-
Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf Netzsicherheit und genauer
auf Sicherung elektronischer Identitäten während Zugriffsversuchen auf Dienste.
-
Hintergrund der Erfindung
-
Bewahrung
von Identitätsinformation
in heutigen stark verbundenen Berechnungsumgebungen ist eine herausfordernde
Aufgabe. Während
elektronischer Handel immer durchdringender wird, übertragen
Einzelpersonen vertrauliche Information über das Internet mit stets
steigender Häufigkeit.
Als ein Ergebnis wurde Identitätsdiebstahl
häufig,
und Organisationen versuchen beständig, Sicherheitslöcher zu
füllen,
während
Sicherheitsunzulänglichkeiten
augenscheinlich werden.
-
Die
meisten Techniken zum Bewahren der Identität legen den Schwerpunkt auf
eine Bewahrung der Identität
eines Senders über
ein unsicheres Netz, wie etwa das Internet. Mit diesen Techniken
werden häufig
sichere Kommunikationen mit Protokollen verwendet, wie etwa Secure
Sockets Layer (SSL). Die Hauptsorge der Industrie war sicherzustellen,
dass Identitätsinformation
von einem Sender zu einem sicheren Server sicher übertragen
wird. Die Annahme ist, dass sobald Identitätsinformation von einem Sender
zu einem sicheren Server zuverlässig
und sicher übertragen
ist, Vertraulichkeit und Sicherheit zuverlässig bewahrt werden können. Dies
setzt jedoch voraus, dass der sichere Server hinter einer Firewall
arbeitet und dass Einzelpersonen mit Zugang hinter dieser Firewall
ethisch agieren und nicht versuchen, Identitätsinformation eines Senders
zu kompromittieren. Unglücklicherweise
lernen Organisationen, dass häufig
Sicherheitseinbrüche
innerhalb ihrer eigenen sicheren Umgebungen auftreten, da nicht
alle Angestellten der Organisationen vertrauenswürdig sind.
-
Die
Annahme ist, dass Sicherheit hinter einer sicheren Firewall entspannt
werden kann, da Eindringlinge von außen Identitätsinformation eines Sender
innerhalb der Firewall nicht kompromittieren können. Als ein Ergebnis wird
hinter der Firewall Sicherheitsinformation eines Senders häufig auf Übertragungsleitungen
mit wenig oder keiner Sicherheit übertragen. Somit kann die Sicherheitsinformation mit
relativer Leichtigkeit durch böswillige
interne Benutzer, die hinter der Firewall arbeiten, erlangt werden.
-
Es
wird z.B. eine Organisation betrachtet, die mehrere Dienste über das
Internet anbietet, wobei Zugang zu jenen Diensten extern durch einen
Proxyserver gesteuert wird, der als ein Filter-Proxy oder als ein
sicherer Authentifizierungsmechanismus agiert. Diese Dienste können auch
zusätzliche
externe Abonnementdienste enthalten, die Zugang zu dem nativen Dienst über die
Abonnementdienste managen und bereitstellen. Ein Sender kann einen
World Wide Web (WWW) Browser verwenden, um Zugang zu einem bestimmten
Dienst hinter der Firewall anzufordern. Die Anforderung wird mit
Senderidentitätsinformation über das
Internet unter Verwendung einer Hypertext-Auszeichnungssprache mit einem Secure Sockets
Layer Protokoll (HTTPS) übertragen.
Die Identitätsinformation
erlaubt, dass der Proxyserver und der gewünschte Dienst den Sender für einen
Zugang zu dem Dienst authentifizieren. Der Proxyserver hat Zugang
zu dem Dienst über
ein sicheres Netz, wie etwa ein Intranet. Sobald der Proxyserver den
Sender authentifiziert, werden die Identitätsinformation des Senders und
die Anforderung innerhalb des sicheren Netzes zu dem gewünschten
Dienst für eine
Bedienung weitergeleitet.
-
Während dieses
Weiterleitungsprozesses ist die Identitätsinformation des Senders innerhalb
des sicheren Netzes verwundbar und kann durch Einzelpersonen mit
Zugang zu dem sicheren Netzes abgefangen werden. Dies bedeutet,
dass die Organisation, die die Dienste unterhält, sich auf die Integrität ihrer
Angestellten verlassen muss, um Identitätsdiebstahl zu verhindern.
In vielen Situationen kann dies ausreichend sein, es braucht aber
nur einen fehl gedeuteten oder verärgerten Angestellten, um Integrität des Senders
zu kompromittieren. Sobald Identitätsdiebstahl aufgetreten ist,
kann außerdem
der Schaden für
einen Kunden der Organisation, der daraus entsteht, irreparablen
Schaden für
Reputation und Ressourcen der Organisation verursachen.
-
WO
03/073242 (Ericsson) sieht einen Mechanismus zum Handhaben, Bereitstellen
und Korrelieren einer Vielzahl von Benutzeridentitäten für einen Benutzer
auf eine automatisierte Art und Weise zwischen einem Einzelanmeldungsauthentifizierungsanbieter
und einer Zahl von Dienstanbietern, wo der Benutzer zugreift, vor.
Nach erfolgreicher Authentifizierung einer Authentifizierungsidentität des Benutzers
bei dem Authentifizierungsanbieter weist deshalb der Authentifizierungsanbieter
dem Benutzer eine gemeinsame Identität eines Alias zu, wobei die gemeinsame
Identität
eines Alias die eindeutig ausgetauschte Identität zwischen dem Authentifizierungsanbieter
und dem Dienstanbieter ist, um den Benutzer zu identifizieren. Die
gemeinsame Identität des
Alias ist in dem Authentifizierungsanbieter mit der Au thentifizierungsidentität des Benutzers
und mit einem Identifikator des Dienstanbieters, wo der Benutzer
zugreift, verknüpft.
Die gemeinsame Identität des
Alias ist in dem Dienstanbieter mit der lokalen Identität des Benutzers
verknüpft,
die der Benutzer für
ein Konto bei dem Dienstanbieter hat.
-
WO
03/023643 (Kim) beschreibt ein Verfahren und ein System, um einen
zeitweiligen ID und ein Passwort zu erstellen und zu managen, und
auf eine gewünschte
Webseite durch ein Kommunikationsnetz durch Verwenden des zeitweiligen
ID und Passwortes zuzugreifen. Das System umfasst einen Agenten
zum Erstellen des ID und des Passwortes, und ein Kommunikationsnetz.
Der Agent enthält
eine Datenbank zum Speichern von Daten in Bezug auf den ID und das
Passwort, eine Datenbankengine, die auf computerlesbaren Medien
verkörpert
ist, zum Klassifizieren, Abrufen und Lesen der Daten, die in der
Datenbank gespeichert sind, und einen Webserver mit einer Verarbeitungsengine.
Das Verfahren umfasst die Schritte zum Empfangen einer Authentifizierungsanforderung
nach dem zeitweiligen ID und dem Passwort; Bestimmen, ob der zeitweilige
ID und das Passwort gültig
sind als Reaktion auf die Authentifizierungsanforderung; Bereitstellen
des Authentifizierungsergebnisses; und Gestatten der Anmeldung des
Benutzers basierend auf dem Authentifizierungsergebnis.
-
Es
gibt jedoch einen Bedarf nach verbesserten Techniken, die elektronische
Identitäten
innerhalb eines Netzes sicherer verteilen und managen.
-
Zusammenfassung der Erfindung
-
Die
vorliegende Erfindung sieht Verfahren und Systeme zum Generieren
und Managen zeitweilig zugewiesener Identitätsinformation in Übereinstimmung
mit den Ansprüchen,
die folgen, vor. Anforderungen nach Diensten werden unter Verwendung von
Identitätsinformation,
die mit den Anforderungen in Verbindung steht, authentifiziert.
-
Konfigurationsidentitätsinformation
wird basierend teilweise auf der Identitätsinformation generiert. Die
Konfigurationsidentitätsinformation
wird weiter zum Generieren zeitweilig zugewiesener Identitätsinformation
verwendet. Die zeitweilig zugewiesene Identitätsinformation wird zu einem
geschützten Identitätsverzeichnis
(kann auch ein Identitätsdatenspeicher
sein) aktualisiert. Als Nächstes
werden die zeitweilig zugewiesene Identitätsinformation und die Anforderungen
zu den Diensten im Namen des Anforderers gesendet. Die Dienste greifen
auf das geschützte
Identitätsverzeichnis
mit der zeitweilig zugewiesenen Identitätsinformation für den Zweck
zum Authentifizieren der Anforderungen zu. Die zeitweilig zugewiesene
Identitäts information
steht mit der authentifizierten Identität in Verbindung, und die Dienste
verwenden die zeitweilig zugewiesene Identitätsinformation, als ob es die
authentifizierte Identität
wäre. Es
gibt keine Änderungen
an den Diensten, die erforderlich sind, um die zeitweilig zugewiesene
Identitätsinformation
zu verwenden.
