaten-Verarbeitungseinheit kann unter dem Senden, der Modulation und dem Verwerfen der Paketdaten das Verwerfen ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen Paketdaten sperren und dadurch eine Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server beenden.
  • Die Vorrichtung kann ferner eine Richtlinien-Eingabeschnittstelleneinheit enthalten, die dafür konfiguriert ist, eine Schnittstelle bereitzustellen, über die der Typ von Kontextinformationen und die Paketdaten-Verarbeitungsrichtlinien der Paketdaten-Verarbeitungseinheit eingegeben werden.
  • Die Vorrichtung für die kontextbewusste Sicherheitssteuerung, die die Authentifizierungsanfangsblock-Untersuchungseinheit und die Paketdaten-Verarbeitungseinheit enthält, kann bei einem Eintritt in ein Cloud-Dienst-Netz in der Reihenbetriebsart eingebaut sein.
  • Die Kontextinformationen des Anwenders können Ortsinformationen enthalten; und die Ortsinformationen können in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet ist.
  • In Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung wird ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, wobei das Verfahren enthält: Erzeugen eines Authentifizierungsanfangsblocks auf der Grundlage der empfangenen Kontextinformationen und eines Schlüssels des Anwenders durch eine Authentifizierungsanfangsblock-Untersuchungseinheit; Vergleichen des erzeugten Authentifizierungsanfangsblocks mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten durch die Authentifizierungsanfangsblock-Untersuchungseinheit und Ausgeben der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit; und Ausführen einer Sendung oder einer Modulation oder eines Verwerfens von von dem Cloud-Server eines Cloud-Dienst-Netzes empfangenen Paketdaten auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit durch eine Paketdaten-Verarbeitungseinheit.
  • Das Ausgeben der Ergebnisse des Vergleichs kann enthalten: das Wiederherstellen des Authentifizierungsanfangsblocks der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer von dem fernen Anwenderendgerät gesendeten Datenempfangsanforderung; und das Untersuchen der Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks auf der Grundlage des erzeugten Authentifizierungsanfangsblocks.
  • Der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten können unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
  • Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Senden des von dem Cloud-Server empfangenen ursprünglichen Datenpakets an das ferne Anwenderendgerät ohne Änderung enthalten, wenn die Sendung ausgeführt wird.
  • Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Modulieren des von dem Cloud-Server empfangenen Datenpakets und daraufhin das Senden des modulierten Datenpakets an das ferne Anwenderendgerät enthalten, wenn die Modulation ausgeführt wird.
  • Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Sperren des von dem Cloud-Server empfangenen Datenpakets und dadurch das Beenden einer Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server enthalten, wenn das Verwerfen ausgeführt wird.
  • Die Kontextinformationen des Anwenders können Ortsinformationen enthalten; und die Ortsinformationen können in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet wird.
  • In Übereinstimmung mit einem nochmals anderen Aspekt der vorliegenden Erfindung wird ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, wobei das System enthält: ein Kontextinformationsbereitstellungs-Endgerät, das dafür konfiguriert ist, Kontextinformationen einschließlich auf einem GPS-Wert beruhender Ortsinformationen und eines Schlüssels auszugeben; ein fernes Anwenderendgerät, das dafür konfiguriert ist, auf der Grundlage von Kontextinformationen und eines von dem Kontextinformationsbereitstellungs-Endgerät empfangenen Schlüssels einen Authentifizierungsanfangsblock zu erzeugen und zusammen mit dem Authentifizierungsanfangsblock eine Datenempfangsanforderung auszugeben; und einen kontextbewussten Sicherheitscontroller, der dafür konfiguriert ist, die Datenempfangsanforderung von dem fernen Anwenderendgerät zu empfangen und die Datensendung an das ferne Anwenderendgerät in Übereinstimmung mit zwischen dem fernen Anwenderendgerät und einem Cloud-Server eines Cloud-Dienst-Netzes definierten kontextbewussten Richtlinien zu steuern.
  • Das ferne Anwenderendgerät kann enthalten: eine Authentifizierungsanfangsblock-Erzeugungseinheit, die dafür konfiguriert ist, auf der Grundlage der Kontextinformationen und des Schlüssels den Authentifizierungsanfangsblock zu erzeugen; und eine Empfängeragenteneinheit, die dafür konfiguriert ist, die Kontextinformationen und den Schlüssel von dem Kontextinformationsbereitstellungs-Endgerät zu empfangen und die Kontextinformationen und den Schlüssel an die Authentifizierungsanfangsblock-Erzeugungseinheit zu übertragen und die Datenempfangsanforderung zusammen mit dem erzeugten Authentifizierungsanfangsblock an den kontextbewussten Sicherheitscontroller zu senden.
