DE10234562B4 - Sichere Netzwerkarchitektur - Google Patents

Sichere Netzwerkarchitektur Download PDF

Info

Publication number
DE10234562B4
DE10234562B4 DE10234562A DE10234562A DE10234562B4 DE 10234562 B4 DE10234562 B4 DE 10234562B4 DE 10234562 A DE10234562 A DE 10234562A DE 10234562 A DE10234562 A DE 10234562A DE 10234562 B4 DE10234562 B4 DE 10234562B4
Authority
DE
Germany
Prior art keywords
network
server
communication
server group
application service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10234562A
Other languages
English (en)
Other versions
DE10234562A1 (de
Inventor
Abolhassan Agha
Michael Hoehre
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agha Abolhassan 81735 Muenchen De
Agha Abolhassan De
Hoehre Michael 12167 Berlin De
Hoehre Michael De
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE10234562A priority Critical patent/DE10234562B4/de
Publication of DE10234562A1 publication Critical patent/DE10234562A1/de
Application granted granted Critical
Publication of DE10234562B4 publication Critical patent/DE10234562B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Kommunikationsnetzwerk mit einer ersten Servergruppe, mindestens einer zweiten Servergruppe und einem ersten Kommunikationsweg zwischen der ersten und der zweiten Servergruppe,
dadurch gekennzeichnet, dass
der erste Kommunikationsweg ein Kommunikationsmodul zum Aufbauen und Aufrechterhalten einer ersten Kommunikationsverbindung umfasst und
das Kommunikationsmodul derart ausgestaltet ist, dass es die Nutzung eines in der ersten Servergruppe vorhandenen Service durch die zweite Servergruppe ermöglicht, nicht aber die Nutzung eines in der zweiten Servergruppe vorhandenen Service durch die erste Servergruppe, wobei die Kommunikationsverbindung nur auf Veranlassung der zweiten Servergruppe aufgebaut wird, das Kommunikationsmodul die Identität der zweiten Servergruppe anhand von der zweiten Servergruppe dezidiert zugeordneten Zugriffswegen feststellt und anhand dieser Identität die Berechtigung der zweiten Servergruppe, auf einen Server der ersten Servergruppe zuzugreifen überprüft.

