DE112009004968T5 - Dynamische Fernperipherieanbindung - Google Patents

Dynamische Fernperipherieanbindung Download PDF

Info

Publication number
DE112009004968T5
DE112009004968T5 DE112009004968T DE112009004968T DE112009004968T5 DE 112009004968 T5 DE112009004968 T5 DE 112009004968T5 DE 112009004968 T DE112009004968 T DE 112009004968T DE 112009004968 T DE112009004968 T DE 112009004968T DE 112009004968 T5 DE112009004968 T5 DE 112009004968T5
Authority
DE
Germany
Prior art keywords
user
smart card
remote
local
card reader
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112009004968T
Other languages
English (en)
Inventor
Roland M. Hochmuth
Roy Lee Troutman
James M. King
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE112009004968T5 publication Critical patent/DE112009004968T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/131Protocols for games, networked simulations or virtual reality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Es werden Systeme und Verfahren zur dynamischen Fernperipherieanbindung offenbart. Bei einem Ausführungsbeispiel umfasst ein solches System ein lokales System (102), das dazu konfiguriert ist, ein Smartcard-Lesegerät (110) an das lokale System (102) anzubinden. Das Smartcard-Lesegerät (110) ist dazu konfiguriert, Daten von einer Smartcard (112) zu extrahieren. Das System umfasst eine lokale Authentifizierungsmaschine (120), die den Benutzer zur Eingabe von Benutzerauthentifizierungsinformationen auffordert, die der Smartcard (112) zugeordnet sind. Die lokale Authentifizierungsmaschine (120) authentifiziert, dass der Benutzer der Smartcard (112) zugeordnet ist, zum Zugriff auf die Benutzerberechtigungsnachweise autorisiert ist, und extrahiert dieselben von der Smartcard (112). Ein Fernzugriffsklienten-(116)-modul richtet eine Fernsitzung (121) von dem lokalen System (102) zu einem entfernten System (104) ein. Das lokale System (102) löst das Smartcard-Lesegerät (110) von dem lokalen System (102) und bindet das Smartcard-Lesegerät (110) an das entfernte System (104) an.

