DE60119834T2 - Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel - Google Patents
Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel Download PDFInfo
- Publication number
- DE60119834T2 DE60119834T2 DE60119834T DE60119834T DE60119834T2 DE 60119834 T2 DE60119834 T2 DE 60119834T2 DE 60119834 T DE60119834 T DE 60119834T DE 60119834 T DE60119834 T DE 60119834T DE 60119834 T2 DE60119834 T2 DE 60119834T2
- Authority
- DE
- Germany
- Prior art keywords
- legacy
- user
- server
- access
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Description
- HINTERGRUND
- Gebiet der Erfindung
- Diese Erfindung betrifft PKIs ("Public Key Infrastructures"; Infrastrukturen mit öffentlichem Schlüssel) und im Besonderen sichere Legacy-Enklaven in einer PKI.
- Hintergrundinformation
- Eine Infrastruktur mit öffentlichem Schlüssel (PKI) ist eine Ansammlung von Servern und Software, welche es einer Organisation, einer Firma oder einem Unternehmen ermöglichen, Tausende eindeutiger öffentlicher/privater Kryptographieschüssel auf eine Weise zu verteilen und zu verwalten, welche es Nutzern erlaubt, die Identität des Besitzers jedes Paars aus öffentlichem/privatem Schlüssel zu bestimmen. Wenn jedes Mitglied eines Unternehmens einen eindeutigen Schlüssel besitzt, können auf Papier beruhende Geschäftsabläufe in ein elektronisches Online-Äquivalent überführt werden. Öffentlich/Privat-Schlüsselpaare haben die Eigenschaft, dass für jeden gegebenen öffentlichen Schlüssel nur genau ein privater Schlüssel existiert, und umgekehrt. Eine Kryptographie mit einem öffentlichen Schlüssel (d. h., die Fähigkeit, den Verschlüsselungsschlüssel öffentlich zu verteilen) kann dazu verwendet werden, Dokumente digital zu signieren. Falls eine bestimmte Nachricht unter Verwendung eines Mitglieds des Schlüsselpaars entschlüsselt werden kann, ist es dann die Annahme, dass die Nachricht unter Verwendung des anderen Mitglieds verschlüsselt worden sein muss. Falls von vornherein nur eine Person den Schlüssel kennt, der dazu verwendet wird, die Verschlüsselung eines Dokuments durchzuführen, können die Empfänger, die das Dokument entschlüsseln, dann sicher sein, dass der Absender des Dokuments diese Person sein muss.
- Jedoch muss, damit eine digitale Signatur einen Sinn hat, der Empfänger eines mit der digitalen Signatur signierten Objekts zunächst in der Lage sein, den Besitzer und die Integrität des Schlüssels zu bestimmen, der verwendet wird, das Objekt zu signieren. Öffentliche Infrastrukturen erreichen dies unter Verwendung eines elektronischen Dokuments, das ein digitales Zertifikat genannt wird. Zertifikate können eine Information enthalten, welche den Besitzer des Schlüsselpaars, die öffentliche Komponente des Paars und die Zeitdauer identifiziert, für welche das Zertifikat gültig ist. Das Zertifikat kann auch eine technische Information über den Schlüssel selbst identifizieren, wie beispielsweise den Algorithmus, der verwendet wurde, um den Schlüssel zu erzeugen, und die Schlüssellänge. Zertifikate werden von Organisationen, Firmen oder Unternehmen erzeugt, welche für das Verifizieren der Identität von Einzelpersonen (oder in einigen Fällen von Organisationen) verantwortlich sind, an welche die Zertifikate ausgegeben werden. Die zertifizierende Organisation ist als eine Zertifikatsinstanz bekannt. Die Zertifikatsinstanz signiert jedes Zertifikat, welches einen privaten Schlüssel verwendet, welcher nur der Zertifikatsinstanz selbst bekannt ist. Dies erlaubt es Nutzern der PKI, sowohl die Integrität des Zertifikats als auch die Identität der Instanz zu verifizieren, welche es ausgegeben hat. Durch Ausgeben eines Zertifikats gibt eine Zertifikatsinstanz an, dass sie verifiziert hat, dass der öffentliche Schlüssel, welcher in dem Zertifikat auftaucht (und, durch Erweiterung, der zugehörige private Schlüssel) zu der in dem Zertifikat aufgeführten Einzelperson gehört. Die Integrität, mit welcher der Registrierungsablauf arbeitet, ist daher von großer Wichtigkeit. Der Ablauf muss Mechanismen zum verlässlichen Identifizieren der Einzelperson vorsehen, als auch zum Verifizieren, dass der in dem Zertifikat aufgeführte öffentliche Schlüssel dieser Einzelperson gehört.