Description

  • Die vorliegende Erfindung betrifft ein Kommunikationsnetzwerk, ein Verfahren zum Durchführen der Kommunikation im Kommunikationsnetzwerk und ein Kommunikationsmodul zur Verwendung im Kommunikationsnetzwerk.
  • Ein kurzer Blick auf das klassische Internet zeigt deutlich dessen Schwächen, Sicherheitsmängel bzw. Architekturprobleme auf. Alle Server, Workstations etc. oder daraus bestehende Netze, die permanent oder auch zeitweise (dynamisch) mit dem Internet verbunden sind, sollen im folgenden kurz als Knotenpunkte bezeichnet werden. Damit ergibt sich folgendes vereinfachtes Bild des klassischen Internets: Verbindet man einen Knotenpunkt mit dem Internet, ist dieser Knotenpunkt grundsätzlich mit allen anderen Knotenpunkten des Internets verbunden. Jeder Knotenpunkt kann prinzipiell mit jedem anderen Knotenpunkt eine Verbindung aufnehmen. Dies ist vollständig unabhängig davon, ob die beiden Knotenpunkte in einer von beiden Knotenbetreibern gewollten Servicebeziehung zueinander stehen oder nicht.
  • Diese Offenheit geht über den eigentlichen Kommunikationsnutzen weit hinaus. Ihr Missbrauch lässt sich nur durch Selbstschutzmaßnahmen einzelner Knoten bzw. Knotengruppen gegenüber dem gesamten Rest des Netzes einschränken.
  • Da jeder für jeden und damit auch für potentielle Angriffe erreichbar ist, und es auf Ebene des Netzwerks fast nichts gibt, auf das sich ein Knotenpunkt verlassen könnte, bleibt nur die Möglichkeit des allumfassenden, knotenindividuellen Selbstschutzes. Dieser müsste theoretisch permanent in Echtzeit aktuellen Angriffstechniken nachgeführt werden: Ein gänzlich aussichtloses Unterfangen. Genau betrachtet, handelt es sich um ein Konstruktionsproblem, das grenzenlose Kommunikation global und nahezu unreglementiert zulässt und Sicherheitsbelange in den Bereich knotenbezogener Insellösungen (Firewalls, Intrusion Detection Systems etc.) verweist.
  • So wird zum Beispiel in der WO 01/31874 A2 ein System für eine sichere Verbindung zwischen Nutzer und Server mittels einer Firewall beansprucht.
  • Durch das System soll verschiedenen Usern der Zugriff auf unterschiedliche Applikationen des Servers ermöglicht werden. Die Aufgabe wird erfindungsgemäß dadurch gelöst, dass zwischen Nutzer und dem Server eine Firewall installiert wird. Softwaremodule bearbeiten die Anfragen der Nutzer und stellen daraufhin die jeweiligen Applikationen zur Verfügung. Ein Nachteil einer Firewall ist, dass diese zu vergrößertem administrativen Aufwand für die Nachführung der sicherheitstechnischen Einstellungen führt.
  • Auch sind anhand der Identität des externen Knotens differenzierte Schutzmaßnahmen nicht realisierbar, da der Identität des externen Knotens nicht getraut werden kann. So können Knotennutzer die Identität des Knotens fälschen (so genanntes IP-Address Spoofing). Zudem können von Fremden böswillig kompromittierte Knotenpunkte dazu verwendet werden, die Identität zu verschleiern bzw. den kompromittierten Knotenpunkt als Ausgangspunkt für einen Angriff (z. B. für so genannte Distributed Denial of Service-Angriffe) zu verwenden.
  • Außerhalb der eigenen Festung in Form von Firewalls, Intrusion Detection Systems u. A. Schutzmechanismen, gibt es nichts, auf das sich ein Knotenpunkt, der Services bereitstellt, verlassen könnte. Die Betreiber angriffsattraktiver Knotenpunkte versuchen daher ihre Knotenpunkte quasi durch eine Allround-Panzerung zu schützen. Diese Panzerung müsste, wie bereits erwähnt, theoretisch in Echtzeit immer den aktuell bekannten Angriffstechniken nachgeführt werden. Bei den stetig kürzer werdenden Innovationszyklen im IT-Bereich und vor dem Hintergrund des im Hacker-Umfeld anzutreffenden Kreativ- und Innovationspotenzials ist dies kaum mehr möglich.
  • Die verwendeten Sicherheitsmechanismen können das Problem daher nur mildern. Ein Sprachgebrauch, der sich auch neuerdings in entsprechender einschlägiger Literatur zum Thema Security findet, wo auffallend oft (und ehrlich) von ,mildern' (mitigate) und nicht mehr von 'verhindern' (prevent) gesprochen wird. Eine Sicherheitsgarantie ist prinzipiell unmöglich.
  • Damit ist auch klar, dass das Internet unter anderem für das Application Service Providing geschäftskritischer Anwendungen ungeeignet ist, nicht zuletzt deswegen, weil es in Relation zu einem geschlossenen privaten Netzwerk legitime Sicherheitsbelange des Nutzers bzw. Kunden nur unzureichend berücksichtigen kann.
  • Hier hat die technische Globalisierung des Internets die entsprechenden Prozesse international übergreifender gesetzlicher Regelungen weit hinter sich gelassen. Regelungen existieren nur aus dem technisch operativen Umfeld in Form sogenannter RFC's. Beispiel RFC 2827: Hier wird u. a. versucht, die Fälschung von Quelladressen einzuschränken. Dieser RFC ist in die Kategorie Best Current Practice eingestuft und hat damit aber nur Empfehlungscharakter.
  • Um diesen Problemen abzuhelfen, wurden alternative Sicherheitsansätze auf Basis des klassischen Internet entwickelt. Die Schlüsselworte an dieser Stelle lauten: Public Key Infrastrukturen (PKI), Secure Socket Layer (SSL), Virtual Private Networks (VPN), IP Sec etc. Um eine umfassende differenzierte Diskussion des Themas an dieser Stelle zu vermeiden, soll eine praktisch eingesetzte Lösung, welche die wesentlichen Technologien in Kombination einsetzt, exemplarisch herausgegriffen werden:
    Ein angesehener deutscher Festnetzbetreiber bietet seinen Großkunden sogenannte Intelligent Networks z. B. zum Betrieb ursprungsabhängig verteilter Servicerufnummern an, die der Großkunde via Internet eigenständig administrieren kann. Durch einen Missbrauch des Administrationszugangs wäre es problemlos möglich, z. B. die gesamte Call-Center-Infrastruktur des Kunden – quasi auf Knopfdruck – dauerhaft mit der lokalen Telefonseelsorge zu verbinden. Da es sich hier um eine geschäftskritische Anwendung handelt, versucht der Anbieter diesen Umstand in Form folgender Lösung zu berücksichtigen:
    Der Anbieter stellt dem Großkunden ein Zertifikat aus, das via Diskette (also jenseits des Internets) zum Großkunden versandt wird, und dort im Browser des Großkunden installiert werden muss. Das Zertifikat kann nur durch ein Kennwort aktiviert werden, das ebenfalls separat versandt wird. Der Zugriff auf den Administrationsservice erfolgt über eine verschlüsselte Verbindung adäquater Schlüssellänge. Betrachtet man die Kette bestehend aus Browser, Internetverbindung und Administrationsserver und geht davon aus, dass die verwendete Technologie fehlerfrei implementiert wurde (z. B. keine Ansatzpunkte für Buffer Overflow-Attacken), besteht angesichts dieses Horizonts nicht unbedingt ein Grund zur Sorge.
  • Bekanntlich ist jede Kette jedoch nur so stark wie ihr schwächstes Glied. Hierzu wird der Betrachtungshorizont geringfügig erweitert. Wird davon ausgegangen, dass der Festnetzbetreiber den Administrationsserver adäquat abgesichert hat, betrachtet man den gegenüberliegenden Kommunikationsendpunkt, den Browser des Großkunden. Hier findet sich beispielsweise ein Browser der Firma Netscape® (vom Anbieter so gefordert) auf einem Betriebssystem der Firma Microsoft®. Auf dieser Seite einen so genannten Trojaner zu platzieren, der die Userinterfacefunktionen des Betriebssystems um externe Andockmöglichkeiten erweitert (zuweilen auch als Fernwartungssoftware bezeichnet), könnte hier leicht für unangenehme Überraschungen sorgen, obwohl das theoretische Prinzip zertifikatbasierter, verschlüsselter Kommunikation zwischen Browser und Administrationsserver durchaus als sicher einzustufen wäre. Die Wahrscheinlichkeit eines derartigen Angriffs multipliziert sich mit der Anzahl der Knotenpunkte, von denen dieser Server direkt aber auch indirekt erreichbar ist.
  • Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, ein Kommunikationsnetzwerk, ein Kommunikationsverfahren und ein Kommunikationsmodul zur Verwendung in einem Kommunikationsnetzwerk zur Verfügung zu stellen, welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere die Möglichkeiten des Missbrauchs der Daten von Nutzern eines Kommunikationsnetzwerks deutlich reduziert.
  • Diese Aufgabe wird durch das Kommunikationsnetzwerk nach Anspruch 1, das Kommunikationsverfahren nach Anspruch 6 und das Kommunikationsmodul nach Anspruch 9 gelöst. Die Unteransprüche enthalten weitere Ausgestaltungen des Kommunikationsnetzwerkes bzw. des Kommunikationsverfahrens. Unter Nutzer ist hierbei ein Knotenpunkt zu verstehen.
  • Der vorliegenden Erfindung liegt der folgende Gedanke zugrunde:
    Elektronisch gespeicherte Daten sind in der Regel auf einem Datenträger (Festplatte, CD, Chipkarte, Memory, etc.) gespeichert. Der Zugriff auf die Daten erfolgt durch ein Programm, das eine für das jeweilige Speichermedium geeignete Schreib/Lesevorrichtung steuert. Ein solches Programm ist üblicherweise in ein Betriebssystem eingebunden, das potentiellen Nutzern den Zugriff auf die Daten in Form sogenannter Dienste oder Services ermöglicht. Zum Beispiel kann ein Nutzer eines Computers in einem sog. netzwerktrans parenten Dateisystem auf seine lokalen Daten, d. h. die auf seinem Computer gespeicherten Daten, in gleicher Form zurückgreifen wie auf Daten, die tatsächlich auf einem anderen Computer gespeichert sind. Der Zugriff auf die Daten des entfernten Computers erfolgt, indem das Betriebssystem des lokalen Computers auf der Basis eines Kommunikationsprotokolls die entsprechenden Services des Betriebssystems des entfernten Computers verwendet. Die Autorisierung zur Nutzung des Services auf dem entfernten Computer erfolgt dabei anhand einer Identifikation des anfragenden Nutzers bzw. seines Computers. In einem solchen System kann eine unberechtigte Nutzung eines Services auf dem entfernten Computer erfolgen, indem dem entfernten Computer eine falsche Identität vorgespiegelt wird.
  • Die Erfindung sieht nun gemäß Anspruch 1 vor, bereits auf der Netzwerkebene ein Kommunikationsmodul im Kommunikationsweg (in der Kommunikationsleitung) zwischen einem ersten Server oder einer ersten Servergruppe und einem zweiten Server oder einer zweiten Servergruppe zur Verfügung zu stellen, das nur die Nutzung eines in dem ersten Server oder der ersten Servergruppe vorhandenen Service durch den zweiten Server oder die zweite Servergruppe ermöglicht, nicht aber die Nutzung eines in dem zweiten Server oder der zweiten Servergruppe vorhandenen Service durch den ersten Server oder die erste Servergruppe.
  • Gemäß Anspruch 6 sieht die Erfindung vor, ein Kommunikationsverfahren zum Durchführen einer Kommunikation in einem erfindungsgemäßen Kommunikationsnetzwerk zur Verfügung zu stellen, das sich dadurch auszeichnet, dass die Servergruppen Daten über den oder die Kommunikationswege austauschen und dass das Kommunikationsmodul über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.
  • Gemäß Anspruch 9 sieht die Erfindung vor, ein Kommunikationsmodul zur Verwendung in einem erfindungsgemäßen Kommunikationsnetzwerk zu schaffen. Das Kommunikationsmodul zeichnet sich dadurch aus, dass es ein Kommunikationsprotokoll umfasst, dass die Identifikation von Servern oder Servergruppen beinhaltet.
  • Auf diese Weise werden bereits auf Netzwerkebene nur gerichtete Beziehungen zwischen Servern bzw. Servergruppen zugelassen. Dies ermöglicht es, nur gewollte Servicebeziehungen zuzulassen und aufzubauen. Die in diesem Rahmen verwendete Identifikation eines Servers oder einer Servergruppe im Netzwerk wird an ein physikalisches Zugangsmerkmal, nämlich eine dedizierte Leitung, eine nicht mittels Software manipulierbare Hardwareidentifizierung, gebunden.
  • Die Erfindung bietet die Möglichkeit, einen Missbrauch der Daten von Nutzern eines Datenverarbeitungsnetzwerks um Größenordnungen zu reduzieren, insbesondere, wenn der Verbindungsaufbau zwischen einer Datenverarbeitungsinfrastruktur oder Servergruppe und einem zugriffsberechtigten Knotenpunkt ausschließlich auf Veranlassung des zugriffsberechtigten Knotenpunkts erfolgt. Hierdurch wird in einfacher Weise verhindert, dass zwischen einem ersten zugriffsberechtigten Knotenpunkt und einem zweiten zugriffsberechtigten Knotenpunkt über die Datenverarbeitungsinfrastruktur ohne Zutun des jeweils anderen Knotenpunktes eine Verbindung hergestellt werden kann, über die ein Angriff auf die Daten des jeweils anderen Knotenpunkts erfolgen könnte.
  • Gemäß der Erfindung kann daher vorgesehen sein, dass in einem Kommunikationsnetzwerk, insbesondere in dessen Kommunikationsweg oder Kommunikationsleitung, ein Zugriffsmodul zum Ermöglichen des Zugriffs auf eine interne Datenverarbeitungsinfrastruktur des Datenverarbeitungszentrums durch einen externen Nutzer und der Ausgabe von Daten von der internen Datenverarbeitungsinfrastruktur an den Nutzer vorhanden ist. Das Zugriffsmodul ist derart ausgestaltet, dass eine Verbindung zwischen dem externen Nutzer und der Datenverarbeitungsinfrastruktur nur durch den externen Nutzer initiiert werden kann.
  • Die Autorisierung der einzelnen Knotenpunkte kann in bekannter Weise über entsprechende Nutzungsverträge erlangt werden, zu deren Abschluss in der Regel eine entsprechende Überprüfung bzw. Identifizierung der Knotenbetreiber des jeweiligen Knotenpunktes erfolgt.
  • Mit der Erfindung ist die Restrukturierung des klassischen Internet in Richtung einer orientiert an Servicebeziehungen strukturierten, im folgenden als Application Service Infrastructure (ASI) bezeichneten Infrastruktur auf Basis einer, unter Sicherheitsaspekten optimierten, Netzwerkarchitektur möglich. Der durch den Business-Bereich einschränkend vorgeprägte Begriff des Application Service Providing ist hier weitreichend zu interpretieren: Ein Application Service Provider ist demnach eine Person oder Organisation, die für eine andere Person oder Organisation einen oder mehrere Services auf Basis eines Kommunikationsnetzes bereitstellt. Als unter Umständen einfachstes Beispiel wäre darunter auch das Veröffentlichen einer privaten Homepage zu verstehen.
