DE60213314T2 - Verfahren und Anordnungen zum kontrollierten Zugang zu Ressourcen basiert auf einem Authentifizierungsverfahren - Google Patents

Verfahren und Anordnungen zum kontrollierten Zugang zu Ressourcen basiert auf einem Authentifizierungsverfahren Download PDF

Info

Publication number
DE60213314T2
DE60213314T2 DE60213314T DE60213314T DE60213314T2 DE 60213314 T2 DE60213314 T2 DE 60213314T2 DE 60213314 T DE60213314 T DE 60213314T DE 60213314 T DE60213314 T DE 60213314T DE 60213314 T2 DE60213314 T2 DE 60213314T2
Authority
DE
Germany
Prior art keywords
authentication
user
token
computer
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60213314T
Other languages
English (en)
Other versions
DE60213314D1 (de
Inventor
John E. Woodinville Brezak
Peter T. Seattle Brundrett
Richard B. Redmond Ward
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of DE60213314D1 publication Critical patent/DE60213314D1/de
Application granted granted Critical
Publication of DE60213314T2 publication Critical patent/DE60213314T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Description

  • Technisches Gebiet
  • Die Erfindung betrifft Computer und Computernetzwerke und insbesondere Verfahren und Anordnungen zum Einsatz bei der Steuerung des Zugriffs auf verschiedene in dem Computer oder Computernetzwerk befindliche Ressourcen auf Basis von Authentifizierungsverfahren.
  • Hintergrund der Erfindung
  • In der Vergangenheit konnte ausführbarer Inhalt nur dann auf einem Computersystem installiert werden, wenn magnetische Medien zu dem Computer verbracht wurden und ein Nutzer einsetzbare Privilegien (beispielsweise administrative Privilegien) besaß, um diese zu installieren. In der Gegenwart machen es das Internet, Intranets, Großbereichsnetzwerke (wide area networks WANs), Ortsbereichsnetzwerke (local area networks LANs) und dergleichen für normale Computernutzer äußerst einfach, ausführbaren Inhalt, so beispielsweise Steuerungen, Programme und Skripten von ActiveX®, herunterzuladen. In vielen Fällen kann ausführbarer Inhalt über das Internet heruntergeladen und ausgeführt werden, ohne dass der Nutzer hiervon überhaupt Kenntnis erlangt.
  • Bedauerlicherweise destabilisiert derartiger ausführbarer Inhalt den Client-Rechner oftmals auf irgendeine Weise absichtlich oder unabsichtlich. So kann sich der Inhalt beispielsweise als fehleranfällig erweisen und Abstürze des Client-Rechners bewirken. Der Inhalt kann darüber hinaus die Sicherheit des Client-Rechners untergraben, indem er vertrauliche Informationen über den Client/Nutzer weitergibt. Obwohl diese Arten von Computerproblemen schon früher in Form von „Viren" und „Trojanern" existiert haben, hat die Allgegenwart des WWW-Teils (World Wide Web) des Internet dazu beigetragen, dass sich diese Probleme weiter verbreiten. Im Allgemeinen ist die Betriebsumgebung der meisten Clients gegen derartigen unsicheren Code nicht angemessen geschützt.
  • Einige Betriebssysteme enthalten bereits einen existierenden Sicherheitsmechanismus, der eine Beschränkung dessen, was nichtprivilegierte Nutzer tun dürfen, bewirkt. So kontrolliert beispielsweise das in das Windows®-NT-Betriebssystem eingebaute Sicher heitssystem den Zugriff auf Ressourcen auf Basis der Identitäten der Nutzer. Wünscht ein Windows-NT-Prozess den Zugriff auf eine Ressource, um eine bestimmte Handlung vorzunehmen, so vergleicht der Sicherheitsmechanismus bei Windows NT die dem Client zu Eigenen Nutzer- und Gruppen-IDs (Kennungen) sowie die Privilegien, die mit jenem Prozess verbunden sind, mit Sicherheitsinformationen, die jener Ressource zugewiesen sind, um den Zugriff auf die Ressource zu gewähren oder zu verweigern. Auf diese Weise wird verhindert, dass nichtautorisierte Nutzer auf die Ressourcen zugreifen und möglicherweise Schaden anrichten, während autorisierten Nutzern Beschränkungen dahingehend auferlegt werden können, welche Handlungen sie vornehmen dürfen.
  • Es gibt zahlreiche verschiedene Authentifizierungsverfahren, die zum Einsatz auf einem Client-Betriebssystem bereitstehen. So kann ein Client beispielsweise unter Kerberos, NTLM, Digest, SSL (Secure Socket Layer) und anderen auswählen, die im Betriebssystem zur Verfügung stehen. Jedes dieser Protokolle ist anders. Die Unterschiede führen zu verschiedenen Sicherheitsstufeniveaus mit Blick auf die Identität der Beteiligten. Einem Fachmann auf dem einschlägigen Gebiet erschließt sich der Unterschied zwischen einem Verfahren hoher Sicherheitsstufe, so beispielsweise einer biometrischen Authentifizierung, und einem Schema niedriger Sicherheitsstufe, so beispielsweise einem Passwort.
  • Aufgrund der Tatsache, dass die möglichen Endnutzer oder Administratoren eines Computerbetriebssystems den Zugriff auf Daten handhaben, ihre Ressourcen gegen Missbrauch schützen und auch andere Aufgaben ausführen müssen, sind sie jeweils die geeigneten Personen, um zu entscheiden, welche Sicherheitsstufe sie für bestimmte Aufgaben anfordern. Beim Betrachten einer Website kann beispielsweise ein niedriger Wert ausreichend sein, sodass der Einsatz eines Verfahrens niedriger Sicherheitsstufe, so beispielsweise eines Passwortes, genügt. Das Aktualisieren buchhalterischer Informationen einer Firma kann hingegen ein Verfahren höherer Sicherheitsstufe, so beispielsweise SSL, erfordern. Die Nutzbarkeit eines konsistenten Verfahrens zur Steuerung des Zugriffs auf eine Vielzahl möglicher Anwendungen ist hierbei wesentlich.