-
1 zeigt ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur. Aktuelle PKIs, welche eine starke Authentifizierung der Nutzeridentität bereitstellen, erreichen dies über die Verwendung eines lokalen Registrierungsinstanzen-Verantwortlichen, ("local registration authority officer"; LRAO)12 . Der LRAO12 arbeitet an einer Workstation oder an einer Serverplattform14 , auf der eine Softwareanwendung16 für die lokale Registrierungsinstanz läuft. Die Serverplattform14 kann jede bekannte Verarbeitungsvorrichtung sein, welche als ein Server dient, beispielsweise, ein Computer, eine Workstation usw. Die Anwendung16 für die lokale Registrierungsinstanz wechselwirkt mit anderen Serverplattformen, welche Anwendungen enthalten können, wie beispielsweise eine Zertifikatsinstanz-Anwendung18 , eine Registrierungsinstanz-Anwendung20 und/oder eine Schlüsselwiedergewinnungsinstanz-Anwendung22 . Jede Anwendung kann auf der gleichen Serverplattform oder auf getrennten individuellen Serverplattformen14 vorliegen. Ein Benutzer10 , welcher die PKI-Systemarchitektur nutzt oder darauf zuzugreifen wünscht, greift auf das System über einen Webbrowser22 oder eine Client-Plattform24 zu. Ein Hardware-Token26 , wie beispielsweise eine Smartcard, kann auch wirkend mit der Client-Plattform24 verbindbar sein. Typischerweise legt bei herkömmlichen Systemen der Benutzer10 dem Verantwortlichen12 der lokalen Registrierungsinstanz eine Fotoidentifikation vor, um die Identität des Nutzers zu authentifizieren. Der Verantwortliche12 der lokalen Registrierungsinstanz verwendet dann die Workstation14 und die Anwendung16 der lokalen Registrierungsinstanz dazu, um einer Registrierungsinstanz-Anwendung20 zu signalisieren, den neuen Nutzer10 in dem System zu registrieren. Die Anwendung16 der lokalen Registrierungsinstanz kann eine serienmäßig hergestellte Produktsoftware sein, welche typischerweise mit einer Zertifikatsinstanz-Anwendung18 , einer Registrierungsinstanz-Anwendung20 und einer Schlüsselwiedergewinnungsinstanz22 -Software gebündelt ist. - Ein Paar aus öffentlichem/privatem Schlüssel wird entweder durch die Anwendung
16 für die lokale Registrierungsinstanz oder die Registrierungsinstanz-Anwendung20 erzeugt (abhängig von den ausgewählten Produkten und abhängig davon, wie sie konfiguriert sind). Der öffentliche Schlüssel wird zu der Zertifikatsinstanz-Anwendung18 gesandt, um signiert zu werden, wodurch für den neuen Nutzer10 ein Zertifikat erzeugt wird. Eine Sicherungskopie des privaten Schlüssels kann auch zur Schlüsselwiedergewinnungsinstanz-Anwendung22 gesandt werden, jedoch wird der private Schlüssel normalerweise auf einem Token26 oder auf einer Client-Plattform24 vom Nutzer10 vorgehalten. Sobald der öffentliche Schlüssel zu einer Zertifikatsinstanz18 gesandt worden und unterschrieben worden ist, wird ein Nutzerzertifikat erzeugt und einem Server für die lokale Registrierungsinstanz bereitgestellt. Der Verantwortliche12 der lokalen Registrierungsinstanz kopiert das Zertifikat (einschließlich des privaten Schlüssels) auf eine Diskette, ein Hardware-Token oder ein anderes Speichermedium und stellt dann das Zertifikat und den privaten Schlüssel dem Nutzer zur Verfügung. - Aktuelle PKI-Systeme, welche Legacy-Anwendungen in das System integrieren, verändern Software in einer Legacy-Anwendung
30 , die auf einem Legacy-Server32 gespeichert ist. Die Veränderungen werden durch einen Legacy-Entwickler34 durchgeführt, welcher die Software innerhalb der Legacy-Anwendung verändert durch Verändern des Quellcodes und erneutes Kompilieren der Anwendung. Die Software-Änderungen erlauben es der Legacy-Anwendung, mit den Signaturzertifikaten zu arbeiten. Modifizieren der Software innerhalb der Legacy-Anwendung ist üblicherweise sehr teuer. - In aktuellen Systemen kann ein Nutzer versuchen, von einer Client-Plattform
24 aus auf eine Legacy-Anwendung30 auf einem Legacy-Server32 zuzugreifen. Ein solches System kann man in US-A-5,754,830 sehen. Bevor Zugriff auf den Legacy-Server gewährt wird, muss der Nutzer das Signaturzertifikat des Nutzers der Legacy-Anwendung zeigen (da die Legacy-Anwendung verändert worden ist, so dass ein Zertifikat vom Nutzer verlangt wird). Abhängig von einer Zugangskontrollliste, welche in der Legacy-Anwendung konfiguriert ist, wird die Legacy-Anwendung entweder dem Nutzer auf der Grundlage des Signaturzertifikats des Nutzers Zugang gewähren oder verwehren. Legacy-Anwendungen und -Server verwenden typischerweise proprietäre Computerschnittstellen und angepasste Software-Clients. Diese Schnittstellen und Clients verlassen sich typischerweise auf ein einfaches Schema aus Nutzerkennung und Passwort, um die Identität eines Nutzers zu authentifizieren. Jedoch ist, wie oben angemerkt, das Durchführen erheblicher Veränderungen an diesen Schnittstellen und Clients, damit sie mit Signaturzertifikaten zusammenarbeiten, allgemein sehr teuer. - Daher besteht ein Bedürfnis nach einem System und einem Verfahren zum Integrieren von Legacy-Systemen in ein modernes PKI-basiertes Authentifizierungssystem, ohne teure Veränderungen der Legacy-Software zu benötigen.
- ZUSAMMENFASSUNG
- Die vorliegende Erfindung betrifft ein System für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel (PKI), welches ein oder mehrere Legacy-Server, ein oder mehrere Client-Plattformen, ein oder mehrere Verzeichnisse und ein VPN (virtuelles privates Netzwerk)-Extranet-Gateway umfasst. Die Legacy-Server umfassen eine oder mehrere Legacy-Anwendungen und können mit einem ersten Netzwerk verbunden sein. Die Client-Plattformen sind mit einem zweiten Netzwerk verbunden. Die Client-Plattformen enthalten Legacy-Client-Software, welche von Nutzern verwendbar ist, um auf die Legacy-Anwendungen zuzugreifen. Die Verzeichnisse sind mit dem zweiten Netzwerk verbunden und enthalten Information über die Nutzer. Die Verzeichnisse können auch Information über jeden Nutzer enthalten, welche angibt, ob der Nutzer dazu berechtigt ist, auf die Legacy-Server zuzugreifen. Das VPN-Extranet-Gateway ist zwischen den Legacy-Servern und dem zweiten Netzwerk eingebunden. Das VPN-Extranet-Gateway verlangt ein Signaturzertifikat jedes Nutzers, der versucht, auf eine Legacy-Anwendung zuzugreifen, um den Nutzer zu authentifizieren. Das VPN-Extranet-Gateway fragt das Verzeichnis ab, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server nach Authentifizieren des Nutzers erlaubt ist. Das VPN-Extranet-Gateway stellt eine Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung her, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist.