  • Der kontextbewusste Sicherheitscontroller kann enthalten: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage von Kontextinformationen eines Anwenders und eines Schlüssels des Anwenders, die von einem Systemadministrator empfangen werden, einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von dem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und die Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage von Ergebnissen des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen der von dem Cloud-Server empfangenen Paketdaten auszuführen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die obigen und weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden deutlicher verständlich aus der folgenden ausführlichen Beschreibung in Verbindung mit den beigefügten Zeichnungen, in denen:
  • 1 eine Darstellung ist, die die Anwendung einer Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung auf ein Cloud-Dienst-Netz veranschaulicht;
  • 2 eine Darstellung ist, die die interne Konfiguration des in 1 dargestellten fernen Anwenderendgeräts veranschaulicht;
  • 3 eine Darstellung ist, die die interne Konfiguration des in 1 dargestellten kontextbewussten Sicherheitscontrollers veranschaulicht;
  • 4 eine Darstellung ist, die eine Prozedur veranschaulicht, in der das ferne Anwenderendgerät und der in 1 dargestellte kontextbewusste Sicherheitscontroller miteinander zusammenarbeiten; und
  • 5 ein Ablaufplan ist, der ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt.
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Die vorliegende Erfindung kann verschiedenen Änderungen unterworfen werden und kann verschiedene Ausführungsformen aufweisen. Spezifische Ausführungsformen sind in Darstellungen veranschaulicht und ausführlich beschrieben.
  • Dies soll die vorliegende Erfindung aber nicht auf die spezifischen Ausführungsformen beschränken, sondern es sollte gewürdigt werden, dass alle in dem Erfindungsgedanken und in dem technischen Schutzumfang der vorliegenden Erfindung enthaltenen Änderungen, Entsprechungen und Ersetzungen in dem Schutzumfang der vorliegenden Erfindung liegen.
  • Die hier verwendeten Begriffe sind lediglich zur Darstellung spezifischer Ausführungsformen verwendet und sollen die vorliegende Erfindung nicht einschränken. Sofern nicht deutlich etwas anderes angegeben ist, enthält ein Singularausdruck einen Pluralausdruck. Selbstverständlich sollen die Begriffe ”umfassen”, ”enthalten”, ”aufweisen” und ihre Varianten in der Beschreibung und in den Ansprüchen lediglich die Anwesenheit von Merkmalen, Anzahlen, Schritten, Operationen, Elementen, Teilen oder Kombinationen davon, die in der Beschreibung beschrieben sind, bezeichnen und sind sie nicht so zu verstehen, dass sie die Anwesenheit oder zusätzliche Wahrscheinlichkeit eines oder mehrerer anderer Merkmale, Anzahlen, Schritte, Operationen, Elemente, Teile oder Kombinationen davon ausschließen.
  • Sofern nicht etwas anderes definiert ist, besitzen alle hier verwendeten Begriffe (einschließlich technischer und wissenschaftlicher Begriffe) dieselbe Bedeutung, wie sie der Durchschnittsfachmann auf dem Gebiet, auf das sich diese Erfindung bezielt, üblicherweise versteht. Ferner sind selbstverständlich Begriffe wie etwa die in üblicherweise verwendeten Wörterbüchern definierten so zu interpretieren, dass ihre Bedeutung mit ihrer Bedeutung im Kontext des relevanten Gebiets vereinbar ist, und, sofern sie nicht explizit hier so definiert sind, nicht in einem idealisierten oder übermäßig formalen Sinn zu interpretieren.
  • Im Folgenden sind anhand der beigefügten Zeichnungen beispielhafte Ausführungsformen der vorliegenden Erfindung ausführlich beschrieben. In der folgenden Beschreibung der Ausführungsformen sind denselben Elementen überall in den Zeichnungen dieselben Bezugszeichen zugewiesen und sind außerdem redundante Beschreibungen derselben Elemente weggelassen, um das Gesamtverständnis zu erleichtern.
  • 1 ist eine Darstellung, die die Anwendung einer Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung auf ein Cloud-Dienst-Netz veranschaulicht; 2 ist eine Darstellung, die die interne Konfiguration des in 1 dargestellten fernen Anwenderendgeräts veranschaulicht; 3 ist eine Darstellung, die die interne Konfiguration des in 1 dargestellten kontextbewussten Sicherheitscontrollers veranschaulicht; und 4 ist eine Darstellung, die eine Prozedur veranschaulicht, in der das ferne Anwenderendgerät und der in 1 dargestellte kontextbewusste Sicherheitscontroller miteinander zusammenarbeiten.
  • In 1 kommunizieren eines oder mehrere Kontextinformationsbereitstellungs-Endgeräte 10 mit einem einzelnen fernen Anwenderendgerät 20, kommunizieren eines oder mehrere ferne Anwenderendgeräte 20 mit einem einzelnen kontextbewussten Sicherheitscontroller 30 und ist ein einzelner kontextbewusster Sicherheitscontroller 30 mit dem Cloud-Server 40 eines Cloud-Dienst-Netzes 50 verbunden.
  • Eines der Kontextinformationsbereitstellungs-Endgeräte 10 stellt in Ansprechen auf eine Anforderung von dem fernen Anwenderendgerät 20 einen Schlüssel und Kontextinformationen für ein entsprechendes der fernen Anwenderendgeräte 20 bereit. Mit anderen Worten, das Kontextinformationsbereitstellungs-Endgerät 10 kann Kontextinformationen wie etwa Ortsinformationen auf der Grundlage eines GPS-Werts und einen eindeutigen Endgerätwert sowie einen Schlüssel für das ferne Anwenderendgerät 20 bereitstellen. In einer Ausführungsform der vorliegenden Erfindung kann das Kontextinformationsbereitstellungs-Endgerät 10 Ortsinformationen auf der Grundlage einer Ortsinformations-Abbildungstabelle bereitstellen, in der spezifische GPS-Bereichsblöcke auf jeweils eindeutige Werte abgebildet worden sind.
