DE60119834T2 - Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel - Google Patents

Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel Download PDF

Info

Publication number
DE60119834T2
DE60119834T2 DE60119834T DE60119834T DE60119834T2 DE 60119834 T2 DE60119834 T2 DE 60119834T2 DE 60119834 T DE60119834 T DE 60119834T DE 60119834 T DE60119834 T DE 60119834T DE 60119834 T2 DE60119834 T2 DE 60119834T2
Authority
DE
Germany
Prior art keywords
legacy
user
server
access
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60119834T
Other languages
English (en)
Other versions
DE60119834D1 (de
Inventor
Kenneth W. Fairfax Aull
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northrop Grumman Systems Corp
Original Assignee
Northrop Grumman Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northrop Grumman Corp filed Critical Northrop Grumman Corp
Application granted granted Critical
Publication of DE60119834D1 publication Critical patent/DE60119834D1/de
Publication of DE60119834T2 publication Critical patent/DE60119834T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • HINTERGRUND
  • Gebiet der Erfindung
  • Diese Erfindung betrifft PKIs ("Public Key Infrastructures"; Infrastrukturen mit öffentlichem Schlüssel) und im Besonderen sichere Legacy-Enklaven in einer PKI.
  • Hintergrundinformation
  • Eine Infrastruktur mit öffentlichem Schlüssel (PKI) ist eine Ansammlung von Servern und Software, welche es einer Organisation, einer Firma oder einem Unternehmen ermöglichen, Tausende eindeutiger öffentlicher/privater Kryptographieschüssel auf eine Weise zu verteilen und zu verwalten, welche es Nutzern erlaubt, die Identität des Besitzers jedes Paars aus öffentlichem/privatem Schlüssel zu bestimmen. Wenn jedes Mitglied eines Unternehmens einen eindeutigen Schlüssel besitzt, können auf Papier beruhende Geschäftsabläufe in ein elektronisches Online-Äquivalent überführt werden. Öffentlich/Privat-Schlüsselpaare haben die Eigenschaft, dass für jeden gegebenen öffentlichen Schlüssel nur genau ein privater Schlüssel existiert, und umgekehrt. Eine Kryptographie mit einem öffentlichen Schlüssel (d. h., die Fähigkeit, den Verschlüsselungsschlüssel öffentlich zu verteilen) kann dazu verwendet werden, Dokumente digital zu signieren. Falls eine bestimmte Nachricht unter Verwendung eines Mitglieds des Schlüsselpaars entschlüsselt werden kann, ist es dann die Annahme, dass die Nachricht unter Verwendung des anderen Mitglieds verschlüsselt worden sein muss. Falls von vornherein nur eine Person den Schlüssel kennt, der dazu verwendet wird, die Verschlüsselung eines Dokuments durchzuführen, können die Empfänger, die das Dokument entschlüsseln, dann sicher sein, dass der Absender des Dokuments diese Person sein muss.
  • Jedoch muss, damit eine digitale Signatur einen Sinn hat, der Empfänger eines mit der digitalen Signatur signierten Objekts zunächst in der Lage sein, den Besitzer und die Integrität des Schlüssels zu bestimmen, der verwendet wird, das Objekt zu signieren. Öffentliche Infrastrukturen erreichen dies unter Verwendung eines elektronischen Dokuments, das ein digitales Zertifikat genannt wird. Zertifikate können eine Information enthalten, welche den Besitzer des Schlüsselpaars, die öffentliche Komponente des Paars und die Zeitdauer identifiziert, für welche das Zertifikat gültig ist. Das Zertifikat kann auch eine technische Information über den Schlüssel selbst identifizieren, wie beispielsweise den Algorithmus, der verwendet wurde, um den Schlüssel zu erzeugen, und die Schlüssellänge. Zertifikate werden von Organisationen, Firmen oder Unternehmen erzeugt, welche für das Verifizieren der Identität von Einzelpersonen (oder in einigen Fällen von Organisationen) verantwortlich sind, an welche die Zertifikate ausgegeben werden. Die zertifizierende Organisation ist als eine Zertifikatsinstanz bekannt. Die Zertifikatsinstanz signiert jedes Zertifikat, welches einen privaten Schlüssel verwendet, welcher nur der Zertifikatsinstanz selbst bekannt ist. Dies erlaubt es Nutzern der PKI, sowohl die Integrität des Zertifikats als auch die Identität der Instanz zu verifizieren, welche es ausgegeben hat. Durch Ausgeben eines Zertifikats gibt eine Zertifikatsinstanz an, dass sie verifiziert hat, dass der öffentliche Schlüssel, welcher in dem Zertifikat auftaucht (und, durch Erweiterung, der zugehörige private Schlüssel) zu der in dem Zertifikat aufgeführten Einzelperson gehört. Die Integrität, mit welcher der Registrierungsablauf arbeitet, ist daher von großer Wichtigkeit. Der Ablauf muss Mechanismen zum verlässlichen Identifizieren der Einzelperson vorsehen, als auch zum Verifizieren, dass der in dem Zertifikat aufgeführte öffentliche Schlüssel dieser Einzelperson gehört.