- Die vorliegende Erfindung ist ferner auf ein Verfahren für sichere Legacy-Enklaven in einer PKI gerichtet, welches umfasst: Installieren eines VPN-Extranet-Gateways zwischen einem oder mehreren Legacy-Servern und einer Legacy-Client-Plattform; Versuchen, sich Zugang zu einer Legacy-Anwendung auf einem Legacy-Server zu verschaffen, und zwar durch einen Nutzer, welcher eine Legacy-Client-Software auf der Legacy-Client-Plattform verwendet; Anfordern eines Signaturzertifikats des Nutzers durch das VPN-Extranet-Gateway, um den Nutzer zu authentifizieren; Abfragen eines Verzeichnisses durch das VPN-Extranet-Gateway nach Authentifizieren des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist; und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den mindestens einem Legacy-Server erlaubt ist.
- Die vorliegende Erfindung ist auch auf einen Gegenstand gerichtet, der ein Speichermedium mit darin gespeicherten Befehlsfolgen umfasst, wobei die Befehlsfolgen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung dazu veranlassen, folgendes durchzuführen: Empfangen eines Versuchs von einem eine Legacy-Client-Software verwendenden Nutzer, auf eine Legacy-Anwendung auf einem Legacy-Server zuzugreifen; Anfordern eines Signaturzertifikats des Nutzers, um den Nutzer zu authentifizieren; Abfragen eines Verzeichnisses nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist; und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
- Die vorliegende Erfindung wird in der genauen Beschreibung weiter beschrieben, welche in Bezug auf die aufgeführte Vielzahl von Zeichnungen folgt, und zwar durch nicht-beschränkende Beispiele von Ausführungsformen der vorliegenden Erfindung, in welchen gleiche Bezugsziffern gleiche Teile durch die verschiedenen Ansichten der Zeichnungen hindurch darstellen und worin:
-
1 ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur ist; -
2 ein Blockdiagramm einer beispielhaften Systemarchitektur ist, in welcher PKI-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung praktiziert werden; und -
3 ein Flussdiagramm eines beispielhaften Ablaufes für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichen Schlüsseln gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ist. - GENAUE BESCHREIBUNG
- Die hierin gezeigten Besonderheiten werden beispielhaft und zum Zwecke einer erklärenden Diskussion der Ausführungsformen der vorliegenden Erfindung gezeigt. Die mit den Zeichnungen zusammenhängende Beschreibung macht es den Fachleuten klar, wie die vorliegende Erfindung in der Praxis ausgestaltet sein kann.
- Weiterhin können Anordnungen in einer Blockdiagrammform gezeigt werden, um es zu vermeiden, die Erfindung zu verschleiern, und auch aus Sicht der Tatsache, dass Besonderheiten in Bezug auf die Implementierung solcher Blockdiagrammanordnungen hochgradig von der Plattform abhängen, innerhalb welcher die vorliegende Erfindung zu implementieren ist, d. h., dass Besonderheiten innerhalb des Könnens des Fachmanns liegen sollten. Wo bestimmte Details (z. B. Schaltungen, Flussdiagramme) angeführt werden, um beispielhafte Ausführungsformen der Erfindung zu beschreiben, sollte es dem Fachmann klar sein, dass die Erfindung ohne diese spezifischen Details ausgeführt werden kann. Letztendlich sollte es klar sein, dass jede Kombination von verdrahteter Schaltung und Software-Anweisungen verwendet werden kann, um die Ausführungsformen der vorliegenden Erfindung zu implementieren, d. h., dass die vorliegende Erfindung nicht auf eine bestimmte Kombination von Hardware-Schaltung und Software-Anweisungen beschränkt ist.
- Obwohl beispielhafte Ausführungsformen der vorliegenden Erfindung unter Verwendung eines beispielhaften Systemblockdiagramms in einer beispielhaften Host-Einheitsumgebung beschrieben werden können, ist die Ausführung der Erfindung nicht darauf beschränkt, d. h., dass die Erfindung in der Lage ist, in anderen Arten von Systemen ausgeführt zu werden als auch in anderen Arten von Umgebungen (z. B. Servern).
- Ein Bezug in der Beschreibung auf "eine Ausführungsform" bedeutet, dass ein bestimmtes Merkmal, Struktur oder Eigenschaft, welche in Verbindung mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform der Erfindung enthalten ist. Das Auftreten des Ausdrucks "in einer Ausführungsform" an verschiedenen Stellen in der Beschreibung bezieht sich nicht notwendiger Weise auf die gleiche Ausführungsform.