  • Im Umfeld der Nutzung von Services (Diensten) im Rahmen einer Application Service Infrastructure (ASI), können dabei die folgenden funktionalen Rollen voneinander abgegrenzt werden:
    • – Application Service User (ASU): der eigentliche Nutzer des Services,
    • – Application Service Customer (ASC): der den Servicevertrag abschließende Betreiber eines zugangsberechtigten Knotenpunktes als übergeordnete Organisation etc. der Application Service User (ASU),
    • – Application Service Provider (ASP): der Provider eines bestimmten Services.
  • Dabei muss der Application Service nicht notwendigerweise von dem Betreiber eines Datenverarbeitungszentrums zur Verfügung gestellt werden. Viel mehr kann gegebenenfalls noch eine weitere funktionale Rolle identifiziert werden, nämlich diejenige eines so genannten
    • – Application Service Infrastucture Provider (ASIP), der die Infrastruktur, insbesondere das Datenverarbeitungszentrum zur Verfügung stellt und betreibt.
  • Mit anderen Worten kann auch vorgesehen sein, dass nicht nur die Application Service User (ASU) als Betreiber eines zugriffsberechtigten Knoten in Frage kommen, sondern auch Application Service Provider (ASP). Die Application Service Provider (ASP) stellen einen Service im Datenverarbeitungszentrum zur Verfügung und administrieren diesen über die Verbindung zum Datenverarbeitungszentrum als externe Nutzer des Datenverarbeitungszentrums. Die Trennung von Application Service Provider (ASP) und Application Service Infrastructure Provider (ASIP) ermöglicht es, die Verantwortung der Bereitstellung von Applikationen (Anwendungen) auf unterschiedliche Firmen zu verteilen und von der Kernverantwortung bezüglich der Infrastruktur zu trennen. Der Application Service Infrastructure Provider (ASIP) kann sich damit auf die Weiterentwicklung der Infrastruktur und einige wenige, für alle Kunden standardisiert betreibbare Services, wie z. B. einen sicheren Internetzugang in Form eines so genannten Secure Internet Gateway, konzentrieren.
  • Im Gegenzug ermöglicht der Einbezug verschiedener Firmen, die bereits über Kernkompetenz komplexer Applikationen verfügen, als Application Service Provider (ASP) ein schnelleres Wachstum des Serviceangebots, was letztlich die Attraktivität der gesamten Infrastruktur für potentielle neue Nutzer steigert. Gleichzeitig steigt mit zunehmender Nutzerzahl die Attraktivität der Infrastruktur für potentielle neue Application Service Provider (ASP). Damit entsteht ein Schneeballeffekt, der ein dynamischeres Geschäftsmodell ermöglicht, als dies im klassischen Application Service Providing Modell mit einem Provider, der alle Services bereitstellt, der Fall ist.
  • Die Datenverarbeitungsinfrastruktur kann einen einzigen Zugriffsbereich oder Infrastrukturbereich als Datenverarbeitungsstruktur, beispielsweise einen einzelnen Server oder dergleichen umfassen, auf den die zugangsberechtigten Knotenpunkte zugreifen können. Die Datenverarbeitungsstruktur kann jedoch auch als Netzwerk, ähnlich einem LAN (Local Area Network) vorliegen. Um unterschiedlichen Knotenbetreibern unterschiedliche Dienste anbieten zu können, umfasst die Datenverarbeitungsinfrastruktur bevorzugt mehrere Datenverarbeitungsstrukturen (Zugriffsbereiche, Infrastrukturbereiche). Dabei ist bevorzugt wenigstens eine zugangsbeschränkte erste Datenverarbeitungsstruktur vorgesehen, wobei das Zugriffsmodul bzw. eine im Zugriffsmodul vorhandene Verbindungsaufbausteuerung dann zum Verbindungsaufbau zwischen einem Knotenpunkt und der ersten Datenverarbeitungsstruktur nur bei der ersten Datenverarbeitungsstruktur zugeordneter Autorisierung des Knotenpunkts ausgebildet ist, um nur entsprechend autorisierten Knotenpunkten Zugang zur ersten Datenverarbeitungsstruktur bzw. den dort zur Verfügung gestellten Diensten zu gewähren.
  • Falls ein Application Service Provider (ASP) einen im Datenverarbeitungszentrum zur Verfügung gestellten Service über eine Verbindung zum Datenverarbeitungszentrum administrieren will, kann auch vorgesehen sein, mindestens einen Server zwei Datenverarbeitungsstrukturen zuzuordnen, von denen eine den Service bereitstellt und die andere als Administrationszugang für den Application Service Provider (ASP) dient.
  • Weiter vorzugsweise sind mehrere solcher ersten Datenverarbeitungsstrukturen oder Infrastrukturbereiche vorgesehen. Die Application Service User (ASU) des Application Service Customer (ASC) können dann die Services eines oder mehrer Application Service Provider (ASP) nutzen, welche diese in unterschiedlichen, hier auch als Network Safes bezeichneten ersten Infrastrukturbereichen der Datenverarbeitungsinfrastruktur zur Verfügung stellen.
  • Optional kann der Application Service Customer (ASC) so genannte private Services in der Application Service Infrastructure positionieren. Private Servi ces können z. B. den Charakter eines privaten Netzwerks haben und können ausschließlich durch den Application Service Customer (ASC) selbst bzw. seine Application Service User (ASU) genutzt werden. Darüber hinaus erhält der Application Service User (ASU) des Application Service Customer (ASC) nur Zugriff auf die Services, für die der Application Service Customer (ASC) mit dem jeweiligen Application Service Provider (ASP) einen Nutzungsvertrag geschlossen hat.
  • Nur der Application Service User (ASU) des Application Service Customer (ASC) kann eine Verbindung zu einem Serviceknoten, d. h. zu der Datenverarbeitungsinfrastruktur bzw. zu einem entsprechenden ersten Infrastrukturbereich derselben, initiieren. Die umgekehrte Richtung ist nicht möglich. Die Nutzung eines Serviceknotens durch einen Application Service User (ASU) des Application Service Customer (ASC) ist dank der Erfindung eine gerichtete Beziehung, d. h. es ist gewährleistet, dass der Betreiber des Serviceknotens umgekehrt keinen Zugriff auf die lokale IT-Infrastruktur des Kunden erhält.
  • Gleiches gilt für die Beziehung einzelner Kunden, d. h. Application Service Customer (ASC) untereinander: Hier ist erfindungsgemäß gewährleistet, dass zwei Application Service Customer (ASC), die den selben Service nutzen, dadurch nicht wechselseitig auf die lokale IT-Infrastruktur des jeweils anderen Application Service Customer (ASC) zugreifen können.
  • Eine Grundidee der Erfindung besteht demgemäß darin, Services in voneinander getrennten Räumen dem Nutzer zur Verfügung zu stellen. Diese Räume werden durch die ersten Infrastrukturbereiche (Datenverarbeitungsstrukturen) gebildet, die im folgenden auch als Network Safes bezeichnet werden. Ein Network Safe verbindet ausschließlich Server oder dergleichen miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe bereitgestellten Services können nur durch berechtigte Knotenpunkte bzw. Knotenpunktgruppen ge nutzt werden, wobei die privaten Ressourcen der Knotenpunkte bzw. Knotenpunktgruppen vor wechselseitigem Zugriff geschützt sind.
  • Langfristig ermöglicht die Erfindung, den bisherigen Ansatz des nahezu unbeschränkt offenen, aber sicherheitsmangelhaften Internets sowie den Ansatz vollständig geschlossener Netze, durch eine an expliziten Servicebeziehungen orientierte, sichere, standardisierte und flexible erfindungsgemäße Struktur zu ersetzen.
  • Bei bevorzugten Varianten der Erfindung ist vorgesehen, dass die Knotenpunkte über eine ausschließlich dem jeweiligen Knotenpunkt zugeordnete Kommunikationsleitung mit der Datenverarbeitungsinfrastruktur verbunden werden und die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich zugangsbasiert in Abhängigkeit von der jeweils zugeordneten Kommunikationsleitung erfolgt.
  • Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies dadurch erreicht, dass für wenigstens eine Anzahl jeweils ausschließlich einem Knotenpunkt zugeordnete Kommunikationsleitungen eine ausschließlich der jeweiligen Kommunikationsleitung zugeordnete Schnittstelleneinrichtung der Datenverarbeitungsinfrastruktur vorgesehen ist und eine Verbindungsaufbausteuerung zur zugangsbasierten Steuerung des Verbindungsaufbaus zum ersten Infrastrukturbereich in Abhängigkeit von der Schnittstelleneinrichtung ausgebildet ist. Mit anderen Worten werden über die Verbindungsaufbausteuerung nur Verbindungen mit dem ersten Infrastrukturbereich aufgebaut, die über die Kommunikationsleitungen bzw. diesen fest zugeordnete Schnittstelleneinrichtungen erfolgen, welche entsprechend zugangsberechtigten Knotenpunkten in vorgegebener Weise zugeordnet sind. Die Zuordnung kann dabei nur durch den Betreiber des Datenverarbeitungszentrums bzw. auf dessen Veranlassung hin modifiziert werden.
  • Die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) sind mit dem im folgenden auch als Network Operation Center (NOC) bezeichneten Datenverarbeitungszentrum, das die Application Service Infrastructure (ASI), also die Datenverarbeitungsinfrastruktur, bereitstellt, dediziert verbunden. Dediziert verbunden soll hierbei bedeuten, dass die lokalen Strukturen des Application Service Customer (ASC) mit einer nicht durch Software manipulierbaren Identifikation versehen sind. Als dedizierte Verbindungen kommen beispielsweise Standleitungen oder Verbindungen mit sonstigen physikalisch verankerten Identifikationsmechanismen in Frage. Sind mehrere Network Operation Center (NOC) vorgesehen, so sind die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) jeweils nächstgelegenen Network Operation Center (NOC) verbunden.
  • Hierdurch wird in vorteilhafter Weise eine Zuordnung der Zugangsberechtigung zu einem physikalischen Zugang zur Datenverarbeitungsinfrastruktur erreicht, wodurch sich die Angriffs- bzw. Manipulationsmöglichkeiten um mehrere Größenordnungen reduzieren, da hierbei ein tatsächlicher Zugriff auf die Hardware vor Ort erforderlich wäre.
  • Hierdurch können in einfacher Weise die auf Netzwerkebene bestehenden Sicherheitsprobleme im klassischen Internet überwunden werden, die fast ausschließlich daraus resultieren, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basieren. Solche Datenpakete können bekanntermaßen durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden. Im Gegensatz dazu, basieren die Sicherheitsmechanismen dieser bevorzugten Variante der Erfindung auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird. Angriffe auf derart verankerte Sicherheitsmechanismen erfordern wie erwähnt den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.
  • Die Überprüfung, ob ein Verbindungsaufbau über eine bestimmte Kommunikationsleitung erlaubt ist oder nicht, kann anhand einfacher Listen erfolgen, auf welche die Verbindungsaufbausteuerung zugreift und in denen die zugangsberechtigten Kommunikationsleitungen für den jeweiligen ersten Infrastrukturbereich abgelegt sind.
  • Bei der Kommunikationsleitung handelt es sich erwähntermaßen um eine sichere Verbindung zwischen dem jeweiligen zugangsberechtigten Knotenpunkt und dem Datenverarbeitungszentrum, beispielsweise eine Standleitung oder dergleichen, welche nicht ohne weiteres für Angriffe oder Manipulationen zugänglich ist.
  • Der Begriff Kommunikationsleitung soll dabei nicht nur eine physikalische Leitung umfassen, sondern auch Kommunikationsverbindungen einschließen, welche die Kommunikation zumindest abschnittsweise auf anderweitigem Wege, beispielsweise funkbasiert, herstellen. Die Vorteile der Erfindung, insbesondere die Reduktion von Manipulationsmöglichkeiten, lassen sich, wenn auch möglicherweise in geringerem Maße oder mit höherem Aufwand, auch hier erreichen.
  • Existierende, so genannte Dial-In-Lösungen müssen zunächst unter Sicherheitsaspekten bewertet werden. Anschließend ist die gewählte Lösung strukturharmonisch zu integrieren. Der Betrieb von Dial-In-Lösungen im Rahmen einer erfindungsgemäßen Netzwerkarchitektur schafft jedoch auch hier zusätzliche Sicherheit gegenüber einer konventionellen Infrastruktur, in der unter Umständen eine Verbindung zum gesamten Netzwerk aufgebaut wird. In der erfindungsgemäßen Netzwerkarchitektur ist der verbundene Knotenpunkt nach wie vor immer nur mit dem bzw. den jeweils freigegebenen Network Safes (ersten Infrastrukturbereichen) verbunden, aber nie mit dem gesamten Netzwerk.
  • Bevorzugte in Alleinstellung oder kombiniert realisierbare Varianten solcher Dial-In-Lösungen können wie folgt aussehen:
    • – Es gibt grundsätzlich keine anonymen Dial-In-Möglichkeiten. Im Rahmen des Verbindungsaufbaus muss sich der betreffende Benutzer mindestens im Rahmen eines starken Authentifizierungsverfahrens (z. B. basiert auf RSA-Secure-ID-Token) zu erkennen geben. Die nach erfolgreicher Authentifizierung aufgebaute Netzverbindung ist grundsätzlich verschlüsselt.
    • – Verbindungen werden im sogenannten Call-Back-Verfahren aufgebaut, bei dem entsprechende Nummern bzw. Vorwahlbereiche Nutzerbezogen freigegeben werden.
    • – Die Quelladresse einer Dial-In-Verbindung wird durch den Einwahlserver nutzerbezogen fest vergeben. Die verwendeten Adressbereiche sind von den Adressbereichen dedizierter Verbindungen unterscheidbar, sodass im weiteren Verlauf darauf basierende, verschärfte Sicherheitsregeln zum Einsatz kommen können.
    • – Der wechselseitige Schutz verschiedener, mit der Infrastruktur via Dial-In verbundenen Knotenpunkte wird über entsprechende Filter- und Routing-Mechanismen sichergestellt.
  • Die Überprüfung, ob eine Verbindung hergestellt wird oder nicht, kann bei allen Zugriffsvarianten anhand beliebiger Kriterien erfolgen, die eine eindeutige Zuordnung zu einer bestimmten Kommunikationsleitung ermöglichen. So kann beispielsweise vorgesehen sein, dass bei dem Versuch eines Verbindungsaufbaus zu einem ersten Infrastrukturbereich über eine bestimmte Kommunikationsleitung durch eine der Kommunikationsleitung zugeordnete Einrichtung ein entsprechendes Identifikationsmerkmal an die Verbindungsaufbausteuerung weitergegeben wird, anhand dessen diese entscheidet, ob die Verbindung aufgebaut wird oder nicht.