-
Genauer
und in einer Ausführungsform
der Erfindung wird ein Verfahren zum Generieren zeitweilig zugewiesener
Identitätsinformation
vorgestellt. Identitätsinformation
wird authentifiziert. Die Identitätsinformation steht mit einer
Anforderung in Verbindung, die von einem Anforderer empfangen wird,
der wünscht,
auf einen Dienst zuzugreifen. Zeitweilig zugewiesene Identitätsinformation
wird für
den Anforderer generiert. Die zeitweilig zugewiesene Identitätsinformation
wird zu einem geschützten
Identitätsverzeichnis
aktualisiert. Als Nächstes
werden die Anforderung und die zeitweilig zugewiesene Identitätsinformation
zu dem Dienst im Namen des Anforderers übertragen. Der Dienst greift
auf das geschützte Identitätsverzeichnis
mit der zeitweilig zugewiesenen Identitätsinformation zum Authentifizieren
des Anforderers für
einen Zugang zu.
-
In
einer anderen Ausführungsform
der vorliegenden Erfindung wird ein anderes Verfahren zum Generieren
zeitweilig zugewiesener Identitätsinformation
bereitgestellt. Eine Anforderungen nach einem Dienst wird erlangt
und authentifiziert. Eine Identitätskonfiguration für die Anforderung
wird kompiliert. Außerdem
wird zeitweilig zugewiesene Identitätsinformation für die Anforderung
unter Verwendung der Identitätskonfiguration
generiert. Die zeitweilig zugewiesene Identitätsinformation und die Anforderung
werden zu dem Dienst übertragen.
-
In
noch einer anderen Ausführungsform
der vorliegenden Erfindung wird ein Identitätsinformations-Managementsystem
beschrieben. Das Identitätsinformations-Managementsystem
enthält
einen Proxyserver, einen Abbildungsspeicher lokaler Identität und ein
geschütztes
Identitätsverzeichnis.
Der Proxyserver fängt
Anforderungen ab, die für
Dienste gemacht werden, wobei die Anforderungen mit Anforderern
in Verbindung stehen. Der Abbildungsspeicher lokaler Identität bringt
Abbildungen (mappings) zwischen zeitweilig zugewiesener Identitätsinformation
und Identitätskonfigurationen
unter, von denen beide durch den Proxyserver aus Identitätsinformation
generiert werden, die mit den Anforderungen bereitgestellt wird.
Der Proxyserver aktualisiert das geschützte Identitätsverzeichnis
mit der zeitweilig zugewiesenen Identitätsinformation, und der Proxyserver überträgt die zeitweilig
zugewiesene Identitätsinformation
und die Anforderung zu den Diensten. Die Dienste verwenden die zeitweilig
zugewiesene Identitätsinformation
zum Zugreifen auf das geschützte Identitätsverzeichnis,
um die Anforderungen zu authentifizieren.
-
Kurze Beschreibung
der Zeichnungen
-
1 ist
ein Flussdiagramm, das ein Verfahren zum Generieren zeitweilig zugewiesener
Identitätsinformation
darstellt;
-
2 ist
ein Flussdiagramm, das ein anderes Verfahren zum Generieren zeitweilig
zugewiesener Identitätsinformation
darstellt;
-
3 ist
ein Diagramm eines Identitätsinformations-Managementsystems;
und
-
4 ist
ein Diagramm eines Identitätsinformations-Datenspeichers.
-
Detaillierte Beschreibung
der Erfindung
-
In
der folgenden Beschreibung wird auf die begleitenden Zeichnungen
verwiesen, die einen Teil von ihr bilden, und in denen auf dem Weg
von Veranschaulichung spezifische Ausführungsformen gezeigt werden,
in denen die Erfindung praktiziert werden kann. Diese Ausführungsformen
werden ausreichend detailliert beschrieben, um einem Durchschnittsfachmann
zu ermöglichen,
die Erfindung zu praktizieren, und es wird verstanden, dass andere Ausführungsformen
genutzt werden können
und dass strukturelle, logische, optische und elektrische Änderungen
durchgeführt
werden können,
ohne von dem Bereich dieser Erfindung abzuweichen. Die folgende
Beschreibung ist deshalb nicht in einem begrenzten Sinn aufzunehmen,
und der Bereich der Erfindung wird durch die angefügten Ansprüche definiert.
-
Wie
hierin verwendet, werden "Sender" und "Anforderer" synonym zueinander
verwendet. Ein Anforderer kann ein Endbenutzer oder ein automatisierter
Dienst sein, der eine elektronische Anforderung nach einem Dienst über ein
Netz abgibt. Als ein Beispiel kann ein Anforderer ein Endbenutzer
sein, der auf einen World Wide Web (WWW) Browser zugreift, um Verknüpfungen
zu aktivieren, die mit einem existierenden Dienst in Verbindung
stehen. Des weiteren erfordert Zugang zu dem Dienst Authentifizierung,
deshalb enthält
die Anforderung Identitätsinformation
für den
Anforderer. Identitätsinformation
enthält
elektronische Daten, die typischerweise zum Authentifizieren eines
Anforderers verwendet werden. Identitätsinformation kann elektronische
Identifikationen (z.B. Benutzeridentität, Anwendungsidentität), elektronische
Passwörter,
digitale Zertifikate, verschlüsselte
Token, biometrische Daten, digitale Signaturen, Hardwarewerte, Netzwerte,
Tageszeitwerte, Kalenderwerte und dergleichen enthalten.
-
Die
Identitätsinformation,
falls kompromittiert, kann verwendet werden, um eine Vielfalt anderer
vertraulicher Information zu erlangen, die mit einem Anforderer
in Verbindung steht, wie etwa Sozialversicherungsnummern (SSNs),
Hinweise auf das Passwort, Kreditkartennummern, Bankkontonummern,
Wohnadresse, Telefonnummern und dergleichen. Dies ist so, da sobald
die elektronische Identität
des Anforderers kompromittiert ist, auf andere Dienste, die die
elektronische Identität
verwenden, zugegriffen werden kann, um die zusätzliche vertrauliche Information
zu erlangen. Die anderen Dienste haben keine Möglichkeit zum Unterscheiden
zwischen einer rechtmäßigen Anforderung,
die durch einen rechtmäßigen Anforderer
vorgenommen wird, von einer unrechtmäßigen Anforderung, die durch
einen betrügerischen
Anforderer vorgenommen wird, da die Dienste Anforderungen unter
Verwendung der Identitätsinformation
des Anforderers authentifizieren. Falls die Identitätsinformation
kompromittiert ist, ist somit potenziell die gesamte vertrauliche
Information, die mit der Identität
dieses Anforderers in Verbindung steht, potenziell kompromittiert.
-
Wie
hierin verwendet, kann ein "Dienst" eine beliebige elektronische
Anwendung, Sammlung von Anwendungen oder Systeme, die innerhalb
eines sicheren Netzes hinter einer Firewall arbeiten, enthalten.
Zugang zu dem Dienst erfordert Identitätsinformation für einen
Anforderer, die Identitätsinformation wird
verwendet, um eine Anforderung oder einen Anforderer für einen
Zugriff auf den Dienst zu identifizieren. Ein Anforderer gibt indirekt
Anforderungen zu den Diensten durch einen zusätzlichen Dienst ab, wie etwa
einen Proxyserver, der als eine Firewall agiert. Außerdem hat
der Dienst Zugang zu einem oder mehr geschützten Identitätsverzeichnissen,
die dem Dienst gestatten, beliebige empfangene Identitätsinformation
zu verwenden, um eine Anforderung oder einen Anforderer richtig
zu authentifizieren. Auf das geschützte Identitätsverzeichnis
kann durch den Dienst, den Proxyserver oder andere Dienste innerhalb
des sicheren Netzes zugegriffen werden. Außerdem kann das geschützte Identitätsverzeichnis
ein oder mehrere Verzeichnisse, die mit einander verbunden sind,
ein oder mehr Datenspeicher, die mit einander verbunden sind, oder
eine Kombination von Verzeichnissen und Datenspeichern, die miteinander verbunden
sind, sein.