-
2 zeigt ein Blockdiagramm einer beispielhaften Systemarchitektur100 , in welcher PKI (Infrastruktur mit öffentlichem Schlüssel)-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden können. Die vorliegende Erfindung ist nicht auf die in2 gezeigte Systemarchitektur100 beschränkt. Die in2 gezeigten Kästen stellen Einheiten dar, welche Hardware, Software oder eine Kombination der beiden sein können. Die Einheiten sind wirkend miteinander über ein Netzwerk verbunden. Einheiten, welche als nicht mit dem Netzwerk verbunden dargestellt sind, stellen ein oder mehrere Personen dar, welche die in dem Kasten bezeichnete Funktion durchführen. - Die Systemarchitektur
100 umfasst eine Dateneingabe102 , welche eine Dateneingabefunktion für eine autoritative bzw. verbindliche Datenbank104 durchführt. Die verbindliche Datenbank104 befindet sich auf der Serverplattform106 . In dieser Beschreibung wird sich auf eine Serverplattform106 bezogen, aber es sollte klar sein, dass die vorliegende Erfindung nicht auf irgendeine bestimmte Serverarchitektur beschränkt ist. Die Serverplattform106 kann beispielsweise aus UNIX- oder Windows-NT-Servern bestehen. - Die verbindliche Datenbank
104 enthält Information über Mitglieder der Gruppe oder des Unternehmens (z. B. eine Firma), für welche erfindungsgemäße PKI-Dienstleistungen durchgeführt werden können. Die vorliegende Erfindung ist nicht durch die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der verbindlichen Datenbank104 gespeichert wird. Die in der verbindlichen Datenbank104 enthaltene Information kann beispielsweise den Namen, die Adresse, Telefonnummern, den Namen des Managers, die Angestelltenkennung usw. des Mitglieds der Gruppe oder des Unternehmens umfassen. Das Verzeichnis108 enthält die gleiche Information, die in der Datenbank104 enthalten ist, ist aber zum schnellen Nachschlagen der darin gespeicherten Information optimiert statt auf eine schnelle Dateneingabe. Auf die im Verzeichnis108 enthaltene Information kann schneller zugegriffen werden als auf die Information von Datenbank104 . Das Verzeichnis108 funktioniert ähnlich einem schnell zugänglich Online-Telefonbuch, das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der verbindlichen Datenbank104 gespeichert sind. - Die Zertifikatsinstanz
110 kann eine herkömmliche serienmäßig hergestellte Software sein, die auf der Serverplattform106 ausgeführt wird. Die Zertifikatsinstanz110 stellt eine Speicherung der Zertifikate und zugehörige Information bereit. Dies wird genauer im Folgenden beschrieben. Die Registrierungsinstanz112 kann auch eine serienmäßig hergestellte Software sein, die auf einer Serverplattform106 ausführbar ist. Die Registrierungsinstanz112 wird auch weiter unten genauer beschrieben. Die Schlüsselwiedergewinnungsinstanz114 kann auch eine serienmäßig hergestellte Serversoftware sein, die auf der Serverplattform106 ausführbar ist, und kann die Funktion bereitstellen, Schlüssel (z. B. archivierte oder verlorene Schlüssel) für Mitglieder der Gruppe oder des Unternehmens wiederherzugewinnen. - Eine Windows 2000-Domänen-Zertifikatsinstanz (CA)
116 ist mit einer gepunkteten Linienverbindung zum Netzwerk gezeigt und kann ein Teil eines erfindungsgemäßen Systems sein, oder auch nicht. Windows 2000 ist in der Lage, PKI-Zertifikate für eine einzelne Netzwerkanmeldung zu verwenden, aber Windows 2000 ist dazu ausgelegt, nur das Windows-Zertifikatsinstanz-Windows zu verwenden. Daher kann ein erfindungsgemäßes System eine herkömmliche Zertifikatsinstanz110 als auch eine 2000-Domänen-CA116 umfassen. - Der Legacy-Server
118 führt Legacy-Anwendungsprogramme120 aus. Der Legacy-Server118 kann ohne Beschränkung ein Main-Frame, ein Minicomputer, eine Workstation oder ein anderer Server sein, der in der Lage ist, die Legacy-Software-Applikationen aufzunehmen. Legacy-Softwareanwendungen mögen allgemein nicht dazu ausgelegt werden, inhärent mit einer PKI zusammenzuarbeiten. Die Legacy-Anwendungen120 können auf der Client-Seite mittels eines nutzerangepassten Clients128 , wie beispielsweise eines Emulators oder einer nutzerangepassten Datenbank-GUI ("Graphic User Interface; grafische Nutzeroberfläche) zugänglich sein. Beispiele für Emulatoren sind Endgeräteemulatoren einer IBM 3270 oder Endgeräteemulatoren eines vt100. - Eine Registrierungs-Webseite
122 , welche ein oder mehrere Seiten umfassen kann, arbeitet als die Nutzerschnittstelle zur in1 gezeigten Systemarchitektur100 . Der Webserver124 ist eine Softwareanwendung, welche Webseiten (wie beispielsweise die Webseiten122 ) oder andere HTML-Ausgaben, auf einen Webbrowser-Client (wie beispielsweise den Webbrowser126 ) bedient. Der Webserver124 kann jede Softwareanwendung sein, welche Webseiten oder HTML-Ausgaben bedient, wie beispielsweise eine Apache-, eine Microsoft Internetinformationsserver-Anwendung usw. - Der Webbrowser
126 befindet sich auf der Client-Plattform128 , welche jeder Nutzercomputer oder Verarbeitungsvorrichtung sein kann. Der Webbrowser126 kann eine Client-Softwareanwendung zum Browsen von Webseiten sein, wie beispielsweise von HTML-Protokollen, XML-Protokollen oder anderen Protokollen. Der Webbrowser126 kann programmiert sein, um mit PKI-Zertifikaten zu arbeiten, welche von der Zertifikatsinstanz110 ausgegeben worden sind. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, umfassen den Netscape Navigator und den Microsoft Internet Explorer. Der Token130 kann eine Smartcard, eine Vorrichtung mit einem universel len seriellen Bus (USB) oder eine andere Hardware-Token-Vorrichtung sein, die in der Lage ist, PKI-Zertifikate zu erzeugen, zu speichern und/oder zu verwenden. - Ein Nutzer