  • 1 zeigt ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur. Aktuelle PKIs, welche eine starke Authentifizierung der Nutzeridentität bereitstellen, erreichen dies über die Verwendung eines lokalen Registrierungsinstanzen-Verantwortlichen, ("local registration authority officer"; LRAO) 12. Der LRAO 12 arbeitet an einer Workstation oder an einer Serverplattform 14, auf der eine Softwareanwendung 16 für die lokale Registrierungsinstanz läuft. Die Serverplattform 14 kann jede bekannte Verarbeitungsvorrichtung sein, welche als ein Server dient, beispielsweise, ein Computer, eine Workstation usw. Die Anwendung 16 für die lokale Registrierungsinstanz wechselwirkt mit anderen Serverplattformen, welche Anwendungen enthalten können, wie beispielsweise eine Zertifikatsinstanz-Anwendung 18, eine Registrierungsinstanz-Anwendung 20 und/oder eine Schlüsselwiedergewinnungsinstanz-Anwendung 22. Jede Anwendung kann auf der gleichen Serverplattform oder auf getrennten individuellen Serverplattformen 14 vorliegen. Ein Benutzer 10, welcher die PKI-Systemarchitektur nutzt oder darauf zuzugreifen wünscht, greift auf das System über einen Webbrowser 22 oder eine Client-Plattform 24 zu. Ein Hardware-Token 26, wie beispielsweise eine Smartcard, kann auch wirkend mit der Client-Plattform 24 verbindbar sein. Typischerweise legt bei herkömmlichen Systemen der Benutzer 10 dem Verantwortlichen 12 der lokalen Registrierungsinstanz eine Fotoidentifikation vor, um die Identität des Nutzers zu authentifizieren. Der Verantwortliche 12 der lokalen Registrierungsinstanz verwendet dann die Workstation 14 und die Anwendung 16 der lokalen Registrierungsinstanz dazu, um einer Registrierungsinstanz-Anwendung 20 zu signalisieren, den neuen Nutzer 10 in dem System zu registrieren. Die Anwendung 16 der lokalen Registrierungsinstanz kann eine serienmäßig hergestellte Produktsoftware sein, welche typischerweise mit einer Zertifikatsinstanz-Anwendung 18, einer Registrierungsinstanz-Anwendung 20 und einer Schlüsselwiedergewinnungsinstanz 22-Software gebündelt ist.
  • Ein Paar aus öffentlichem/privatem Schlüssel wird entweder durch die Anwendung 16 für die lokale Registrierungsinstanz oder die Registrierungsinstanz-Anwendung 20 erzeugt (abhängig von den ausgewählten Produkten und abhängig davon, wie sie konfiguriert sind). Der öffentliche Schlüssel wird zu der Zertifikatsinstanz-Anwendung 18 gesandt, um signiert zu werden, wodurch für den neuen Nutzer 10 ein Zertifikat erzeugt wird. Eine Sicherungskopie des privaten Schlüssels kann auch zur Schlüsselwiedergewinnungsinstanz-Anwendung 22 gesandt werden, jedoch wird der private Schlüssel normalerweise auf einem Token 26 oder auf einer Client-Plattform 24 vom Nutzer 10 vorgehalten. Sobald der öffentliche Schlüssel zu einer Zertifikatsinstanz 18 gesandt worden und unterschrieben worden ist, wird ein Nutzerzertifikat erzeugt und einem Server für die lokale Registrierungsinstanz bereitgestellt. Der Verantwortliche 12 der lokalen Registrierungsinstanz kopiert das Zertifikat (einschließlich des privaten Schlüssels) auf eine Diskette, ein Hardware-Token oder ein anderes Speichermedium und stellt dann das Zertifikat und den privaten Schlüssel dem Nutzer zur Verfügung.
  • Aktuelle PKI-Systeme, welche Legacy-Anwendungen in das System integrieren, verändern Software in einer Legacy-Anwendung 30, die auf einem Legacy-Server 32 gespeichert ist. Die Veränderungen werden durch einen Legacy-Entwickler 34 durchgeführt, welcher die Software innerhalb der Legacy-Anwendung verändert durch Verändern des Quellcodes und erneutes Kompilieren der Anwendung. Die Software-Änderungen erlauben es der Legacy-Anwendung, mit den Signaturzertifikaten zu arbeiten. Modifizieren der Software innerhalb der Legacy-Anwendung ist üblicherweise sehr teuer.
  • In aktuellen Systemen kann ein Nutzer versuchen, von einer Client-Plattform 24 aus auf eine Legacy-Anwendung 30 auf einem Legacy-Server 32 zuzugreifen. Ein solches System kann man in US-A-5,754,830 sehen. Bevor Zugriff auf den Legacy-Server gewährt wird, muss der Nutzer das Signaturzertifikat des Nutzers der Legacy-Anwendung zeigen (da die Legacy-Anwendung verändert worden ist, so dass ein Zertifikat vom Nutzer verlangt wird). Abhängig von einer Zugangskontrollliste, welche in der Legacy-Anwendung konfiguriert ist, wird die Legacy-Anwendung entweder dem Nutzer auf der Grundlage des Signaturzertifikats des Nutzers Zugang gewähren oder verwehren. Legacy-Anwendungen und -Server verwenden typischerweise proprietäre Computerschnittstellen und angepasste Software-Clients. Diese Schnittstellen und Clients verlassen sich typischerweise auf ein einfaches Schema aus Nutzerkennung und Passwort, um die Identität eines Nutzers zu authentifizieren. Jedoch ist, wie oben angemerkt, das Durchführen erheblicher Veränderungen an diesen Schnittstellen und Clients, damit sie mit Signaturzertifikaten zusammenarbeiten, allgemein sehr teuer.
  • Daher besteht ein Bedürfnis nach einem System und einem Verfahren zum Integrieren von Legacy-Systemen in ein modernes PKI-basiertes Authentifizierungssystem, ohne teure Veränderungen der Legacy-Software zu benötigen.
  • ZUSAMMENFASSUNG