-
In
einer Ausführungsform
der Erfindung sind die Techniken, die hierin präsentiert werden, zum Sichern
elektronischer Identitäten
mindestens teilweise innerhalb eines Identitätsproxyservers implementiert, wie
etwa iChain oder Excelerator, die durch Novell, Inc. of Provo, Utah
vertrieben werden. Der Proxyserver agiert als eine Firewall zu gewünschten
Diensten und akzep tiert Anforderungen, die von einem unsicheren
Netz stammen, für
jene Dienste. Mit den Unterweisungen dieser Erfindung gibt es keine
Notwendigkeit, Modifikationen an beliebigen der Dienste durchzuführen; vielmehr
managt der Proxyserver Identitätsinformation,
die mit Anforderungen in Verbindung steht, die für jene Dienste durchgeführt werden.
Entsprechend können
beliebige Altlast- oder existierende Dienste, die Identitätsinformation
zum Authentifizieren von Anforderungen benötigen, Nutzen ziehen und sich
leicht mit den hierin präsentierten
Techniken integrieren.
-
1 ist
ein Flussdiagramm, das ein Verfahren 100 zum Generieren
zeitweilig zugewiesener Identitätsinformation
darstellt. Die Verarbeitung des Verfahrens 100 ist in einem
für einen
Computer zugreifbaren Medium implementiert, und ist in einer Ausführungsform
als ein oder mehr Dienste implementiert, die in einem Proxyserver
arbeiten. Ferner agiert der Proxyserver als eine Firewall für ein sicheres
Netz.
-
Anfangs
führt der
Anforderer eine Anforderung nach einem Dienst über ein unsicheres Netz durch.
Auf den Dienst kann von innerhalb eines sicheren Netzes zugegriffen
werden; deshalb empfängt
der Dienst die Anforderung von einem unsicheren Netz nicht direkt.
Mit anderen Worten stammt die Anforderung von einem unsicheren Netz,
wie etwa dem Internet, und die Anforderung wird durch die Verarbeitung
des Verfahrens 100 erlangt und auf die nachstehend beschriebene
Art und Weise vorverarbeitet, bevor sie durch den Dienst richtig
verarbeitet wird. Außerdem
enthält
die Anforderung Identitätsinformation,
die mit dem Anforderer in Verbindung steht. Die Identitätsinformation
kann ein Passwort, eine elektronische Identifikation für den Anforderer, ein
Zertifikat, eine Signatur, einen Token, einen Hardwarewert, einen
Netzwert (Konfigurationswert), einen Tageszeitwert, einen Kalenderwert,
einen biometrischen Wert oder andere Werte enthalten, die verwendet
werden können,
um eine Identität
des Anforderers zu identifizieren. Außerdem kann die Identitätsinformation
eine Kombination von einem oder mehr der oben beschriebenen Werte
enthalten.
-
Entsprechend
erlangt die Verarbeitung des Verfahrens 100 in 110 eine
Anforderung nach einem gewünschten
Dienst und zieht die Identitätsinformation
heraus; die Identitätsinformation
wird zum Authentifizieren einer Identität des Anforderers verwendet,
was dadurch die Anforderung und den Anforderer authentifizieren
wird. Falls die Anforderung richtig authentifiziert wird, dann wird
optional in 111 eine vereinigte Identitätskonfiguration für den Anforderer
aufgebaut. Erlangung der Anforderung kann durch den gewünschten
Dienst geschehen, der die Anforderung zu der Verarbeitung des Verfahrens 100 überträgt. Alternativ
kann Erlangung der Anforderung durch einen Dienst oder Proxy geschehen,
der die Identität
des Anforderers im Namen des gewünschten
Dienstes durch Abfangen der Anforderung, oder durch anderweitiges
Agieren als Vermittler zwischen dem Anforderer und dem gewünschten
Dienst authentifiziert.
-
In
einer Ausführungsform
wird die vereinigte Identitätskonfiguration
als ein elektronisches Identitätsobjekt
für den
Anforderer von einem maßgeblichen
Identitätsspeicher
und einer Identitätskonfigurations-Richtlinienspezifikation
gebildet. Der maßgebliche
Identitätsspeicher
gestattet die Verarbeitung des Verfahrens 100, um den Anforderer
zu authentifizieren (d.h. die Identität des Anforderers), und andere Identitätsinformation über den
Anforderer zu erlangen. Die Identitätskonfigurations-Richtlinienspezifikation
definiert verfügbare
Richtlinien und Attribute, die mit Zugangsebenen des Anforderers
und Genehmigungen innerhalb des sicheren Netzes in Verbindung stehen.
Diese Richtlinien und Attribute bilden eine vereinigte Identitätskonfiguration
für den
Anforderer. Einige dieser Richtlinien und Attribute können für die Anforderung,
die verarbeitet wird, relevant sein, und einige können für andere
Anforderungen relevant sein, die der Anforderer in irgend einem
zukünftigen
Zeitpunkt durchführen
kann. Die vereinigte Identitätskonfiguration
bildet ein elektronisches Identitätsobjekt für den Anforderer innerhalb
des sicheren Netzes. Des weiteren kann es in einigen Ausführungsformen
mehr als einen maßgeblichen
Identitätsspeicher
geben, der durch die Verarbeitung des Verfahrens 100 beim
Bilden des elektronischen Identitätsobjektes verwendet wird.
Außerdem
kann einige zusätzliche
Information über
den Anforderer aus der Berechnungsumgebung des Anforderers erlangt
und innerhalb der Identitätskonfiguration
angesammelt werden.
-
In
120 wird zeitweilig zugewiesene Identitätsinformation für eine Verwendung
mit der empfangenen Anforderung und dem Anforderer generiert. Die zeitweilig
zugewiesene Identitätsinformation
entspricht Syntax und Semantik, die durch den gewünschten
Dienst erwartet werden. Die zeitweilig zugewiesene Identitätsinformation
wird verwendet, um den Anforderer während Proxy- und Dienstinteraktionen
zu personifizieren. Außerdem
ist die zeitweilig zugewiesene Identitätsinformation für eine bestimmte
Anforderung eindeutig, aber der Speicher oder Ablageort, den sie
belegt, kann für
andere Anforderungen und Anforderer wiederverwendet werden, wenn eine
bestimmte Anforderung, die in dem sicheren Netzes verarbeitet wird,
abläuft.
Dies ist vorteilhaft, da Erstellung neuer Speicherstandorte innerhalb
von Datenspei chern (falls welche verwendet werden) im Sinne von
Verarbeitungsverzögerung,
die benötigt wird,
um Speicherstandorte neu zu erstellen, aufwändig sein kann. Außerdem würden Bereinigungsoperationen
typischerweise bearbeitet werden müssen, um Speicher freizusetzen,
der zuvor durch nicht länger
aktive zeitweilig zugewiesene Identitätsinformationswerte belegt
wurde. Somit sieht in einigen Ausführungsformen Rückgewinnung
oder Wiederverwendung des Speichers, der durch inaktive zeitweilig zugewiesene
Identitätsinformationswerte
belegt wird, zusätzlichen
Nutzen bei der Erfindung vor.
-
Des
weiteren kann die zeitweilig zugewiesene Identitätsinformation insgesamt oder
teilweise zufällig
generiert werden. In anderen Ausführungsformen wird die zeitweilig
zugewiesene Identitätsinformation
deterministisch generiert, wie etwa durch Verwenden von Speicheradressen,
Hash-Werten, Tabellenindexwerten
oder Kombinationen von Werten, die einen Schlüssel generieren, der zum zeitweiligen Personifizieren
der Identität
des Anforderers verwendet wird. In noch anderen Ausführungsformen
kann die zeitweilig zugewiesene Identitätsinformation eine Teilmenge
der ursprünglichen
Identitätsinformation sein,
die mit dem Anforderer in Verbindung steht, wobei die Teilmenge
nur jene Abschnitte der ursprünglichen
Identitätsinformation
widerspiegelt, die durch den gewünschten
Dienst bei Verarbeitung der Anforderung benötigt werden kann.
-
In
einer Ausführungsform
werden in 121 die zeitweilig zugewiesene Identitätsinformation,
die ursprünglich
empfangene Identitätsinformation
und das elektronische Identitätsobjekt
des Anforderers miteinander in Verbindung gebracht oder aufeinander abgebildet.