132 ist eine Person, welche die Systemarchitektur100 verwendet oder darauf Zugriff erwünscht. Der Nutzer132 kann eine Anzahl von Zuständen durchlaufen, welche beispielsweise einen neuen Nutzer, einen gegenwärtigen Nutzer und einen ehemaligen Nutzer umfassen. Ein ehemaliger Nutzer ist nicht länger ein Mitglied der Gruppe oder des Unternehmens. Die Systemarchitektur100 wird in Bezug auf zwei Sicherheitsstufen beschrieben, wobei jede Stufe einer unterschiedlichen Sicherheitsanforderung entspricht. Die Zahl der Sicherheitsstufen ist keine Begrenzung der vorliegenden Erfindung. Die Suchmaschine134 für Stufe 1 kann eine Suchmaschine sein, welcher erlaubt ist, die Systemarchitektur100 zu durchsuchen, der es aber nur erlaubt ist, auf Daten von Stufe 1 zurückzugreifen, welche die niedrigste Sicherheitsstufe ist. Daten von Stufe 1 können beispielsweise Daten sein, welche frei verteilbar sind, während Daten von Stufe 2 als proprietär angesehen werden können. Eine Suchmaschine136 für Stufe 2 kann eine Suchmaschine sein, welcher es erlaubt ist, Daten sowohl von Stufe 1 als auch von Stufe 2 zu durchsuchen. Eine Suchmaschine für Stufe N (nicht dargestellt) kann eine Suchmaschine sein, welcher es erlaubt ist, durch Server zu suchen, welche Daten von Stufe 1 bis N aufweisen, Ein gesicherter Stufenserver mit Daten von Stufe 1 kann ein Webserver sein, der nur Daten von Stufe 1 enthält, welche so gesichert sind, dass Nutzer Zugang (zumindest) für Stufe 1 besitzen müssen, um auf die Server für Stufe 1 zuzugreifen. Ein gesicherter Webserver mit Daten140 für Stufe 2 kann ein Webserver sein, welcher Daten für Stufe 2 enthält, die so gesichert sind, dass Nutzer zumindest einen Zugang für Stufe 2 besitzen müssen, um auf die Server für Stufe 2 zuzugreifen. Ein Nutzer mit Zugang für Stufe 2 kann Zugang zu Servern sowohl für Stufe 1 als auch für Stufe 2 besitzen. Ein gesicherter Webserver mit Daten für Stufe N (nicht dargestellt) ist ein Webserver, welcher Daten für Stufe N enthält, welche nur Nutzern mit Stufe N oder darüber zugänglich sind. Nutzer mit Stufe N oder darüber können Zugriff auf alle Stufen von Daten bis zu Daten für Stufe N aufweisen. - Das VPN-Extranet
142 kann eine Softwareanwendung sein, welche als ein Netzwerk-Gateway arbeitet, welches, wie gezeigt, mit entweder mit einem Legacy-Server118 und einer Legacy-Anwendung120 oder mit einem externen Netzwerk, wie beispielsweise dem Internet, verbunden sein kann. Die persönliche Widerrufsinstanz144 kann ein oder mehrere Personen umfassen, welche dafür verantwortlich sind, Mitglieder aus dem Systemnetzwerk100 zu entfernen. Die persönliche Registrierungsin stanz146 kann ein oder mehrere Personen umfassen, welche für die Registrierung von Mitgliedern in dem Systemnetzwerk100 verantwortlich ist. Die persönliche Wiedergewinnungsgenehmigung148 kann ein oder mehrere Personen umfassen, welche für ein Erlangen einer Wiedergewinnung von Zertifikaten verantwortlich sind. Ein Wiedererlangungsagent150 kann ein oder mehrere Personen umfassen, welche eine Wiedererlangung von Zertifikaten durchführen und mögen nur dann ein Zertifikat wiedererlangen, falls das Zertifikat zuerst als wiedererlangbar von einer anderen Person bezeichnet worden ist. Eine persönliche Rollengenehmigung152 kann ein oder mehrere Personen umfassen, welche unterschiedliche Rollenfunktionen innerhalb des Systemnetzwerks100 genehmigen. Ein Webserver-Administrator kann ein oder mehrere Personen umfassen, welche für verschiedene Webfunktionen im Systemnetzwerk100 verantwortlich sind. - Erfindungsgemäße Systeme und Verfahren für sichere Legacy-Enklaven stellen die kombinierte Anwendung digitaler Signaturzertifikate und Virtueller Privater Netzwerke (VPNs) bereit, um eine kostengünstigere Lösung zum Herstellen sicherer Legacy-Enklaven bereitzustellen. Eine Legacy-Enklave kann als ein lokales Netzwerk ("Local Area Network"; LAN) definiert werden, welches von dem Unternehmensnetzwerk zum Zwecke des Isolierens der Legacy-Server und -Anwendungen abgetrennt worden ist. Erfindungsgemäß sind Legacy-Enklaven vom Hauptnetzwerk isoliert. Die Legacy-Enklaven sind mit VPNs verbunden und durch diese geschützt, welche eine digitale Signaturvalidierung und -verifizierung von den Nutzern benötigen, bevor sie Zugriff auf die Server und Anwendungen der Legacy-Enklaven zulassen.
- Ein VPN-Extranet-Gateway greift auf ein oder mehrere Verzeichnisse zu, welche digitale Signaturen der Nutzer enthalten, und zwar zum Validieren eines Nutzers/Clients, welcher versucht, auf ein Legacy-System zuzugreifen. Das VPN-Gateway erzeugt effektiv eine sichere Enklave um das Legacy-System herum durch dessen Anordnen in einem virtuellen Netzwerk, das nur aus ihr selbst besteht (d. h., der sicheren Legacy-Enklave). Das VPN-Gateway erlaubt verschlüsselten Zugang durch das VPN-Gateway, wodurch moderne Sicherheitslösungen für Netzwerk-zu-Netzwerk (Unternehmensnetzwerk-zu-sichere Legacy-Enklaven)-Aktivitäten verwendet werden.