  • Das ferne Anwenderendgerät 20 kann einen Authentifizierungsanfangsblock erzeugen und kann daraufhin eine Datenempfangsanforderung zusammen mit dem Authentifizierungsanfangsblock über den kontextbewussten Sicherheitscontroller 30 an den Cloud-Server 40 senden.
  • Wie in 2 dargestellt ist, enthält das ferne Anwenderendgerät 20 eine Authentifizierungsanfangsblock-Erzeugungseinheit 22 und eine Empfängeragenteneinheit 24.
  • Die Authentifizierungsanfangsblock-Erzeugungseinheit 22 erzeugt auf der Grundlage der Kontextinformationen wie etwa der Vorrichtungsinformation Vorrichtung, der Ortsinformation Ort und der Information über die aktuelle Zeit des entsprechenden fernen Anwenderendgeräts 20 sowie des Schlüssels den Authentifizierungsanfangsblock. In diesem Fall können die Kontextinformationen und der Schlüssel durch einen Systemadministrator oder durch einen Anwender (z. B. durch eine Person, die die Kontextinformationen und den Schlüssel von dem Systemadministrator empfangen hat) eingegeben werden. Die Kontextinformationen und der Schlüssel, die von dem Systemadministrator oder von dem Anwender eingegeben werden, werden über das Kontextinformationsbereitstellungs-Endgerät 10 auf die Authentifizierungsanfangsblock-Erzeugungseinheit 22 angewendet.
  • Die Empfängeragenteneinheit 24 überträgt die Kontextinformationen und den Schlüssel, die von dem Kontextinformationsbereitstellungs-Endgerät 10 empfangen wurden, an die Authentifizierungsanfangsblock-Erzeugungseinheit 22 und sendet die Datenempfangsanforderung zusammen mit dem Authentifizierungsanfangsblock an den Cloud-Server 40. Mit anderen Worten, die Empfängeragenteneinheit 24 kann mit dem Cloud-Server 40 eine Sitzung aufbauen, um von dem Cloud-Server 40 Daten zu empfangen, und kann von dem Kontextinformationsbereitstellungs-Endgerät 10 einen Schlüssel und Kontextinformationen, die für die Erzeugung eines Datenauthentifizierungs-Anfangsblocks erforderlich sind, anfordern und empfangen.
  • Der kontextbewusste Sicherheitscontroller 30 kann auf der Grundlage verschiedener Typen von Kontextinformationen Cloud-Dienst-Übertragungsdaten steuern und kann der Hauptagent der Sicherheitssteuerung sein. Das heißt, der kontextbewusste Sicherheitscontroller 30 kann die Datenübertragung in Übereinstimmung mit zwischen dem Cloud-Server 40 und dem fernen Anwenderendgerät 20 definierten kontextbewussten Richtlinien steuern. Da der kontextbewusste Sicherheitscontroller 30 in einer Reihenbetriebsart in ein Cloud-Dienst-Eintrittspunkt-Netz eingebaut ist, kann der kontextbewusste Sicherheitscontroller 30 die Sicherheitssteuerung der Übertragungsdaten unabhängig ausführen, ohne mit dem fernen Anwenderendgerät 20 und mit dem Cloud-Server 40 direkt zu kommunizieren.
  • Wie in 3 dargestellt ist, enthält der kontextbewusste Sicherheitscontroller 30 eine Richtlinien-Eingabeschnittstelleneinheit 32, eine Authentifizierungsanfangsblock-Untersuchungseinheit 34 und eine Paketdaten-Verarbeitungseinheit 36.
  • Die Richtlinien-Eingabeschnittstelleneinheit 32 stellt eine Schnittstelle bereit, über die ein Systemadministrator erforderliche Kontextinformationen und Paketdaten-Verarbeitungsrichtlinien eingeben kann. Mit anderen Worten, die Richtlinien-Eingabeschnittstelleneinheit 32 stellt eine Schnittstelle bereit, über die ein Systemadministrator den Typ der Kontextinformationen und Paketdaten-Verarbeitungsrichtlinien eingeben kann. Zum Beispiel kann die Richtlinien-Eingabeschnittstelleneinheit 32 Kontextinformationen und einen für die Erzeugung des Authentifizierungsanfangsblocks durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 erforderlichen Schlüssel bereitstellen. Darüber hinaus kann die Richtlinien-Eingabeschnittstelleneinheit 32 für die Paketdaten-Verarbeitungseinheit 36 erforderliche Paketdaten-Verarbeitungsrichtlinien bereitstellen.