Ferner wird in 122 diese Abbildung (mapping) in einem lokalen
Identitätsspeicher
unterhalten, auf den nur durch die Verarbeitung des Verfahrens 100 zugegriffen
werden kann. Auf diese Weise kann eine Vielzahl zeitweilig zugewiesener
Identitätsinformation
für eine
Vielzahl von Anforderungen und Anforderern gemanagt werden, wobei
einige Anforderungen mit dem gleichen Anforderer in Verbindung stehen
und andere Anforderungen mit einem anderen Anforderer in Verbindung
stehen. Außerdem
können
einige Anforderungen für
den Zweck zum Zugreifen auf den gleichen Dienst oder für den Zweck
zum Zugreifen auf einen anderen Dienst, der sich innerhalb des sicheren
Netzes befindet, durchgeführt
werden. In noch anderen Ausführungsformen
kann die Abbildung auch innerhalb eines Caches zeitweilig untergebracht
werden, auf den durch die Verarbeitung des Verfahrens 100 zugegriffen
werden kann.
-
Außerdem gibt
es in einigen Ausführungsformen
viele lokale Identitätsspeicher,
wobei jeder lokale Identitätsspeicher
mit der gleichen oder einer getrennten Verarbeitungsinstanz des
Verfahrens 100 innerhalb des sicheren Netzes in Verbindung
steht. In diesen Ausführungsformen
können
in 123 die Abbildungen miteinander innerhalb der sicheren
Umgebung synchronisiert werden.
-
Außerdem können die
zeitweilig zugewiesene Information oder das (die) elektronische(n)
Identitätsobjekt
e) durch die Verarbeitung des Verfahrens 100 in 124 proaktiv
entfernt werden, wenn ein terminierendes Ereignis erfasst wird.
Z.B. kann die Verarbeitung des Verfahrens 100 derart konfiguriert
sein, dass wenn alle ausstehenden Ereignisse für einen bestimmten Benutzer
terminiert wurden, dann die Abbildungen aus dem lokalen Identitätsspeicher, dem
geschützten
Identitätsverzeichnis
und dem Cache (je nach Sachlage) gelöscht werden.
-
Als
ein Beispiel wird angenommen, dass ein bestimmter Anforderer zwei
Anforderungen von einem einzelnen Browser über das Internet für zwei getrennte
Dienste, auf die innerhalb des sicheren Netzes zugegriffen werden
kann, erteilt hat. Des weiteren wird angenommen, dass der Anforderer
seinen Browser terminiert und dieses Ereignis durch die Verarbeitung
des Verfahrens 100 erfasst wird. Da in dieser Situation
der Anforderer keine aktiven Anforderungen hat, werden die Abbildungen
auf zeitweilig zugewiesene Identitätsinformation aus dem lokalen Identitätsspeicher
und einem geschützten
Identitätsverzeichnis,
das durch die Dienste zum Authentifizieren der Anforderungen verwendet
wird, unverzüglich entfernt.
In einem anderen Beispiel wird angenommen, dass der Anforderer zwei
getrennte Browserverarbeitungen hat, einen Browser für jede getrennte Anforderung,
und dass der Anforderer nur einen der Browser terminiert. In dieser
Situation kann die Abbildung für
den Anforderer unverändert
und aktiv innerhalb des lokalen Identitätsspeichers und des geschützten Identitätsverzeichnisses
bleiben.
-
Das
vorherige Beispiel hat vorausgesetzt, dass ein zeitweilig zugewiesener
Identitätsinformationswert
zwischen zwei getrennten Sitzungen (z.B. über die zwei Browser) gemeinsam
genutzt wird. Falls alternativ jeder Browser einen anderen zeitweilig
zugewiesenen Identitätsinformationswert
für den Anforderer
verwendet, die beide auf die gleiche authentifizierte Identität des Anforderers
abbilden, dann kann einer der unterschiedlichen zeitweilig zugewiesenen
Identitätsinformationswerte
aus einem der lokalen Identitätsspeicher
entfernt werden.
-
Sobald
die zeitweilig zugewiesene Identitätsinformation und die Abbildung
auf den Anforderer generiert sind, wird die zeitweilig zugewiesene
Identitätsinformation
zu einem geschützten
Identitätsverzeichnis
in 130 aktualisiert. Das geschützte Identitätsverzeichnis
kann sich gänzlich
innerhalb eines flüchtigen
Speicherortes (z.B. einem Speicher) befinden, sich vollständig innerhalb
eines nicht-flüchtigen Speichers
befinden oder sich innerhalb einer Kombination von flüchtigen
und nicht-flüchtigen
Speichern befinden. Außerdem
kann das geschützte
Identitätsverzeichnis
ein oder mehr Datenspeicher, ein oder mehr Verzeichnisse oder eine
Kombination von Datenspeichern und Verzeichnissen, die miteinander synchronisiert
sind, sein.
-
In
einigen Ausführungsformen
wird das elektronische Identitätsobjekt,
das für
den Anforderer erstellt wird, auch zu dem geschützten Identitätsverzeichnis
aktualisiert. In anderen Ausführungsformen wird
nur die zeitweilig zugewiesene Identitätsinformation zu dem geschützten Identitätsverzeichnis
aktualisiert und steht mit einem existierenden Identitätsobjekt
des Anforderers in Verbindung. In einigen Ausführungsformen kann es mehr als
ein geschütztes Identitätsverzeichnis
geben, die sich miteinander derart synchronisieren, dass wenn ein
geschütztes Identitätsverzeichnis
seine Identitätsinformation
oder zeitweilig zugewiesene Identitätsinformation für einen
Anforderer ändert,
die Modifikationen zu/mit den anderen geschützten Identitätsverzeichnissen
kommuniziert und synchronisiert werden. Des weiteren kann in einer
Ausführungsform
ein erstes geschütztes
Identitätsverzeichnis
nur die zeitweilig zugewiesene Identitätsinformation unterbringen,
während
ein zweites geschütztes
Identitätsverzeichnis
die ursprüngliche
Identitätsinformation
unterbringt, die mit der zeitweilig zugewiesenen Identitätsinformation
in Verbindung steht. In diesen Ausführungsformen kann Zugriff auf
das erste geschützte
Identitätsverzeichnis mit
der zeitweilig zugewiesenen Identitätsinformation um die Abbildungen
ergänzt
werden, um auf die ursprüngliche
Identitätsinformation
zuzugreifen, die in dem zweiten geschützten Identitätsverzeichnis
untergebracht ist.
-
Der
Dienst, der mit der ursprünglichen
Anforderung in Verbindung steht, und die Verarbeitung des Verfahrens 100 sind
die Entitäten,
die auf das geschützte
Identitätsverzeichnis
zugreifen können.
Der Dienst greift auf das geschützte
Identitätsverzeichnis zum
Zweck einer Authentifizierung einer Anforderung oder eines Anforderers
(d.h. Identität
des Anforderers) für
einen Zugriff zu. Die Verarbeitung des Verfahrens 100 greift
auf das geschützte
Identitätsverzeichnis
für den
Zweck einer Verknüpfung
des Anfor derers (Identitätsobjekt
des Anforderers) mit der zeitweilig zugewiesenen Identitätsinformation
zu.
-
In
einer Ausführungsform
ist die zeitweilig zugewiesene Identitätsinformation ein zeitweilig
zugewiesenes und zeitweiliges Passwort, das mit einer elektronischen
Identifikation für
den Anforderer in Verbindung steht. In anderen Ausführungsformen
ist die zeitweilig zugewiesene Identitätsinformation eine zeitweilig
zugewiesene elektronische Identifikation und ein Passwort, was mit
dem Anforderer in Verbindung steht. In einigen Ausführungsformen
kann das geschützte
Identitätsverzeichnis
außerdem
konfiguriert sein, Ereignisse zu senden, wenn dynamische Änderungen
an der Identitätsinformation
vorgenommen werden, die mit dem Anforderer in Verbindung steht.
In diesen Situationen können
in 131 die zeitweilig zugewiesene Identitätsinformation,
das elektronische Identitätsobjekt
und die Abbildung je nach Bedarf durch die Verarbeitung des Verfahrens 100 automatisch
abgestimmt werden. Außerdem
können in
einigen Ausführungsformen
die erfassten Änderungen
an der Identitätsinformation
automatisch zu einem oder mehr maßgeblichen Identitätsspeichern aktualisiert
oder derart protokolliert werden, dass die Änderungen anschließend zu
einem oder mehr maßgeblichen
Identitätsspeichern
aktualisiert werden können.
-
Als
Nächstes überträgt die Verarbeitung
des Verfahrens 100 in 140 die zeitweilig zugewiesene Identitätsinformation
und die ursprünglich
empfangene Anforderung zu dem Dienst. Diese Übertragung geschieht, wenn
der gewünschte
Dienst nach Authentifizierung des Anforderers fragt. Der Dienst
verwendet die zeitweilig zugewiesene Identitätsinformation zum Authentifizieren
der Anforderung oder des Anforderers für einen Zugriff auf diesen
Dienst über das
geschützte
Identitätsverzeichnis.