  • Die vorliegende Erfindung betrifft ein System für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel (PKI), welches ein oder mehrere Legacy-Server, ein oder mehrere Client-Plattformen, ein oder mehrere Verzeichnisse und ein VPN (virtuelles privates Netzwerk)-Extranet-Gateway umfasst. Die Legacy-Server umfassen eine oder mehrere Legacy-Anwendungen und können mit einem ersten Netzwerk verbunden sein. Die Client-Plattformen sind mit einem zweiten Netzwerk verbunden. Die Client-Plattformen enthalten Legacy-Client-Software, welche von Nutzern verwendbar ist, um auf die Legacy-Anwendungen zuzugreifen. Die Verzeichnisse sind mit dem zweiten Netzwerk verbunden und enthalten Information über die Nutzer. Die Verzeichnisse können auch Information über jeden Nutzer enthalten, welche angibt, ob der Nutzer dazu berechtigt ist, auf die Legacy-Server zuzugreifen. Das VPN-Extranet-Gateway ist zwischen den Legacy-Servern und dem zweiten Netzwerk eingebunden. Das VPN-Extranet-Gateway verlangt ein Signaturzertifikat jedes Nutzers, der versucht, auf eine Legacy-Anwendung zuzugreifen, um den Nutzer zu authentifizieren. Das VPN-Extranet-Gateway fragt das Verzeichnis ab, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server nach Authentifizieren des Nutzers erlaubt ist. Das VPN-Extranet-Gateway stellt eine Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung her, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist.
  • Die vorliegende Erfindung ist ferner auf ein Verfahren für sichere Legacy-Enklaven in einer PKI gerichtet, welches umfasst: Installieren eines VPN-Extranet-Gateways zwischen einem oder mehreren Legacy-Servern und einer Legacy-Client-Plattform; Versuchen, sich Zugang zu einer Legacy-Anwendung auf einem Legacy-Server zu verschaffen, und zwar durch einen Nutzer, welcher eine Legacy-Client-Software auf der Legacy-Client-Plattform verwendet; Anfordern eines Signaturzertifikats des Nutzers durch das VPN-Extranet-Gateway, um den Nutzer zu authentifizieren; Abfragen eines Verzeichnisses durch das VPN-Extranet-Gateway nach Authentifizieren des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist; und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den mindestens einem Legacy-Server erlaubt ist.
  • Die vorliegende Erfindung ist auch auf einen Gegenstand gerichtet, der ein Speichermedium mit darin gespeicherten Befehlsfolgen umfasst, wobei die Befehlsfolgen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung dazu veranlassen, folgendes durchzuführen: Empfangen eines Versuchs von einem eine Legacy-Client-Software verwendenden Nutzer, auf eine Legacy-Anwendung auf einem Legacy-Server zuzugreifen; Anfordern eines Signaturzertifikats des Nutzers, um den Nutzer zu authentifizieren; Abfragen eines Verzeichnisses nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist; und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Erfindung wird in der genauen Beschreibung weiter beschrieben, welche in Bezug auf die aufgeführte Vielzahl von Zeichnungen folgt, und zwar durch nicht-beschränkende Beispiele von Ausführungsformen der vorliegenden Erfindung, in welchen gleiche Bezugsziffern gleiche Teile durch die verschiedenen Ansichten der Zeichnungen hindurch darstellen und worin:
  • 1 ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur ist;
  • 2 ein Blockdiagramm einer beispielhaften Systemarchitektur ist, in welcher PKI-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung praktiziert werden; und
  • 3 ein Flussdiagramm eines beispielhaften Ablaufes für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichen Schlüsseln gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ist.
  • GENAUE BESCHREIBUNG
  • Die hierin gezeigten Besonderheiten werden beispielhaft und zum Zwecke einer erklärenden Diskussion der Ausführungsformen der vorliegenden Erfindung gezeigt. Die mit den Zeichnungen zusammenhängende Beschreibung macht es den Fachleuten klar, wie die vorliegende Erfindung in der Praxis ausgestaltet sein kann.
  • Weiterhin können Anordnungen in einer Blockdiagrammform gezeigt werden, um es zu vermeiden, die Erfindung zu verschleiern, und auch aus Sicht der Tatsache, dass Besonderheiten in Bezug auf die Implementierung solcher Blockdiagrammanordnungen hochgradig von der Plattform abhängen, innerhalb welcher die vorliegende Erfindung zu implementieren ist, d. h., dass Besonderheiten innerhalb des Könnens des Fachmanns liegen sollten. Wo bestimmte Details (z. B. Schaltungen, Flussdiagramme) angeführt werden, um beispielhafte Ausführungsformen der Erfindung zu beschreiben, sollte es dem Fachmann klar sein, dass die Erfindung ohne diese spezifischen Details ausgeführt werden kann. Letztendlich sollte es klar sein, dass jede Kombination von verdrahteter Schaltung und Software-Anweisungen verwendet werden kann, um die Ausführungsformen der vorliegenden Erfindung zu implementieren, d. h., dass die vorliegende Erfindung nicht auf eine bestimmte Kombination von Hardware-Schaltung und Software-Anweisungen beschränkt ist.
  • Obwohl beispielhafte Ausführungsformen der vorliegenden Erfindung unter Verwendung eines beispielhaften Systemblockdiagramms in einer beispielhaften Host-Einheitsumgebung beschrieben werden können, ist die Ausführung der Erfindung nicht darauf beschränkt, d. h., dass die Erfindung in der Lage ist, in anderen Arten von Systemen ausgeführt zu werden als auch in anderen Arten von Umgebungen (z. B. Servern).