  • Die Authentifizierungsanfangsblock-Untersuchungseinheit 34 parst den Netzverkehr und untersucht einen Authentifizierungsanfangsblock. Mit anderen Worten, die Authentifizierungsanfangsblock-Untersuchungseinheit 34 stellt durch Parsen einer durch die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 gesendeten Datenempfangsanforderung bei dem Eintritt in das Cloud-Dienst-Netz 50 einen Authentifizierungsanfangsblock wieder her, untersucht die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks und sendet eine Datenempfangsanforderung an ein Ziel, d. h. an den Cloud-Server 40. Das heißt, die Authentifizierungsanfangsblock-Untersuchungseinheit 34 empfängt die Kontextinformationen und den Schlüssel des Anwenders, die von einem Systemadministrator über die Richtlinien-Eingabeschnittstelleneinheit 32 eingegeben werden, erzeugt einen Authentifizierungsanfangsblock, vergleicht den erzeugten Authentifizierungsanfangsblock mit dem Authentifizierungsanfangsblock der Paketdaten von dem fernen Anwenderendgerät 20, stellt die Ergebnisse des Vergleichs für die Paketdaten-Verarbeitungseinheit 36 bereit und sendet eine Datenempfangsanforderung an den Cloud-Server 40. In diesem Fall kann die Operation des Zusammenwirkens zwischen der Authentifizierungsanfangsblock-Untersuchungseinheit 34 und der Authentifizierungsanfangsblock-Erzeugungseinheit 22 schematisch in 4 veranschaulicht sein. In 4 müssen ein Schlüssel, Kontextinformationen und eine Authentifizierungsanfangsblock-Erzeugungsfunktion, die von der Authentifizierungsanfangsblock-Untersuchungseinheit 34 als Eingaben verwendet werden, dieselben sein wie jene, die von der Authentifizierungsanfangsblock-Erzeugungseinheit 22 verwendet werden. Darüber hinaus kann ein Beispiel der Authentifizierungsanfangsblock-Erzeugungsfunktion eine Hash-basierte Message-Authentication-Code-Funktion (HMAC-Funktion) sein.
  • Die Paketdaten-Verarbeitungseinheit 36 führt auf der Grundlage der Ergebnisse der Untersuchung durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 die Sendung, die Modulation oder das Verwerfen der von dem Cloud-Server 40 empfangenen Paketdaten aus. Mit anderen Worten, die Paketdaten-Verarbeitungseinheit 36 führt auf der Grundlage der Ergebnisse der Untersuchung die Sendung/die Modulation/das Verwerfen von Paketen aus und der Cloud-Server 40 der Authentifizierungsanfangsblock-Untersuchungseinheit 34 sendet die Paketdaten der Empfängeragenteneinheit 24 an das ferne Endgerät 20 oder beendet eine Sitzung.
  • Der wie oben beschrieben konfigurierte kontextbewusste Sicherheitscontroller 30 ist in einer Reihenbetriebsart an einem Cloud-Dienst-Netzeintritt zwischen dem Serveragenten des Cloud-Dienstes (d. h. einem Serveragenten (nicht dargestellt) innerhalb des Cloud-Servers 40) und der Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 gelegen. Der kontextbewusste Sicherheitscontroller 30 parst den Netzverkehr in den Open-Systems-Interconnection-Schichten (OSI-Schichten) 3 und 4, untersucht die Gültigkeit des Authentifizierungsanfangsblocks einer Datenempfangsanforderung und sendet durch den Cloud-Server 40 gesendete ursprüngliche Paketdaten ohne Änderung an die Empfängeragenteneinheit 24 oder sendet die ursprünglichen Paketdaten, nachdem er sie moduliert hat. Darüber hinaus kann der kontextbewusste Sicherheitscontroller 30 auf der Grundlage der Untersuchung der Gültigkeit des Authentifizierungsanfangsblocks einer Datenempfangsanforderung die Paketdaten verwerfen und somit verhindern, dass die ursprünglichen Paketdaten an die Empfängeragenteneinheit 24 gesendet werden. Im Ergebnis steuert der kontextbewusste Sicherheitscontroller 30 auf der Grundlage von Kontextinformationen wie etwa der Identifizierungsinformationen des fernen Anwenderendgeräts 20, der aktuellen Ortsinformationen des Anwenders und von Zeitinformationen die Bewegung von Informationen eines Cloud-Dienstes wie etwa eines virtuellen Desktops oder einer Cloud-Ablage in einem Übertragungsnetz.
  • Der oben beschriebene kontextbewusste Sicherheitscontroller 30 kann ein Beispiel einer in den Ansprüchen der vorliegenden Erfindung dargelegten Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung sein.
  • Der Cloud-Server 40 ist ein Server, der in Verbindung mit der Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 einen Cloud-Dienst bereitstellt, und ist innerhalb des Cloud-Dienst-Netzes 50 gelegen. Der Cloud-Server 40 ist ein Agent, der für das ferne Anwenderendgerät 20 einen Cloud-Dienst bereitstellt. Der Cloud-Server 40 kann einen virtuellen Desktopdienst oder einen Cloud-Speicherdienst bereitstellen.
  • 5 ist ein Ablaufplan, der ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt.