Dabei greift der Dienst auf das geschützte Identitätsverzeichnis
mit der zeitweilig zugewiesenen Identitätsinformation zu, um die elektronischen
Zugangsrichtlinien des Anforderers und Attribute zu erlangen. In
einigen Fällen generiert
die Verarbeitung des Verfahrens 100 diese Richtlinien und
Attribute als ein elektronisches Identitätsobjekt (vereinigte Identitätskonfiguration)
und aktualisiert sie zu dem geschützten Identitätsverzeichnis
mit der zeitweilig zugewiesenen Identitätsinformation. In anderen Fällen existieren
diese Richtlinien und Attribute im voraus innerhalb des geschützten Identitätsverzeichnisses
und verkörpert
als ein Zugangsobjekt des Anforderers (Identitätskonfiguration des Anforderers).
-
In
einigen Ausführungsformen
sind die ursprünglich
vorgesehene Identitätsinformation
und die zeitweilig zugewiesene generierte Identitätsin formation
alles was durch die Verarbeitung des Verfahrens 100 benötigt wird,
um die Identität
des Anforderers sicherzustellen. In diesen Ausführungsformen enthält die Abbildung,
die in dem lokalen Identitätsspeicher untergebracht
ist, die Verbindung zwischen der Identitätsinformation und der zeitweilig
zugewiesenen Identitätsinformation,
das geschützte
Identitätsverzeichnis
wird mit der Verbindung derart aktualisiert, dass wenn der Dienst
die zeitweilig zugewiesene Identitätsinformation dem geschützten Identitätsverzeichnis
bereitstellt, es akzeptiert wird, als ob es die ursprüngliche
Identitätsinformation
wäre, die
mit der Anforderung von dem Anforderer bereitgestellt wurde. Somit
gibt es in einigen Ausführungsformen
keine Notwendigkeit, vereinigte Identitätskonfigurationen (elektronische
Identitätsobjekte)
für den
Anforderer zu managen und jene Identitätskonfigurationen können mit
vorher existierenden Techniken gemanagt werden.
-
Der
Dienst kann eine Anforderung ohne die zeitweilig zugewiesene Identitätsinformation
nicht authentifizieren, und die Verarbeitung des Verfahrens 100 steuert
die Generierung und Terminierung der zeitweilig zugewiesenen Identitätsinformation.
Auf diese Weise kann ein beliebiger böswilliger Benutzer, der sich
innerhalb des sicheren Netzes befindet, nur die zeitweilig zugewiesene
Identitätsinformation
erlangen, aber diese Information ist zeitweilig und wird gänzlich durch
die Verarbeitung des Verfahrens 100 gesteuert. Somit werden
böswillige
Benutzer herausfinden, dass die abgefangene zeitweilig zugewiesene Identitätsinformation
eine stark beschränkte
Verwendung hat, die für
nur einen Dienst spezifisch ist. Außerdem kann der Dienst, der
die zeitweilig zugewiesene Identitätsinformation verbraucht, konfiguriert sein,
multiple Anmeldungsereignisse zu erfassen und zu verweigern. Somit
werden böswillige
Benutzer herausfinden, dass die zeitweilig zugewiesene Identitätsinformation
für sie
nahezu nutzlos ist, und in einigen Fällen für sie gänzlich nutzlos ist. Auf diese Weise
wird vertrauliche Information, die mit einem Anforderer in Verbindung
steht, sicherer gemanagt und innerhalb des sicheren Netzes übertragen,
da eine Identitätsinformation
des Anforderers zu dem Dienst innerhalb des sicheren Netzes nicht übertragen
wird; vielmehr wird nur zeitweilig zugewiesene und zeitweilige Identitätsinformation
zu dem Dienst übertragen.
-
2 ist
ein Flussdiagramm, das ein anderes Verfahren 200 zum Generieren
zeitweilig zugewiesener Identitätsinformation
darstellt. Die Verarbeitung des Verfahrens 200 wird implementiert
und auf sie kann zugegriffen werden von einem für einen Computer zugreifbaren
Medium. In einer Ausfüh rungsform
ist die Verarbeitung des Verfahrens 200 als ein oder mehr
Dienste innerhalb eines Proxyservers implementiert.
-
Anfangs
wird eine Anforderung nach einem Dienst in 210 erlangt.
Die Anforderung enthält
Identitätsinformation,
die mit einem Anforderer der Anforderung in Verbindung steht. In
einer Ausführungsform
stammt die Anforderung von einem Dienst über ein unsicheres Netz in 211.
Z.B. verwendet ein Endbenutzer (Anforderer) einen WWW-Browser (Browserdienst),
um eine Verknüpfung
flink) eines einheitlichen Ressourcenlokators (URL) innerhalb einer Browserseite
zu aktivieren. Die URL-Verknüpfung
ist eine Anforderung nach einem Dienst, der sich innerhalb eines
sicheren Netzes befindet, und wenn ein Zugriff erfolgt, sind Cookies,
die mit dem Anforderer in Verbindung stehen, an die Anforderung
angebracht und werden über
das Internet (unsicheres Netz) übertragen.
Ein Proxyserver, der als Proxy für den
Dienst agiert, und der die Verarbeitung des Verfahrens 200 verkörpert, fängt die
Anforderung ab und führt
die nachstehend beschriebene Verarbeitung durch.
-
Anfangs
wird die Anforderung analysiert (geparst), um die Identitätsinformation
zu erhalten, die mit dem Anforderer der Anforderung in Verbindung steht.
In 220 wird diese Identitätsinformation zum Authentifizieren
der Anforderung (d.h. über
Authentifizierung einer Identität
des Anforderers) für
einen Zugriff auf das sichere Netz und letztlich den gewünschten
Dienst, der mit der Anforderung in Verbindung steht, verwendet.
Dies kann durch Verwenden der Identitätsinformation erreicht werden,
um auf einen oder mehr maßgebliche
Datenspeicher zuzugreifen. Sobald die Anforderung und der Anforderer
authentifiziert sind, können
dann Zugangsrichtlinien und Attribute, die mit dem Anforderer in
Verbindung stehen, erhalten werden.
-
Entsprechend
wird in 230 eine Identitätskonfiguration für den Anforderer
in 230 kompiliert. Diese Identitätskonfiguration
kann eine vereinigte Zugangskonfiguration basierend auf vereinigten
Identitätsrichtlinien
und Attributen sein, die von dem einen oder mehr maßgeblichen
Identitätsspeichern
verfügbar
sind, wie in 231 dargestellt. In einigen zusätzlichen
Ausführungsformen
kann die Identitätskonfiguration
auch zusätzliche
Information über
den Anforderer enthalten, die von den Berechnungsumgebungen des
Anforderers erhalten wird, wie etwa Hardwarekonfiguration, Netzkonfiguration
oder andere persönliche
Information, auf die durch die Verarbeitung des Verfahrens 200 zugegriffen
werden kann (z.B. über
Cookies und dergleichen). Die Identitätskonfiguration dient als ein
elektronisches Identitätsobjekt
für den
Anforderer, was mit der Anforderung in Verbindung steht.
-
In 240 wird
zeitweilig zugewiesene Identitätsinformation
für die
Anforderung generiert. Die zeitweilig zugewiesene Identitätsinformation
ist eine zeitweilige Identifikation und ein Passwort, oder ein zeitweiliges
Passwort, das dem gewünschten
Dienst bereitgestellt wird, um die anfangs erlangte Anforderung
zu verarbeiten. Der Speicherraum, der mit der zeitweilig zugewiesenen
Identitätsinformation
in Verbindung steht, kann in 241 wiedergewonnen und mit anderen
Anforderungen verwendet werden. Zeitweilig zugewiesene Identitätsinformation
kann basierend auf Erfassung eines Ereignisses, das anzeigt, dass ein
bestimmter Anforderer nicht länger
angemeldet oder in Verbindung mit der Verarbeitung des Verfahrens 200 ist,
zum Ablauf gezwungen werden.
-
Die
Identitätskonfiguration
und die zeitweilig zugewiesene Identitätsinformation werden zu einem geschützten Identitätsverzeichnis
aktualisiert. Die gewünschten
Dienste greifen auf das geschützte Identitätsverzeichnis
zu, wenn eine Anforderung empfangen wird für den Zweck einer Authentifizierung
der Anforderung oder des Anforderers (d.h. wahre Identität des Anforderers)
und für
den Zweck einer Erlangung der geeigneten Zugangsrichtlinien und
Attribute, die dem Anforderer zu geben sind. In einer Ausführungsform
wird nur die Abbildung zwischen der zeitweilig zugewiesenen Identitätsinformation
und der ursprünglichen
empfangenen Identitätsinformation
zu dem geschützten
Identitätsverzeichnis aktualisiert.