  • Der Beitrag „Network authentication tokens" von Davis R., veröffentlicht bei Computer Security Applications Conference, Fifth Annual Tuscon, AZ, USA, 4. bis 8. Dezember 1989, Los Alamitos, CA, USA, IEEE, 4. Dezember 1989, Seiten 234 bis 238, betrifft ein Verfahren zum Bestimmen der Authentisierungsstärke eines Nutzers und verteilt diese Informationen innerhalb eines verteilten Netzwerkes, um Zugriff auf von dem Nutzer an geforderte Ressourcen auf Basis der Authentisierungsstärke zu gewähren. Das Verfahren bedient sich eines Authentifizierungstokens, der von demjenigen Host stammt, bei dem der Nutzer erstmals das Netzwerk betreten hat. Jedem Authentifizierungsmechanismus wird ein bestimmtes numerisches Sicherheitsniveau zugewiesen. Der Token enthält die Nutzerkennung (ID) und einen entsprechenden Wert für die Authentifizierung oder das Vertraulichkeitsniveau, der der Summe aller einzelnen Niveaus derjenigen Authentifizierungsverfahren entspricht, die der Nutzer bestanden hat. Wann immer der Nutzer Dienste an einer entfernt angeordneten Stelle des Netzwerkes anfordert, wird der Authentifizierungstoken zusammen mit der Anforderung gesendet. Sobald der Token empfangen ist, bestimmt die entfernt angeordnete Stelle den Zugriff des Nutzers auf Basis eines Vergleichs der Werte eines bestimmten Minimalschwellenwertes und des Vertraulichkeitsniveaus des Authentifizierungstokens.
  • Die Druckschrift EP-A2-1 050 993 betrifft ein System und ein zugehöriges Verfahren zur Autorisierung eines Nutzerzugriffes auf eine Ressource auf Basis der Reaktion des Nutzers auf einen oder mehrere Authentifizierungstests. Das System bestimmt, welche Authentifizierungsmechanismen mit der Ressource, auf die der Nutzer zuzugreifen erwünscht, verbunden sind und weist jedem der ausgewählten Authentifizierungsmechanismen eine Gewichtung zu. Die Gewichtung kann auf der Stärke der Authentifizierungstests beruhen. Nachdem der Nutzer sämtliche von dem System vorgelegten Authentifizierungsverfahren durchlaufen hat, wird der Zugriff auf Basis des Verhaltens des Nutzers bei den verschiedenen Authentifizierungstests gewährt oder verweigert. Bei einem Ausführungsbeispiel summiert das Verfahren einfach die Werte jeder Gewichtung jener Authentifizierungsverfahren, die der Nutzer bestanden hat. Die Summe, die auch Testwertung (test score) genannt wird, wird anschließend mit ausgewählten Schwellenwertungen verglichen. Ist die Testwertung gleich oder größer als eine bestimmte Schwellenwertung in Verbindung mit der Anforderung des Nutzers, so wird der Zugriff gewährt. Andernfalls wird der Zugriff verweigert. Bei einem weiteren Ausführungsbeispiel wird die Testwertung mit einer Folge ansteigender Schwellenwerte verglichen, die verschiedenen Untermengen der angeforderten Ressource zugewiesen worden sind. Entsprechend der Testwertung des Nutzers wird sodann der Zugriff auf verschiedene Untermengen der angeforderten Ressource gewährt, wobei die Untermenge in dem Bereich zwischen „kein Zugriff " und „vollständiger Zugriff" angesiedelt sein kann.
  • Es besteht daher nach wie vor Bedarf an verbesserten Verfahren und Anordnungen zur Steuerung des Zugriffs auf verschiedene vernetzte Server, Vorrichtungen, Dienste, An wendungen und dergleichen mehr, und zwar insbesondere im Bereich der Internet/Intranet-Vernetzung.
  • Die Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsbeispiele sind Gegenstand der abhängigen Ansprüche.
  • Entsprechend bestimmter Aspekte der vorliegenden Erfindung werden verbesserte Verfahren und Anordnungen zur Steuerung des Zugriffs auf Ressourcen in einer Computerumgebung bereitgestellt. Die Verfahren und Anordnungen identifizieren insbesondere einen Authentifizierungsmechanismus beziehungsweise Authentifizierungsmechanismen sowie Eigenschaften hiervon, die bei der Verifizierung eines Nutzers verwendet werden, für nachfolgende Betriebssicherheitsmechanismen. Damit bietet das Differenzieren von Nutzeranforderungen auf Basis dieser zusätzlichen Informationen eine zusätzliche Steuerung.
  • Die vorgenannten Anforderungen wie auch weitere Anforderungen werden beispielsweise durch ein Verfahren zum Einsatz in einem Computer erfüllt, das der Lage ist, mehrere Authentifizierungsmechanismen zu unterstützen. Das Verfahren umfasst das Erzeugen einer Betriebssystemdarstellung (beispielsweise eines Sicherheitstokens und dergleichen mehr) wenigstens eines Identitätsindikators, so beispielsweise eine Nutzer- oder Accountidentität, die mit wenigstens einem Authentifizierungsmechanismus verbunden ist und diesen identifiziert, sowie das anschließende Steuern des Zugriffs auf wenigstens eine Ressource auf Basis der Betriebssystemdarstellung. Bei bestimmten Implementierungen umfasst das Verfahren darüber hinaus das Erzeugen wenigstens einer Sicherheitskennung (SID), die den Authentifizierungsmechanismus auf bestimmte Weise, so beispielsweise über Name oder Nummer und gegebenenfalls ein Maß für die Stärke, so beispielsweise die Art beziehungsweise Länge eines bei dem Authentifizierungsmechanismus zum Einsatz kommenden Verschlüsselungsprozesses oder Schlüssels, identifiziert. Bei anderen Implementierungen umfasst das Verfahren beispielsweise das Vergleichen der Betriebssystemdarstellung mit wenigstens einer Zugriffssteuerungsliste, die wenigstens einen Zugriffssteuerungseintrag enthält. Hierbei kann der Zugriffssteuerungseintrag beispielsweise operativ spezifizieren, ob der von dem Authentifizierungsmechanismus authentifizierte Nutzer einen berechtigten Zugriff auf die Ressource hat.