-
3 zeigt ein Flussdiagramm eines beispielhaften Ablaufs für sichere Legacy-Enklaven gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. Ein VPN-Extranet-Gateway wird zwischen einem oder mehreren Legacy-Server(n) und einer oder mehreren Legacy-Client-Plattform(en) eingefügt S1. Die Legacy-Server können Teil eines oder mehrerer Legacy-Enklaven-Netzwerke sein. Die Client- Plattformen können mit einem Unternehmensnetzwerk verbunden sein. Das VPN-Extranet-Gateway kann durch einen Unternehmensnetzwerk-Administrator eingefügt werden. Der Legacy-Netzwerk-Administrator kann das VPN-Extranet-Gateway mit Nutzern konfigurieren, denen es erlaubt ist, auf die Legacy-Server zuzugreifen S2. Ein Nutzer verwendet eine Legacy-Client-Software, die sich auf einer Client-Plattform befindet, um einen Zugriff auf eine Legacy-Anwendung auf einem Legacy-Server zu versuchen S3. Das VPN-Extranet-Gateway empfängt den Versuch von dem Nutzer und fordert, dass der Nutzer das Signaturzertifikat des Nutzers sendet S4. Das VPN-Extranet-Gateway verwendet das Signaturzertifikat des Nutzers, um den Nutzer zu authentifizieren, d. h., zu validieren, dass der Nutzer in der Tat derjenige ist, von dem der Nutzer sagt, dass er es ist. Das VPN-Gateway empfängt das Signaturzertifikat des Nutzers, authentifiziert den Nutzer und durchsucht ein Verzeichnis, um zu bestätigen, dass es dem Nutzer erlaubt ist, auf den Legacy-Server zuzugreifen S5. Das Verzeichnis kann eine Datenbank sein, die mit dem Unternehmensnetzwerk verbunden ist. Das Verzeichnis enthält Information über alle Nutzer, die Mitglieder des Unternehmens sind, zusammen mit anderer Information über jeden Nutzer, beispielsweise, ob dem Nutzer ein Zugriff auf Legacy-Server erlaubt ist. Das Verzeichnis greift auf die in dem Verzeichnis gespeicherte Information des Nutzers zu und entscheidet, ob dem Nutzer ein Zugriff bzw. Zugang auf den Legacy-Server erlaubt ist. Falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist, stellt das VPN-Extranet-Gateway eine Verbindung zwischen der Legacy-Client-Software, die sich auf der Client-Plattform befindet, und der Legacy-Anwendung, die sich auf einem Legacy-Server befindet, her S6. Nachdem die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt worden ist, kann die Legacy-Anwendung weiterhin eine Nutzerkennung und ein Passwort vom Nutzer verlangen, bevor sie dem Nutzer Zugang zur Legacy-Anwendung erlaubt. - Erfindungsgemäße Systeme und Verfahren für sichere Legacy-Enklaven sind vorteilhaft darin, dass keine Software-Änderungen an den Legacy-Systemen benötigt werden. Ferner wird eine größere Sicherheit durch die Anforderung erreicht, dass jemand, der einen Zugriff auf das Legacy-System versucht, dem VPN nicht nur ein Passwort, sondern auch ein digitales Signaturzertifikat vorweisen muss.
- Es ist anzumerken, dass die obigen Beispiele lediglich für Erklärungszwecke bereitgestellt worden sind und keineswegs als die vorliegende Erfindung beschränkend anzusehen sind. Während die vorliegende Erfindung in Bezug auf eine bevorzugte Ausführungsform beschrieben worden ist, sollte es klar sein, dass die Worte, welche hierin verwendet worden sind, Worte der Beschreibung und Darstellung statt Worte der Begrenzung sind. Änderungen können innerhalb des Bereichs der angehängten Ansprüche, wie sie zur Zeit angegeben und geändert worden sind, durchgeführt werden, ohne vom Umfang der vorliegenden Erfindung in seinen Gesichtspunkten abzuweichen. Obwohl die vorliegende Erfindung hierin in Bezug auf bestimmte Verfahren, Materialien und Ausführungsformen beschrieben worden ist, ist die vorliegende Erfindung nicht dazu gedacht, auf die hierin offenbarten speziellen Merkmale beschränkt zu werden, stattdessen erstreckt sich die vorliegende Erfindung auf alle funktional äquivalenten Strukturen, Verfahren und Anwendungen, so wie sie innerhalb des Umfangs der angehängten Ansprüche vorliegen.
Claims (11)
- System (
100 ) für eine sichere Legacy-Enklave in einer Infrastruktur mit öffentlichen Schlüsseln (PKI), umfassend: mindestens einen Legacy-Server (118 ), wobei der mindestens eine Legacy-Server mindestens eine Legacy-Anwendung (120 ) enthält; mindestens eine Client-Plattform (128 ), die funktional mit einem Netzwerk verbunden ist, wobei die mindestens eine Client-Plattform eine Legacy-Client-Software enthält, die von mindestens einem Nutzer verwendbar ist, um auf die mindestens eine Legacy-Anwendung zuzugreifen; ein funktional mit dem Netzwerk verbundenes Verzeichnis (108 ), wobei das Verzeichnis eine Information über den mindestens einen Nutzer enthält, wobei das Verzeichnis ferner eine Information über jeden der mindestens einen Nutzer enthält, die angibt, ob jeder der mindestens einen Nutzer berechtigt ist, auf den mindestens einen Legacy-Server zuzugreifen; und ein Extranet-Gateway (142 ) für ein Virtuelles Privates Netzwerk (VPN), wobei das VPN-Extranet-Gateway funktional zwischen dem mindestens einen Legacy-Server (118 ) und dem Netzwerk eingebunden ist, wobei das VPN-Extranet-Gateway ein Signaturzertifikat des mindestens einen Nutzers anfordert, welcher versucht, auf die Legacy-Anwendung zuzugreifen, um den mindestens einen Nutzer zu authentifizieren, wobei das VPN-Extranet-Gateway das Verzeichnis (108 ) abfragt, um zu bestätigen, dass dem mindestens einen Nutzer nach Authentifizierung des mindestens einen Nutzers ein Zugriff auf den Legacy-Server erlaubt ist, wobei das VPN-Extranet-Gateway eine Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung herstellt, falls dem mindestens einen Nutzer ein Zugriff auf den Legacy-Server erlaubt ist. - System nach Anspruch 1, wobei das Verzeichnis eine Datenbank umfasst.