Description

  • HINTERGRUND
  • Ein Betriebssystem (allgemein mit OS und O/S abgekürzt) ist die Software-Komponente eines Computersystems, die für die Verwaltung und Koordination von Aktivitäten und die gemeinschaftliche Verwendung der Ressourcen des Computers zuständig ist. Das Betriebssystem fungiert als Host für Anwendungsprogramme, die auf dem Gerät betrieben werden. Eine der Zweckbestimmungen eines Betriebssystems als Host ist die Handhabung der Details des Hardwarebetriebes. Dies entlastet Anwendungsprogramme davon, diese Details verwalten zu müssen, und vereinfacht das Schreiben von Anwendungen. Nahezu alle Computer, einschließlich Handcomputern, Tischcomputern, Supercomputern und sogar moderner Videospielkonsolen, benutzen ein Betriebssystem irgendeiner Art. Ein Thin-Client ist ein Beispiel für einen Tischcomputer oder ein lokales System, der bzw. das möglicherweise eine Version eines Betriebssystems betreibt, die nicht so leistungsfähig ist wie das Standard-Tischcomputer-Betriebssystem, das zum Verbinden mit anderen Computern benutzt wird. Auf dem lokalen System kann eine Fernzugriffsklienten-Software zum Verbinden mit einem entfernten System initialisiert werden.
  • KURZE BESCHREIBUNG
  • Viele Aspekte der Offenbarung sind unter Bezugnahme auf die folgenden Zeichnungen besser verständlich. Die Komponenten in den Zeichnungen sind nicht unbedingt maßstabsgetreu, da der Schwerpunkt stattdessen auf einer klaren Illustration der Prinzipien der vorliegenden Offenbarung liegt. In den Zeichnungen bezeichnen außerdem gleiche Bezugsziffern durchgängig in den verschiedenen Ansichten einander entsprechende Teile. In Verbindung mit diesen Zeichnungen sind zwar verschiedene Ausführungsbeispiele beschrieben, jedoch besteht nicht die Absicht, die Offenbarung auf das Ausführungsbeispiel oder die Ausführungsbeispiele zu begrenzen, die hier offenbart werden. Im Gegenteil ist beabsichtigt, alle Alternativen, Modifikationen und Äquivalente abzudecken.
  • 1 illustriert eine Netzwerkumgebung gemäß einem Ausführungsbeispiel der Offenbarung.
  • 2 ist ein Blockdiagramm eines lokalen Systems aus 1 aus der Netzwerkumgebung aus 1 gemäß einem Ausführungsbeispiel der Offenbarung.
  • 3 ist ein Blockdiagramm eines lokalen Systems aus 1 in Kommunikation mit einem entfernten System aus 1 gemäß einem Ausführungsbeispiel der Offenbarung.
  • 4 ist ein Flussdiagramm eines exemplarischen Ausführungsbeispiels eines Verfahrens zur dynamischen Fernperipherieanbindung unter Verwendung eines lokalen Systems aus 1 und eines entfernten Systems aus 1.
  • 5 ist ein Flussdiagramm eines alternativen exemplarischen Ausführungsbeispiels eines Verfahrens zur dynamischen Fernperipherieanbindung unter Verwendung eines lokalen Systems aus 1 und eines entfernten Systems aus 1.
  • 6 ist ein Flussdiagramm eines alternativen exemplarischen Ausführungsbeispiels eines Verfahrens zur dynamischen Fernperipherieanbindung unter Verwendung eines lokalen Systems aus 1 und eines entfernten Systems aus 1.
  • 7 ist ein Flussdiagramm eines exemplarischen Ausführungsbeispiels eines Verhaltens eines lokalen Systems aus 1 und/oder entfernten Systems aus 1 ansprechend auf das Entfernen einer Smartcard.
  • DETAILLIERTE BESCHREIBUNG
  • Einmalanmeldung (SSO = single sign-on) ist ein von entfernten Systemen benutztes Zugriffsteuerungsverfahren, das es einem Benutzer ermöglicht, sich einmal einzuloggen und Zugriff auf die Ressourcen mehrerer Softwaresysteme oder Dienste zu erhalten, ohne noch einmal zum Einloggen aufgefordert zu werden. Einmalabmeldung ist der umgekehrte Prozess, durch den eine einzige Abmeldeaktion einen Zugriff auf mehrere Softwaresysteme beendet. Da verschiedene Anwendungen und Ressourcen verschiedene Authentifizierungsmechanismen unterstützen, übersetzt und speichert die Einmalanmeldung intern unterschiedliche Berechtigungsnachweise im Vergleich mit dem, was möglicherweise zur anfänglichen Authentifizierung benutzt wird.
  • Exemplarische Ausführungsbeispiele von SSO können zentralisierte Authentifizierungsserver implementieren, die von allen anderen Anwendungen und Systemen zu Authentifizierungszwecken genutzt werden, und können dies mit Techniken zur Sicherstellung dessen kombinieren, dass Benutzer ihre Berechtigungsnachweise nicht mehr als einmal aktiv eingeben müssen.
  • Unternehmens-Einmalanmeldungssysteme (E-SSO systems = enterprise single sign-on systems) können zum Minimieren dessen entworfen sein, wie oft ein Benutzer eine Kennung und ein Passwort eintippt, um sich bei mehreren Anwendungen anzumelden. Die E-SSO-Lösung loggt Benutzer automatisch ein und fungiert als eine Passwortausfülleinrichtung, wo ein automatisches Einloggen nicht möglich ist. Jeder Klient kann ein Token erhalten, das die Authentifizierung handhabt. Bei einem alternativen Ausführungsbeispiel einer E-SSO-Lösung weist jeder Klient auf dem Computer gespeicherte E-SSO-Software zur Handhabung der Authentifizierung auf. Auf der Serverseite kann ein E-SSO-Authentifizierungsserver in das Unternehmensnetzwerk integriert sein.
  • Zusätzlich kann eine Smartcard-Authentifizierung verwendet werden, um ein Sicherheitselement auf Hardware-Ebene in SSO- und/oder E-SSO-Systemen bereitzustellen. Bei einem Fernvisualisierungssystem, einem System, bei dem beispielsweise ein lokales System auf eine entfernte Bildschirmarbeitsfläche (remote desktop) oder eine andere entfernt betriebene Anwendung zugreifen kann, die auf dem lokalen System angezeigt wird, können Ausführungsbeispiele der Offenbarung Smartcard-Authentifizierung für einen Zugriff auf das lokale System sowie das entfernte System verwenden. Diese Offenbarung legt auch Systeme und Verfahren vor, bei denen Peripheriegeräte wie etwa ein Smartcard-Lesegerät dynamisch an lokale Systeme und/oder entfernte Systeme anbinden können.
  • In dem Zusammenhang dieser Offenbarung kann bei einigen Ausführungsbeispielen, wenn ein Peripheriegerät an ein lokales System und/oder ein entferntes System anbindet, das System, an welches das Peripheriegerät anbindet, exklusiven Zugriff auf das Peripheriegerät haben. Bei anderen Ausführungsbeispielen kann, wenn ein Peripheriegerät an ein lokales System und/oder entferntes System anbindet, das System, an welches das Peripheriegerät anbindet, nicht-exklusiven Zugriff auf das Gerät haben. Es sei darauf hingewiesen, dass ein Peripheriegerät an ein lokales System über eine lokale Verbindung wie etwa eine USB-Verbindung, serielle Verbindung oder dergleichen anbinden kann. Alternativ kann ein Peripheriegerät an ein entferntes System über ein lokales System anbinden, das über ein Netzwerk mit dem entfernten System in Kommunikation steht. Bei einigen Ausführungsbeispielen können sowohl lokale als auch entfernte Systeme Peripheriegeräte zur Benutzerauthentifizierung benutzen. Beispielsweise können Smartcard-Lesegeräte lokal durch ein lokales System zu Benutzerauthentifizierungszwecken sowie durch entfernte Systeme zur Authentifizierung durch einen Fernzugriffsserver benutzt werden.
  • Entsprechend ist mit Bezug auf 1 ein Beispiel für eine Netzwerkumgebung 100 gemäß einem Ausführungsbeispiel der Offenbarung gezeigt. Bei einem Ausführungsbeispiel ist ein lokales System 102 dazu konfiguriert, mit einem entfernten System 104 zu kommunizieren. Bei dem dargestellten Ausführungsbeispiel ist das lokale System 102 ferner dazu konfiguriert, mit einem Netzwerk 106 zu kommunizieren. Ebenso kann das entfernte System 104 dazu konfiguriert sein, mit dem Netzwerk 106 zu kommunizieren, wodurch eine Kommunikation zwischen dem lokalen System 102 und dem entfernten System 104 ermöglicht wird. Das Netzwerk 106 kann beispielsweise jede Art von Netzwerkumgebung umfassen wie etwa das Internet, Intranets, lokale Netze, weite Netze (WANs = wide area networks), drahtlose Netze, zellulare Netze, Telefonnetze oder andere geeignete Netzwerke oder Kombinationen aus Netzwerken.