  • Kurzbeschreibung der Zeichnung
  • Ein tiefergehendes Verständnis der verschiedenen Verfahren und Anordnungen der vorliegenden Erfindung ergibt sich bei Betrachtung der nachfolgenden Detailbeschreibung im Zusammenhang mit der begleitenden Zeichnung, die sich wie folgt zusammensetzt.
  • 1 ist ein Blockdiagramm, das eine als Beispiel angegebene funktionelle Anordnung zur Steuerung des Zugriffs auf Ressourcen entsprechend bestimmten Implementierungen der vorliegenden Erfindung darstellt.
  • 2 ist ein Blockdiagramm, das eine als Beispiel angegebene Computerumgebung darstellt, die zum Einsatz mit der Anordnung gemäß 1 geeignet ist.
  • Detailbeschreibung
  • Die Authentifizierung stellt im Grunde einen Prozess des Verifizierens beziehungsweise Nachprüfens dar, ob ein Nutzer, der einen eindeutigen Namen oder eine andere Kennung benutzt, tatsächlich jener Nutzer ist. In der physischen Welt wird dies oftmals unter Verwendung irgendeiner Art von Dokumentierung, die von einer vertrauenswürdigen dritten Seite, so beispielsweise einer Regierung, ausgegeben worden ist, bewerkstelligt. Ein sehr gängiges Beispiel hierfür ist der Pass. Im Computerbereich hingegen wird dies oftmals durch ein Authentifizierungsprotokoll bewerkstelligt. Die Autorisierung ist hierbei die Bestimmung dessen, was einem bestimmten Nutzer oder einem anderen Beteiligten zu tun gestattet ist. Die Autorisierung kann sich in Beschränkungen niederschlagen, so beispielsweise in einer Kreditbegrenzung auf einer Kreditkarte, oder auch in Zugriffssteuerungen oder beispielsweise in Beschränkungen dahingehend, welche Bereiche eines Gebäudes ein Angestellter betreten darf. Die Authentifizierung und die Autorisierung sind miteinander verwandt, werden jedoch oftmals getrennt voneinander analysiert und auch implementiert.
  • Zwei gängige Arten der Autorisierung in einem typischen Computersystem sind die namensbasierte und die identitätsbasierte Autorisierung. Die namensbasierte Autorisierung bedient sich im Wesentlichen einer einzigen Kennung, nämlich des Namens des Nutzers, um Autorisierungsentscheidungen zu verwalten. Viele Websites bedienen sich dieser Art. Ein Beispiel hierfür liegt dann vor, wenn auf einer typischen handelsüblichen Website nur der Nutzer Zugriff auf den Account des Nutzers hat. Die andere Form der Autorisierung, nämlich die identitätsbasierte, stellt eine ausgefeiltere Umgebung dar. Hier hält das Betriebssystem die Kennung für den Nutzer und möglicherweise zusätzliche Kennungen, die Gruppen oder Ansammlungen von dem Administrator verwalteter Nutzer angeben, zur Verwendung durch eine Anwendung vor. Viele Systeme auf Unix-Basis greifen hierauf zurück, und zwar in Form einer Nutzerkennung und einer Liste von Gruppenkennungen. Die Systeme Windows® NT und Windows® 2000 verwirklichen dies mittels eines Konstruktes namens Zugriffstoken (access token), der die Nutzerkennung, die Liste der Gruppen und zusätzliche Einschränkungen und/oder Privilegien beinhaltet.
  • Die Authentifizierung kann auf zwei Arten erfolgen. Eine Art besteht in der Verbindung des Namens einer Vertrauensperson (trustee) mit einem Passwort bei der erstmaligen Verbindung mit dem Datenquellenobjekt. Die zweite und bevorzugte Art besteht in der Verwendung sicherer Zugriffstokens oder entsprechender Betriebssystemdarstellungen irgendeines identifizierenden Indikators, der von dem Betriebssystem nur an authentisierte Nutzer/Accounts vergeben wird. Hierbei umfasst der Zugriffstoken oder eine entsprechende Betriebssystemdarstellung einen oder mehrere Sicherheitsidentifizierungsdeskriptoren (SIDs), die mit einer oder mehreren auswählbaren in einem Datenspeicher abgelegten Zugriffssteuerungslisten (access control list ACL) oder dergleichen abgeglichen werden kann.
  • Eine Anzahl herkömmlicher Authentifizierungstechniken wird in Authentifizierungspackages implementiert. So stellen Windows NT und Windows 2000 beispielsweise den Windows NT LAN Manager (NTLM) bereit. Windows 2000 bietet zusätzlich die Unterstützung für das Sicherheitsprotokoll Kerberos. Andere bekannte Authentifizierungstechniken sind SSL (Secure Socket Layer), Schannel, Passport und dergleichen. Darüber hinaus können auch andere ähnliche proprietäre Authentifizierungstechniken implementiert werden.
  • Eingedenk dessen wird in 1 eine generische Anordnung 100 dargestellt, die ohne Weiteres auf eine ähnliche Anordnung übertragen werden kann. Die wesentliche Funktionalität der Anordnung 100 beinhaltet den Einsatz eines Zugriffstokens oder einer entsprechenden Betriebssystemdarstellung 110, die weiter derart modifiziert worden ist, dass sie Informationen enthält, die einen oder mehrere Arten, Merkmale und andere Aspekte im Zusammenhang mit dem Authentifizierungspackage oder den Authentifizierungspackages enthalten, die zur Validierung des Nutzers/Accounts verwendet werden.
  • Die Betriebssystemdarstellung 110 bietet vorteilhafterweise eine zusätzliche Granularität im Sicherheitsmodell des Gesamtsystems.
  • Wie in 1 dargestellt ist, umfasst die Anordnung 100 eine Anmeldefunktion (logon function) 102, die die Schnittstelle zum Nutzer darstellt. Der Nutzer muss beispielsweise einen Nutzer- oder Accountnamen, ein Passwort oder einen anderen Nutzer-/Gruppenidentifizierer bereitstellen (das heißt eingeben). Bei bestimmten Implementierungen kann die Anmeldefunktion 102 darüber hinaus eine Schnittstelle zu einer Logik auf einer Smartcard oder einer ähnlichen tragbaren Tokenvorrichtung darstellen. Bei anderen Implementierungen können biometrische Informationen über oder von dem Nutzer von der Anmeldefunktion 102 gesammelt werden.