  • Zunächst baut die Empfängeragenteneinheit 24 eine Sitzung mit dem Cloud-Server 40 auf, um Daten von dem Cloud-Server 40 des fernen Anwenderendgeräts 20 zu empfangen, und fordert sie in Schritt S10 von dem Kontextinformationsbereitstellungs-Endgerät 10 den Schlüssel und Kontextinformationen, die für die Erzeugung eines Datenauthentifizierungs-Anfangsblocks erforderlich sind, an.
  • Dementsprechend empfängt das Kontextinformationsbereitstellungs-Endgerät 10 in Schritt 512 eine Anforderung von der Empfängeragenteneinheit 24 und sendet es einen gespeicherten Schlüssel und gespeicherte Kontextinformationen an die Empfängeragenteneinheit 24. In diesem Fall können Beispiele der Kontextinformationen Ortsinformationen und den eindeutigen Vorrichtungswert des Kontextinformationsbereitstellungs-Endgeräts 10 enthalten. Währenddessen werden die Ortsinformationen, die ein Element der Kontextinformationen sind, auf der Grundlage der Ortsinformations-Abbildungstabelle durch einen einzelnen Wert ersetzt. Die Ortsinformations-Abbildungstabelle enthält mehrere Datensätze, in denen GPS-Informationen einschließlich eines spezifischen Bereichs auf einen einzelnen Wert abgebildet worden sind. Mit anderen Worten, die Ortsinformations-Abbildungstabelle kann wie die folgende Tabelle 1 implementiert sein: Tabelle 1
    GPS-Informationen Abbildungsvariable
    ... [(126° 98', 37° 57'), [(127° 14', 37° 45')] [(127° 14', 37° 45'), [(127° 30', 37° 33')] ... ... 3911 3912 ...
  • Jede Zeile der Ortsinformationen der Abbildungstabelle enthält zwei Spalten von GPS-Informationen und eine Abbildungsvariable, wobei der GPS-Bereich in Form von ”[(Anfangsbreite, Anfangslänge), (Endbreite, Endlänge)]” dargestellt ist, um einen einzelnen Ortsblock zu repräsentieren. Die Abbildungsvariable ist ein eindeutiger Wert, der einen entsprechenden Ortsblock repräsentiert. In der Ortsinformations-Abbildungstabelle sind keine zwei oder mehr gleichen Abbildungsvariablen vorhanden. Währenddessen kann die Ortsinformations-Abbildungstabelle aus Tabelle 1 auf die Ortsinformationen der von der Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 empfangenen Kontextinformationen ohne Änderung angewendet werden.
  • Anschließend überträgt die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 an die Authentifizierungsanfangsblock-Erzeugungseinheit 22 den Schlüssel und die Kontextinformationen wie etwa von dem Kontextinformationsbereitstellungs-Endgerät 10 empfangene Identifizierungsinformationen des fernen Anwenderendgeräts. Dementsprechend erzeugt die Authentifizierungsanfangsblock-Erzeugungseinheit 22 des fernen Anwenderendgeräts 20 in Schritt S14 auf der Grundlage des Schlüssels und der von der Empfängeragenteneinheit 24 empfangenen Kontextinformationen einen Authentifizierungsanfangsblock (AH). In diesem Fall kann ein Beispiel eines Verfahrens zum Erzeugen eines Authentifizierungsanfangsblocks ein Hash-basiertes Nachrichtenauthentifizierungscodeverfahren (HMAC-Verfahren) sein.
  • Anschließend sendet die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 in Schritt S16 den durch die Authentifizierungsanfangsblock-Erzeugungseinheit 22 erzeugten Authentifizierungsanfangsblock zusammen mit einer Datenempfangsanforderung an den kontextbewussten Sicherheitscontroller 30.
  • Dementsprechend stellt die Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 in Schritt S18 einen Authentifizierungsanfangsblock durch Parsen der von der Empfängeragenteneinheit 24 bei dem Cloud-Dienst-Netzeintritt gesendeten Datenempfangsanforderung (einschließlich des Authentifizierungsanfangsblocks) wieder her und untersucht sie die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks. In diesem Fall wird die Untersuchung des Authentifizierungsanfangsblocks unter Verwendung eines gleichen Verfahrens wie das Authentifizierungsanfangsblock-Erzeugungsverfahren der Empfängeragenteneinheit 24 ausgeführt und werden für die Authentifizierungsanfangsblock-Untersuchungseinheit 34 über die Richtlinien-Eingabeschnittstelleneinheit 32 im Voraus Kontextinformationen und ein Schlüssel, die für die Erzeugung des Authentifizierungsanfangsblocks erforderlich sind, bereitgestellt.
  • Wenn die Untersuchung der Gültigkeit des Authentifizierungsanfangsblocks abgeschlossen worden ist, sendet die Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 in Schritt S20 die Datenempfangsanforderung an ein Ziel (d. h. an den Cloud-Server 40).
  • Anschließend sendet der Cloud-Server 40 in Schritt S22 in Ansprechen auf die Datenempfangsanforderung ein vorgegebenes Datenpaket an den kontextbewussten Sicherheitscontroller 30.