  • Bei bevorzugten, weil besonders einfach aufgebauten und zu realisierenden Varianten der Erfindung ist vorgesehen, dass die über eine Kommunikationsleitung von einem Knotenpunkt im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeutig zugeordneten Identifikationsmerkmal versehen werden. Die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich erfolgt dann in Abhängigkeit von diesem Identifikationsmerkmal.
  • Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies in einfacher Weise dadurch erreicht, dass wenigstens eine der jeweiligen Kommunikationsleitung zugeordnete Identifikationseinrichtung vorgesehen ist, die zum Kennzeichnen von im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeutig zugeordneten Identifikationsmerkmal dient. Die Verbindungsaufbausteuerung ist dann zur Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich in Abhängigkeit vom Identifikationsmerkmal ausgebildet. Falls mehrere Infrastrukturbereiche vorhanden sind, können entsprechend mehrere Identifikationsmerkmale vergeben werden.
  • Bei dieser Variante sind keine zusätzlichen Sensoren oder dergleichen erforderlich, sondern es muss lediglich mit in der Regel ohnehin vorhandenen Einrichtungen das entsprechende Identifikationsmerkmal ausgelesen werden und anhand dieses Identifikationsmerkmals entschieden werden, ob die Verbindung aufgebaut werden soll oder nicht.
  • Bei einer einfach aufgebauten Varianten der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums ist die betreffende Kennzeichnungseinrichtung einer Schnittstelle zugeordnet. Beispielsweise kann die Kennzeichnungseinrichtung Bestandteil einer solchen Schnittstelle sein.
  • Die Zuordnung des Identifikationsmerkmals zu den Daten kann in beliebiger Weise erfolgen. Bevorzugt erfolgt sie mittels einer so genannten Network Address Translation (NAT), insbesondere einer Source Network Address Translation (S-NAT), oder einem Connection Tracking Modul, was bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Da tenverarbeitungszentrum bevorzugt dadurch realisiert ist, dass die Kennzeichnungseinrichtung zur Zuordnung des Identifikationsmerkmals mittels Network Address Translation (NAT) ausgebildet ist.
  • Dadurch werden in einfacher Weise folgende Anforderungen erfüllt bzw. Vorteile erzielt:
    • – Der Application Service Customer (ASC) erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die damit als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird.
    • – Der Adressraum des Datenverarbeitungszentrums, also des Network Operation Center (NOC), kann vollständig unabhängig vom Adressraum des angeschlossenen Knotenpunkts oder LAN verwaltet werden.
  • Es gibt grundsätzlich keine direkten Verbindungen zwischen verschiedenen Network Safes, d. h. zwischen ersten Infrastrukturbereichen. In einer Ausgestaltung der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums kann jedoch vorgesehen sein, dass die Datenverarbeitungsinfrastruktur wenigstens zwei erste Infrastrukturbereiche (Datenverarbeitungsstrukturen) und wenigstens eine Verbindung in Form eines zweiten Infrastrukturbereiches zwischen den ersten Infrastrukturbereichen umfasst, über welche die ersten Infrastrukturbereiche verbunden sind, beispielsweise um den einen ersten Infrastrukturbereich mit Hilfe eines weiteren ersten Infrastrukturbereichs zu administrieren. Der zweite Infrastrukturbereich kann beispielsweise ein Server sein, der mit mindestens zwei ersten Infrastrukturbereichen verbunden ist. Im Hinblick auf kooperativ durch verschiedene Application Service Provider (ASP) erbrachte Services, z. B. im Business-to-Business (B2B) Umfeld, besteht hiermit die Möglichkeit, dass z. B. ein Server oder dergleichen durch separate Netzwerkinterfaces mit mehreren ersten Infrastrukturbereichen, d. h. Network Safes, verbunden ist. Der Missbrauch des zweiten Infrastrukturbereiches bzw. des Servers, als generel ler Router zwischen den Network Safes mit denen er verbunden ist, wird durch die zuvor genannten Kommunikationsbeschränkungen verhindert.
  • Um eine in möglichst breiten Umfang und kostengünstig zu nutzende Netzwerkarchitektur zu erzielen, sind bevorzugt eine Anzahl von über sichere Kommunikationsverbindungen miteinander verbindbare Datenverarbeitungszentren sowie wenigstens eine Synchronisationseinrichtung vorgesehen, über welche die Datenverarbeitungszentren synchronisiert werden können, sodass in mehreren Datenverarbeitungszentren von ihrem Inhalt her synchronisierte erste Infrastrukturbereiche, d. h. Network Safes, bestehen. Hierdurch ist es beispielsweise möglich, Services für Application Service Customer (ASC) zur Verfügung zu stellen, deren Application Service User (ASU) sich an unterschiedlichen Standorten befinden. Diese können dann dank der Synchronisation der Datenverarbeitungszentren in kostengünstiger Weise jeweils auf das nächstgelegene Datenverarbeitungszentrum zugreifen.
  • Langfristig ist hier zu berücksichtigen beziehungsweise kann berücksichtigt werden, dass ein Network Safe auch auf verschiedene Network Operation Center (NOC), d. h. Datenverarbeitungszentren, verschiedener Betreiber verteilt sein kann, sodass auch hier dem klassischen Internet vergleichbare übergeordnete Organisationsstrukturen existieren müssen bzw. vorgesehen sein können, die für die Verwaltung des Adressraums zuständig sind.
  • Mit der Erfindung lässt sich eine Migration in eine alternative Netzwerkarchitektur realisieren, die ausgehend von den eingangs genannten Schwächen der Architektur des klassischen Internet in erster Linie die folgenden Anforderungen erfüllt:
    Bereits die Fundamente der erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale sind so ausgelegt, dass grundsätzlich nur die Knotenpunkte die Datenverarbeitungsinfrastruktur bzw. dieselben Bereiche der Datenverarbeitungsinfrastruktur nutzen können, deren Knotenbetreiber zueinander in einer gewollten Servicebeziehung stehen. Der Begriff Service beziehung ist dabei als gerichtete Verbindung aufzufassen, damit private Ressourcen aller Beteiligten im Umfeld einer Servicebeziehung hinreichend geschützt werden. Beispiel: Nutzer A benutzt einen Service von Provider B; Die privaten Ressourcen von Nutzer A sind jedoch vor dem Zugriff durch Provider B geschützt. Analoges gilt generell für verschiedene Nutzer: Selbst wenn Nutzer A und Nutzer C den selben Service nutzen, sind Ihre privaten Ressourcen wechselseitig vor unberechtigtem Zugriff, insbesondere durch den jeweils anderen, geschützt.
  • Die einem Nutzer hinsichtlich der Zugriffssicherheit zugesicherten Eigenschaften der erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale können in vorteilhafter Weise durch eine vertrauenswürdige externe Institution zertifiziert und regelmäßig überwacht werden. Die erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale muss, nicht zuletzt unter dem zuvor genannten Aspekt, revisionssicher betrieben werden.
  • Der Ausgangspunkt einer Servicenutzung ist bei vorteilhaften Varianten der Erfindung bereits auf Netzwerkebene manipulationssicher einem Nutzer bzw. Nutzergruppe zuzuordnen.
  • Die Alternativarchitektur kann mit der Erfindung parallel zum klassischen Internet aufgebaut, und betrieben werden. Sie ermöglicht eine gesicherte und kontrollierte Kommunikation zum klassischem Internet, sofern ein Secure Internet Gateway in Form eines eigenen Network Safes vorhanden ist. Sie ermöglicht weiterhin ausgehend vom klassischen Internet eine schrittweise Migration, da sie nicht unabhängig und ad hoc aufgebaut werden muss. Die Migration kann zunächst in sicherheits- bzw. geschäftskritischen Serviceinfrastrukturen forciert werden, da hier ein hohes Schutzbedürfnis besteht.
  • Es besteht zudem ohne weiteres die Möglichkeit, bestehende Netzwerkinfrastrukturkomponenten im Rahmen der alternativen Architektur wiederzuverwenden, damit die Migration nicht durch einen unverhältnismäßig hohen Investitionsaufwand verhindert oder gebremst wird.
  • Die Alternativarchitektur zum klassischen Internet ist hinsichtlich sich ändernder Anforderungen hinreichend flexibel. Zudem ist sie zumindest mittelfristig auch für die Integration des Business-to-Consumer (B2C) und des Consumer-to-Consumer Bereichs offen.
  • Die vorstehenden Ausführungen konzentrieren sich auf die Beschreibung der innovativen Grundideen der Erfindung, insbesondere also im wesentlichen auf die Darstellung des Grundmodells der erfindungsgemäßen Netzwerkarchitektur. Über dieses Grundmodell hinaus sind weitere Komponenten und Organisationsstrukturen für den erfolgreichen Betrieb eines entsprechenden Network Operation Center (NOC) erforderlich. Hier muss das Rad nicht neu erfunden werden, und kann auf entsprechende State-of-the-Art Techniken zurückgegriffen werden, die damit an dieser Stelle auch nur kurz thematisiert werden sollen. Es versteht sich von selbst, dass der externe Datenverkehr, d. h. der Datenverkehr zwischen Kunde und Network Operation Center (NOC) und der Datenverkehr zwischen verschiedenen Network Operation Centern (NOC) generell verschlüsselt abgewickelt werden sollte. Genauso ist, da es sich in der Regel um sicherheitskritische zentralisierte Strukturen handelt, die Infrastruktur redundant auszulegen.
  • Zum qualitativ hochwertigen Betrieb einer Netzwerkarchitektur sind ausgeprägte Komponenten erforderlich, die allgemein unter der Abkürzung FCAPS zusammengefasst werden: Fault Management (F), Configuration Management (C), Accounting (A) bzw. daraus resultierend auch das sogenannte Billing, Performance Monitoring (P), Security Management (S).
  • Ausgehend von diversen Sicherheitsaspekten, sollten diese Komponenten auf Basis eines separaten, sogenannten Out-of-Band Management Netzwerks betrieben werden. Eine mögliche Referenzarchitektur findet sich unter anderem in der Veröffentlichung "Cisco SAFE: Security Blueprint for Enterprise Network Security" der Firma CISCO Systems Inc.
  • Darüber hinaus ist vorgesehen, das Userinterface für das Management der erfindungsgemäßen Netzwerkarchitektur im wesentlichen als Frontend einer für die erfindungsgemäße Netzwerkarchitektur spezifischen Management-Datenbank zu betreiben. Protokoll- und Konfigurationsdaten werden ausschließlich über die Datenbank ausgetauscht. Für die Übertragung der Konfigurationsdaten auf die entsprechenden Geräte bzw. Server, werden geräte- bzw. betriebssystemspezifische Backends eingesetzt.
  • Mit diesem Ansatz soll durch das Frontend die Möglichkeit von Administrationsfehlern minimiert und durch das Backend die Geräte- bzw. Betriebssystemunabhängigkeit maximiert werden. Zudem würde eine derartige Zwischenschicht die Ankopplung des Management-Netzwerks an das ERP-System des Application Service Infrastructure Providers (ASIP) erleichtern.
  • Zur Restrukturierung der kundenlokalen Installation ist es ergänzend sinnvoll, den Kunden, also einen Application Service Customer (ASC) oder einen Application Service Provider (ASP), bei der Umstellung auf entsprechende Endgeräte zu unterstützen. Mittels ,Thin Client' Technologie können hier durch Senkung der ,Total Cost of Ownership' (TCO) die Kosten der lokalen Installation des Kunden zusätzlich gesenkt werden. Als Zusatznutzen erhöht sich durch die verbesserte Virenresistenz dieser Technologie die Sicherheit der lokalen Installation.
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung bevorzugter Ausführungsbeispiele, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigen:
  • 1 ein schematisches Blockschaltbild einer bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 2 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 3 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 4 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 5 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 6 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 7 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 8 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;
  • 9 ein schematisches Blockschaltbild einer bevorzugten Variante des erfindungsgemäßen Datenverarbeitungszentrums;
  • 10 ein schematisches Blockschaltbild einer bevorzugten Variante eines Details des Datenverarbeitungszentrums aus 9.
  • 1 zeigt ein schematisches Blockschaltbild einer bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, bei der das erfindungsgemäße Verfahren zum Einsatz kommt. Die Netzwerkarchitektur umfasst ein im folgenden als Network Operation Center (NOC) bezeichnetes Datenverarbeitungszentrum 1, das eine Datenverarbeitungsinfrastruktur 2 aufweist, die über Kommunikationsleitungen in Form von Standleitungen 3 mit den Knotenpunkten 4 eines Datenverarbeitungsnetzwerkes verbindbar ist.
  • Die Knotenpunkte 4 sind in Folge entsprechender Nutzungsverträge zum Zugriff auf das Network Operation Center (NOC) 1 berechtigt. Die Knotenpunkte 4 sind im gezeigten Beispiel von so genannten Local Area Networks (LAN) gebildet. Es versteht sich jedoch, dass es sich im einfachsten Fall bei einem Knotenpunkt auch um einen einzelnen Rechner handeln kann.
  • Die Datenverarbeitungsinfrastruktur 2, die im folgenden auch als Application Service Infrastructure (ASI) bezeichnet wird, stellt eine Infrastruktur dar, über die ein oder mehrere so genannten Application Service Provider (ASP) einem oder mehreren so genannten Application Service Customer (ASC) bestimmte Services, d. h. Dienste, beispielsweise in Form von bestimmten Applikationen oder dergleichen, zur Verfügung zu stellen. Der Betreiber des Network Operation Center (NOC) 1 wird dabei als Application Service Infrastructure Provider (ASIP) bezeichnet, da er die erforderliche Infrastruktur zur Verfügung stellt. Es kann dabei natürlich auch vorgesehen sein, dass der Application Service Infrastructure Provider (ASIP) auch selbst als Application Service Provider (ASP) tätig ist, d. h. nicht nur die Infrastruktur, sondern bestimmte Services zur Verfügung stellt.