  • Ein Bezug in der Beschreibung auf "eine Ausführungsform" bedeutet, dass ein bestimmtes Merkmal, Struktur oder Eigenschaft, welche in Verbindung mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform der Erfindung enthalten ist. Das Auftreten des Ausdrucks "in einer Ausführungsform" an verschiedenen Stellen in der Beschreibung bezieht sich nicht notwendiger Weise auf die gleiche Ausführungsform.
  • 2 zeigt ein Blockdiagramm einer beispielhaften Systemarchitektur 100, in welcher PKI (Infrastruktur mit öffentlichem Schlüssel)-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden können. Die vorliegende Erfindung ist nicht auf die in 2 gezeigte Systemarchitektur 100 beschränkt. Die in 2 gezeigten Kästen stellen Einheiten dar, welche Hardware, Software oder eine Kombination der beiden sein können. Die Einheiten sind wirkend miteinander über ein Netzwerk verbunden. Einheiten, welche als nicht mit dem Netzwerk verbunden dargestellt sind, stellen ein oder mehrere Personen dar, welche die in dem Kasten bezeichnete Funktion durchführen.
  • Die Systemarchitektur 100 umfasst eine Dateneingabe 102, welche eine Dateneingabefunktion für eine autoritative bzw. verbindliche Datenbank 104 durchführt. Die verbindliche Datenbank 104 befindet sich auf der Serverplattform 106. In dieser Beschreibung wird sich auf eine Serverplattform 106 bezogen, aber es sollte klar sein, dass die vorliegende Erfindung nicht auf irgendeine bestimmte Serverarchitektur beschränkt ist. Die Serverplattform 106 kann beispielsweise aus UNIX- oder Windows-NT-Servern bestehen.
  • Die verbindliche Datenbank 104 enthält Information über Mitglieder der Gruppe oder des Unternehmens (z. B. eine Firma), für welche erfindungsgemäße PKI-Dienstleistungen durchgeführt werden können. Die vorliegende Erfindung ist nicht durch die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der verbindlichen Datenbank 104 gespeichert wird. Die in der verbindlichen Datenbank 104 enthaltene Information kann beispielsweise den Namen, die Adresse, Telefonnummern, den Namen des Managers, die Angestelltenkennung usw. des Mitglieds der Gruppe oder des Unternehmens umfassen. Das Verzeichnis 108 enthält die gleiche Information, die in der Datenbank 104 enthalten ist, ist aber zum schnellen Nachschlagen der darin gespeicherten Information optimiert statt auf eine schnelle Dateneingabe. Auf die im Verzeichnis 108 enthaltene Information kann schneller zugegriffen werden als auf die Information von Datenbank 104. Das Verzeichnis 108 funktioniert ähnlich einem schnell zugänglich Online-Telefonbuch, das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der verbindlichen Datenbank 104 gespeichert sind.
  • Die Zertifikatsinstanz 110 kann eine herkömmliche serienmäßig hergestellte Software sein, die auf der Serverplattform 106 ausgeführt wird. Die Zertifikatsinstanz 110 stellt eine Speicherung der Zertifikate und zugehörige Information bereit. Dies wird genauer im Folgenden beschrieben. Die Registrierungsinstanz 112 kann auch eine serienmäßig hergestellte Software sein, die auf einer Serverplattform 106 ausführbar ist. Die Registrierungsinstanz 112 wird auch weiter unten genauer beschrieben. Die Schlüsselwiedergewinnungsinstanz 114 kann auch eine serienmäßig hergestellte Serversoftware sein, die auf der Serverplattform 106 ausführbar ist, und kann die Funktion bereitstellen, Schlüssel (z. B. archivierte oder verlorene Schlüssel) für Mitglieder der Gruppe oder des Unternehmens wiederherzugewinnen.
  • Eine Windows 2000-Domänen-Zertifikatsinstanz (CA) 116 ist mit einer gepunkteten Linienverbindung zum Netzwerk gezeigt und kann ein Teil eines erfindungsgemäßen Systems sein, oder auch nicht. Windows 2000 ist in der Lage, PKI-Zertifikate für eine einzelne Netzwerkanmeldung zu verwenden, aber Windows 2000 ist dazu ausgelegt, nur das Windows-Zertifikatsinstanz-Windows zu verwenden. Daher kann ein erfindungsgemäßes System eine herkömmliche Zertifikatsinstanz 110 als auch eine 2000-Domänen-CA 116 umfassen.
  • Der Legacy-Server 118 führt Legacy-Anwendungsprogramme 120 aus. Der Legacy-Server 118 kann ohne Beschränkung ein Main-Frame, ein Minicomputer, eine Workstation oder ein anderer Server sein, der in der Lage ist, die Legacy-Software-Applikationen aufzunehmen. Legacy-Softwareanwendungen mögen allgemein nicht dazu ausgelegt werden, inhärent mit einer PKI zusammenzuarbeiten. Die Legacy-Anwendungen 120 können auf der Client-Seite mittels eines nutzerangepassten Clients 128, wie beispielsweise eines Emulators oder einer nutzerangepassten Datenbank-GUI ("Graphic User Interface; grafische Nutzeroberfläche) zugänglich sein. Beispiele für Emulatoren sind Endgeräteemulatoren einer IBM 3270 oder Endgeräteemulatoren eines vt100.