  • Das dargestellte lokale System 102 kann, wie erkennbar ist, einen Personal-Computer, eine Thin-Client-Rechenvorrichtung oder ein anderes Rechensystem umfassen. Das entfernte System 104 kann, wie erkennbar ist, einen Personal-Computer, einen Server, eine Authentifizierungsvorrichtung oder ein anderes Rechensystem umfassen. Bei einem Ausführungsbeispiel kann das lokale System 102 eine Thin-Client-Rechenvorrichtung umfassen, die dazu konfiguriert ist, auf Rechenressourcen, Speicherressourcen, Softwareressourcen und andere Ressourcen zuzugreifen, die in dem entfernten System 104 untergebracht oder für dasselbe verfügbar sind. Entsprechend können Benutzer der Netzwerkumgebung 100 von verschiedenen Standorten auf Ressourcen des entfernten Systems 104 zugreifen, und das entfernte System 104 kann Profilinformationen. Einstellungen und andere den Benutzer betreffende Daten führen, um einem Benutzer einen Zugriff auf Software-Anwendungen zu erlauben, die in dem entfernten System 104 untergebracht oder für dasselbe verfügbar sind. Auf diese Weise kann das entfernte System 104 verschiedenen Benutzern eine virtuelle Bildschirmarbeitsfläche (virtual desktop) zuweisen, die unabhängig von dem Standort des Benutzers übereinstimmend sein kann. Zusätzlich ermöglicht ein solches System Verwendung, Wartung und Austausch eines oder mehrerer lokaler Systeme 102, da Thin-Client-Vorrichtungen als lokale Systeme 102 mit von Benutzern erforderten erheblichen Rechenressourcen verwendet werden können, die auf dem entfernten System 104 residieren oder für dasselbe zugänglich sind. Eine solche Architektur kann abhängig von den Bedürfnissen eines Benutzers erhebliche Rechenressourcen für die lokalen Systeme 102 verfügbar machen, während sie gleichzeitig die Benutzung kostengünstiger Thin-Client-Vorrichtungen als lokaler Systeme 102 in der Netzwerkumgebung 100 ermöglicht.
  • Das lokale System 102 kann ferner ein Peripheriegerät umfassen, das, wie erkennbar, über universellen seriellen Bus (USB = universal serial bus), Ethernet, IEEE-1394, serielle und/oder parallele Anschlüsse oder andere Verbindungsstandards mit demselben verbunden sein kann. Bei einem Ausführungsbeispiel umfasst das Peripheriegerät ein Smartcard-Lesegerät 110, das dazu konfiguriert ist, auf eine Smartcard 112 zuzugreifen, dieselbe zu lesen und/oder auf dieselbe zu schreiben. Entsprechend kann das lokale System 102 bei einem Ausführungsbeispiel eine Smartcard 112 eines Benutzers über das Smartcard-Lesegerät 110 akzeptieren und auf dieselbe zugreifen, wobei die Smartcard 112 mit verschiedenen Informationen über den Benutzer codiert ist. Solche Informationen können umfassen, sind jedoch nicht begrenzt auf: einen Benutzerberechtigungsnachweis, einen Autorisierungs-Token, einen öffentlichen Schlüssel, einen privaten Schlüssel oder andere Authentifizierungs- oder Benutzerdaten, wie erkennbar ist. Datenverschlüsselung und/oder -entschlüsselung kann ebenfalls zum Speichern und/oder Extrahieren bestimmter Daten von der Smartcard 112 verwendet werden. Bei einem Ausführungsbeispiel kann die Smartcard 112 unverschlüsselte Daten sowie verschlüsselte Daten umfassen. Die unverschlüsselten Daten können weniger sensible Daten umfassen, etwa einen Benutzernamen, einen öffentlichen Schlüssel usw., während die verschlüsselten Daten sensiblere Daten umfassen können, etwa ein Passwort, einen Benutzerberechtigungsnachweis, einen privaten Schlüssel usw.
  • Entsprechend kann das Smartcard-Lesegerät 110 an das lokale System 102 anbinden und die Benutzung einer Smartcard 112 ermöglichen, um einen Benutzer für das lokale System 102 zu authentifizieren. Zusätzlich kann das Smartcard-Lesegerät 110 über das lokale System 102 und das Netzwerk 106 an das entfernte System 104 anbinden. Daher kann gemäß einem Ausführungsbeispiel der Offenbarung ein Smartcard-Lesegerät 110, auf das durch ein lokales System 102 zugegriffen wird, an das entfernte System 104 anbinden, um die Authentifizierung des Benutzers für das entfernte System 104 zu ermöglichen. Die oben genannte Funktionalität ist nur ein Beispiel für ein Ausführungsbeispiel gemäß der Offenbarung, da darauf hinzuweisen ist, dass jedes Peripheriegerät an das lokale System 102 sowie an das entfernte System 104 anbinden kann. Entsprechend können das lokale System 102 und das entfernte System 104 auf jede Art von Peripheriegerät zugreifen, das an das lokale System 102 gekoppelt ist.
  • Unter Bezugnahme auf 2 ist ein Beispiel für ein lokales System 102 gemäß einem Ausführungsbeispiel der Offenbarung gezeigt. 2 stellt ein lokales System 102 mit einem Speicher 124 und einem Prozessor 142 dar, der dazu konfiguriert ist, verschiedene Software-Komponenten auszuführen, um die Authentifizierung eines Benutzers zu ermöglichen, der eine Smartcard 112 verwendet, auf die durch ein Smartcard-Lesegerät 110 zugegriffen wird. Beispielsweise können der Speicher 124 und der Prozessor 142 mit einem Datenbus 125 kommunizieren, mit dem das Smartcard-Lesegerät 110 ebenfalls kommunizieren kann. Dementsprechend kann beim Einführen einer Smartcard 112 in das Smartcard-Lesegerät 110 durch das Smartcard-Lesegerät 110 ein Peripheriegerät-Ereignis generiert werden, das durch eine lokale Authentifizierungsmaschine 120 gehandhabt werden kann, die bei einem Ausführungsbeispiel in Speicher 124 gespeichert und durch den Prozessor 142 ausführbar ist. Das lokale System 102 führt die lokale Authentifizierungsmaschine 120 aus, um verschiedene Benutzerdaten von einer Smartcard 112 zu extrahieren, um einen Benutzer zu authentifizieren und/oder zu identifizieren, dem die Smartcard 112 gehört und/oder dem sie zugewiesen ist.
  • Bei einem Ausführungsbeispiel kann die lokale Authentifizierungsmaschine 120 des lokalen Systems 102 beim Einführen einer Smartcard 112 in das Smartcard-Lesegerät 110 den Benutzer authentifizieren und Zugriff auf das lokale System 102 bereitstellen. Mit anderen Worten, die lokale Authentifizierungsmaschine 120 kann Zugriff auf das lokale System 102 für einen Benutzer gewähren, wenn der Benutzer eine Smartcard besitzt, die darauf gespeicherte, korrekte Benutzerberechtigungsnachweise aufweist. Bei einem anderen Ausführungsbeispiel kann die lokale Authentifizierungsmaschine 120 einen Benutzer zur Eingabe zusätzlicher Authentifizierungsinformationen wie etwa eines Passwortes, einer persönlichen Identifikationsnummer oder anderer vom Benutzer bereitgestellter Authentifizierungsinformationen auffordern. Mit anderen Worten, die lokale Authentifizierungsmaschine 120 kann eine zusätzliche Sicherheitsschicht bereitstellen, indem ein Benutzer zur Eingabe von durch den Benutzer bereitgestellten Berechtigungsnachweisen aufgefordert wird, die mit den auf der Smartcard 112 gespeicherten Daten verifiziert werden können. Um das oben Genannte zu ermöglichen, bindet das Smartcard-Lesegerät 110 insofern an das lokale System 102 an, als es entweder exklusiv oder nicht-exklusiv für die lokale Authentifizierungsmaschine 120 des lokalen Systems 102 verfügbar ist.
  • Das lokale System 102 kann ferner einen Fernzugriffsklienten 116 ausführen, um eine Kommunikation zwischen dem lokalen System 102 und einem entfernten System 104 zu ermöglichen. Dementsprechend wird nun auf 3 Bezug genommen, die ein lokales System 102 in Kommunikation mit einem entfernten System 104 darstellt. Um die Kommunikation zwischen dem lokalen System 102 und dem entfernten System 104 zu ermöglichen, kann das lokale System 102 einen Fernzugriffsklienten 116 ausführen.