- System nach Anspruch 1, weiterhin umfassend ein zweites Netzwerk, wobei der mindestens eine Legacy-Server funktional mit dem zweiten Netzwerk verbunden ist, wobei das VPN-Extranet-Gateway zwischen dem zweiten Netzwerk und dem Netzwerk eingebunden ist.
- Verfahren für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichen Schlüsseln (PKI), umfassend: Installieren eines Extranet-Gateways für ein Virtuelles Privates Netzwerk (VPN) zwischen mindestens einem Legacy-Server und einer Legacy-Client-Plattform (S1); Versuchen, sich Zugang zu einer Legacy-Anwendung auf dem mindestens einen Legacy-Server zu verschaffen, und zwar durch einen Nutzer, der eine Legacy-Client-Software auf der Legacy-Client-Plattform verwendet (S3); Anfordern eines Signaturzertifikats des Nutzers durch das VPN-Extranet-Gateway, um den Nutzer zu authentifizieren (S4); Abfragen eines Verzeichnisses durch das VPN-Extranet-Gateway nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist (S5); und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist (S6).
- Verfahren nach Anspruch 4, weiterhin umfassend ein Konfigurieren des VPN-Extranet-Gateways mit Nutzern, denen ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist, nach dem Installieren des VPN-Extranet-Gateways zwischen dem mindestens einen Legacy-Server und der Legacy-Client-Plattform.
- Verfahren nach Anspruch 4, wobei das Verzeichnis eine Datenbank umfasst.
- Verfahren nach Anspruch 4, weiterhin umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer durch den Legacy-Server nachdem die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt worden ist.
- Verfahren nach Anspruch 4, weiterhin umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer durch das VPN-Extranet-Gateway bevor die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt wird.
- Gegenstand, der ein Speichermedium mit darin gespeicherten Befehlsfolgen umfasst, wobei die Befehlsfolgen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung dazu veranlassen, Folgendes durchzuführen: Empfangen eines Versuchs von einem eine Legacy-Client-Software verwendenden Nutzer, auf eine Legacy-Anwendung auf einem Legacy-Server zuzugreifen (S3); Anfordern eines Signaturzertifikats des Nutzers, um den Nutzer zu authentifizieren (S4); Abfragen eines Verzeichnisses nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist (S5); und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist (S6).
- Gegenstand nach Anspruch 9, ferner umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer bevor die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt wird.
- Gegenstand nach Anspruch 9, welcher eine Konfigurationsinformation in Bezug auf Nutzer empfängt, denen ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist.
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US210521 | 1998-12-11 | ||
US21052100P | 2000-06-09 | 2000-06-09 | |
US22933600P | 2000-09-01 | 2000-09-01 | |
US229336 | 2000-09-01 | ||
US09/730,044 US6898710B1 (en) | 2000-06-09 | 2000-12-05 | System and method for secure legacy enclaves in a public key infrastructure |
US730044 | 2000-12-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60119834D1 DE60119834D1 (de) | 2006-06-29 |
DE60119834T2 true DE60119834T2 (de) | 2006-10-19 |
Family
ID=27395517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60119834T Expired - Lifetime DE60119834T2 (de) | 2000-06-09 | 2001-05-31 | Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel |
Country Status (4)
Country | Link |
---|---|
US (1) | US6898710B1 (de) |
EP (1) | EP1162807B1 (de) |
JP (1) | JP2002064485A (de) |
DE (1) | DE60119834T2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021209505A1 (de) | 2021-08-30 | 2023-03-02 | Volkswagen Aktiengesellschaft | System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6673479B2 (en) * | 2001-03-15 | 2004-01-06 | Hydrogenics Corporation | System and method for enabling the real time buying and selling of electricity generated by fuel cell powered vehicles |
US6996537B2 (en) | 2001-08-13 | 2006-02-07 | Qualcomm Incorporated | System and method for providing subscribed applications on wireless devices over a wireless network |
US9203923B2 (en) * | 2001-08-15 | 2015-12-01 | Qualcomm Incorporated | Data synchronization interface |
US20030115259A1 (en) * | 2001-12-18 | 2003-06-19 | Nokia Corporation | System and method using legacy servers in reliable server pools |
JP2004021666A (ja) * | 2002-06-18 | 2004-01-22 | Hitachi Ltd | ネットワークシステム、サーバ、およびサーバ設定方法 |
US8065717B2 (en) * | 2002-11-27 | 2011-11-22 | Activcard | Automated security token administrative services |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
WO2005069917A2 (en) | 2004-01-21 | 2005-08-04 | Qualcomm Incorporated | Application-based value billing in a wireless subscriber network |
DE102004045147A1 (de) | 2004-09-17 | 2006-03-23 | Fujitsu Ltd., Kawasaki | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm |
US7950044B2 (en) * | 2004-09-28 | 2011-05-24 | Rockwell Automation Technologies, Inc. | Centrally managed proxy-based security for legacy automation systems |
US7661128B2 (en) * | 2005-03-31 | 2010-02-09 | Google Inc. | Secure login credentials for substantially anonymous users |
US9185538B2 (en) | 2005-05-31 | 2015-11-10 | Qualcomm Incorporated | Wireless subscriber application and content distribution and differentiated pricing |
US9350875B2 (en) | 2005-05-31 | 2016-05-24 | Qualcomm Incorporated | Wireless subscriber billing and distribution |
US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
US9143622B2 (en) | 2006-02-17 | 2015-09-22 | Qualcomm Incorporated | Prepay accounts for applications, services and content for communication devices |
US9185234B2 (en) | 2006-02-22 | 2015-11-10 | Qualcomm Incorporated | Automated account mapping in a wireless subscriber billing system |