  • Die Application Service Infrastructure (ASI) 2 weist eine Reihe voneinander getrennter erster Infrastrukturbereiche in Form so genannter Network Safes 5 auf. Die Network Safes 5 weisen untereinander keine direkten Verbindungen auf, was in 1 durch die durchkreuzten Doppelpfeile 6 angedeutet ist.
  • In diesen voneinander getrennten Network Safes 5 werden dem jeweils aufgrund von Nutzungsverträgen zugangsberechtigten Application Service Customer (ASC), d. h. dem Betreiber eines auf den entsprechenden Network Safe 5 zugriffsberechtigten Knotenpunktes 4, von einem Application Service Provider (ASP) bestimmte Services zur Verfügung gestellt. Handelt es sich bei dem Application Service Provider (ASP) um einen externen Anbieter, d. h. nicht um den Application Service Infrastructure Provider (ASIP) als Betreiber des Network Operation Center (NOC) 1, so nutzt der Application Service Provider (ASP) ebenfalls wenigstens einen von ihm betriebenen zugangsbe rechtigten Knotenpunkt 4 und einen Network Safe 5, um den Service zur Verfügung zu stellen.
  • Ein Network Safe 5 verbindet ausschließlich Server miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe 5 bereitgestellten Services können wie erwähnt nur durch berechtigte Knotenpunkte 4 genutzt werden, wobei die privaten Ressourcen der Knotenpunkte 4, wie weiter unten noch erläutert wird, vor wechselseitigem Zugriff geschützt sind.
  • Ein Network Safe 5 ist im Prinzip mit einem Local Area Network (LAN) vergleichbar, für das allerdings im folgenden erläuterte zusätzliche vereinheitlichte und übergreifend durch den Betreiber des Network Operation Center (NOC) 1 garantierte Kommunikationsbeschränkungen gelten:
    Die Application Service Infrastructure (ASI) 2 weist eine Verbindungsaufbausteuerung in Form eines so genannten Application Service Infrastructure Access Router (ASI-AR) 7 zur autorisationsbasierten Steuerung des Verbindungsaufbaus zwischen den Knotenpunkten 4 und den Network Safes 5 auf.
  • Der Application Service Infrastructure Access Router (ASI-AR) 7 ist so ausgebildet, dass Verbindungen zwischen einem bestimmten Knotenpunkt 4 und einem bestimmten Network Safe 5 nur auf Veranlassung dieses bestimmten Knotenpunktes 4 hergestellt werden. Hierdurch ist sichergestellt, dass keiner der Network Safes 5 als Router missbraucht werden kann, um zwischen einem ersten Knotenpunkt 4.1 und einem zweiten Knotenpunkt 4.2 ohne Veranlassung des jeweils anderen Knotenpunktes eine Verbindung herzustellen. Dies ist in 1 durch die durchkreuzten Doppelpfeile 8 angedeutet und bedeutet letztendlich, dass die privaten Ressourcen des jeweiligen Knotenpunktes 4 vor einem unbefugten Zugriff durch andere über das erfindungsgemäße Network Operation Center (NOC) 1 geschützt sind.
  • Das Zugriffsschema der Knotenpunkte 4 auf die Network Safes 5, mit dem der Application Service Infrastructure Access Router (ASI-AR) 7 arbeitet ist in 1 durch Punkte 9 dargestellt, die horizontale und vertikale Linien 10 und 11 entsprechend der jeweils erlaubten Servicebeziehungen miteinander verbinden:
    • – Die horizontalen Linien 10 symbolisieren die Verbindungen zu den Network Safes 5, in denen die Server zusammengefasst werden, die im Rahmen der Bereitstellung eines Services eine Vertrauensstellung unterhalten. Server eines Network Safes 5 können uneingeschränkt miteinander kommunizieren. Unter der Voraussetzung, dass der jeweilige Service ausschließlich durch genau einen Server erbracht wird, befindet sich auch nur genau dieser Server innerhalb des entsprechenden Network Safes 5.
    • – Die vertikalen Linien 11 symbolisieren die Zugriffswege ausgehend von den lokalen Infrastrukturen der Application Service Customer (ASC), also von den Knotenpunkten 4.
  • Sofern ein Nutzungsvertrag zwischen einem Application Servicer Provider (ASP) und einem Application Service Customer (ASC) zur Nutzung eines bestimmten Services existiert, wird der entsprechende Zugriffsweg mit dem jeweiligen Network Safe 5 des Services verbunden. Die zugrundeliegenden Zugriffsbeschränkungen, werden – wie im folgenden noch näher erläutert wird – auf Basis der Quelladresse des Application Service Customer (ASC) durch sogenannte Access Lists repräsentiert, die in einem Speicher 12 abgelegt sind, auf den der Application Service Infrastructure Access Router (ASI-AR) 7 zugreift.
  • Zugriffe von einem Knotenpunkt 4, beispielsweise von den Application Service User (ASU) eines Application Service Customer (ASC) aus einem LAN des Application Service Customer (ASC), auf das Network Operation Center (NOC) 1 erfolgen ausschließlich auf einem dedizierten Zugriffsweg, nämlich über die Standleitungen 3.
  • Der Application Service Infrastructure Access Router (ASI-AR) 7 ist zur zugangsbasierten Steuerung des Verbindungsaufbaus in Abhängigkeit von der Standleitung 3 ausgebildet, über die der Verbindungsaufbau initiiert wird. Der Application Service Infrastructure Access Router (ASI-AR) 7 erfasst hierzu, über welche Standleitung 3 der Verbindungsaufbau initiiert wird, und stellt die Verbindung mit denjenigen Network Safes 5 her, die dieser Standleitung 3 durch die oben genannten Access Lists zugeordnet sind.
  • Um dies zu bewerkstelligen, wird an jeden dedizierten Zugriffsweg in Form einer Standleitung 3 eine sogenannte (Source-)Network Address Translation (NAT) gebunden. Bei dem in 1 dargestellten Beispiel erfolgt dies im Bereich einer der jeweiligen Standleitung 3 zugeordneten Kennzeichnungseinrichtung, die Bestandteil einer der jeweiligen Standleitung 3 zugeordneten Schnittstelleneinrichtung 13 des Network Operation Center (NOC) 1 ist.
  • Bei dieser Network Address Translation (NAT) wird eingehenden Datenpaketen eine Kennzeichnung in Form einer Quelladresse beigefügt, die der jeweiligen Standleitung 3 eindeutig zugeordnet ist. In Abhängigkeit von dieser Quelladresse und damit von der zugehörigen Standleitung 3 bzw. Schnittstelleneinrichtung 13 entscheidet der Application Service Infrastructure Access Router (ASI-AR) 7 über den Verbindungsaufbau zu den Network Safes 5. Dadurch werden folgende Anforderungen erfüllt:
    • – Der Betreiber jedes Knotenpunktes 4 erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird.
    • – Der Adressraum des Network Operation Center (NOC) kann vollständig unabhängig vom Adressraum des angeschlossenen Knotenpunktes 4 verwaltet werden.
    • – Der Zugriffsweg des Knotenpunktes 4 auf das Network Operation Center (NOC) wird damit zu einer gerichteten, nicht transitiven Nutzungsbezie hung, d. h. weder Server aus einem Network Safe 5 noch Knotenpunkte 4 aus unterschiedlichen LAN-Umgebungen können wechselseitig auf private Infrastrukturen zugreifen.
  • Das in den Figuren verwendete Adressierungsschema wurde aus didaktischen Gründen auf IP V4 basiert und zudem stark vereinfacht: Die zur Unterteilung bestimmter Netzwerkbereiche verwendeten Netzmasken enden immer auf 8-Bit-Grenzen; Implikationen redundanter Strukturen bleiben unberücksichtigt.
  • Da die erfindungsgemäße Netzwerkarchitektur in den gezeigten keine direkte Verbindung zum klassischen Internet unterhält, werden private Adressen entsprechend RFC 1918 verwendet. Die Beispiele beschränken sich auf die Verwendung des Netzes 10.*.*.*, wobei jeder Stern immer einen variablen 8-Bit-Teil beginnend an einer 8-Bit-Grenze markiert. Die klassische Notation 10.0.0.0/255.0.0.0 wird, weil zu lang, im folgenden nicht verwendet. Die neuere Notation 10.0.0.0/24 wird nicht verwendet, da damit Netzmasken, in denen der gesetzte Teil nicht durchgehend zusammenhängt, wie z. B. 10.*.5.* nicht darstellbar sind.
  • Langfristig ist, wie bereits oben erwähnt, zu berücksichtigen, dass ein Network Safe 5 auch auf verschiedene Network Operation Center (NOC) verschiedener Betreiber verteilt sein kann, sodass auch hier dem klassischen Internet vergleichbare übergeordnete Organisationsstrukturen existieren müssen, die für die Verwaltung des Adressraums zuständig wären.
  • Der in den Beispielen verwendete Adressraum ist wie folgt in einzelne Netzbereiche unterteilt:
    • – 10.n.*.* ist der Adressraum des gesamten Network Operation Center (NOC) Nr. n; In den Figuren mit nur einem Network Operation Center (NOC) wird von einem Network Operation Center (NOC) mit der Nr. 1 ausgegangen.
    • – 10.*.0.* ist der Adressraum aller Zugriffsnetzbereiche, d. h. der Knotenpunkte 4;
    • – 10.*.s.* mit s ≥ 1 ist der Adressraum des Network Safes s; Alle an den Network Safe Nr. 3 im Network Operation Center (NOC) Nr. 1 angeschlossenen Server erhalten also eine Adresse aus dem Bereich 10.1.3.* (dies sind in 1 alle an den Network Safe 5.3 angeschlossenen Server);
    • – Die Adressräume der angeschlossenen Application Service Customer (ASC) sind willkürlich. Hier können sowohl offizielle IP Adressen des klassischen Internet wie auch private Adressen zum Einsatz kommen.
  • Die Verbindungspunkte 9 der vertikalen Zugriffslinien 11 mit den horizontalen Servicelinien 10 markieren wie erwähnt jeweils eine Zugriffsverbindung bzw. Erlaubnis für den jeweiligen Servicenutzer bzw. Nutzergruppe bzgl. des Services des jeweiligen Network Safe 5.
  • 2 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einer ergänzten Netzwerkarchitektur aus 1 entspricht. Identische Bestandteile wurden daher mit identischen Bezugsziffern bezeichnet.
  • In 2 wurden die Network Safes 5 beispielhaft durch eine vereinfachte, repräsentative Serverkonstellation ergänzt. Der Network Safe S1 wird von Application Service Customer ASC1, der den Knotenpunkt 4.1 betreibt, als privates Netzwerk benutzt. Der an dieses Netzwerk angeschlossene Server 14 könnte z. B. standortübergreifende Intranetfunktionalität für den Application Service Customer ASC1 bereitstellen. Der Server 14 wird durch den Application Service Customer ASC1 selbst administriert.
  • Network Safe S2 und S3 haben analoge Bedeutung: Die daran angeschlossenen Server 15 und 16 beherbergen die privaten Services von Application Service Customer ASC2 und Application Service Provider ASP1, welche die Knotenpunkte 4.2 bzw. 4.3 betreiben.
  • Ergänzend stellt der Application Service Provider ASP1 dem Application Service Customer ASC1 und dem Application Service Customer ASC2 auf zweiten Infrastrukturbereichen in Form von separaten Servern 17 und 18 in den Network Safes S4 und S5 einen Service zur Verfügung. Die Server 17 und 18 werden durch den Application Service Provider ASP1 ausgehend von Network Safe S6 administriert. Die Server 17 und 18 verbinden dabei als zweite Infrastrukturbereiche die beiden Network Safes S4 und S6 bzw. S5 und S6.
  • Es wird vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S6 verbundenen Netzwerkinterface bereitzustellen.
  • Die anhand der 1 und 2 erläuterten Eigenschaften der erfindungsgemäßen Netzwerkarchitektur lassen sich nochmals wie folgt umschreiben. Eine Grundidee besteht wie erwähnt darin, Services in voneinander getrennten Räumen dem Nutzer zur Verfügung zu stellen. Diese Räume werden durch die Network Safes 5 gebildet. Ein Network Safe 5 verbindet ausschließlich die Server miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe 5 bereitgestellten Services können nur durch berechtigte Knotenpunkte 4 genutzt werden, wobei die privaten Ressourcen der Knotenpunkte 4 vor wechselseitigem Zugriff geschützt sind. Ein Network Safe 5 ist im Prinzip mit einem Local Area Network (LAN) vergleichbar, für das allerdings zusätzliche vereinheitlichte und übergreifend durch den Betreiber der Datenverarbeitungsinfrastruktur garantierte Kommunikationsbeschränkungen gelten:
    Ein Network Safe 5 akzeptiert nur Datenpakete, die als Quelladresse die Adresse des Netzwerkinterfaces 13 eines zu dem betreffenden Network Safe 5 zugangsberechtigten Knotenpunktes 4 enthalten.
  • Die einen Network Safe 5 verlassenden Datenpakete müssen als Zieladresse die Adresse eines anderen Servers im selben Network Operation Center (NOC) oder die Adresse eines zugriffsberechtigten Knotenpunktes enthalten.
  • Es gibt grundsätzlich keine direkten Verbindungen zwischen verschiedenen Network Safes. Im Hinblick auf kooperativ durch verschiedene Application Service Provider (ASP) erbrachte Services, z. B. im Business-to-Business (B2B) Umfeld, besteht die Möglichkeit, dass ein Server durch separate Netzwerkinterfaces mit mehreren Network Safes verbunden ist. Der Missbrauch des Servers als genereller Router zwischen den Network Safes 5 mit denen er verbunden ist, wird durch die zuvor genannten Kommunikationsbeschränkungen verhindert.
  • Es können grundsätzlich nur Knotenpunkte 4 auf einen Network Safe 5 zugreifen, deren Knotenbetreiber berechtigt sind, den Service des jeweiligen Network Safes 5 zu nutzen. Diese Nutzungsbeziehung ist eine gerichtete Beziehung, d. h. selbst wenn der Knotenpunkt 4 des Servicenutzers ebenfalls einen Service bereitstellen würde, kann dieser weder durch den Server des Network Safes 5 noch durch einen anderen Knotenpunkt 4 genutzt werden.
  • Auf Netzwerkebene resultieren die Sicherheitsprobleme im klassischen Internet fast ausschließlich daraus, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basierten. Datenpakete können jedoch durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden.
  • Im Gegensatz zum klassischen Internet, bei dem die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer durch entsprechende Software nahezu beliebig erzeug- und manipulierbarer Datenpakete basieren, basieren die Sicherheitsmechanismen der beschriebenen Netzwerkarchitektur auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird.