  • Ebenso kann das entfernte System 104 einen Fernzugriffsserver 132 ausführen, der dazu konfiguriert ist, mit dem Fernzugriffsklienten 116 zu kommunizieren, um eine solche Funktionalität zu ermöglichen. Das lokale System 102 und/oder entfernte System 104 kann eine Fernsitzung 121 für einen Benutzer einrichten, der über das lokale System 102 Zugriff auf das entfernte System 104 erhalten möchte. Die Fernsitzung 121 kann verschiedene Benutzerprofilinformationen, Einstellungen und andere Daten umfassen, die eine virtuelle Bildschirmarbeitsflächen- und/oder Fernzugriffsfunktionalität für verschiedene Benutzer bereitstellt, wie oben mit Bezug auf 1 angegeben.
  • Bei einem Ausführungsbeispiel kann beim Einführen einer Smartcard 112 in das Smartcard-Lesegerät 110 des lokalen Systems 102 das Smartcard-Lesegerät 110 ein Ereignis auslösen, das durch den Fernzugriffsklienten 116 gehandhabt werden kann. Dementsprechend kann der Fernzugriffsklient 116 eine Fernperipheriesitzung 128 einrichten, die einer für einen Benutzer eingerichteten Fernsitzung 121 entspricht, was es dem Fernzugriffsklienten 116 erlaubt, über das Smartcard-Lesegerät 110 Informationen von der Smartcard 112 zu extrahieren und/oder auf dieselben zuzugreifen, wie oben angegeben. Der Fernzugriffsklient 116 kann Daten bezüglich der Smartcard 112 und des Smartcard-Lesegerätes 110 in der Fernperipheriesitzung 128 und der Fernsitzung 121 an den Fernzugriffsserver 132 kommunizieren, der in einem Speicher 130 gespeichert ist und von einem Prozessor 143 ausgeführt wird.
  • Der Fernzugriffsserver 132 kann dementsprechend einen Server auf Basis einer Fernperipheriesitzung 133 in dem entfernten System 104 einrichten. Bei einem Ausführungsbeispiel kann die serverbasierte Fernperipheriesitzung 133 dem entfernten System 104 exklusiven Zugriff auf die Smartcard 112 und das Smartcard-Lesegerät 110 geben, wodurch das Smartcard-Lesegerät 110 von dem lokalen System 102 gelöst (entbunden) wird und das Smartcard-Lesegerät 110 an das entfernte System 104 angebunden (angeschlossen) wird. Beim Anbinden des Smartcard-Lesegerätes 110 an das entfernte System 104 kann eine Fernauthentifizierungsmaschine 134 auf der Smartcard 112 codierte Daten bezüglich eines Benutzers extrahieren, um den Benutzer zu authentifizieren. Bei einem Ausführungsbeispiel kann ein Benutzer eine Smartcard 112 dem lokalen System 102 vorlegen, das eine Fernsitzung 121 einrichten kann, die eine Fernperipheriesitzung 128 aufweist, um eine physikalische Sicherheitsschicht zu ermöglichen, die auf ein Software-Passwortauthentifizierungsschema aufgesetzt sein kann.
  • Entsprechend kann eine serverbasierte Fernperipheriesitzung 133 dem entfernten System 104 exklusiven Zugriff auf das Smartcard-Lesegerät 110 geben, und die Fernauthentifizierungsmaschine 134 kann die Berechtigungsnachweise eines Benutzers authentifizieren, die auf der Smartcard 112 gespeichert sein und von derselben extrahiert werden können. Die Fernauthentifizierungsmaschine 134 kann einen Benutzer auch über die Fernsitzung 121 und das lokale System 102 zur Eingabe zusätzlicher Authentifizierungsinformationen auffordern. Als nicht-begrenzendes Beispiel kann die Fernauthentifizierungsmaschine 134 von einem Benutzer eine persönliche Identifikationsnummer, ein Passwort und/oder andere Authentifizierungsdaten anfordern, die durch das lokale System 102 über eine Eingabevorrichtung empfangen und über das Netzwerk 106 an das entfernte System 104 gesendet werden können. Ein Benutzer kann die Fernsitzung 121 und/oder die Konnektivität zu dem entfernten System 104 beenden, wodurch nachfolgend das Smartcard-Lesegerät 110 von dem entfernten System 104 gelöst wird. Dementsprechend können die Smartcard 112 und das Smartcard-Lesegerät 110 bei Beendigung einer Fernsitzung 121 wieder an das lokale System 102 anbinden.
  • Bei einem anderen Ausführungsbeispiel kann das lokale System 102 einen Benutzer vor dem Einrichten einer Fernsitzung 121 und/oder einer Kommunikation mit dem entfernten System 104 lokal über die lokale Authentifizierungsmaschine 120 authentifizieren. Beim Einrichten einer Fernsitzung 121 kann das Smartcard-Lesegerät 110 sich von dem lokalen System 102 lösen und an das entfernte System 104 anbinden. Dementsprechend kann das entfernte System 104 dann Daten von der Smartcard 112 und dem Smartcard-Lesegerät 110 extrahieren und/oder auf dieselben zugreifen.
  • Es wird nun auf 4 Bezug genommen, die ein Beispiel für einen Prozess gemäß einem Ausführungsbeispiel der Offenbarung darstellt. Das Flussdiagramm aus 2 kann auch als ein Verfahren zur Fernperipherieanbindung angesehen werden. In Block 205 kann ein Benutzer einen Fernzugriffsklienten 116 (3) in einem lokalen System 102 (1) initiieren. In Block 210 schiebt der Benutzer eine Smartcard 112 (1) in ein Smartcard-Lesegerät 110 (1), führt dieselbe dort ein oder verschafft demselben anderweitig Zugriff darauf. In Block 215 wird das Smartcard-Lesegerät 110 als ein lokales Peripheriegerät des lokalen Systems 102 angeschlossen. In Block 220 empfängt die lokale Authentifizierungsmaschine 120 (3) eine Benachrichtigung über das Smartcard-Ereignis und kommuniziert mit dem lokal angeschlossenen Peripheriegerät, um Benutzerberechtigungsnachweise von der Smartcard 112 zu extrahieren. In Block 225 ermöglicht der Fernzugriffsklient 116 (3) eine Bestimmung eines Fernzugriffsservers 132 (3), mit dem sich der Benutzer verbinden kann, auf Basis der durch die Smartcard 112 zurückgegebenen Benutzerberechtigungsnachweise, einer durch den Benutzer eingegebenen Internetprotokolladresse oder anderer Daten, wie erkennbar ist.
  • In Block 235 richtet der Fernzugriffsklient 116 eine Verbindung zu dem Fernzugriffsserver ein. Die Verbindung kann eine anonyme Verbindung sein. In Block 240 löst der Fernzugriffsklient 116 das Smartcard-Lesegerät 110 von dem lokalen System 102. Zu diesem Zeitpunkt ist das Smartcard-Lesegerät nicht mehr zur Benutzung durch Software auf dem lokalen System 102 verfügbar, mit Ausnahme des Fernzugriffsklienten 116. Beispielsweise kann die lokale Authentifizierungsmaschine 120 nicht mehr auf das Smartcard-Lesegerät 110 zugreifen. In Block 245 bindet der Fernzugriffsklient 116 das lokal angeschlossene Smartcard-Lesegerät an den Fernzugriffsserver 132 an.
  • In Block 250 richtet der Fernzugriffsserver 132 eine serverbasierte Fernperipheriesitzung 133 (3) auf Basis einer für einen Benutzer erzeugten Fernsitzung 121 ein. Das Smartcard-Lesegerät 110 ist nun für den Fernzugriffsserver 132 und eine Fernauthentifizierungsmaschine 134 (3) verfügbar. Der Benutzer kann sich dann für den Fernzugriffsserver 132 authentifizieren. Wenn der Fernzugriffsserver 132 dazu konfiguriert ist, Smartcard-Authentifizierung zu benutzen, kann auf die Smartcard unter Benutzung der serverbasierten Fernperipheriesitzung 133 zugegriffen werden.
  • Wenn die Fernsitzung 121 beendet wird, wird das Smartcard-Lesegerät 110 von dem entfernten System 104 gelöst und an das lokale System 102 angebunden. Dementsprechend kann das Smartcard-Lesegerät 110 für nachfolgende erneute Verbindungen mit dem entfernten System 104 verfügbar sein. Entsprechend ist das Smartcard-Lesegerät 110 zur Benutzung durch das lokale System 102 verfügbar, da das entfernte System 104 seine Benutzung desselben freigegeben hat. Das obige Verfahren behandelt zwar als Beispiele die Benutzung von Smartcards, es sei jedoch darauf hingewiesen, dass die hier offenbarten Systeme und Verfahren für jedes Peripheriegerät gelten können, auf das ein lokales System 102 und ein entferntes System 104 Zugriff und/oder exklusiven Zugriff erfordern können.