  • Auf der Grundlage der Ergebnisse der Untersuchung des Authentifizierungsanfangsblocks durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 sendet die Paketdaten-Verarbeitungseinheit 36 des kontextbewussten Sicherheitscontrollers 30 in den Schritten S24 und S26 das durch den Cloud-Server 40 gesendete ursprüngliche Datenpaket an die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20, sperrt sie die Sendepaketdaten und beendet sie somit eine Sitzung zwischen der Empfängeragenteneinheit 24 und dem Serveragenten oder moduliert sie die Sendepaketdaten und veranlasst sie somit, dass die Empfängeragenteneinheit 24 Datenabfall und nicht die ursprünglichen Daten empfängt.
  • Die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung haben den Vorteil, dass Übertragungsdaten über ein Netz in einer Cloud-Dienstumgebung auf der Grundlage verschiedener Typen von Kontextinformationen gesteuert werden.
  • Die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung haben den Vorteil, dass die Sicherheitssteuerung von Übertragungsdaten ohne direkte Kommunikation zwischen einem Anwenderendgerät und einem Cloud-Server unabhängig ausgeführt wird, da bei dem Eintritt in ein Cloud-Dienst-Netz ein kontextbewusster Sicherheitscontroller, der der Agent der Sicherheitssteuerung ist, in der Reihenbetriebsart eingebaut ist.
  • Obwohl für einen böswilligen Angreifer oder für einen Insider die Möglichkeit zum Analysieren einer Schwachstelle, die ermöglicht, dass die Sicherheitssteuerung vermieden wird, geboten wird, wenn der Hauptagent der Sicherheitssteuerungsfunktionalität ein Authentifizierungsserver ist, haben die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung den Vorteil, sicherer gegen Hacking-Angriffe zu sein, da der kontextbewusste Sicherheitscontroller nicht die Anwesenheit einer IP-Adresse, auf die von außen zugegriffen werden kann, erfordert und die Sicherheitssteuerung in dem Abschnitt des Übertragungsnetzes passiv ausführt.
  • Obwohl für Veranschaulichungszwecke die bevorzugten Ausführungsformen der vorliegenden Erfindung offenbart worden sind, wird der Fachmann auf dem Gebiet würdigen, dass verschiedene Änderungen, Hinzufügungen und Ersetzungen möglich sind, ohne von dem Schutzumfang und von dem Erfindungsgedanken der Erfindung, wie sie in den beigefügten Ansprüchen offenbart sind, abzuweichen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • KR 10-2013-0094359 [0005, 0006]
  • Zitierte Nicht-Patentliteratur
    • ”Enabling Secure Location-base Services in Mobile Cloud Computing”, Proceedings of the second ACM SIGCOMM Workshop an Mobile cloud computing, Yan Zhu u. a., 12. August 2013 [0007]

Claims (19)

  1. Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung, wobei die Vorrichtung umfasst: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage empfangener Kontextinformationen eines Anwenders und eines empfangenen Schlüssel des Anwenders einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen eines Datenpakets von einem Cloud-Server eines Cloud-Dienst-Netzes auszuführen.
  2. Vorrichtung nach Anspruch 1, wobei die Authentifizierungsanfangsblock-Untersuchungseinheit den Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer durch das ferne Anwenderendgerät gesendeten Datenempfangsanforderung wiederherstellt und auf der Grundlage des erzeugten Authentifizierungsanfangsblocks die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks untersucht.
  3. Vorrichtung nach Anspruch 1 oder 2, wobei der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
  4. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Paketdaten-Verarbeitungseinheit unter der Sendung, der Modulation und dem Verwerfen der Paketdaten eine Sendung ausführt und die Paketdaten-Verarbeitungseinheit die von dem Cloud-Server empfangenen ursprünglichen Paketdaten ohne Änderung an das ferne Anwenderendgerät sendet.
  5. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Paketdaten-Verarbeitungseinheit unter der Sendung, der Modulation und dem Verwerfen der Paketdaten die Modulation ausführt und die Paketdaten-Verarbeitungseinheit die von dem Cloud-Server empfangenen Paketdaten moduliert und die modulierten Paketdaten daraufhin an das ferne Anwenderendgerät sendet.
  6. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Paketdaten-Verarbeitungseinheit unter dem Senden, der Modulation und dem Verwerfen der Paketdaten das Verwerfen ausführt und die Paketdaten-Verarbeitungseinheit die von dem Cloud-Server empfangenen Paketdaten sperrt und dadurch eine Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server beendet.
  7. Vorrichtung nach einem der Ansprüche 1 bis 6, die ferner eine Richtlinien-Eingabeschnittstelleneinheit umfasst, die dafür konfiguriert ist, eine Schnittstelle bereitzustellen, über die ein Typ von Kontextinformationen und Paketdaten-Verarbeitungsrichtlinien der Paketdaten-Verarbeitungseinheit eingegeben werden.
  8. Vorrichtung nach einem der Ansprüche 1 bis 7, wobei die Vorrichtung für die kontextbewusste Sicherheitssteuerung, die die Authentifizierungsanfangsblock-Untersuchungseinheit und die Paketdaten-Verarbeitungseinheit umfasst, bei einem Eintritt in das Cloud-Dienst-Netz in der Reihenbetriebsart eingebaut ist.
  9. Vorrichtung nach einem der Ansprüche 1 bis 8, wobei: die Kontextinformationen des Anwenders Ortsinformationen umfassen; und die Ortsinformationen in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet ist.