  • Die Anmeldefunktion 102 gibt die Nutzeranmeldeinformationen, so beispielsweise den Namen oder das Passwort (oder den Hash-Wert des Passwortes), an ein Authentifizierungspackage 104 weiter. Das Authentifizierungspackage 104 ist so eingerichtet, dass es authentisiert oder auf andere Weise validiert beziehungsweise nachprüft, dass der Nutzer (auf Basis der Nutzeranmeldeinformationen) tatsächlich derjenige Nutzer ist, den der Name impliziert. Wie erwähnt, gibt es eine Reihe von Authentifizierungstechniken, die heutzutage verwendet werden.
  • Das Authentifizierungspackage 104 kann sich eines Kodierungs- oder Verschlüsselungsschemas bedienen, das einen Schlüssel 106 erfordert. Bei bestimmten Implementierungen ist die Vertrauenswürdigkeit der Authentifizierungstechnik mit der Stärke (so beispielsweise mit der Länge) des Schlüssels 106 verbunden. Dies wird herausgestellt, da es sich hierbei um ein Sicherheitsmaß handeln kann, das sich später in der Betriebssystemdarstellung 110 wiederfindet. Das Authentifizierungspackage 104 kann zudem auf ein oder mehrere andere Subauthentifizierungspackages 108 zugreifen, um die Nutzeranmeldung zu verifizieren. Die Verwendung eines Subauthentifizierungspackages 108 kann auch Auswirkungen auf die Vertrauenswürdigkeit der Authentifizierungstechnik haben und sich per se in der resultierenden Betriebssystemdarstellung 110 widerspiegeln.
  • Wie dargestellt, gibt das Authentifizierungspackage 104 eine oder mehrere Authentifizierungspackage-SIDs 112 aus, die in einer Betriebssystemdarstellung 110 bereitgestellt werden. Bei diesem Beispiel ist die Betriebssystemdarstellung 110 ein Objekt, das den Nutzer/Account gemäß nachstehender Beschreibung identifiziert und permanent mit den Nutzer-/Accountprozessen verbunden ist.
  • Hierbei enthält die Betriebssystemdarstellung 110 eine herkömmliche Nutzer-SID auf Basis des Anmeldenamens und Passwortes und dergleichen mehr und wenigstens eine Authentifizierungspackage-SID 112. Die Betriebssystemdarstellung 110 kann darüber hinaus andere Attribute enthalten, so beispielsweise eine oder mehrere Gruppen-IDs (Kennungen), Privilegien und dergleichen mehr.
  • Durch Bereitstellung einer Authentifizierungspackage-SID 112 in der Betriebssystemdarstellung 110 sind nachfolgende Sicherheitsfunktionen in der Lage, weiter zwischen Nutzern/Accounts zu differenzieren. Dieser Vorteil wie auch weitere werden nachstehend beschrieben, und zwar im Anschluss an eine Übersicht einer als Beispiel angegebenen Sicherheitsanordnung mit einem Objektmanager 114, einem Sicherheitsmechanismus 116 und einer ACL 118.
  • Wünscht der Nutzerprozess einen Zugriff auf ein weiteres Objekt, so spezifiziert er die Art des gewünschten Zugriffes (beispielsweise das Erhalten eines Lese-/Schreibzugriffes auf ein Dateiobjekt) und stellt auf Kernelniveau die entsprechende Betriebssystemdarstellung 110 für einen Objektmanager 114 bereit. Das gesuchte Objekt weist einen damit verbundenen Kernelniveausicherheitsdeskriptor auf, der eine ACL 118 enthält. Der Objektmanager 110 veranlasst, dass die Betriebssystemdarstellung 110 und die ACL 118 für den Sicherheitsmechanismus 116 bereitgestellt werden.
  • Innerhalb der ACL 118 ist wenigstens ein Zugriffssteuerungseintrag (access control entry ACE) 120 vorhanden, der bestimmte Zugriffsrechte (erlaubte oder verweigerte Handlungen) definiert, die jenem Eintrag entsprechen. So kann beispielsweise ein ACE 120 einen Typindikator (verweigern oder erlauben), Flags, einen oder mehrere SIDs und Zugriffsrechte in Form einer Bitmaske enthalten, bei der jedes Bit einer Erlaubnis (beispielsweise ein Bit für einen Lesezugriff, eines für einen Schreibzugriff und dergleichen mehr) entspricht.
  • Als solches ist der Sicherheitsmechanismus 116 in der Lage, die SIDs in der Betriebssystemdarstellung 110 zusammen mit der Art der Handlung oder der Handlungen, die von dem Nutzerprozess angefordert wurde beziehungsweise wurden, mit ACE(s) 120 in der ACL 118 zu vergleichen. Wird eine Übereinstimmung mit einem erlaubten Nutzer oder einer Gruppe vorgefunden und ist die Art des gewünschten Zugriffs für den Nutzer oder die Gruppe freigegeben, so wird ein Handle auf das gewünschte Objekt an den Nutzerprozess ausgegeben, wohingegen andernfalls der Zugriff verweigert wird.
  • Unter Hinzufügung einer Authentifizierungspackage-SID beziehungsweise von Authentifizierungspackage-SIDs 112 kann sich der Sicherheitsmechanismus 116 auch des Authentifizierungspackages oder -mechanismus bedienen. So kann einem Nutzer, der unter Verwendung von NTLM authentifiziert wurde, beispielsweise der Zugriff auf ein gewünschtes Objekt auf Basis eines Verweigerungs-NTLM-Authentifizierungs-ACE 120 in der ACL 118 verweigert werden, während einem anderen Nutzer, der mittels Kerberos authentifiziert wurde, der Zugriff auf das gewünschte Objekt erlaubt wird. Eine weitere Granularität wird durch Definieren verschiedener SIDs 112 und ACEs 120 auf Basis einer Authentifizierungspackage 104, einer Subauthentifizierungspackage 108, eines Schlüssels 106 oder beliebiger Kombinationen hieraus bereitgestellt.
  • 2 ist ein Blockdiagramm, das ein als Beispiel dargestelltes Computersystem 200 darstellt, das auf die Anordnung 100 anwendbar ist.