  • Eine Registrierungs-Webseite 122, welche ein oder mehrere Seiten umfassen kann, arbeitet als die Nutzerschnittstelle zur in 1 gezeigten Systemarchitektur 100. Der Webserver 124 ist eine Softwareanwendung, welche Webseiten (wie beispielsweise die Webseiten 122) oder andere HTML-Ausgaben, auf einen Webbrowser-Client (wie beispielsweise den Webbrowser 126) bedient. Der Webserver 124 kann jede Softwareanwendung sein, welche Webseiten oder HTML-Ausgaben bedient, wie beispielsweise eine Apache-, eine Microsoft Internetinformationsserver-Anwendung usw.
  • Der Webbrowser 126 befindet sich auf der Client-Plattform 128, welche jeder Nutzercomputer oder Verarbeitungsvorrichtung sein kann. Der Webbrowser 126 kann eine Client-Softwareanwendung zum Browsen von Webseiten sein, wie beispielsweise von HTML-Protokollen, XML-Protokollen oder anderen Protokollen. Der Webbrowser 126 kann programmiert sein, um mit PKI-Zertifikaten zu arbeiten, welche von der Zertifikatsinstanz 110 ausgegeben worden sind. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, umfassen den Netscape Navigator und den Microsoft Internet Explorer. Der Token 130 kann eine Smartcard, eine Vorrichtung mit einem universel len seriellen Bus (USB) oder eine andere Hardware-Token-Vorrichtung sein, die in der Lage ist, PKI-Zertifikate zu erzeugen, zu speichern und/oder zu verwenden.
  • Ein Nutzer 132 ist eine Person, welche die Systemarchitektur 100 verwendet oder darauf Zugriff erwünscht. Der Nutzer 132 kann eine Anzahl von Zuständen durchlaufen, welche beispielsweise einen neuen Nutzer, einen gegenwärtigen Nutzer und einen ehemaligen Nutzer umfassen. Ein ehemaliger Nutzer ist nicht länger ein Mitglied der Gruppe oder des Unternehmens. Die Systemarchitektur 100 wird in Bezug auf zwei Sicherheitsstufen beschrieben, wobei jede Stufe einer unterschiedlichen Sicherheitsanforderung entspricht. Die Zahl der Sicherheitsstufen ist keine Begrenzung der vorliegenden Erfindung. Die Suchmaschine 134 für Stufe 1 kann eine Suchmaschine sein, welcher erlaubt ist, die Systemarchitektur 100 zu durchsuchen, der es aber nur erlaubt ist, auf Daten von Stufe 1 zurückzugreifen, welche die niedrigste Sicherheitsstufe ist. Daten von Stufe 1 können beispielsweise Daten sein, welche frei verteilbar sind, während Daten von Stufe 2 als proprietär angesehen werden können. Eine Suchmaschine 136 für Stufe 2 kann eine Suchmaschine sein, welcher es erlaubt ist, Daten sowohl von Stufe 1 als auch von Stufe 2 zu durchsuchen. Eine Suchmaschine für Stufe N (nicht dargestellt) kann eine Suchmaschine sein, welcher es erlaubt ist, durch Server zu suchen, welche Daten von Stufe 1 bis N aufweisen, Ein gesicherter Stufenserver mit Daten von Stufe 1 kann ein Webserver sein, der nur Daten von Stufe 1 enthält, welche so gesichert sind, dass Nutzer Zugang (zumindest) für Stufe 1 besitzen müssen, um auf die Server für Stufe 1 zuzugreifen. Ein gesicherter Webserver mit Daten 140 für Stufe 2 kann ein Webserver sein, welcher Daten für Stufe 2 enthält, die so gesichert sind, dass Nutzer zumindest einen Zugang für Stufe 2 besitzen müssen, um auf die Server für Stufe 2 zuzugreifen. Ein Nutzer mit Zugang für Stufe 2 kann Zugang zu Servern sowohl für Stufe 1 als auch für Stufe 2 besitzen. Ein gesicherter Webserver mit Daten für Stufe N (nicht dargestellt) ist ein Webserver, welcher Daten für Stufe N enthält, welche nur Nutzern mit Stufe N oder darüber zugänglich sind. Nutzer mit Stufe N oder darüber können Zugriff auf alle Stufen von Daten bis zu Daten für Stufe N aufweisen.
  • Das VPN-Extranet 142 kann eine Softwareanwendung sein, welche als ein Netzwerk-Gateway arbeitet, welches, wie gezeigt, mit entweder mit einem Legacy-Server 118 und einer Legacy-Anwendung 120 oder mit einem externen Netzwerk, wie beispielsweise dem Internet, verbunden sein kann. Die persönliche Widerrufsinstanz 144 kann ein oder mehrere Personen umfassen, welche dafür verantwortlich sind, Mitglieder aus dem Systemnetzwerk 100 zu entfernen. Die persönliche Registrierungsin stanz 146 kann ein oder mehrere Personen umfassen, welche für die Registrierung von Mitgliedern in dem Systemnetzwerk 100 verantwortlich ist. Die persönliche Wiedergewinnungsgenehmigung 148 kann ein oder mehrere Personen umfassen, welche für ein Erlangen einer Wiedergewinnung von Zertifikaten verantwortlich sind. Ein Wiedererlangungsagent 150 kann ein oder mehrere Personen umfassen, welche eine Wiedererlangung von Zertifikaten durchführen und mögen nur dann ein Zertifikat wiedererlangen, falls das Zertifikat zuerst als wiedererlangbar von einer anderen Person bezeichnet worden ist. Eine persönliche Rollengenehmigung 152 kann ein oder mehrere Personen umfassen, welche unterschiedliche Rollenfunktionen innerhalb des Systemnetzwerks 100 genehmigen. Ein Webserver-Administrator kann ein oder mehrere Personen umfassen, welche für verschiedene Webfunktionen im Systemnetzwerk 100 verantwortlich sind.