In diesen Ausführungsformen
müssen die
Zugangsrichtlinien und Attribute, die mit dem Anforderer in Verbindung
stehen, nicht durch die Verarbeitung des Verfahrens 200 gemanagt
werden.
-
Sobald
das geschützte
Identitätsverzeichnis aktualisiert
ist, werden in 250 die Anforderung und die zeitweilig zugewiesene
Identitätsinformation
zu dem gewünschten
Dienst für
eine Verarbeitung übertragen.
In einer Ausführungsform
geschieht die Übertragung über ein
sicheres Netz in 251. Sollte außerdem in diesem Zeitpunkt
ein beliebiger böswilliger Benutzer
versuchen, die elektronische Identität des Anforderers zu kompromittieren,
ist alles, was dem böswilligen
Benutzer zur Verfügung
steht, die zeitweilig zugewiesene Identitätsinformation, da die ursprüngliche
bereitgestellte Identitätsinformation
sicher bleibt und nicht auf die Leitung innerhalb des Netzes platziert
wird, derart, dass sie kompromittiert werden kann. Dies ist eine
beträchtliche
Verbesserung gegenüber
konventionellen Techniken, die auf der Integrität von Benutzern innerhalb des
sicheren Netzes beruhen, um die Geheimhaltung elektronischer Identität des Anforderers
aufrechtzuerhalten.
-
In
noch anderen Ausführungsformen
kann das Verfahren 200 für viele Iterationen verarbeitet werden,
die mit zusätzlichen
Anforderungen nach Diensten von dem gleichen Anforderer in Verbindung stehen,
wie in 252 dargestellt. Auf diese Weise kann ein Anforderer
viele Anforderungen nach ganz verschiedenen Diensten erteilen, auf
die über
das sichere Netz zugegriffen wird. In derartigen Ausführungsformen
werden die neuen Anforderungen authentifiziert und es wird bestimmt,
dass bereits eine existierende authentifizierte Anforderung existiert
und zeitweilig zugewiesene Identitätsinformation enthält. Somit
steht die neue Anforderung mit der existierenden zeitweilig zugewiesenen
Identitätsinformation
in Verbindung und es muss keine Aktualisierung zu dem geschützten Identitätsverzeichnis
geschehen. Die neue Anforderung steht mit der zeitweilig zugewiesenen
Identitätsinformation
in Verbindung und wird zu dem neuen Dienst übertragen, der angefordert
wird.
-
In 260 greift
der Dienst, der die Anforderung und die zeitweilig zugewiesene Identitätsinformation empfängt, auf
das geschützte
Identitätsverzeichnis für den Zweck
einer Authentifizierung der Anforderung oder des Anforderers und
für den
Zweck einer Erlangung der geeigneten Zugangsrichtlinien und Attribute,
die mit dem Anforderer der Anforderung in Verbindung stehen, zu.
In einigen Ausführungsformen
sind die geeigneten Zugangsrichtlinien und Attribute in der kompilierten
Identitätskonfiguration
definiert, die durch die Verarbeitung des Verfahrens 200 vereinigt
wurde. In anderen Ausführungsformen
existieren die geeigneten Zugangsrichtlinien und Attribute im voraus
innerhalb des geschützten
Identitätsverzeichnisses,
stehen aber eindeutig mit der zeitweilig zugewiesenen Identitätsinformation
in Verbindung, die durch die Verarbeitung des Verfahrens 200 aktualisiert
wurde.
-
Die
Ausführungsformen
des Verfahrens 200 beseitigen die Notwendigkeit einer Übertragung
einer elektronischen Identitätsinformation
des Anforderers innerhalb eines sicheren Netzes, wo derartige Information
durch einen böswilligen
Benutzer kompromittiert werden kann, der rechtmäßigen oder unrechtmäßigen Zugang
zu dem sicheren Netz hat. Des weiteren gestatten die Ausführungsformen
des Verfahrens 200, dass zeitweilig zugewiesene Identitätsinformation
für verbesserte
Sicherheit zeitweilig ist, und die zeitweilig zugewiesene Identitätsinformation innerhalb
des sicheren Netzes wiederverwendet werden kann.
-
Es
sollte auch vermerkt werden, dass in einigen Ausführungsformen
die Periode, während
der zeitweilig zugewiesene Identitätsinformation für Ver arbeitungsiterationen
des Verfahrens 200 gültig
bleiben kann, konfigurierbar sein kann. D.h. es können Regeln
für eine
Bestimmung selektiv implementiert werden, wann und ob zeitweilig
zugewiesene Identitätsinformation
aus dem geschützten
Verzeichnisspeicher entfernt wird. Außerdem kann in einigen Ausführungsformen
die zeitweilig zugewiesene Identitätsinformation innerhalb eines
oder mehr Verzeichnissen von der geschützten Identität auf einer
zeitweiligen Basis repliziert werden. Diese Replikation und Entfernung
kann auch basierend auf den gewünschten
Erfordernissen des Netzes konfiguriert werden.
-
3 ist
ein Diagramm eines Identitätsinformationsmanagementsystems 300.
Das Identitätsinformationsmanagementsystem 300 ist
auf einem für einen
Computer zugreifbaren Medium implementiert und es kann darauf von
unsicheren Netzen zugegriffen werden, und es enthält ferner
einen Abschnitt einer Verarbeitung und Dienste, die sich innerhalb
eines sicheren Netzes befinden. In einer Ausführungsform dient das Identitätsinformationsmanagementsystem 300 als
eine Firewall oder ein anderer sicherer Authentifizierungsmechanismus
für ein
sicheres Netz.
-
Das
Identitätsinformationsmanagementsystem 300 enthält mindestens
einen Proxyserver 301, mindestens einen lokalen Identitätsabbildungsspeicher 302 und
ein geschütztes
Identitätsverzeichnis 303.
Auf den Proxyserver 301 kann von einem Dienst 310 zugegriffen
werden, auf den über
ein unsicheres Netz zugegriffen werden kann.
-
Während einer
Operation des Identitätsinformationsmanagementsystems 300 erteilt
ein Dienst 310 eine Anforderung über das unsichere Netz über eine
Kommunikationsleitung A1. In einigen Ausführungsformen ist A1 eine HTTPS-Kommunikation,
die von einem Dienst 310 stammt, der ein WWW-Browser über ein
unsicheres Netz ist, das das Internet ist. Die Anforderung richtet
sich zu einem Dienst 304, der sich innerhalb des sicheren
Netzes befindet. Außerdem
kann die Anforderung direkt oder indirekt Identitätsinformation
enthalten, die mit dem Anforderer der Anforderung in Verbindung
steht. Die Identitätsinformation
kann eine elektronische Identifikation (z.B. Benutzeridentität oder Anwendungsidentität), ein Passwort,
ein Zertifikat, einen Token, einen Hardwarewert, einen Netzkonfigurationswert,
einen Tageszeitwert, einen Kalenderwert, einen biometrischen Wert
oder eine Kombination der oben erwähnten Werte enthalten, was
dem Dienst 304 und dem Proxyserver 301 gestattet,
die Anforderung oder den Anforderer (d.h. Identität des Anforderers)
für einen Zugriff
auf den Dienst 304 zu authentifizieren.
-
Zugang
zu dem Dienst 304 kann nur über A1 durchgeführt werden,
derart, dass der Proxyserver 301 die Anforderung im Namen
des Anforderers effektiv abfängt
und dann die Anforderung innerhalb der sicheren Umgebung zu dem
Dienst 304 verarbeitet. Wenn die Anforderung anfangs abgefangen
wird, wird die Identitätsinformation
authentifiziert und es werden eine Identitätskonfigurationsspezifikation 306 und
ein oder mehr maßgebliche
Identitätsspeicher 305 über Kommunikationsverbindungen
B bzw. C für den
Zweck einer Vereinigung einer Identitätskonfiguration für den Anforderer
der Anforderung befragt. Die Identitätskonfiguration enthält Zugangsrichtlinien und
Attribute, die für
den Anforderer innerhalb der sicheren Umgebung zulässig sind.