  10. Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung, wobei das Verfahren umfasst: Erzeugen eines Authentifizierungsanfangsblocks auf der Grundlage empfangener Kontextinformationen eines Anwenders und eines empfangenen Schlüssels des Anwenders durch eine Authentifizierungsanfangsblock-Untersuchungseinheit; Vergleichen des erzeugten Authentifizierungsanfangsblocks mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten durch die Authentifizierungsanfangsblock-Untersuchungseinheit und Ausgeben von Ergebnissen des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit; und Ausführen einer Sendung oder einer Modulation oder eines Verwerfens von von einem Cloud-Server eines Cloud-Dienst-Netzes empfangenen Paketdaten auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit durch eine Paketdaten-Verarbeitungseinheit.
  11. Verfahren nach Anspruch 10, wobei das Ausgeben der Ergebnisse des Vergleichs umfasst: Wiederherstellen des Authentifizierungsanfangsblocks der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer von dem fernen Anwenderendgerät gesendeten Datenempfangsanforderung; und Untersuchen der Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks auf der Grundlage des erzeugten Authentifizierungsanfangsblocks.
  12. Verfahren nach Anspruch 10, wobei der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
  13. Verfahren nach Anspruch 10, wobei das Ausführen der Sendung oder der Modulation oder des Verwerfens das Senden des von dem Cloud-Server empfangenen ursprünglichen Datenpakets an das ferne Anwenderendgerät ohne Änderung umfasst, wenn die Sendung ausgeführt wird.
  14. Verfahren nach Anspruch 10, wobei das Ausführen der Sendung oder der Modulation oder des Verwerfens das Modulieren des von dem Cloud-Server empfangenen Datenpakets und daraufhin das Senden des modulierten Datenpakets an das ferne Anwenderendgerät umfasst, wenn die Modulation ausgeführt wird.
  15. Verfahren nach Anspruch 10, wobei das Ausführen der Sendung oder der Modulation oder des Verwerfens das Sperren des von dem Cloud-Server empfangenen Datenpakets und dadurch das Beenden einer Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server umfasst, wenn das Verwerfen ausgeführt wird.
  16. Verfahren nach Anspruch 10, wobei: die Kontextinformationen des Anwenders Ortsinformationen umfassen; und die Ortsinformationen in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet wird.
  17. System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung, wobei das System umfasst: ein Kontextinformationsbereitstellungs-Endgerät, das dafür konfiguriert ist, Kontextinformationen einschließlich auf einem GPS-Wert beruhender Ortsinformationen und eines Schlüssels auszugeben; ein fernes Anwenderendgerät, das dafür konfiguriert ist, auf der Grundlage von Kontextinformationen und eines von dem Kontextinformationsbereitstellungs-Endgerät empfangenen Schlüssels einen Authentifizierungsanfangsblock zu erzeugen und zusammen mit dem Authentifizierungsanfangsblock eine Datenempfangsanforderung auszugeben; und einen kontextbewussten Sicherheitscontroller, der dafür konfiguriert ist, die Datenempfangsanforderung von dem fernen Anwenderendgerät zu empfangen und die Datensendung an das ferne Anwenderendgerät in Übereinstimmung mit zwischen dem fernen Anwenderendgerät und einem Cloud-Server eines Cloud-Dienst-Netzes definierten kontextbewussten Richtlinien zu steuern.
  18. System nach Anspruch 17, wobei das ferne Anwenderendgerät umfasst: eine Authentifizierungsanfangsblock-Erzeugungseinheit, die dafür konfiguriert ist, auf der Grundlage der Kontextinformationen und des Schlüssels den Authentifizierungsanfangsblock zu erzeugen; und eine Empfängeragenteneinheit, die dafür konfiguriert ist, die Kontextinformationen und den Schlüssel von dem Kontextinformationsbereitstellungs-Endgerät zu empfangen und die Kontextinformationen und den Schlüssel an die Authentifizierungsanfangsblock-Erzeugungseinheit zu übertragen und die Datenempfangsanforderung zusammen mit dem erzeugten Authentifizierungsanfangsblock an den kontextbewussten Sicherheitscontroller zu senden.
  19. System nach Anspruch 17, wobei der kontextbewusste Sicherheitscontroller umfasst: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage von Kontextinformationen eines Anwenders und eines Schlüssels des Anwenders, die von einem Systemadministrator empfangen werden, einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von dem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und die Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage von Ergebnissen des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen der von dem Cloud-Server empfangenen Paketdaten auszuführen.