  • Erfindungsgemäße Systeme und Verfahren für sichere Legacy-Enklaven stellen die kombinierte Anwendung digitaler Signaturzertifikate und Virtueller Privater Netzwerke (VPNs) bereit, um eine kostengünstigere Lösung zum Herstellen sicherer Legacy-Enklaven bereitzustellen. Eine Legacy-Enklave kann als ein lokales Netzwerk ("Local Area Network"; LAN) definiert werden, welches von dem Unternehmensnetzwerk zum Zwecke des Isolierens der Legacy-Server und -Anwendungen abgetrennt worden ist. Erfindungsgemäß sind Legacy-Enklaven vom Hauptnetzwerk isoliert. Die Legacy-Enklaven sind mit VPNs verbunden und durch diese geschützt, welche eine digitale Signaturvalidierung und -verifizierung von den Nutzern benötigen, bevor sie Zugriff auf die Server und Anwendungen der Legacy-Enklaven zulassen.
  • Ein VPN-Extranet-Gateway greift auf ein oder mehrere Verzeichnisse zu, welche digitale Signaturen der Nutzer enthalten, und zwar zum Validieren eines Nutzers/Clients, welcher versucht, auf ein Legacy-System zuzugreifen. Das VPN-Gateway erzeugt effektiv eine sichere Enklave um das Legacy-System herum durch dessen Anordnen in einem virtuellen Netzwerk, das nur aus ihr selbst besteht (d. h., der sicheren Legacy-Enklave). Das VPN-Gateway erlaubt verschlüsselten Zugang durch das VPN-Gateway, wodurch moderne Sicherheitslösungen für Netzwerk-zu-Netzwerk (Unternehmensnetzwerk-zu-sichere Legacy-Enklaven)-Aktivitäten verwendet werden.
  • 3 zeigt ein Flussdiagramm eines beispielhaften Ablaufs für sichere Legacy-Enklaven gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. Ein VPN-Extranet-Gateway wird zwischen einem oder mehreren Legacy-Server(n) und einer oder mehreren Legacy-Client-Plattform(en) eingefügt S1. Die Legacy-Server können Teil eines oder mehrerer Legacy-Enklaven-Netzwerke sein. Die Client- Plattformen können mit einem Unternehmensnetzwerk verbunden sein. Das VPN-Extranet-Gateway kann durch einen Unternehmensnetzwerk-Administrator eingefügt werden. Der Legacy-Netzwerk-Administrator kann das VPN-Extranet-Gateway mit Nutzern konfigurieren, denen es erlaubt ist, auf die Legacy-Server zuzugreifen S2. Ein Nutzer verwendet eine Legacy-Client-Software, die sich auf einer Client-Plattform befindet, um einen Zugriff auf eine Legacy-Anwendung auf einem Legacy-Server zu versuchen S3. Das VPN-Extranet-Gateway empfängt den Versuch von dem Nutzer und fordert, dass der Nutzer das Signaturzertifikat des Nutzers sendet S4. Das VPN-Extranet-Gateway verwendet das Signaturzertifikat des Nutzers, um den Nutzer zu authentifizieren, d. h., zu validieren, dass der Nutzer in der Tat derjenige ist, von dem der Nutzer sagt, dass er es ist. Das VPN-Gateway empfängt das Signaturzertifikat des Nutzers, authentifiziert den Nutzer und durchsucht ein Verzeichnis, um zu bestätigen, dass es dem Nutzer erlaubt ist, auf den Legacy-Server zuzugreifen S5. Das Verzeichnis kann eine Datenbank sein, die mit dem Unternehmensnetzwerk verbunden ist. Das Verzeichnis enthält Information über alle Nutzer, die Mitglieder des Unternehmens sind, zusammen mit anderer Information über jeden Nutzer, beispielsweise, ob dem Nutzer ein Zugriff auf Legacy-Server erlaubt ist. Das Verzeichnis greift auf die in dem Verzeichnis gespeicherte Information des Nutzers zu und entscheidet, ob dem Nutzer ein Zugriff bzw. Zugang auf den Legacy-Server erlaubt ist. Falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist, stellt das VPN-Extranet-Gateway eine Verbindung zwischen der Legacy-Client-Software, die sich auf der Client-Plattform befindet, und der Legacy-Anwendung, die sich auf einem Legacy-Server befindet, her S6. Nachdem die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt worden ist, kann die Legacy-Anwendung weiterhin eine Nutzerkennung und ein Passwort vom Nutzer verlangen, bevor sie dem Nutzer Zugang zur Legacy-Anwendung erlaubt.
  • Erfindungsgemäße Systeme und Verfahren für sichere Legacy-Enklaven sind vorteilhaft darin, dass keine Software-Änderungen an den Legacy-Systemen benötigt werden. Ferner wird eine größere Sicherheit durch die Anforderung erreicht, dass jemand, der einen Zugriff auf das Legacy-System versucht, dem VPN nicht nur ein Passwort, sondern auch ein digitales Signaturzertifikat vorweisen muss.
  • Es ist anzumerken, dass die obigen Beispiele lediglich für Erklärungszwecke bereitgestellt worden sind und keineswegs als die vorliegende Erfindung beschränkend anzusehen sind. Während die vorliegende Erfindung in Bezug auf eine bevorzugte Ausführungsform beschrieben worden ist, sollte es klar sein, dass die Worte, welche hierin verwendet worden sind, Worte der Beschreibung und Darstellung statt Worte der Begrenzung sind. Änderungen können innerhalb des Bereichs der angehängten Ansprüche, wie sie zur Zeit angegeben und geändert worden sind, durchgeführt werden, ohne vom Umfang der vorliegenden Erfindung in seinen Gesichtspunkten abzuweichen. Obwohl die vorliegende Erfindung hierin in Bezug auf bestimmte Verfahren, Materialien und Ausführungsformen beschrieben worden ist, ist die vorliegende Erfindung nicht dazu gedacht, auf die hierin offenbarten speziellen Merkmale beschränkt zu werden, stattdessen erstreckt sich die vorliegende Erfindung auf alle funktional äquivalenten Strukturen, Verfahren und Anwendungen, so wie sie innerhalb des Umfangs der angehängten Ansprüche vorliegen.