  • Das Computersystem 200 liegt in diesem Beispiel in Form eines Personalcomputers (PC) vor, wohingegen das Computersystem bei anderen Beispielen die Form eines eigens vorgesehenen Servers beziehungsweise eigens vorgesehener Server, einer Sonderzweckvorrichtung, eines Gerätes, einer Handcomputervorrichtung, einer Mobiltelefoneinrichtung, eine Pagervorrichtung und dergleichen mehr annehmen kann.
  • Wie gezeigt, umfasst das Computersystem 200 eine Verarbeitungseinheit 221, einen Systemspeicher 222 und einen Systembus 223. Der Systembus 223 verbindet die verschiedenen Systemkomponenten, darunter den Systemspeicher 222 und die Verarbeitungseinheit 221 miteinander. Der Systembus 223 kann von einer beliebigen Busstrukturart sein, darunter ein Speicherbus oder ein Speicherkontroller, ein Peripheriebus und ein lokaler Bus unter Verwendung einer beliebigen Architektur aus einer Vielzahl von Busarchitekturen. Der Systemspeicher 222 umfasst üblicherweise einen Nurlesespeicher (read-only memory ROM) 224 und einen Speicher mit wahlfreiem Zugriff (random access memory RAM) 225. Ein grundlegendes Eingabel-Ausgabesystem 226 (basic input/output system BIOS), das die Grundroutine enthält, die den Transfer von Informationen zwischen den Elementen innerhalb des Computersystems 200, so beispielsweise während des Hochfahrens, unterstützt, ist in dem ROM 224 abgelegt. Das Computersystem 200 umfasst darüber hinaus ein Festplattenlaufwerk 227 zum Lesen von einer Festplatte und Schreiben hierauf (nicht gezeigt), ein Magnetplattenlaufwerk 228 zum Lesen von einer entnehmbaren Magnetplatte 229 oder zum Schreiben hierauf und ein Optikplattenlaufwerk 230 zum Lesen von einer entnehmbaren optischen Platte 231, so beispielsweise einer CD-ROM oder einem anderen optischen Medium, und zum Schreiben hierauf. Das Festplattenlaufwerk 227, das Magnetplattenlaufwerk 228 und das Optikplattenlaufwerk 230 sind mit dem Systembus 223 über eine Festplattenlaufwerkschnittstelle 232, eine Magnetplattenlaufwerkschnittstelle 233 beziehungsweise eine Optiklaufwerkschnittstelle 234 verbunden. Diese Laufwerke und die zugehörigen computerlesbaren Medien stellen einen nichtflüchtigen Speicher für computerlesbare Anwendungen, Datenstrukturen, Computerprogramme und andere Daten für das Computersystem 200 dar.
  • Eine Anzahl von Computerprogrammen kann auf der Festplatte, der Magnetplatte 229, der Optikplatte 231, in dem ROM 224 oder dem RAM 225 abgelegt sein, darunter ein Betriebssystem 235, ein oder mehrere Anwendungsprogramme 236, andere Programme 237 und Programmdaten 238.
  • Ein Nutzer kann Befehle und Informationen in das Computersystem 200 über verschiedene Eingabevorrichtungen eingeben, so beispielsweise eine Tastatur 240 und eine Zeigevorrichtung 242 (so beispielsweise eine Maus). Eine Kamera oder ein Mikrofon 255 oder eine ähnliche Medienvorrichtung, die in der Lage ist, Echtzeitdaten 256 zu erfassen oder auf andere Weise auszugeben, kann ebenfalls als Eingabevorrichtung in dem Computersystem 200 enthalten sein. Die Echtzeitdaten 256 können in das Computersystem 200 über eine geeignete Schnittstelle 257 eingegeben werden. Die Schnittstelle 257 kann mit dem Systembus 223 verbunden sein, um eine Speicherung oder anderweitige Verarbeitung der Echtzeitdaten 256 in dem RAM 225 oder einer der anderen Datenablagevorrichtungen zu ermöglichen.
  • Wie gezeigt, ist ein Monitor 247 oder eine andere Art von Anzeigevorrichtung ebenfalls mit dem Systembus 223 über eine Schnittstelle, so beispielsweise einen Videoadapter 248, verbunden. Zusätzlich zu dem Monitor kann das Computersystem 200 auch andere Peripherieausgabevorrichtungen (nicht gezeigt), so beispielsweise Lautsprecher, Drucker und dergleichen mehr, enthalten.
  • Das Computersystem 200 kann in einer vernetzten Umgebung unter Verwendung logischer Verbindungen mit einem oder mehreren entfernt angeordneten Computern, so beispielsweise einem entfernt angeordneten Computer 249, arbeiten. Der entfernt angeordnete Computer 249 kann ein weiterer Personalcomputer, ein Server, ein Router, ein Netzwerk-PC, eine Peervorrichtung oder ein anderer gängiger Netzwerkknoten sein und enthält üblicherweise viele oder sämtliche der vorstehend im Zusammenhang mit dem Computersystem 200 beschriebenen Elemente, obwohl lediglich eine Speicherablagevorrichtung 250 in 2 dargestellt ist.
  • Die in 2 dargestellten logischen Verbindungen umfassen ein Ortsbereichsnetzwerk (LAN) 251 und ein Großbereichsnetzwerk (WAN) 252. Derartige Netzwerkumgebungen sind in Büros, unternehmensweiten Computernetzwerken, Intranets und dem Internet weit verbreitet.
  • Bei Einsatz in einer LAN-Netzwerkumgebung ist das Computersystem 200 mit dem örtlichen Netzwerk 251 über eine Netzwerkschnittstelle oder einen Netzwerkadapter 253 verbunden. Bei Einsatz in einer WAN-Netzwerkumgebung umfasst das Computersystem 200 üblicherweise ein Modem 254 oder eine andere Einrichtung zur Bewerkstelligung eines Datenaustausches über das Großbereichsnetzwerk 252, so beispielsweise das Internet. Ein Modem 254, das intern oder extern sein kann, ist mit dem Systembus 223 über die serielle Portschnittstelle 246 verbunden.
  • In einer vernetzten Umgebung können Computerprogramme, die im Zusammenhang mit dem Computersystem 200 dargestellt sind, oder Teile hiervon in entfernt angeordneten Speicherablagevorrichtungen abgelegt sein. Es ist einsichtig, dass die gezeigten Netzwerkverbindungen lediglich Beispiele sind und andere Mittel zur Bewerkstelligung einer Datenaustauschverbindung zwischen den Computern eingesetzt werden können.