-
Sobald
die Identitätskonfiguration
vereinigt oder kompiliert ist, generiert der Proxyserver 301 oder
ein anderer Dienst zeitweilig zugewiesene Identitätsinformation
für die
Anforderung und den Anforderer. Die zeitweilig zugewiesene Identitätsinformation
und die Identitätskonfiguration
stehen innerhalb eines lokalen Identitätsabbildungsspeichers 302 über eine
Kommunikationsverknüpfung
D1 miteinander in Verbindung. In einer Ausführungsform, und für den Zweck
verbesserter Sicherheit, kann auf den lokalen Identitätsabbildungsspeicher 302 nur
durch den Proxyserver 301 zugegriffen werden. In einer
anderen Ausführungsform
werden Kopien der zeitweilig zugewiesenen Identitätsinformation
und der Identitätskonfiguration
in einem Lache unterhalten und gemanagt, auf den durch das System 300 zugegriffen
werden kann.
-
Als
Nächstes
aktualisiert der Proxyserver 301 oder ein anderer Dienst
das geschützte
Identitätsverzeichnis 305 über Kommunikationsverknüpfung E
mit der Identitätskonfiguration
und der zeitweilig zugewiesenen Identitätsinformation. Wenn der gewünschte Dienst 304 anzeigt,
dass er den Anforderer authentifizieren muss, überträgt der Proxyserver 301 dann
die zeitweilig zugewiesene Identitätsinformation zu dem gewünschten
Dienst 304 über
Kommunikationsverknüpfung
F. In einer anderen Ausführungsform
werden die ursprünglich
abgefangene Anforderung und die zeitweilig zugewiesene Identitätsinformation
durch den Proxyserver 304 über Kommunikationsverknüpfung F
zu dem Dienst gesendet, bevor der gewünschte Dienst 304 anzeigt,
dass er den Anforderer für
eine Anforderung authentifizieren muss. Bei Empfang der zeitweilig
zugewiesenen Identitätsinformation
greift der Dienst 304 auf das geschützte Identitätsverzeichnis 303 über Kommunikationsverknüpfung G
zu, wobei die zeitweilig zugewiesene Identitätsinformation die Anforderung
authentifiziert und Zugang zu dem Dienst 304 gewährt wird,
wobei der Zugang den Zugangsrichtlinien und Attributen entspricht,
die in der Identitätskonfiguration
definiert sind.
-
In
alternativen Ausführungsformen
muss der Proxyserver 301 oder ein anderer Dienst Identitätskonfigurationen
nicht vereinigen; vielmehr verbindet der Proxyserver 301 oder
ein anderer Dienst die zeitweilig zugewiesene Information mit der
ursprünglich bereitgestellten
Identitätsinformation,
die mit der ursprünglichen
Anforderung bereitgestellt wird in dem lokalen Identitätsabbildungsspeicher 302.
Dann wird über
E diese Abbildung in dem geschützten
Identitätsverzeichnis 303 aktualisiert,
derart, dass wenn der Dienst 304 versucht, die Anforderung über G zu authentifizieren,
die zeitweilig zugewiesene Identitätsinformation automatisch übersetzt
wird, als ob es die Identitätsinformation
wäre, und
Zugangsrichtlinien und Attribute durch den Dienst 304 aus
dem geschützten
Identitätsverzeichnis 303 erlangt
werden. Außerdem
managt der Proxyserver 301 oder ein anderer Verwaltungsdienst
die zeitweilig zugewiesene Identitätsinformation, die Identitätskonfigurationen und
die zugehörigen
Abbildungen innerhalb des sicheren Netzes. Auf diese Weise kann
der Proxyserver 301 oder der Verwaltungsdienst diese Information
entfernen, wenn er bestimmt, dass Entfernung notwendig ist. Z.B.
hat vielleicht ein Anforderer nicht länger irgend eine gültige Sitzung
mit dem Proxyserver 301, was anzeigt, dass die zeitweilig
zugewiesene Identitätsinformation,
die Identitätskonfiguration und
die Abbildung, die mit dem Anforderer in Verbindung steht, aus dem
lokalen Identitätsabbildungsspeicher 302 und
dem geschützten
Identitätsverzeichnis 303 entfernt
werden sollten.
-
Außerdem kann
der Proxyserver 301 oder ein Verwaltungsdienst die zeitweilig
zugewiesene Identitätsinformation
managen, sodass Speicherstandorte, die zum Unterbringen der zeitweilig
zugewiesenen Identitätsinformation
verwendet werden, für
andere Anforderungen oder sogar andere Anforderer wiederverwendet
werden können.
Dies gestattet aktives und dynamisches Speichermanagement des geschützten Identitätsverzeichnisses 303 und des
lokalen Identitätsspeichers 302.
-
Das
Identitätsinformationsmanagementsystem 300 ist
in einer Operation nicht auf einen einzelnen Proxyserver 301 oder
einen einzelnen lokalen Identitätsabbildungsspeicher 302 begrenzt.
Auf diese Weise kann das System 300 mit zusätzlichen
Proxyservern zusammenarbeiten, wie etwa Proxyserver 301A (oder
für diese
Angelegenheit einem beliebigen zusätzlichen Dienst). Während der
Operation des Systems 300 empfängt Proxyserver 301A eine
Anfor derung von einem anderen Dienst 310A über Kommunikationsverknüpfung A2,
wobei die Anforderung wiederum über
ein unsicheres Netz entspringt.
-
Proxyserver 301A kommuniziert
mit Proxyserver 301 direkt über Verknüpfung Z. Proxyserver 301A arbeitet
und verarbeitet die empfangene Anforderung auf eine ähnliche
Art und Weise, die oben mit Proxyserver 301 erörtert wird;
der lokale Identitätsabbildungsspeicher 302A ist
jedoch mit dem lokalen Identitätsabbildungsspeicher 302 über Kommunikationsverknüpfung D3
synchronisiert. Auf diese Weise werden Abbildungen, die mit zeitweilig
zugewiesener Identitätsinformation
und Identitätskonfigurationen
in Verbindung stehen, synchronisiert, derart, dass Änderungen,
die durch einen Proxyserver 301 oder 301A durchgeführt werden,
innerhalb beider lokaler Identitätsabbildungsspeicher 302 und 302A verfügbar sind.
-
In
einem anderen Operationsmodus schlägt der Proxyserver 301A den
Anforderer in dem geschützten
Identitätsverzeichnis 303 nach
um zu bestimmen, ob der Anforderer bereits authentifiziert ist und
ob eine derartige Authentifizierung noch gültig ist (d.h. nicht abgelaufen
oder veraltet ist).
-
Falls
diese Bedingungen erfüllt
sind, verwendet der Proxyserver 301A dann das geschützte Identitätsverzeichnis 303,
um den Anforderer zu dem gewünschten
Dienst 304A automatisch zu authentifizieren.
-
In
noch einem anderen Operationsmodus kann der Proxyserver 301A ein
zweites geschütztes Identitätsverzeichnis
(in 3 nicht gezeigt) mit der zeitweilig zugewiesenen
Identitätsinformation,
die in dem geschützten
Identitätsverzeichnis 303 untergebracht
ist, aktualisieren. Dies kann in Situationen wünschenswert sein, wo der gewünschte Dienst 304A bestimmt
ist, das zweite geschützte
Identitätsverzeichnis
und nicht das geschützte
Identitätsverzeichnis 303,
das in 3 gezeigt wird, zu verwenden.
-
Wie
die Beschreibung oben bereitgestellt hat, verwendet der Proxyserver 301A Kommunikationsverknüpfung H,
um, falls überhaupt
notwendig, Abbildungen zwischen zeitweilig zugewiesener Identitätsinformation
und Identitätskonfigurationen
innerhalb des geschützten
Identitätsverzeichnisses 303 zu
aktualisieren. Als Nächstes
werden die zeitweilig zugewiesene Identitätsinformation und die ursprünglich.
empfangene Anforderung, die von Dienst 310A empfangen wird, über Kommunikationsverknüpfung I zu
Dienst 304A übertragen.
Erneut kann diese Übertragung
verzögert
werden, bis das System 300 eine Authentifizierungsanforderung
für den
Anforderer empfängt,
wobei die Authentifizierungsanforderung von dem Dienst 304A gesendet
wird. Der Dienst 304A verwendet dann Kommunikationsverknüpfung J,
um die Anforderung oder den Anforderer für einen Zugang zu dem Dienst
unter Verwendung der bereit gestellten zeitweilig zugewiesenen Identitätsinformation
zu authentifizieren.
-
4 ist
ein Diagramm eines Identitätsinformationsdatenspeichers 400,
der sich in einem für
einen Computer zugreifbaren Medium befindet und auf den zum Zweck
einer Erlangung von Abbildungen, die mit Identitätsinformation in Verbindung
stehen, zugegriffen wird.