  • Die Filterketten der Network Safes 5 werden explizit an die Serverports und den Ausgangsport des Network Safes 5 gebunden. Der Zugriff auf das Network Operation Center (NOC) erfolgt über einen, auf physikalischer Ebene dedizierten Zugriffsweg, nämlich die Standleitungen 3. An den dedizierten Zugriffsweg wird eindeutig eine Quelladresse gebunden, die automatisch alle Datenpakete erhalten, die das Network Operation Center (NOC) auf diesem Weg erreichen.
  • Angriffe auf derart verankerte Sicherheitsmechanismen erfordern den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.
  • 3 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einer einem ersten Anwendungsszenario der Netzwerkarchitektur aus 2 entspricht. Identische Bestandteile wurden mit identischen Bezugsziffern bezeichnet.
  • Bei dem ersten Anwendungsszenario aus 3 handelt es sich um eine Vereinfachung der Serverkonstellation aus 2. Application Service Provider ASP1 stellt seine Applikation auf einem Server 19 bereit, der von den Application Service Customer ASC1 und ASC2 gemeinsam genutzt wird. Die Administration des Servers erfolgt mittels des selben Network Safes S4. Application Service Customer ASC1 und ASC2 betreiben wiederum private Server 14 und 15 in Network Safe S1 und S2.
  • Hervorzuheben ist, das analog zu diesem Anwendungsszenario alle klassischen Applikationen im Application Service Providing betrieben werden können, die von sich aus überhaupt nicht auf einen solchen Einsatz ausgelegt sind, also weder partitionierbar noch mandantenfähig sein müssen. Trotzdem bleiben wechselseitige Sicherheitsbelange der Application Service Customer (ASC) hinsichtlich des Schutzes Ihres Datenbestandes gewahrt.
  • In Bezug auf die Administration des Servers 19, ist jedoch ein aus der Vereinfachung resultierender Sicherheitsaspekt zu berücksichtigen: Wenn die hierauf zur Verfügung gestellte Applikation in Kombination mit dem Betriebssystem nicht in der Lage ist, Administrationsprivilegien nur in Abhängigkeit von der dem Application Service Provider ASP1 zugeordneten Quelladresse zu vergeben, können Servicenutzer versuchen, sich Administrationsprivilegien zu verschaffen, indem sie sich als Administrator anmelden. Der Schaden bleibt jedoch in jedem Fall auf Server 19 beschränkt.
  • Ist diese Privilegienfreigabe in Abhängigkeit von der Quelladresse möglich, ist diese Lösung bzgl. der Administration genauso sicher, wie die Verwendung eines separaten Network Safes für das Management, da die Quelladresse durch einen Servicenutzer an dieser Stelle nicht manipuliert werden kann.
  • In einem bevorzugten Anwendungsszenario wird der Server 19 daher über das Betriebssystem und/oder Datenbanken IP-basiert mit vollständig getrennten Mandantendaten betrieben. Um die Zugriffsbeschränkungen zu realisieren, können Einrichtungen wie Firewalls, ein so genanntes Trusted Operating System oder, wie erwähnt, eine Applikation mit IP-basierter Privilegienbeschränkung eingesetzt werden.
  • 4 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem zweiten Anwendungsszenario in Form einer Verfeinerung der Netzwerkarchitektur aus 2 entspricht. Identische Bestandteile wurden daher mit identischen Bezugsziffern bezeichnet.
  • Bei dem zweiten Anwendungsszenario aus 4 wird der Network Safe S6 zusätzlich dazu benutzt, die Applikation, die wie zu 2 beschrieben auf den Servern 17 und 18 zur Verfügung gestellt wird, mit Datenbankservices zu versorgen. Hierzu steht für den Application Service Customer ASC1 ein mit dem Network Safe S6 verbundener erster Datenbankserver 20 und für den Application Service Customer ASC2 ein mit dem Network Safe S6 verbundener zweiter Datenbankserver 21 zur Verfügung.
  • Das Verbergen der Datenbankservices vor dem direkten Zugriff durch die Servicenutzer ist ein gängiges Konzept in modernen Mehrschichtarchitekturen. Die erfindungsgemäße Netzwerkarchitektur bietet hier die Möglichkeit, dieses Konzept in einer zentralisierten Infrastruktur flexibel und skalierbar umzusetzen. In analoger Weise können natürlich auch Terminalserver in die Infrastruktur integriert werden.
  • 5 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem dritten Anwendungsszenario in Form einer Modifikation der zu 2 beschriebenen Netzwerkarchitektur entspricht. Identische Bestandteile wurden mit identischen Bezugsziffern bezeichnet.
  • Bei diesem Anwendungsszenario stellt der Application Service Provider ASP1 für die Application Service Customer ASC1 bis ASC5 einen Service auf einem Server 22 zur Verfügung, der mit den Network Safes S7 und S8 verbunden ist. Die Knotenpunkte 4 der Application Service Customer ASC1 bis ASC5 sind dabei mit dem Network Safe S7 verbunden und greifen über diesen auf den Server 22 zu, während der Application Service Provider ASP1 den Service über den Network Safe S8 in einer Weise abregistriert, wie dies schon zu 2 beschrieben wurde.
  • In diesem Anwendungsszenario wird der Server 22 über das Betriebssystem und/oder Datenbanken IP-basiert mit vollständig getrennten Mandantendaten für die Application Service Customer ASC1 bis ASC5 betrieben. Um die erforderlichen wechselseitigen Zugriffsbeschränkungen zu realisieren, können auch hier wieder Einrichtungen wie Firewalls, ein so genanntes Trusted Operating System in oder, wie bereits oben erwähnt, eine Applikation mit IP-basierter Privilegienbeschränkung eingesetzt werden.
  • 6 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem vierten Anwendungsszenario in Form einer Ergänzung der zu 2 beschriebenen Netzwerkarchitektur entspricht, sodass lediglich auf die Ergänzung eingegangen werden soll. Identische Bestandteile wurden mit identischen Bezugsziffern bezeichnet.
  • In 6 stellt ein zweiter Application Service Provider ASP2 dem Application Service Customer ASC1 und dem Application Service Customer ASC2 auf separaten Servern 23 und 24 in den Network Safes S9 und S10 einen weiteren Service zur Verfügung. Die Server 23 und 24 werden durch den zweiten Application Service Provider ASP2 ausgehend von Network Safe S11 administriert.
  • Es wird auch hier vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S11 verbundenen Netzwerkinterface bereitzustellen.
  • Im Vorstehenden wurden einzelne Varianten der erfindungsgemäßen Netzwerkarchitektur beschrieben. Es versteht sich, dass diese oben beschriebenen Varianten auch in beliebigen Kombinationen bzw. Mischformen Anwendung finden können.
  • 7 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur. Hierbei handelt es sich um eine Erweiterung des in 2 dargestellten Grundmodells auf zwei Network Operation Center (NOC) 1.1 und 1.2, wobei das Network Operation Center (Network Operation Center (NOC) 1.1 dem Network Operation Center (NOC) 1 aus 2 entspricht.
  • Die Inhalte der Network Safes 5.1 und 5.2 sowie der Server 17.1 und 17.2 bzw. 18.1 und 18.2 sind dabei jeweils miteinander synchronisiert, sodass den Application Service Customer ASC1 und ASC2 bzw. dem Application Service Provider ASP1 in beiden Network Operation Center (NOC) 1.1 und 1.2 dieselben Daten zur Verfügung stehen.
  • Die Application Service Customer ASC1 bzw. ASC2 greifen von verschiedenen zugangsberechtigten Knotenpunkten 4.1.1 und 4.1.2 bzw. 4.2.1 und 4.2.2 auf das jeweilige Network Operation Center (NOC) 1.1 bzw. 1.2 zu. Vergleichbares gilt für den Application Service Provider ASP1, der ausgehend von dem Knotenpunkt 4.3.1 auf das erste Network Operation Center (NOC) 1.1 und ausgehend von dem Knotenpunkt 4.3.2 auf das zweite Network Operation Center (NOC) 1.2 zugreift.
  • Die Erweiterung des Grundmodells auf mehrere Network Operation Center erfolgt über dedizierte, entsprechend manipulationssichere Kommunikationsverbindungen der beteiligten Network Operation Center (NOC) 1.1 und 1.2, die in Form von Standleitungen 25 realisiert sind. Die Verteilung eines Network Safes auf mehrere Network Operation Center (NOC) erfolgt durch entsprechende – in 7 nicht dargestellte – Router, d. h. Synchronisationseinrichtungen, also auf OSI Network Layer 3.
  • Wie bereits zuvor dargestellt, sollte der Betrieb jedes Network Operation Center (NOC) entsprechend den genannten Kommunikationsbeschränkungen extern zertifiziert und revisionssicher nach entsprechenden organisatorischen Regeln betrieben werden. Auf diese Weise kann ausgeschlossen werden, das Datenpakete durch Angriffssoftware innerhalb der Infrastruktur manipuliert werden, was an dieser Stelle den Einsatz konventioneller Layer 3 Technik ermöglicht.
  • 8 verdeutlicht in Erweiterung der Variante aus 7 die Möglichkeit, n Network Operation Center NOC1 bis NOCn, insbesondere deren Network Safes 5.1 bis 5.n, miteinander zu synchronisieren, wobei n eine beliebige ganze Zahl sein soll.
  • Anhand der 7 und 8 wurden Beispiele dargelegt, bei denen sämtliche Infrastrukturbereiche der Network Operation Center (NOC) miteinander synchronisiert sind. Es versteht sich jedoch, dass bei anderen Varianten auch vorgesehen sein kann, dass je nach Nutzungssituation bzw. Zugangssituation zu den Network Operation Centern (NOC) auch nur einzelne Network Safes oder diese verbindende Server etc. über mehrere Network Operation Center (NOC) synchronisiert bzw. verteilt sind. So kann es für einen Application Service Customer (ASC) oder einen Application Service Provider (ASP) genügen, wenn ihm ein Network Safe nur in einer entsprechend geringeren Anzahl von Network Operation Centern (NOC) zur Verfügung steht.
  • Betreibt ein Application Service Customer (ASC) beispielsweise nur einen Knotenpunkt, so kann ihm ein einziges Network Operation Center (NOC), auf das er zugreifen kann, genügen. Ebenso kann es genügen, dass ein Application Service Provider (ASP) nur über einen einzigen Knotenpunkt auf das zugehörige Network Operation Center (NOC) und damit Services administriert, die allerdings dann trotzdem auf mehrere Network Operation Center (NOC) verteilt sein können.
  • 9 zeigt ein schematisches Blockschaltbild eines bevorzugten Beispiels einer technischen Realisierung der Kernarchitektur des Network Operation Center (NOC) 1 aus 1.
  • Im Hinblick auf mittlere Skalierbarkeit, wird als erste Kernkomponente 26 ein Modularer Multilayer Switches Catalyst 6506 der Firma CISCO Systems Inc. Im Access-Bereich wurde eine Anbindung der Kunden durch X.21 Standleitungen 3 angenommen. Für den Application Service Infrastructure Access Router (ASI-AR) 7 kommt auf Seite des Network Operation Center (NOC) 1 als zweite Kernkomponente 27 ein Multifunktionaler Hochleistungsrouter CISCO 7206 VXR und kundenseitig als dritte Kernkomponente 28 jeweils ein CISCO 2610 mit den entsprechenden X.21-Adaptern zum Einsatz. Der gesamte Access Bereich, speziell der kundenseitige Router 28, steht unter der Verantwortung des Betreibers des Network Operation Center (NOC) 1.
  • Der Dial-In Bereich, über den sich ein mobiler User 29 über ein Telekommunikationsnetz 30 einwählen kann, wird durch eine Komponente 31 in Form eines Modularen Mulitservice Router CISCO 3620 abgedeckt. Hinzu kommen diverse kleinere Komponenten und ein Terminalserver zur manipulationssicheren Ankopplung der Geräte an das Out-Of-Band Management Netzwerk, die jedoch in 9 nicht dargestellt sind. Der Router des Dial-In Bereichs nutzt den Authentifizierungsserver (ACE/KEON), der im Zusammenhang mit dem anhand von 10 beschriebenen Secure Internet Gateways abgebildet ist.
  • Als weitere Komponenten stehen noch ein Internetdienste-Server 32, eine Unix-Firewall 33, ein Viren-Scanner 35 sowie ein Security-Server 36 zur Verfügung, welche mit der ersten Kernkomponente 26 verbunden sind.
  • Die vorstehend genannten Kommunikationsbeschränkungen werden im wesentlichen aus einer Kombination VLAN- und IOS-basierter Access Lists realisiert.
  • Die Network Safes 5 sind als so genannte virtuelle LAN's realisiert (in der Terminologie der Firma CISCO Systems Inc. kurz VLAN's genannt), die mit der ersten Kernkomponente 26 verbunden sind. An die Network Safes 5 ist jeweils ein entsprechender Applikationsserver 36 angeschlossen.
  • Die ursprüngliche Idee bestand darin, auch standortübergreifend zur Realisierung der Network Safes derartige virtuelle LAN's (VLAN's) einzusetzen. Eine derartige Realisierung hätte jedoch folgende Nachteile gehabt: Bei Network Safes, die mit zwei Servern an unterschiedlichen Standorten bestückt worden wären, wäre der Router trotz so genanntem Auto-State-Feature nicht in der Lage gewesen, auf eine Verbindungsstörung zwischen beiden Standorten zu reagieren. Im Juli 2000 wurden zudem durch das SANS Institute Sicherheitsmängel bei der Implementierung Switch-(bzw. Router)-übergreifender VLAN's festgestellt (siehe hierzu "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").
  • Der Einsatz von VLAN's bleibt daher auf die Realisierung von Network Safes innerhalb eines Network Operation Center (NOC) beschränkt. Die standortübergreifende Realisierung von Network Safes erfolgt, wie oben bereits dargestellt, mit konventionellen Routing-Techniken.
  • 10 zeigt ein bevorzugtes Ausführungsbeispiel für einen so genannten Secure Internet Gateway 37, der die Aufgabe hat, die erfindungsgemäße Netzwerkarchitektur kontrolliert und gesichert mit dem klassischen Internet zu verbinden. Auch hier kommt, allerdings mit höchster Priorität unter Sicherheitsaspekten optimierte, State-of-the-Art Technologie zum Einsatz. Generell ist aus Sicherheitsgründen zwischen der erfindungsgemäßen Netzwerkarchitektur und dem klassischen Internet keine direkte Verbindung möglich. Die Verbindungen erfolgen ausschließlich über sogenannte Application Level Gateways, die durch ein mehrstufiges Firewallkonzept geschützt werden. Zur Verhinderung des unbemerkten Verbindungsaufbaus durch sogenannte Trojaner, erfolgt die Nutzung der WEB-Proxies generell mittels Authentifizierung.
  • Die Nutzung der durch das Secure Internet Gateway 37 bereitgestellten Services erfolgt in Form eines separaten Network Safes. Der Kunde, also der betreffende Application Service Customer (ASC) oder Application Service Provider (ASP), kann damit frei entscheiden, ob er diese Form der Verbindung mit dem klassischen Internet nutzen möchte.