Claims (11)

  1. Verfahren zum Einsatz in einem Computer (200), der in der Lage ist, mehrere Authentifizierungs-Mechanismen zu unterstützten, wobei das Verfahren umfasst: Bereitstellen eines Anmeldeprozesses (102), der Benutzereingaben in mehrere verschiedene Authentifizierungs-Packages (104) beinhaltet, wobei der Anmeldeprozess entsprechende Authentifizierungs-Package-SID (112) erzeugt und ausgibt, Empfangen der SID (112) und Erzeugen eines Token (110), der einen Benutzer identifiziert, wobei der Token (110) permanent mit einem Prozess verbunden ist, der zu dem Benutzer gehört, und der Token (110) auf Basis der empfangenen SID (112) Informationen enthält, die mehrere Authentifizierungs-Packages identifizieren, die verwendet wurden, um den Benutzer oder einen Account zu validieren, den der Benutzer besitzt, Steuern von Zugriff auf eine Ressource, auf die ein Benutzer Zugriff wünscht, durch Vergleichen der Informationen des Token (110), die mehrere Authentifizierungs-Packages (104) identifizieren, mit Informationen eines Zugriffssteuerungs-Eintrags (ACE) (120), der in einer Zugriffssteuerungs-Liste (ACL) (118) der Ressource enthalten ist, und Gewähren von Zugriff auf die Ressource, wenn ein Authentifizierungs-Mechanismus, der durch den ACE (120) der Ressource festgesetzt wird, mit Informationen des Token (110) übereinstimmt, wobei die Informationen ein Authentifizierungs-Package (104) identifizieren, das dem Authentifizierungs-Mechanismus entspricht.
  2. Verfahren nach Anspruch 1, wobei Erzeugen des Token des Weiteren einschließt, dass Eingaben empfangen werden, die Eingaben dem Authentifizierungs-Package bereitgestellt werden und das Authentifizierungs-Package veranlasst wird, wenigstens eine Sicherheitskennung (SID) zu generieren, die das Authentifizierungs-Package identifiziert.
  3. Verfahren nach Anspruch 1, wobei Erzeugen des Token des Weiteren Identifizieren wenigstens einer Eigenschaft, die mit dem Authentifizierungs-Mechanismus verknüpft ist, innerhalb des Token einschließt.
  4. Verfahren nach Anspruch 3, wobei die wenigstens eine mit dem Authentifizierungs-Mechanismus verknüpfte Eigenschaft ein Maß der Stärke des Authentifizierungs-Mechanismus einschließt.
  5. Verfahren nach Anspruch 4, wobei das Maß der Stärke des Authentifizierungs-Mechanismus eine Länge eines Verschlüsselungsschlüssels identifiziert, der von dem Authentifizierungs-Mechanismus verwendet wird.
  6. Computerlesbares Medium, das durch Computer ausführbare Befehle zum Durchführen des Verfahrens nach Anspruch 1 umfasst.
  7. Computerlesbares Medium nach Anspruch 6, wobei Erzeugen des Token des Weiteren einschließt, dass Eingaben empfangen werden, die Eingaben dem Authentifizierungs-Package bereitgestellt werden und das Authentifizierungs-Package veranlasst wird, in Reaktion darauf wenigstens eine Sicherheits-Kennung (SID) zu generieren, die das Authentifizierungs-Package identifiziert.
  8. Computerlesbares Medium nach Anspruch 6, wobei Erzeugen des Token des Weiteren Identifizieren wenigstens einer Eigenschaft des Authentifizierungs-Mechanismus innerhalb des Token einschließt.
  9. Computerlesbares Medium nach Anspruch 8, wobei die wenigstens eine Eigenschaft des Authentifizierungs-Mechanismus eine Stärke-Eigenschaft des Authentifizierungs-Mechanismus einschließt.
  10. Computerlesbares Medium nach Anspruch 9, wobei die Stärke-Eigenschaft eine Länge eines Verschlüsselungsschlüssels identifiziert, von dem den Authentifizierungs-Mechanismus verwendet wird.
  11. Vorrichtung, die Einrichtungen zum Durchführen des Verfahrens nach Anspruch 1 umfasst.
DE60213314T 2001-04-30 2002-04-15 Verfahren und Anordnungen zum kontrollierten Zugang zu Ressourcen basiert auf einem Authentifizierungsverfahren Expired - Lifetime DE60213314T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/846,175 US7305701B2 (en) 2001-04-30 2001-04-30 Methods and arrangements for controlling access to resources based on authentication method
US846175 2001-04-30