  • Unter Bezugnahme auf 5 bietet das Flussdiagramm 300 ein Beispiel für ein Ausführungsbeispiel eines Verfahrens zur Fernperipherieanbindung gemäß der Offenbarung. In Block 310 empfängt das lokale System 102 (1) eine Smartcard 112 (1) in einem Smartcard-Lesegerät 110 (1). Bei Fehlen einer durch einen Fernzugriffsklienten 116 (1) eingerichteten Fernsitzung 121 in dem lokalen System 102 wird das Smartcard-Lesegerät 110 an das lokale System 102 angebunden. In Block 330 kann der Benutzer zur Eingabe einer persönlichen Identifikationsnummer (PIN) oder anderer Authentifizierungsinformationen aufgefordert werden. Ein Benutzer kann solche Authentifizierungsinformationen in dem lokalen System 102 über eine Eingabevorrichtung wie etwa eine Tastatur, Maus usw. eingeben. In Block 340 empfängt das lokale System 102 die PIN, und eine Fernsitzung 121 (3) wird eingerichtet. In Block 350 wird das Smartcard-Lesegerät von dem lokalen System gelöst, nachdem eine Verbindung zwischen einem Fernzugriffsklienten 116 (3) in dem lokalen System 102 und einem Fernzugriffsserver 132 (3) in dem entfernten System 104 (1) eingerichtet ist. In Block 360 wird das Smartcard-Lesegerät von dem lokalen System 102 gelöst und über den Fernzugriffsklienten 116 und den Fernzugriffsserver 132 an das entfernte System 104 angebunden, wodurch die Erzeugung einer serverbasierten Fernperipheriesitzung 133 in dem entfernten System 104 ermöglicht wird.
  • Exemplarische Ausführungsbeispiele von Verfahren der dynamischen Peripherieanbindung, wie sie hier offenbart sind, ermöglichen eine dynamische Anbindung von nicht-begrenzenden exemplarischen Smartcard-Lesegeräten 110 (1) an das lokale System 102 (1) und das entfernte System 104 (1), nachdem eine Verbindung zwischen dem lokalen System 102 und dem entfernten System 104 eingerichtet ist. Dies ermöglicht sowohl eine lokale als auch entfernte Benutzung von Peripheriegeräten wie etwa einem Smartcard-Lesegerät 110. Nunmehr unter Bezugnahme auf ein alternatives exemplarisches Ausführungsbeispiel einer Fernperipherieanbindung in 6 kann ein Benutzer auf ein lokales System 102 zugreifen und über das lokale System 102 weiteren Zugriff auf ein entferntes System 104 anfordern, indem er eine Smartcard 112 (1) in ein an das lokale System 102 angebundenes Smartcard-Lesegerät 110 einführt. In Block 410 empfängt das lokale System 102 die Smartcard.
  • In Block 430 extrahiert das lokale System 102 Benutzerberechtigungsnachweise von der Smartcard 112. Bei einem Ausführungsbeispiel kann ein Benutzername von der Smartcard 112 von einem unverschlüsselten Abschnitt der Smartcard-112-Daten extrahiert werden. Bei einem anderen Ausführungsbeispiel kann das lokale System 102 Benutzerberechtigungsnachweisdaten von der Smartcard 112 extrahieren und entschlüsseln. In Block 440 fragt der Fernzugriffsklient 116 (3) eine Datenbank ab, um ein entferntes System 104 (3) zu bestimmen, mit dem verbunden werden soll. Bei Bestimmung eines entfernten Systems 104, mit dem verbunden werden soll, kann das lokale System 102 eine Benutzerschnittstelle anzeigen, die einem Authentifizierungsbildschirm, einer virtuellen Bildschirmarbeitsfläche, Benutzerprofildaten, Benutzereinstellungen oder anderen Daten, wie erkennbar ist, aus dem entfernten System 104 entspricht.
  • Entsprechend kann der Fernzugriffsklient 116 eine Fernsitzung 121 (3) sowie eine Fernperipheriesitzung 128 erzeugen, wodurch das Smartcard-Lesegerät 110 von dem lokalen System 102 gelöst und das Smartcard-Lesegerät 110 an eine serverbasierte Fernperipheriesitzung 133 (3) in einem Fernzugriffsserver 132 (1) angebunden wird. Entsprechend kann die Fernauthentifizierungsmaschine 134 (3) Benutzerberechtigungsnachweisinformationen von der Smartcard 112 extrahieren. Die Fernauthentifizierungsmaschine 134 kann dann bewirken, dass der Fernzugriffsklient 116 ein oder mehrere Benutzerschnittstellenelemente generiert, die auf Basis von Benutzerberechtigungsnachweisinformationen, die von der Smartcard 112 extrahiert werden, Authentifizierungsinformationen (z. B. eine PIN, ein Passwort, eine Passphrase usw.) von einem Benutzer anfordern. In Block 450 kann der Benutzer Authentifizierungsinformationen wie etwa eine PIN eingeben, die durch das lokale System 102 empfangen werden. In Block 460 kann die Fernauthentifizierungsmaschine 134 bestimmen, ob die empfangene PIN mit Benutzerberechtigungsnachweisinformationen übereinstimmend ist, die zu Verifikationszwecken von der Smartcard 112 extrahiert werden.
  • In Block 470 greift die Fernauthentifizierungsmaschine 134 auf das Smartcard-Lesegerät 110 zu und entsperrt unter Benutzung der eingegebenen PIN die Smartcard 112, um auf ein auf der Smartcard 112 gespeichertes Sicherheitszertifikat zuzugreifen und/oder dasselbe zu extrahieren. Bei einem Ausführungsbeispiel kann das Entsperren kryptografisch auf Basis der eingegebenen PIN oder anderer Daten, wie erkennbar, durchgeführt werden. In Block 480 kann das lokale System 102 den Benutzer mit dem extrahierten Sicherheitszertifikat authentifizieren. Bei einem Ausführungsbeispiel kann die lokale Authentifizierungsmaschine den Benutzer beispielsweise durch Abfragen einer Aktives-Verzeichnis-Domänesteuerung (Active Directory Domain Controller) authentifizieren. Bei einem anderen Ausführungsbeispiel kann die lokale Authentifizierungsmaschine das Sicherheitszertifikat an das entfernte System 104 senden, das die Fernauthentifizierungsmaschine zur Benutzerauthentifizierung verwenden kann.
  • In Block 490 wird das Smartcard-Lesegerät 110 bei Authentifizierung eines Benutzers, wie oben angegeben, von dem entfernten System 104 gelöst, da das entfernte System 104 die serverbasierte Fernperipheriesitzung 133 beenden kann, und der Fernzugriffsklient kann die Fernperipheriesitzung 128 beenden, wodurch das Smartcard-Lesegerät 110 aus der exklusiven Benutzung freigegeben wird. In Block 495 bindet das Smartcard-Lesegerät 110 bei der Freigabe durch den Fernzugriffsklienten 116 und den Fernzugriffsserver 132 an das lokale System 102 an. Der Benutzer ist dann authentifiziert, um auf das lokale System 102 sowie auf Rechenressourcen des entfernten Systems 104 zuzugreifen.
  • Unter Bezugnahme auf 7 ist nun ein Beispiel für ein Verfahren gemäß einem Ausführungsbeispiel der Offenbarung gezeigt. Das Verfahren 500 illustriert ein Verhalten des lokalen Systems 102 und des entfernten Systems 104 beim Entfernen einer Smartcard 112 aus einem Smartcard-Lesegerät 110. Bei einem Ausführungsbeispiel kann ein Benutzer zum Beenden und/oder Aussetzen einer Fernsitzung 121 eine Smartcard 112 einfach aus einem Smartcard-Lesegerät 110 entfernen. Beim Erfassen des Entfernens der Smartcard in Block 510 kann das lokale System 102 dazu konfiguriert sein, als nicht-begrenzende Beispiele eines von Folgendem zu tun: 1) Sperren der Bildschirmarbeitsfläche des lokalen Systems 102 in Block 520; 2) Ausloggen des Benutzers aus der Bildschirmarbeitsfläche in Block 530 und 3) nichts tun. In Block 520 kann eine Fernsitzung 121, die einem Benutzer entspricht, in dem lokalen System 102 und/oder entfernten System 104 aufrechterhalten werden, jedoch kann das lokale System 102 und/oder das entfernte System 104 eine Authentifizierung erfordern, um einem Benutzer das Wiederaufnehmen der Fernsitzung 121 zu erlauben. In Block 530 kann eine Fernsitzung 121, die einem Benutzer entspricht, durch das lokale System 102 und/oder das entfernte System 104 beendet werden. Wenn die Fernsitzung 121 beendet wird, muss ein Benutzer eine neue Fernsitzung 121 einrichten, wie oben beschrieben.
  • Wenn das System dazu konfiguriert wurde, die Bildschirmarbeitsfläche eines lokalen Systems 102 ansprechend auf das Entfernen einer Smartcard 112 in Block 520 zu sperren, kann ein Benutzer dasselbe lokale System 102 benutzen oder auf ein anderes lokales System 102 zugreifen und seine Smartcard einführen. Ein Benutzer muss sich dann in Block 540 erneut authentifizieren. Dementsprechend kann das lokale System 102 die Bildschirmarbeitsfläche entsperren und die ausgesetzte Fernsitzung 121 wieder aufgenommen werden. Eine solche Funktionalität erlaubt es einem Benutzer, eine Bildschirmarbeitsfläche auf einem lokalen System 102 zu sperren, sich auf ein anderes lokales System 102 zu begeben, eine Smartcard 112 und/oder andere Authentifizierungsinformationen vorzulegen und dieselbe Fernsitzung 121 wieder aufzunehmen.