Claims (11)

  1. System (100) für eine sichere Legacy-Enklave in einer Infrastruktur mit öffentlichen Schlüsseln (PKI), umfassend: mindestens einen Legacy-Server (118), wobei der mindestens eine Legacy-Server mindestens eine Legacy-Anwendung (120) enthält; mindestens eine Client-Plattform (128), die funktional mit einem Netzwerk verbunden ist, wobei die mindestens eine Client-Plattform eine Legacy-Client-Software enthält, die von mindestens einem Nutzer verwendbar ist, um auf die mindestens eine Legacy-Anwendung zuzugreifen; ein funktional mit dem Netzwerk verbundenes Verzeichnis (108), wobei das Verzeichnis eine Information über den mindestens einen Nutzer enthält, wobei das Verzeichnis ferner eine Information über jeden der mindestens einen Nutzer enthält, die angibt, ob jeder der mindestens einen Nutzer berechtigt ist, auf den mindestens einen Legacy-Server zuzugreifen; und ein Extranet-Gateway (142) für ein Virtuelles Privates Netzwerk (VPN), wobei das VPN-Extranet-Gateway funktional zwischen dem mindestens einen Legacy-Server (118) und dem Netzwerk eingebunden ist, wobei das VPN-Extranet-Gateway ein Signaturzertifikat des mindestens einen Nutzers anfordert, welcher versucht, auf die Legacy-Anwendung zuzugreifen, um den mindestens einen Nutzer zu authentifizieren, wobei das VPN-Extranet-Gateway das Verzeichnis (108) abfragt, um zu bestätigen, dass dem mindestens einen Nutzer nach Authentifizierung des mindestens einen Nutzers ein Zugriff auf den Legacy-Server erlaubt ist, wobei das VPN-Extranet-Gateway eine Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung herstellt, falls dem mindestens einen Nutzer ein Zugriff auf den Legacy-Server erlaubt ist.
  2. System nach Anspruch 1, wobei das Verzeichnis eine Datenbank umfasst.
  3. System nach Anspruch 1, weiterhin umfassend ein zweites Netzwerk, wobei der mindestens eine Legacy-Server funktional mit dem zweiten Netzwerk verbunden ist, wobei das VPN-Extranet-Gateway zwischen dem zweiten Netzwerk und dem Netzwerk eingebunden ist.
  4. Verfahren für sichere Legacy-Enklaven in einer Infrastruktur mit öffentlichen Schlüsseln (PKI), umfassend: Installieren eines Extranet-Gateways für ein Virtuelles Privates Netzwerk (VPN) zwischen mindestens einem Legacy-Server und einer Legacy-Client-Plattform (S1); Versuchen, sich Zugang zu einer Legacy-Anwendung auf dem mindestens einen Legacy-Server zu verschaffen, und zwar durch einen Nutzer, der eine Legacy-Client-Software auf der Legacy-Client-Plattform verwendet (S3); Anfordern eines Signaturzertifikats des Nutzers durch das VPN-Extranet-Gateway, um den Nutzer zu authentifizieren (S4); Abfragen eines Verzeichnisses durch das VPN-Extranet-Gateway nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist (S5); und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist (S6).
  5. Verfahren nach Anspruch 4, weiterhin umfassend ein Konfigurieren des VPN-Extranet-Gateways mit Nutzern, denen ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist, nach dem Installieren des VPN-Extranet-Gateways zwischen dem mindestens einen Legacy-Server und der Legacy-Client-Plattform.
  6. Verfahren nach Anspruch 4, wobei das Verzeichnis eine Datenbank umfasst.
  7. Verfahren nach Anspruch 4, weiterhin umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer durch den Legacy-Server nachdem die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt worden ist.
  8. Verfahren nach Anspruch 4, weiterhin umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer durch das VPN-Extranet-Gateway bevor die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt wird.
  9. Gegenstand, der ein Speichermedium mit darin gespeicherten Befehlsfolgen umfasst, wobei die Befehlsfolgen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung dazu veranlassen, Folgendes durchzuführen: Empfangen eines Versuchs von einem eine Legacy-Client-Software verwendenden Nutzer, auf eine Legacy-Anwendung auf einem Legacy-Server zuzugreifen (S3); Anfordern eines Signaturzertifikats des Nutzers, um den Nutzer zu authentifizieren (S4); Abfragen eines Verzeichnisses nach Authentifizierung des Nutzers, um zu bestätigen, dass dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist (S5); und Herstellen einer Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung, falls dem Nutzer ein Zugriff auf den Legacy-Server erlaubt ist (S6).
  10. Gegenstand nach Anspruch 9, ferner umfassend ein Anfordern einer Nutzerkennung und eines Passworts von dem Nutzer bevor die Verbindung zwischen der Legacy-Client-Software und der Legacy-Anwendung hergestellt wird.
  11. Gegenstand nach Anspruch 9, welcher eine Konfigurationsinformation in Bezug auf Nutzer empfängt, denen ein Zugriff auf den mindestens einen Legacy-Server erlaubt ist.
DE60119834T 2000-06-09 2001-05-31 Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel Expired - Lifetime DE60119834T2 (de)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US210521 1998-12-11
US21052100P 2000-06-09 2000-06-09
US22933600P 2000-09-01 2000-09-01
US229336 2000-09-01
US09/730,044 US6898710B1 (en) 2000-06-09 2000-12-05 System and method for secure legacy enclaves in a public key infrastructure
US730044 2000-12-05