Publications (2)

Publication Number Publication Date
DE60213314D1 DE60213314D1 (de) 2006-09-07
DE60213314T2 true DE60213314T2 (de) 2007-04-19

Family

ID=25297148

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60213314T Expired - Lifetime DE60213314T2 (de) 2001-04-30 2002-04-15 Verfahren und Anordnungen zum kontrollierten Zugang zu Ressourcen basiert auf einem Authentifizierungsverfahren

Country Status (6)

Country Link
US (1) US7305701B2 (de)
EP (1) EP1255179B1 (de)
JP (1) JP4772256B2 (de)
AT (1) ATE334438T1 (de)
AU (1) AU785250B2 (de)
DE (1) DE60213314T2 (de)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035922B2 (en) * 2001-11-27 2006-04-25 Microsoft Corporation Non-invasive latency monitoring in a store-and-forward replication system
US7636937B1 (en) * 2002-01-11 2009-12-22 Cisco Technology, Inc. Method and apparatus for comparing access control lists for configuring a security policy on a network
JP2003304523A (ja) * 2002-02-08 2003-10-24 Ntt Docomo Inc 情報配信システム、情報配信方法、情報配信サーバ、コンテンツ配信サーバ及び端末
US7367044B2 (en) * 2002-06-14 2008-04-29 Clink Systems, Ltd. System and method for network operation
US20040054790A1 (en) * 2002-09-12 2004-03-18 International Business Machines Corporation Management of security objects controlling access to resources
WO2004034229A2 (en) 2002-10-10 2004-04-22 Rocksteady Networks, Inc. System and method for providing access control
WO2004036371A2 (en) 2002-10-16 2004-04-29 Rocksteady Networks, Inc. System and method for dynamic bandwidth provisioning
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
JP2004157892A (ja) 2002-11-08 2004-06-03 Hitachi Ltd 計算機システム、記憶装置、アクセス管理方法及びプログラム
EP1570442A2 (de) * 2002-11-27 2005-09-07 RSA Security Inc. Identitäts-authentikationssystem und methode
JP4639033B2 (ja) * 2003-01-29 2011-02-23 キヤノン株式会社 認証装置及び認証方法と認証プログラム
DE10307995B4 (de) * 2003-02-25 2008-02-07 Siemens Ag Verfahren zum Signieren von Daten
US7480798B2 (en) * 2003-06-05 2009-01-20 International Business Machines Corporation System and method for representing multiple security groups as a single data object
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
US20070254631A1 (en) * 2003-11-06 2007-11-01 Intuwave Limited Secure Multi-Entity Access to Resources on Mobile Telephones
US9489687B2 (en) * 2003-12-04 2016-11-08 Black Duck Software, Inc. Methods and systems for managing software development
US7552093B2 (en) * 2003-12-04 2009-06-23 Black Duck Software, Inc. Resolving license dependencies for aggregations of legally-protectable content
US8700533B2 (en) * 2003-12-04 2014-04-15 Black Duck Software, Inc. Authenticating licenses for legally-protectable content based on license profiles and content identifiers
JP4665406B2 (ja) * 2004-02-23 2011-04-06 日本電気株式会社 アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置
EP1873993B1 (de) * 2004-03-01 2012-01-18 Hitachi, Ltd. Befehlsverarbeitungssystem
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US7590728B2 (en) 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7509625B2 (en) 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
US7665130B2 (en) 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US8219807B1 (en) * 2004-12-17 2012-07-10 Novell, Inc. Fine grained access control for linux services
US8271785B1 (en) 2004-12-20 2012-09-18 Novell, Inc. Synthesized root privileges
US7490072B1 (en) 2005-02-16 2009-02-10 Novell, Inc. Providing access controls
US7797245B2 (en) * 2005-03-18 2010-09-14 Black Duck Software, Inc. Methods and systems for identifying an area of interest in protectable content
US8887233B2 (en) * 2005-04-08 2014-11-11 Netapp, Inc. Cookie-based acceleration of an authentication protocol
US20060253534A1 (en) * 2005-05-09 2006-11-09 Milheron Patrick M Symmetric networking to support flexible teaching
US8352935B2 (en) 2005-05-19 2013-01-08 Novell, Inc. System for creating a customized software distribution based on user requirements
US8074214B2 (en) 2005-05-19 2011-12-06 Oracle International Corporation System for creating a customized software installation on demand
US7155213B1 (en) 2005-09-16 2006-12-26 James R. Almeda Remote control system
US8676973B2 (en) * 2006-03-07 2014-03-18 Novell Intellectual Property Holdings, Inc. Light-weight multi-user browser
US7730480B2 (en) * 2006-08-22 2010-06-01 Novell, Inc. System and method for creating a pattern installation by cloning software installed another computer
US7681045B2 (en) * 2006-10-12 2010-03-16 Black Duck Software, Inc. Software algorithm identification
US8010803B2 (en) 2006-10-12 2011-08-30 Black Duck Software, Inc. Methods and apparatus for automated export compliance
US8850553B2 (en) * 2008-09-12 2014-09-30 Microsoft Corporation Service binding
US20100299738A1 (en) * 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US8312157B2 (en) * 2009-07-16 2012-11-13 Palo Alto Research Center Incorporated Implicit authentication
US8776204B2 (en) * 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
US9582673B2 (en) 2010-09-27 2017-02-28 Microsoft Technology Licensing, Llc Separation of duties checks from entitlement sets
US20120227098A1 (en) * 2011-03-03 2012-09-06 Microsoft Corporation Sharing user id between operating system and application
US9183361B2 (en) 2011-09-12 2015-11-10 Microsoft Technology Licensing, Llc Resource access authorization