  • Wenn das System dazu konfiguriert wurde, sich in Block aus dem lokalen System 102 auszuloggen und die Fernsitzung 121 zu beenden, kann der Benutzer dasselbe lokale System 102 oder ein anderes lokales System 102 benutzen und seine Smartcard 112 und/oder andere Authentifizierungsinformationen vorlegen. Es kann demselben Prozess gefolgt werden wie zuvor beschrieben. Der Benutzer muss erneut authentifiziert werden und eine neue Fernsitzung 121 generiert werden.
  • Wenn das System dazu konfiguriert wurde, ansprechend auf das Entfernen einer Smartcard 112 nichts zu tun, kann der Benutzer zu einem anderen lokalen System 102 gehen und seine Smartcard 112 und/oder andere Authentifizierungsinformationen vorlegen. Auf einem anderen lokalen System 102 muss der Benutzer jedoch in Block 540 eine neue Fernsitzung 121 einrichten und sich für das lokale System 102 und/oder entfernte System 104 authentifizieren.
  • Die hier offenbarten Systeme und Verfahren zur dynamischen Peripherieanbindung beim Verbinden/Trennen erlauben ein dynamisches Anbinden von Peripheriegeräten wie etwa einem Smartcard-Lesegerät 110 (1) und anderen Plug-and-Play-Vorrichtungen von einem lokalen System 102 an ein entferntes System 104, nachdem eine Fernsitzung 121 (1) durch einen Benutzer eingerichtet wird. Dies erlaubt es, Peripheriegeräte sowohl lokal als auch dann entfernt zu benutzen, falls gewünscht.
  • Die hier offenbarten Ausführungsbeispiele können in Hardware, Software, Firmware oder einer Kombination daraus implementiert sein. Zumindest ein hier offenbartes Ausführungsbeispiel kann in Software und/oder Firmware implementiert sein, die in einem Speicher gespeichert ist und die durch ein geeignetes Anweisungsausführungssystem ausgeführt wird. Bei Implementierung in Hardware können eines oder mehrere der hier offenbarten Ausführungsbeispiele mit jeder der folgenden Technologien oder einer Kombination derselben implementiert sein: eine diskrete Logikschaltung(en) mit Logikgattern zum Implementieren von Logikfunktionen auf Datensignale hin, eine anwendungsspezifische integrierte Schaltung (ASIC = application specific integrated circuit) mit geeigneten kombinatorischen Logikgattern, ein programmierbare(s) Gatter-Array(s) (PGA = programmable gate array(s)), ein feldprogrammierbares Gatter-Array (FPGA = field programmable gate array) usw.
  • Die Peripheriegerätelogik kann in Speicher als Anweisungen residieren, die bei Ausführung durch eine Prozessoreinrichtung dynamische Fernperipherieanbindung beim Verbinden/Trennen implementieren. Die Prozessoreinrichtung kann beispielsweise, als nicht-begrenzende Beispiele, ein Mikroprozessor, ein Mikrocontroller, ein Netzwerkprozessor, ein Digitalsignalprozessor, ein rekonfigurierbarer Prozessor oder ein erweiterbarer Prozessor sein.
  • Alternativ kann die Peripheriegerätelogik in Hardware implementiert sein, einschließlich, jedoch nicht begrenzt auf eine programmierbare Logikvorrichtung (PLD = programmable logic device), ein programmierbares Gatter-Array (PGA), ein feldprogrammierbares Gatter-Array (FPGA), eine anwendungsspezifische integrierte Schaltung (ASIC), ein System auf Chip (SoC = system on chip) und ein System im Gehäuse (SiP = system in package). Außerdem kann die Peripheriegerätelogik als eine Kombination aus Prozessorausfürbarer Software und Hardwarelogik implementiert sein.
  • Die hier enthaltenen Flussdiagramme zeigen die Architektur, Funktionalität und den Betrieb einer möglichen Implementierung von Software. In dieser Hinsicht ist jeder Block als repräsentativ für ein Softwaremodul, -segment oder einen Teil von Code interpretierbar, der bzw. das eine oder mehrere ausführbare Anweisungen zum Implementieren der spezifizierten logischen Funktion(en) aufweist. Außerdem sei darauf hingewiesen, dass in einigen alternativen Implementierungen die in den Blöcken angegebenen Funktionen außerhalb der Reihenfolge und/oder gar nicht auftreten können. Beispielsweise können zwei aufeinanderfolgend gezeigte Blöcke tatsächlich im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal in umgekehrter Reihenfolge ausgeführt werden, abhängig von der damit verbundenen Funktionalität.
  • Jedes der hier aufgelisteten Programme, die eine geordnete Auflistung ausführbarer Anweisungen zum Implementieren logischer Funktionen umfassen können, kann in jedem computerlesbaren Medium zur Benutzung durch oder in Verbindung mit einem Anweisungsausführungssystem, einer Vorrichtung oder Einrichtung wie etwa einem computerbasierten System, einem Prozessoren enthaltenden System oder einem anderen System ausgeführt sein, das die Anweisungen von dem Anweisungsausführungssystem, der Vorrichtung oder Einrichtung abrufen kann und die Anweisungen ausführen kann. In dem Zusammenhang dieses Dokumentes kann ein ”computerlesbares Medium” jede Einrichtung sein, die das Programm zur Benutzung durch oder in Verbindung mit dem Anweisungsausführungssystem, der Vorrichtung oder Einrichtung enthalten oder speichern kann. Das computerlesbare Medium kann beispielsweise ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleiterspeichersystem, eine solche Vorrichtung oder Einrichtung sein, ist jedoch nicht darauf begrenzt. Spezifischere Beispiele (eine unvollständige Liste) des computerlesbaren Mediums könnten, wie erkennbar ist, eine tragbare Computerdiskette (magnetisch), ein Direktzugriffspeicher (RAM = random access memory) (elektronisch), ein Nur-Lese-Speicher (ROM = read-only memory) (elektronisch), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM = erasable read-only memory oder Flash-Speicher) (elektronisch), ein tragbarer CD-Nur-Lese-Speicher (CDROM = compact disc read-only memory) (optisch), ein DVD-Nur-Lese-Speicher (DVD-ROM = digital versatile disc read-only memory) und andere Speichermedien sein. Zusätzlich kann der Umfang der besonderen Ausführungsbeispiele dieser Offenbarung eine Ausführung der beschriebenen Funktionalität in Logik umfassen, die in Hardware- oder Software-konfigurierten Medien ausgeführt ist.
  • Außerdem sei darauf hingewiesen, dass konditionelle Sprache wie etwa, unter anderem, ”kann/können” oder ”könnte/könnten”, sofern nicht ausdrücklich anders angegeben oder innerhalb des Kontextes, wie benutzt, anders verstanden, generell vermitteln soll, dass bestimmte Ausführungsbeispiele bestimmte Merkmale, Elemente und/oder Schritte umfassen, während andere Ausführungsbeispiele dieselben nicht umfassen. Somit soll solche konditionelle Sprache generell nicht implizieren, dass Merkmale, Elemente und/oder Schritte für ein oder mehrere besondere Ausführungsbeispiele in irgendeiner Weise erforderlich sind oder dass ein oder mehrere besondere Ausführungsbeispiele notwendigerweise Logik umfassen, um mit oder ohne Benutzereingaben oder -eingabeaufforderung zu entscheiden, ob diese Merkmale, Elemente und/oder Schritte bei einem besonderen Ausführungsbeispiel enthalten sind oder auszuführen sind.
  • Es ist zu betonen, dass die oben beschriebenen Ausführungsbeispiele lediglich mögliche Beispiele für Implementierungen sind, die lediglich zum klaren Verständnis der Prinzipien dieser Offenbarung dargelegt werden. Viele Variationen und Modifikationen können an dem bzw. den oben beschriebenen Ausführungsbeispiel(en) vorgenommen werden, ohne wesentlich von dem Gedanken und den Prinzipien der Offenbarung abzuweichen. Es ist beabsichtigt, dass hierin alle solchen Modifikationen und Variationen innerhalb des Umfangs dieser Offenbarung enthalten sind.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEEE-1394 [0017]