US20070234412A1 (en) * | 2006-03-29 | 2007-10-04 | Smith Ned M | Using a proxy for endpoint access control |
US8831011B1 (en) | 2006-04-13 | 2014-09-09 | Xceedium, Inc. | Point to multi-point connections |
US7873071B2 (en) * | 2006-05-15 | 2011-01-18 | The Boeing Company | Multiple level security adapter |
US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
US8307425B2 (en) * | 2006-08-04 | 2012-11-06 | Apple Inc. | Portable computer accounts |
US20080040404A1 (en) * | 2006-08-11 | 2008-02-14 | Microsoft Corporation | Host computer I/O filter re-directing potentially conflicting I/O commands from instantiations of legacy application |
US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
US8561136B2 (en) * | 2007-10-10 | 2013-10-15 | R. Brent Johnson | System to audit, monitor and control access to computers |
US8479281B2 (en) | 2008-03-26 | 2013-07-02 | Dell Products L.P. | Authentication management methods and media |
US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
US8352741B2 (en) | 2009-06-11 | 2013-01-08 | Microsoft Corporation | Discovery of secure network enclaves |
US8972746B2 (en) * | 2010-12-17 | 2015-03-03 | Intel Corporation | Technique for supporting multiple secure enclaves |
US9087196B2 (en) * | 2010-12-24 | 2015-07-21 | Intel Corporation | Secure application attestation using dynamic measurement kernels |
US8744078B2 (en) | 2012-06-05 | 2014-06-03 | Secure Channels Sa | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths |
US9864861B2 (en) * | 2014-03-27 | 2018-01-09 | Intel Corporation | Object oriented marshaling scheme for calls to a secure region |
US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
US20180131525A1 (en) * | 2016-11-07 | 2018-05-10 | International Business Machines Corporation | Establishing a secure connection across secured environments |
EP3857838A1 (de) * | 2018-10-16 | 2021-08-04 | Huawei Technologies Co., Ltd. | Knoten und verfahren zur sicheren serverkommunikation |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5754830A (en) * | 1996-04-01 | 1998-05-19 | Openconnect Systems, Incorporated | Server and web browser terminal emulator for persistent connection to a legacy host system and method of operation |
US6026379A (en) * | 1996-06-17 | 2000-02-15 | Verifone, Inc. | System, method and article of manufacture for managing transactions in a high availability system |
US7054844B2 (en) * | 2000-01-05 | 2006-05-30 | Bce Emergis Inc. | Secure electronic procurement system and method |
-
2000
- 2000-12-05 US US09/730,044 patent/US6898710B1/en not_active Expired - Lifetime
-
2001
- 2001-05-31 EP EP01112857A patent/EP1162807B1/de not_active Expired - Lifetime
- 2001-05-31 DE DE60119834T patent/DE60119834T2/de not_active Expired - Lifetime
- 2001-06-08 JP JP2001173348A patent/JP2002064485A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021209505A1 (de) | 2021-08-30 | 2023-03-02 | Volkswagen Aktiengesellschaft | System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung |
Also Published As
Publication number | Publication date |
---|---|
US6898710B1 (en) | 2005-05-24 |
EP1162807B1 (de) | 2006-05-24 |
JP2002064485A (ja) | 2002-02-28 |
EP1162807A3 (de) | 2004-01-07 |
DE60119834D1 (de) | 2006-06-29 |
EP1162807A2 (de) | 2001-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60119834T2 (de) | Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel | |
DE60121517T2 (de) | Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems | |
DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
DE69835416T2 (de) | Verfahren zur sicheren ausführung eines fernmeldebefehls | |
DE60132733T2 (de) | Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE102007033615B4 (de) | Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen | |
DE102008042262B4 (de) | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem | |
DE69334091T2 (de) | Zugangskontrollen-Untersystem und Verfahren für ein verteiltes Rechensystem, das lokal gespeicherte Authentifizierungsdaten benutzt | |
DE69332633T2 (de) | Verfahren und Sytem um, auf Bescheinigung gestützt, Alias zu entdecken | |
DE602005001613T2 (de) | Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen | |
EP2409452B1 (de) | Verfahren zur bereitstellung von kryptografischen schlüsselpaaren | |
EP2332313B1 (de) | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem | |
DE602005004021T2 (de) | Verfahren und system zur authentifizierung in einem computernetzwerk | |
DE102011089580B3 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
DE112018005203T5 (de) | Authentifizierung unter Verwendung von delegierten Identitäten | |
WO2015149976A1 (de) | Verteiltes authentifizierungssystem und -verfahren | |
DE602005003631T2 (de) | Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe | |
WO2003013167A1 (de) | Vorrichtung zur digitalen signatur eines elektronischen dokuments | |
DE60122828T2 (de) | Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln | |
EP2620892B1 (de) | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens | |
DE60319985T2 (de) | Verfahren zur selbst-registrierung und automatischen ausgabe von digitalen zertifikaten und entsprechendes netz | |
DE60130832T2 (de) | Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token | |
DE102008042582A1 (de) | Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem | |
EP2631837B1 (de) | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens | |
EP3117359B1 (de) | Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1162807 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1162807 Country of ref document: EP Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US Effective date: 20120814 |
|
R082 | Change of representative |
Ref document number: 1162807 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE Effective date: 20120814 |