-
Der
Identitätsinformationsdatenspeicher 400 enthält Identitätskonfigurationsinformation 401,
zeitweilig zugewiesene Identitätsinformation 402 und eine 403. Die Identitätskonfigurationsinformation 401 ist
eine vereinigte elektronische Darstellung von Zugangsrichtlinien
und Attributen, die mit einem Anforderer in Verbindung stehen. Ein
Proxyserver 410 oder ein anderer Verwaltungsdienst baut
auf und managt die Identitätskonfigurationsinformation 401 als
Reaktion auf einen Empfang einer Anforderung von einem Anforderer
für einen
Zugang zu einem Dienst, der sich innerhalb eines geschützten Netzes befindet.
Außerdem
verwendet der Proxyserver 410 oder ein Verwaltungsdienst
einen oder mehr maßgebliche
Identitätsspeicher
und eine Identitätskonfigurations-Richtlinienspezifikation
beim Aufbau der Identitätskonfigurationsinformation 401.
-
Der
Proxyserver 410 oder der Verwaltungsdienst generiert auch
die zeitweilig zugewiesene Identitätsinformation 402 im Namen
einer Anforderung, die mit Identitätsinformation für den Anforderer in
Verbindung steht. Die Verknüpfung
zwischen der Identitätskonfigurationsinformation 401 und
der zeitweilig zugewiesenen Identitätsinformation 402 wird als
eine 403 identifiziert. In einer anderen
Ausführungsform
stellen ein oder mehr maßgebliche Identitätsspeicher
oder andere Dienste, die Zugang zu den maßgeblichen Identitätsspeichern
vorsehen, die 403 bereit.
-
Der
Proxyserver 410 oder der Verwaltungsdienst füllt Felder
der Identitätskonfigurationsinformation 401 und
der zeitweilig zugewiesenen Identitätsinformation 402,
und als Reaktion darauf unterhält
der Datenspeicher 400 eine Abbildung für jedes gefüllte Paar von Identitätskonfigurationsinformation 401 und
zeitweilig zugewiesener Identitätsinformation 402 und
zeichnet sie auf. Diese Abbildung gestattet dem Proxyserver oder
dem Verwaltungsdienst, die Identitätskonfigurationsinformation 401 und
die zeitweilig zugewiesene Identitätsinformation 402 zu erlangen
und zu managen.
-
Der
Proxyserver 410 oder der Verwaltungsdienst verbraucht den
Datenspeicher 400 auf die folgende Art und Weise. Ein Anforderer
sendet eine Anforderung über
ein unsicheres Netz, und der Proxyserver 410 fängt die
Anforderung ab. Die Anforderung enthält, entweder direkt oder indirekt,
Iden titätsinformation,
die mit dem Anforderer in Verbindung steht. Außerdem richtet sich die Anforderung
auf einen Dienst, der sich in einem sicheren Netzes befindet, was
durch den Proxyserver 410 oder einen anderen Verwaltungsdienst
gemanagt wird. Der Proxyserver 410 oder der Verwaltungsdienst
authentifiziert zuerst die Identitätsinformation des Anforderers,
und dann assembliert oder kompiliert der Proxyserver 410 oder
der Verwaltungsdienst einen Identitätskonfigurationswert für den Anforderer.
Der Identitätskonfigurationswert
ist ein elektronisches Objekt oder eine Darstellung des Anforderers
und seiner zulässigen
Zugangsrichtlinien und Attribute.
-
Der
Proxyserver 410 oder der Verwaltungsdienst befragt den
Datenspeicher 400 mit dem Identitätskonfigurationswert um zu
bestimmen, ob er im voraus innerhalb des Datenspeichers existiert.
Falls er vorher existiert, verwendet der Proxyserver 410 oder
der Verwaltungsdienst dann den zugehörigen Abbildungswert, der in
dem Abbildungsfeld 403 des Datenspeichers 400 enthalten
ist, für
den Zweck einer Erlangung eines zeitweilig zugewiesenen Identitätsinformationswertes
aus dem zugehörigen
zeitweiligen zugewiesenen Identitätsinformationsfeld 402.
Als Nächstes überträgt der Proxyserver 410 oder
der Verwaltungsdienst den zeitweilig zugewiesenen Identitätsinformationswert
und die ursprünglich
empfangene Anforderung zu dem geeigneten Dienst, der für eine Verarbeitung
der Anforderung benötigt
wird. In einigen Ausführungsformen
geschieht diese Übertragung
nur, wenn der geeignete Dienst anzeigt, dass er einen Anforderer
hat, der authentifiziert werden muss.
-
Falls
der Identitätskonfigurationswert
in dem Datenspeicher nicht vorher existiert, dann erstellt der Proxyserver 410 oder
der Verwaltungsdienst eine neue Aufzeichnungsinstanz in dem Datenspeicher 400.
Die neue Aufzeichnungsinstanz enthält einen Identitätskonfigurationswert
für das
Identitätskonfigurationsinformationsfeld,
einen zeitweilig zugewiesenen Identitätsinformationswert für das zeitweilig
zugewiesene Identitätsfeld 402 und
einen Abbildungswert, der die zwei Felder innerhalb der Aufzeichnung über das
Abbildungsfeld verknüpft.
Der Abbildungswert wird automatisch generiert und unterhalten durch
den Datenspeicher 400. In einigen Ausführungsformen ist die neue Aufzeichnungsinstanz
tatsächlich
eine wiedergewonnene oder wiederverwendete Speicheraufzeichnung,
die mit vorheriger und nun abgelaufener, entwerteter, bereinigter,
gelöschter
und gegenstandsloser Information in Verbindung stand.
-
Als
Nächstes
aktualisiert der Proxyserver 410 oder der Verwaltungsdienst
den neu generierten Identitätskonfigurationsinformationswert und
den zeitweilig zugewiesenen Identitätsinformationswert zu einem
geschützten
Identitätsverzeichnis 420. Dann überträgt der Proxyserver 410 oder
der Verwaltungsdienst die ursprüngliche
empfangene Anforderung und den neu generierten zeitweilig zugewiesenen
Identitätsinformationswert
zu dem benötigten Dienst,
wobei der Dienst den zeitweilig zugewiesenen Identitätsinformationswert
verwendet, um auf das geschützte
Identitätsverzeichnis 420 zum
Zweck einer Authentifizierung der Anforderung oder des Anforderers
und für
den Zweck einer Erlangung des Identitätskonfigurationsinformationswertes
zuzugreifen. Der Identitätskonfigurationsinformationswert stellt
die Zugangsrichtlinien und Attribute bereit, die für die Anforderung
oder den Anforderer geeignet sind.
-
In
einigen Ausführungsformen
nehmen mehr als ein Datenspeicher 400 an Systemen teil,
die die Datenspeicher 400 verbrauchen. In jeder dieser
Ausführungsformen
kann auf einen einzelnen Datenspeicher 400 durch einen
einzelnen Proxyserver 410 oder Verwaltungsdienst zugegriffen
werden; die Datenspeicher 400 sind jedoch bestimmt, über eine
getrennte und sichere Kommunikationsverknüpfung, die Meldungen über Änderungen
sendet, in Synchronisation zu bleiben. Ein Beispielsystem, das mehr
als einen Datenspeicher 400 verwendet, wird oben mit der
Beschreibung von 3 und dem System 300 detailliert
beschrieben. Somit ist der Datenspeicher 400 durch die
Dienste, die mit den Anforderungen in Verbindung stehen, nicht direkt
zugreifbar.
-
Obwohl
spezifische Ausführungsformen hierin
veranschaulicht und beschrieben wurden, wird ein Durchschnittsfachmann
erkennen, dass eine beliebige Anordnung, die kalkuliert ist, den
gleichen Zweck zu erzielen, für
die gezeigten spezifischen Ausführungsformen
eingesetzt werden kann. Diese Offenbarung ist gedacht, alle Anpassungen
oder Variationen verschiedener Ausführungsformen der Erfindung
abzudecken. Es ist zu verstehen, dass die obige Beschreibung nur
auf veranschaulichende Weise durchgeführt wurde. Kombinationen der
obigen Ausführungsformen,
und andere Ausführungsformen,
die hierin nicht speziell beschrieben werden, werden einem Durchschnittsfachmann
bei Betrachtung der obigen Beschreibung offensichtlich sein. Der Bereich
verschiedener Ausführungsformen
der Erfindung enthält
beliebige andere Dienste, in denen die obigen Strukturen und Verfahren
verwendet werden.