Claims (15)

  1. Ein Verfahren, das Folgendes aufweist: Anbinden eines Smartcard-Lesegerätes (110) an ein lokales System (102), wobei das Smartcard-Lesegerät (110) dazu konfiguriert ist, Daten von einer Smartcard (112) zu extrahieren; Auffordern eines Benutzers zur Eingabe von Benutzerauthentifizierungsinformationen (310), die der Smartcard (112) zugeordnet sind, wobei die Smartcard (112) darauf gespeicherte Benutzerberechtigungsnachweise aufweist; Empfangen von durch den Benutzer bereitgestellten Authentifizierungsdaten (340, 430); Authentifizieren, dass der Benutzer der Smartcard (112) zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen (460); Extrahieren der Benutzerberechtigungsnachweise von der Smartcard (470); Lösen des Smartcard-Lesegerätes von dem lokalen System (350); Einrichten einer Fernsitzung (121) von dem lokalen System (102) zu einem entfernten System (104); und Anbinden des Smartcard-Lesegerätes (110) an das entfernte System (104).
  2. Das Verfahren gemäß Anspruch 1, das ferner den Schritt aufweist, die extrahierten Benutzerberechtigungsnachweise (470) zu verwenden, um den Benutzer für das entfernte System (104) zu authentifizieren (480).
  3. Das Verfahren gemäß Anspruch 1, bei dem der Schritt des Authentifizierens dessen, dass der Benutzer der Smartcard (112) zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen (460), ferner aufweist, einen Benutzernamen von einem unverschlüsselten Teil der Smartcard zu extrahieren (430), eine Datenbank nach abgefragten Authentifizierungsdaten abzufragen (440), die dem Benutzernamen zugeordnet sind, und die durch den Benutzer bereitgestellten Authentifizierungsdaten anhand der abgefragten Authentifizierungsdaten zu authentifizieren (460).
  4. Das Verfahren gemäß Anspruch 3, bei dem die Benutzerberechtigungsnachweise in einem verschlüsselten Teil der Smartcard (112) gespeichert sind (470).
  5. Das Verfahren gemäß Anspruch 4, bei dem die Benutzerberechtigungsnachweise zumindest entweder ein Sicherheitszertifikat, ein privater Schlüssel, ein Passwort und/oder eine Passphrase sind (470).
  6. Das Verfahren gemäß Anspruch 1, das ferner den Schritt aufweist, ein entferntes System (104), mit dem eine Fernsitzung (121) einzurichten ist, aus einer Mehrzahl von entfernten Systemen zu bestimmen (225).
  7. Das Verfahren gemäß Anspruch 1, das ferner folgende Schritte aufweist: Erfassen eines Entfernens der Smartcard (112, 510); und Verwenden einer Sicherheitsmaßnahme, wobei die Sicherheitsmaßnahme zumindest entweder ein Aussetzen der Fernsitzung (520) und/oder ein Beenden der Fernsitzung (530) umfasst.
  8. Das Verfahren gemäß Anspruch 7, das ferner folgende Schritte aufweist: Erfassen eines Einführens der Smartcard (112) in ein Smartcard-Lesegerät (110); und Auffordern des Benutzers, erneut zu authentifizieren, dass der Benutzer der Smartcard zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen (540).
  9. Ein computerlesbares Speichermedium, das ein Programm zum Authentifizieren eines Benutzers aufweist, wobei das Programm bei Ausführung durch einen Computerprozessor bewirkt, dass der Prozessor folgende Schritte durchführt: Anbinden eines Smartcard-Lesegerätes (110) an ein lokales System (102), wobei das Smartcard-Lesegerät (110) dazu konfiguriert ist, Daten von einer Smartcard (112) zu extrahieren; Auffordern eines Benutzers zur Eingabe von Benutzerauthentifizierungsinformationen (310), die der Smartcard (112) zugeordnet sind, wobei die Smartcard (112) darauf gespeicherte Benutzerberechtigungsnachweise aufweist; Empfangen von durch den Benutzer bereitgestellten Authentifizierungsdaten (340, 430); Authentifizieren, dass der Benutzer der Smartcard (112) zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen (460); Extrahieren der Benutzerberechtigungsnachweise von der Smartcard (470); Lösen des Smartcard-Lesegerätes von dem lokalen System (350); Einrichten einer Fernsitzung (121) von dem lokalen System (102) zu einem entfernten System (104); und Anbinden des Smartcard-Lesegerätes (110) an das entfernte System (104).
  10. Ein System zum Authentifizieren eines Benutzers, das Folgendes aufweist: ein lokales System (102), das dazu konfiguriert ist, ein Smartcard-Lesegerät (110) an das lokale System (102) anzubinden, wobei das Smartcard-Lesegerät (110) dazu konfiguriert ist, Daten von einer Smartcard (112) zu extrahieren; eine lokale Authentifizierungsmaschine (120), die dazu konfiguriert ist, den Benutzer des lokalen Systems (102) zur Eingabe von Benutzerauthentifizierungsinformationen aufzufordern, die der Smartcard (112) zugeordnet sind, wobei die Smartcard (112) darauf gespeicherte Benutzerberechtigungsnachweise aufweist, und vom Benutzer bereitgestellte Authentifizierungsdaten zu empfangen, wobei die lokale Authentifizierungsmaschine ferner dazu konfiguriert ist, zu authentifizieren, dass der Benutzer der Smartcard (112) zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen, und die Benutzerberechtigungsnachweise von der Smartcard (112) zu extrahieren; ein Fernzugriffsklienten-(116)-modul, das dazu konfiguriert ist, eine Fernsitzung (121) von dem lokalen System (102) zu einem entfernten System (104) einzurichten; und wobei das lokale System (102) das Smartcard-Lesegerät (110) von dem lokalen System (102) löst und das Smartcard-Lesegerät (110) an das entfernte System (104) anbindet.
  11. Das System gemäß Anspruch 10, bei dem das entfernte System (104) ferner ein Fernauthentifizierungs-(134)-modul aufweist, das dazu konfiguriert ist, die extrahierten Benutzerberechtigungsnachweise zu empfangen und die extrahierten Benutzerberechtigungsnachweise dazu zu verwenden, den Benutzer für das entfernte System (104) zu authentifizieren.
  12. Das System gemäß Anspruch 10, bei dem die lokale Authentifizierungsmaschine (120) ferner dazu konfiguriert ist, einen Benutzernamen von einem unverschlüsselten Teil der Smartcard (112) zu extrahieren, eine Datenbank nach abgefragten Authentifizierungsdaten abzufragen, die dem Benutzernamen zugeordnet sind, und die von dem Benutzer bereitgestellten Authentifizierungsdaten anhand der abgefragten Authentifizierungsdaten zu authentifizieren.
  13. Das System gemäß Anspruch 10, bei dem das lokale System (102) ferner dazu konfiguriert ist: ein Entfernen der Smartcard (112) zu erfassen; und eine Sicherheitsmaßnahme zu verwenden, wobei die Sicherheitsmaßnahme zumindest entweder ein Aussetzen der Fernsitzung (520) und/oder ein Beenden der Fernsitzung (530) umfasst.
  14. Das System gemäß Anspruch 13, bei dem das lokale System ferner dazu konfiguriert ist: ein Einführen der Smartcard (112) in ein Smartcard-Lesegerät (110) zu erfassen; und den Benutzer aufzufordern, erneut zu authentifizieren, dass der Benutzer der Smartcard (112) zugeordnet und dazu autorisiert ist, auf die Benutzerberechtigungsnachweise zuzugreifen (540).
  15. Das System gemäß Anspruch 10, bei dem der Fernzugriffsklient (116) ein entferntes System (104), mit dem eine Fernsitzung (121) einzurichten ist, aus einer Mehrzahl von entfernten Systemen bestimmt (225).
DE112009004968T 2009-03-12 2009-03-12 Dynamische Fernperipherieanbindung Pending DE112009004968T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2009/036918 WO2010104511A1 (en) 2009-03-12 2009-03-12 Dynamic remote peripheral binding