DE102014113582.2A 2014-02-20 2014-09-19 Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung Active DE102014113582B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2014-0019822 2014-02-20
KR1020140019822A KR101521808B1 (ko) 2014-02-20 2014-02-20 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템

Publications (2)

Publication Number Publication Date
DE102014113582A1 true DE102014113582A1 (de) 2015-08-20
DE102014113582B4 DE102014113582B4 (de) 2022-08-04

Family

ID=53395131

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014113582.2A Active DE102014113582B4 (de) 2014-02-20 2014-09-19 Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung

Country Status (3)

Country Link
US (1) US9294463B2 (de)
KR (1) KR101521808B1 (de)
DE (1) DE102014113582B4 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10231120B2 (en) * 2012-10-16 2019-03-12 Cisco Technology, Inc. Offloaded security as a service
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system
US20170272428A1 (en) * 2016-03-16 2017-09-21 Thien Pham Method for validating the identity of a user by using geo-location and biometric signature stored in device memory and on a remote server
US10248536B2 (en) * 2016-10-31 2019-04-02 International Business Machines Corporation Method for static and dynamic configuration verification
US20180129581A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Method for static and dynamic configuration verification
KR20180081998A (ko) 2017-01-09 2018-07-18 한국전자통신연구원 모바일 클라우드를 위한 안전 실행 환경 제공 장치 및 방법
FR3066666B1 (fr) * 2017-05-18 2020-07-03 Cassidian Cybersecurity Sas Procede de securisation d'une communication sans gestion d'etats
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11606358B2 (en) 2018-09-18 2023-03-14 Cyral Inc. Tokenization and encryption of sensitive data
AU2020402099B2 (en) * 2019-12-13 2023-07-20 Liveperson, Inc. Function-as-a-service cloud chatbot for two-way communication systems
US11470071B2 (en) * 2020-04-20 2022-10-11 Vmware, Inc. Authentication for logical overlay network traffic
CN114189530A (zh) * 2021-12-14 2022-03-15 南京讯天游科技有限公司 基于互联网的资源协同方法及***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130094359A (ko) 2011-12-29 2013-08-26 한국인터넷진흥원 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060274672A1 (en) * 2005-06-06 2006-12-07 Narayanan Venkitaraman System and method for reducing unnecessary traffic in a network
JP4909875B2 (ja) * 2007-11-27 2012-04-04 アラクサラネットワークス株式会社 パケット中継装置
US8504718B2 (en) * 2010-04-28 2013-08-06 Futurewei Technologies, Inc. System and method for a context layer switch
KR20120038859A (ko) * 2010-10-14 2012-04-24 정태길 클라우드 컴퓨팅 기반의 모바일 오피스를 위한 정보 출력 단말 장치
WO2012167094A1 (en) * 2011-06-01 2012-12-06 Security First Corp. Systems and methods for secure distributed storage
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
JP5921460B2 (ja) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130094359A (ko) 2011-12-29 2013-08-26 한국인터넷진흥원 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Enabling Secure Location-base Services in Mobile Cloud Computing", Proceedings of the second ACM SIGCOMM Workshop an Mobile cloud computing, Yan Zhu u. a., 12. August 2013

Also Published As

Publication number Publication date
US20150237027A1 (en) 2015-08-20
US9294463B2 (en) 2016-03-22
DE102014113582B4 (de) 2022-08-04
KR101521808B1 (ko) 2015-05-20

Similar Documents

Publication Publication Date Title
DE102014113582A1 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112009000416B4 (de) Zweiwege-Authentifizierung zwischen zwei Kommunikationsendpunkten unter Verwendung eines Einweg-Out-Of-Band(OOB)-Kanals
LU93024B1 (de) Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder)
DE102014222222A1 (de) Verfahren zur Absicherung eines Netzwerks
DE112012005564T5 (de) Sichere Peer-Ermittlung und Authentifizierung unter Verwendung eines gemeinsamen Geheimnisses
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE112011102224T5 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE112018006443T5 (de) Multifaktor-authentifizierung
DE102018219960A1 (de) Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten
DE112022001753T5 (de) Inbetriebnahme von Vorrichtungen für Prozessautomatisierungssysteme unter Verwendung von tragbaren Einrichtungsvorrichtungen
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
DE102012208836A1 (de) Verfahren und Vorrichtung zur Erzeugung kryptographisch geschützter redundanter Datenpakete
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
EP3376419A1 (de) System und verfahren zum elektronischen signieren eines dokuments
EP3556071A1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE112021005552T5 (de) Mehrfaktorauthentifizierung von einheiten des internets der dinge
DE102016106602A1 (de) Verfahren und Anordnung zum Aufbauen einer sicheren Kommunkation zwischen einer ersten Netzwerkeinrichtung (Initator) und einer zweiten Netzwerkeinrichtung (Responder)
EP4115584B1 (de) Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung
DE102018003539A1 (de) Autonome Sicherheit in Drahtlosnetzwerken mit mehreren Betreibern oder Zugangspunkten
WO2019115580A1 (de) Verfahren zum betreiben eines dezentralen speichersystems
DE102014222216A1 (de) Verfahren und Vorrichtung zur Absicherung einer Kommunikation
DE102014217330A1 (de) Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät
Böttger et al. Challenges and current solutions for safe and secure connected vehicles
DE102023103260A1 (de) Verfahren zum Aufbauen einer Kommunikationsverbindung zwischen einer Applikationssoftware in einer Applikations-Laufzeitumgebung eines Kraftfahrzeugs zu einem fahrzeugexternen Dienstanbieter sowie zugehöriges Datennetzwerk, Kraftfahrzeug und Applikationssoftware

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R018 Grant decision by examination section/examining division
R020 Patent grant now final