Claims (9)

  1. Kommunikationsnetzwerk mit einer ersten Servergruppe, mindestens einer zweiten Servergruppe und einem ersten Kommunikationsweg zwischen der ersten und der zweiten Servergruppe, dadurch gekennzeichnet, dass der erste Kommunikationsweg ein Kommunikationsmodul zum Aufbauen und Aufrechterhalten einer ersten Kommunikationsverbindung umfasst und das Kommunikationsmodul derart ausgestaltet ist, dass es die Nutzung eines in der ersten Servergruppe vorhandenen Service durch die zweite Servergruppe ermöglicht, nicht aber die Nutzung eines in der zweiten Servergruppe vorhandenen Service durch die erste Servergruppe, wobei die Kommunikationsverbindung nur auf Veranlassung der zweiten Servergruppe aufgebaut wird, das Kommunikationsmodul die Identität der zweiten Servergruppe anhand von der zweiten Servergruppe dezidiert zugeordneten Zugriffswegen feststellt und anhand dieser Identität die Berechtigung der zweiten Servergruppe, auf einen Server der ersten Servergruppe zuzugreifen überprüft.
  2. Kommunikationsnetzwerk nach Anspruch 1 dadurch gekennzeichnet, dass mindestens noch eine dritte Servergruppe und ein Kommunikationsweg zwischen der ersten und der dritten Servergruppe vorhanden ist, dass das Kommunikationsmodul den Aufbau und das Aufrechterhalten einer Kommunikationsverbindung zwischen der ersten Servergruppe und der dritten Servergruppe ermöglicht, und dass das Kommunikationsmodul derart ausgestaltet ist, dass es die Nutzung eines in der ersten Servergruppe vorhandenen Service durch die zweite und die dritte Servergruppe ermöglicht, nicht aber die Nutzung eines in der zweiten oder dritten Servergruppe vorhandenen Service durch eine der beiden anderen Servergruppen.
  3. Kommunikationsnetzwerk nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass den Servergruppen Identifikationen zugeordnet sind, die nicht durch Software zu manipulieren sind.
  4. Kommunikationsnetzwerk nach Anspruch 3, dadurch gekennzeichnet, dass das Kommunikationsmodul ein Prüfmodul zum Überprüfen der Identifikation einer Servergruppe umfasst.
  5. Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass jede Servergruppe genau einen Server beinhaltet.
  6. Kommunikationsverfahren zum Durchführen einer Kommunikation in einem Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Servergruppen Daten über den oder die Kommunikationswege austauschen und dass das Kommunikationsmodul über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.
  7. Kommunikationsverfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Kommunikationsmodul beim Zugriff auf den Service des ersten Servers „Source Network Adress Translation (S-NAT)" einsetzt.
  8. Kommunikationsverfahren nach einem der Ansprüche 6 oder 7 dadurch gekennzeichnet, dass das Kommunikationsmodul nur die Übertragung von Daten mit verifizierter Serveridentifikationen zulässt.
  9. Kommunikationsmodul zur Verwendung in einem Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass es ein Kommunikationsprotokoll umfasst, das die Identifikation von Servern oder Servergruppen beinhaltet.
DE10234562A 2001-07-31 2002-07-25 Sichere Netzwerkarchitektur Expired - Fee Related DE10234562B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10234562A DE10234562B4 (de) 2001-07-31 2002-07-25 Sichere Netzwerkarchitektur