Publications (1)

Publication Number Publication Date
DE112009004968T5 true DE112009004968T5 (de) 2012-07-12

Family

ID=42728607

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112009004968T Pending DE112009004968T5 (de) 2009-03-12 2009-03-12 Dynamische Fernperipherieanbindung

Country Status (5)

Country Link
US (1) US8348157B2 (de)
CN (1) CN102349061B (de)
DE (1) DE112009004968T5 (de)
GB (1) GB2480581B (de)
WO (1) WO2010104511A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040103325A1 (en) * 2002-11-27 2004-05-27 Priebatsch Mark Herbert Authenticated remote PIN unblock
US8418079B2 (en) 2009-09-01 2013-04-09 James J. Nicholas, III System and method for cursor-based application management
FR2973185B1 (fr) * 2011-03-22 2013-03-29 Sagem Defense Securite Procede et dispositif de connexion a un reseau de haute securite
US9542148B2 (en) * 2011-08-24 2017-01-10 Lenovo (Singapore) Pte. Ltd. Adapting a user interface of a remote desktop host
CN102496035A (zh) * 2011-11-15 2012-06-13 大唐微电子技术有限公司 实现智能卡与卡终端交互数据采集的***及方法
US20130139185A1 (en) * 2011-11-30 2013-05-30 Oracle International Corporation Intercepting and tracing interface routine transactions
US9224001B2 (en) * 2012-03-30 2015-12-29 Aetherpal Inc. Access control list for applications on mobile devices during a remote control session
CN103595790B (zh) 2013-11-14 2017-01-04 华为技术有限公司 设备远程访问的方法、瘦客户端和虚拟机
US10841316B2 (en) 2014-09-30 2020-11-17 Citrix Systems, Inc. Dynamic access control to network resources using federated full domain logon
CN104808501B (zh) * 2015-03-31 2018-02-02 小米科技有限责任公司 智能场景删除方法和装置
US10433168B2 (en) * 2015-12-22 2019-10-01 Quanta Computer Inc. Method and system for combination wireless and smartcard authorization
US10050957B1 (en) * 2016-04-08 2018-08-14 Parallels International Gmbh Smart card redirection
CN106713269B (zh) * 2016-11-21 2019-08-06 珠海格力电器股份有限公司 数据处理方法和***、单点服务端和远程服务端
US10958640B2 (en) * 2018-02-08 2021-03-23 Citrix Systems, Inc. Fast smart card login
US10798097B2 (en) * 2018-08-07 2020-10-06 Dell Products L.P. Intelligent redirection of authentication devices
US11316854B2 (en) * 2019-02-04 2022-04-26 Dell Products L.P. Reverse authentication in a virtual desktop infrastructure environment
US11782610B2 (en) * 2020-01-30 2023-10-10 Seagate Technology Llc Write and compare only data storage

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6549934B1 (en) 1999-03-01 2003-04-15 Microsoft Corporation Method and system for remote access to computer devices via client managed server buffers exclusively allocated to the client
DE60024319T2 (de) * 2000-02-08 2006-08-03 Swisscom Mobile Ag Vereinter einloggungsprozess
KR20020039703A (ko) * 2000-11-22 2002-05-30 정경석 다수의 웹 사이트에 대한 사용자 인증 단일 처리 방법 및사용자 인증 단일 처리 시스템
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
KR20030075809A (ko) * 2002-03-20 2003-09-26 유디에스 주식회사 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법
JP4420201B2 (ja) * 2004-02-27 2010-02-24 インターナショナル・ビジネス・マシーンズ・コーポレーション ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
US8769275B2 (en) * 2006-10-17 2014-07-01 Verifone, Inc. Batch settlement transactions system and method
US20090007248A1 (en) 2007-01-18 2009-01-01 Michael Kovaleski Single sign-on system and method
CN100559820C (zh) * 2007-01-22 2009-11-11 珠海市鸿瑞软件技术有限公司 一种拨号安全网关装置
US7823775B2 (en) * 2007-02-28 2010-11-02 Red Hat, Inc. Access to a remote machine from a local machine via smart card
US8070061B2 (en) * 2008-10-21 2011-12-06 Habraken G Wouter Card credential method and system
GB2479103B (en) * 2009-01-29 2014-01-01 Hewlett Packard Development Co Selectively communicating data of a peripheral device to plural sending computers

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEEE-1394

Also Published As

Publication number Publication date
GB201115552D0 (en) 2011-10-26
CN102349061A (zh) 2012-02-08
GB2480581B (en) 2014-05-07
CN102349061B (zh) 2014-04-16
US8348157B2 (en) 2013-01-08
WO2010104511A1 (en) 2010-09-16
GB2480581A (en) 2011-11-23
US20110315763A1 (en) 2011-12-29

Similar Documents

Publication Publication Date Title
DE112009004968T5 (de) Dynamische Fernperipherieanbindung
DE102015215120B4 (de) Verfahren zur verwendung einer vorrichtung zum entriegeln einer weiteren vorrichtung
DE112010004930B4 (de) Sicherer kerberisierter Zugriff auf ein verschlüsseltes Dateisystem
DE102005040073B4 (de) Computersicherheitssystem
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE112015003902T5 (de) Durchsetzen von Dienstrichtlinien in eingebetteten UICC-Karten
DE212009000106U1 (de) Quertransportauthentifikation
DE102009044576A1 (de) Verwaltung von Hardwarepasswörtern
EP1231531A1 (de) Verfahren, Anordnung und Sicherheitsmedium zur Benutzer-Authentifikation beim Zugriff auf vertrauliche Daten
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE112013002539T5 (de) Validierung mobiler Einheiten
DE112017000633T5 (de) Sichere archivierung und wiederherstellung von multifaktor-authentifizierungsschablonen
DE102004044454A1 (de) Tragbares Gerät zur Freischaltung eines Zugangs
EP2458569B1 (de) Datenträgervorrichtung mit eigenem Prozessor zur Ausführung eines Netzzugriffprogramms
DE102010038179B4 (de) Individuelle Aktualisierung von Computerprogrammen
EP1705592A2 (de) Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
EP2631837B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102019105390A1 (de) Ersetzen von sicherheitsanmeldeinformationen für das fahrzeugsteuermodul
DE112005002423B4 (de) Verfahren, Vorrichtung und System zum Beibehalten einer dauernden drahtlosen Netzwerkverbindung
EP3130165B1 (de) Bereitstellen einer virtuellen verbindung zum übertragen von anwendungsdateneinheiten
EP3244331A1 (de) Verfahren zum lesen von attributen aus einem id-token
CN111476575A (zh) 一种基于音频指纹的支付方法和装置以及设备
DE102012104228B4 (de) Elektronisches Zugangsschutzsystem, Verfahren zum Betrieb eines Computersystems, Chipkarte und Firmwarekomponente

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: HEWLETT-PACKARD DEVELOPMENT COMPANY, L.P., SPR, US

Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT COMPANY, L.P., HOUSTON, TEX., US

R082 Change of representative

Representative=s name: HL KEMPNER PATENTANWALT, RECHTSANWALT, SOLICIT, DE

Representative=s name: HL KEMPNER PATENTANWAELTE, SOLICITORS (ENGLAND, DE