Publications (2)

Publication Number Publication Date
DE60119834D1 DE60119834D1 (de) 2006-06-29
DE60119834T2 true DE60119834T2 (de) 2006-10-19

Family

ID=27395517

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60119834T Expired - Lifetime DE60119834T2 (de) 2000-06-09 2001-05-31 Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel

Country Status (4)

Country Link
US (1) US6898710B1 (de)
EP (1) EP1162807B1 (de)
JP (1) JP2002064485A (de)
DE (1) DE60119834T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021209505A1 (de) 2021-08-30 2023-03-02 Volkswagen Aktiengesellschaft System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6673479B2 (en) * 2001-03-15 2004-01-06 Hydrogenics Corporation System and method for enabling the real time buying and selling of electricity generated by fuel cell powered vehicles
US6996537B2 (en) 2001-08-13 2006-02-07 Qualcomm Incorporated System and method for providing subscribed applications on wireless devices over a wireless network
US9203923B2 (en) * 2001-08-15 2015-12-01 Qualcomm Incorporated Data synchronization interface
US20030115259A1 (en) * 2001-12-18 2003-06-19 Nokia Corporation System and method using legacy servers in reliable server pools
JP2004021666A (ja) * 2002-06-18 2004-01-22 Hitachi Ltd ネットワークシステム、サーバ、およびサーバ設定方法
US8065717B2 (en) * 2002-11-27 2011-11-22 Activcard Automated security token administrative services
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
WO2005069917A2 (en) 2004-01-21 2005-08-04 Qualcomm Incorporated Application-based value billing in a wireless subscriber network
DE102004045147A1 (de) 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
US7950044B2 (en) * 2004-09-28 2011-05-24 Rockwell Automation Technologies, Inc. Centrally managed proxy-based security for legacy automation systems
US7661128B2 (en) * 2005-03-31 2010-02-09 Google Inc. Secure login credentials for substantially anonymous users
US9185538B2 (en) 2005-05-31 2015-11-10 Qualcomm Incorporated Wireless subscriber application and content distribution and differentiated pricing
US9350875B2 (en) 2005-05-31 2016-05-24 Qualcomm Incorporated Wireless subscriber billing and distribution
US7590761B2 (en) * 2005-12-06 2009-09-15 Avaya Inc Secure gateway with alarm manager and support for inbound federated identity
US9143622B2 (en) 2006-02-17 2015-09-22 Qualcomm Incorporated Prepay accounts for applications, services and content for communication devices
US9185234B2 (en) 2006-02-22 2015-11-10 Qualcomm Incorporated Automated account mapping in a wireless subscriber billing system
US20070234412A1 (en) * 2006-03-29 2007-10-04 Smith Ned M Using a proxy for endpoint access control
US8831011B1 (en) 2006-04-13 2014-09-09 Xceedium, Inc. Point to multi-point connections
US7873071B2 (en) * 2006-05-15 2011-01-18 The Boeing Company Multiple level security adapter
US8775602B2 (en) * 2006-06-01 2014-07-08 Avaya Inc. Alarm-driven access control in an enterprise network
US8307425B2 (en) * 2006-08-04 2012-11-06 Apple Inc. Portable computer accounts
US20080040404A1 (en) * 2006-08-11 2008-02-14 Microsoft Corporation Host computer I/O filter re-directing potentially conflicting I/O commands from instantiations of legacy application
US8218435B2 (en) * 2006-09-26 2012-07-10 Avaya Inc. Resource identifier based access control in an enterprise network
US8561136B2 (en) * 2007-10-10 2013-10-15 R. Brent Johnson System to audit, monitor and control access to computers
US8479281B2 (en) 2008-03-26 2013-07-02 Dell Products L.P. Authentication management methods and media
US9742560B2 (en) 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves
US9087196B2 (en) * 2010-12-24 2015-07-21 Intel Corporation Secure application attestation using dynamic measurement kernels
US8744078B2 (en) 2012-06-05 2014-06-03 Secure Channels Sa System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
US9864861B2 (en) * 2014-03-27 2018-01-09 Intel Corporation Object oriented marshaling scheme for calls to a secure region
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US20180131525A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Establishing a secure connection across secured environments
EP3857838A1 (de) * 2018-10-16 2021-08-04 Huawei Technologies Co., Ltd. Knoten und verfahren zur sicheren serverkommunikation

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5754830A (en) * 1996-04-01 1998-05-19 Openconnect Systems, Incorporated Server and web browser terminal emulator for persistent connection to a legacy host system and method of operation
US6026379A (en) * 1996-06-17 2000-02-15 Verifone, Inc. System, method and article of manufacture for managing transactions in a high availability system
US7054844B2 (en) * 2000-01-05 2006-05-30 Bce Emergis Inc. Secure electronic procurement system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021209505A1 (de) 2021-08-30 2023-03-02 Volkswagen Aktiengesellschaft System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung

Also Published As

Publication number Publication date
US6898710B1 (en) 2005-05-24
EP1162807B1 (de) 2006-05-24
JP2002064485A (ja) 2002-02-28
EP1162807A3 (de) 2004-01-07
DE60119834D1 (de) 2006-06-29
EP1162807A2 (de) 2001-12-12

Similar Documents

Publication Publication Date Title
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE60121517T2 (de) Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
DE60132733T2 (de) Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE102008042262B4 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
DE69334091T2 (de) Zugangskontrollen-Untersystem und Verfahren für ein verteiltes Rechensystem, das lokal gespeicherte Authentifizierungsdaten benutzt
DE69332633T2 (de) Verfahren und Sytem um, auf Bescheinigung gestützt, Alias zu entdecken
DE602005001613T2 (de) Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen
EP2409452B1 (de) Verfahren zur bereitstellung von kryptografischen schlüsselpaaren
EP2332313B1 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE602005004021T2 (de) Verfahren und system zur authentifizierung in einem computernetzwerk
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
WO2015149976A1 (de) Verteiltes authentifizierungssystem und -verfahren
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
WO2003013167A1 (de) Vorrichtung zur digitalen signatur eines elektronischen dokuments
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
EP2620892B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE60319985T2 (de) Verfahren zur selbst-registrierung und automatischen ausgabe von digitalen zertifikaten und entsprechendes netz
DE60130832T2 (de) Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP2631837B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1162807

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

R081 Change of applicant/patentee

Ref document number: 1162807

Country of ref document: EP

Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US

Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US

Effective date: 20120814

R082 Change of representative

Ref document number: 1162807

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

Effective date: 20120814