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10137573.5 2001-07-31
DE10137573 2001-07-31
DE10234562A DE10234562B4 (de) 2001-07-31 2002-07-25 Sichere Netzwerkarchitektur

Publications (2)

Publication Number Publication Date
DE10234562A1 DE10234562A1 (de) 2003-02-20
DE10234562B4 true DE10234562B4 (de) 2008-07-24

Family

ID=7693914

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10234562A Expired - Fee Related DE10234562B4 (de) 2001-07-31 2002-07-25 Sichere Netzwerkarchitektur

Country Status (3)

Country Link
EP (1) EP1470685A1 (de)
DE (1) DE10234562B4 (de)
WO (1) WO2003015372A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996005549A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
WO2001031874A2 (en) * 1999-10-28 2001-05-03 Jpmorgan Chase Bank Secured session sequencing proxy system supporting multiple applications and method therefor
DE19962937A1 (de) * 1999-12-24 2001-06-28 Raven Pack Ag Verfahren und Vorrichtung zur Bereitstellung von Daten an einen Netzwerkbenutzer

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5922074A (en) * 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996005549A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
WO2001031874A2 (en) * 1999-10-28 2001-05-03 Jpmorgan Chase Bank Secured session sequencing proxy system supporting multiple applications and method therefor
DE19962937A1 (de) * 1999-12-24 2001-06-28 Raven Pack Ag Verfahren und Vorrichtung zur Bereitstellung von Daten an einen Netzwerkbenutzer

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
WEBER,W.: Firewall Basics, 4th Int. Conf. on Tele- communications in Modern Satellite, Cable and Broadcasting Services, 1999, Vol.1, S.300-305
WEBER,W.: Firewall Basics, 4th Int. Conf. on Telecommunications in Modern Satellite, Cable and Broadcasting Services, 1999, Vol.1, S.300-305 *

Also Published As

Publication number Publication date
EP1470685A1 (de) 2004-10-27
DE10234562A1 (de) 2003-02-20
WO2003015372A1 (de) 2003-02-20

Similar Documents

Publication Publication Date Title
DE69928504T2 (de) Bereitstellung eines sicheren Zugriffs auf Netzwerkdienste
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE69836271T2 (de) Mehrstufiges firewall-system
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60121755T2 (de) Ipsec-verarbeitung
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen
DE69734179T2 (de) Verfahren und Vorrichtung zum Begrenzen des Zugriffs auf private Information in Domain Name Systemen durch Informationsfilterung
DE10234562B4 (de) Sichere Netzwerkarchitektur
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
DE102019120112B4 (de) Elektrische Netzwerkumschaltung
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110201

8327 Change in the person/name/address of the patent owner

Owner name: HOEHRE, MICHAEL, 12167 BERLIN, DE

Owner name: AGHA, ABOLHASSAN, 81735 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: AGHA, ABOLHASSAN, DE

Free format text: FORMER OWNERS: AGHA, ABOLHASSAN, 12047 BERLIN, DE; HOEHRE, MICHAEL, 12167 BERLIN, DE

Effective date: 20110330

Owner name: HOEHRE, MICHAEL, DE

Free format text: FORMER OWNERS: AGHA, ABOLHASSAN, 12047 BERLIN, DE; HOEHRE, MICHAEL, 12167 BERLIN, DE

Effective date: 20110330

Owner name: AGHA, ABOLHASSAN, DE

Free format text: FORMER OWNER: ABOLHASSAN AGHA,MICHAEL HOEHRE, , DE

Effective date: 20110330

Owner name: HOEHRE, MICHAEL, DE

Free format text: FORMER OWNER: ABOLHASSAN AGHA,MICHAEL HOEHRE, , DE

Effective date: 20110330