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
US6163383A (en) * 1996-04-17 2000-12-19 Fuji Xerox Co., Ltd. Method for providing print output security in a multinetwork environment
US5787177A (en) * 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US6052468A (en) * 1998-01-15 2000-04-18 Dew Engineering And Development Limited Method of securing a cryptographic key
US6711681B1 (en) * 1999-05-05 2004-03-23 Sun Microsystems, Inc. Cryptographic authorization with prioritized authentication
US6687823B1 (en) * 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US6915426B1 (en) * 1999-07-23 2005-07-05 Networks Associates Technology, Inc. System and method for enabling authentication at different authentication strength-performance levels
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US7086085B1 (en) * 2000-04-11 2006-08-01 Bruce E Brown Variable trust levels for authentication
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets

Also Published As

Publication number Publication date
DE60213314D1 (de) 2006-09-07
AU3299402A (en) 2002-10-31
US7305701B2 (en) 2007-12-04
EP1255179A3 (de) 2004-08-11
ATE334438T1 (de) 2006-08-15
JP4772256B2 (ja) 2011-09-14
JP2003030149A (ja) 2003-01-31
AU785250B2 (en) 2006-12-07
EP1255179A2 (de) 2002-11-06
US20020162030A1 (en) 2002-10-31
EP1255179B1 (de) 2006-07-26

Similar Documents

Publication Publication Date Title
DE60213314T2 (de) Verfahren und Anordnungen zum kontrollierten Zugang zu Ressourcen basiert auf einem Authentifizierungsverfahren
DE60225378T2 (de) Verfahren und Systeme zur Steuerung des Umfangs der Delegierung von Authentifizierungsdaten
EP2304642B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2245573B1 (de) Verfahren zum lesen von attributen aus einem id-token
US7065784B2 (en) Systems and methods for integrating access control with a namespace
EP2585963B1 (de) Verfahren zur erzeugung eines zertifikats
DE69838378T2 (de) Verfahren und gerät um sicherheit, für server die anwenderprogramme ausführen, die über's netzwerk empfangen wurden, zu gewährleisten
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
US8281374B2 (en) Attested identities
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
JP6932175B2 (ja) 個人番号管理装置、個人番号管理方法、および個人番号管理プログラム
EP2454704A1 (de) Verfahren zum lesen von attributen aus einem id-token
DE112012005033B4 (de) Systemübergreifende sichere Anmeldung
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
DE112011102224T5 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
EP2620892B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
CN113094678B (zh) 企业信息安全管理系统
DE602004013254T2 (de) Verfahren und System zur Generierung von Authentifizierungsstapeln in Kommunikationsnetzen
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität
DE102014114432B4 (de) Verfahren, Vorrichtung und Computerprogramm zum Kontrollieren eines Zugriffsauf einen Service innerhalb eines Netzwerkes
DE102008013079B4 (de) Verfahren und Anordnung zur Verwaltung digitaler Identitäten über eine einzige Schnittstelle
DE102012106081A1 (de) Verfahren zur verschlüsselten und anonymisierten Verwahrung und Verwaltung von personenbezogenen Daten oder Dateien

Legal Events

Date Code Title Description
8364 No opposition during term of opposition