[go: up one dir, main page]

DE10128729A1 - User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit - Google Patents

User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit

Info

Publication number
DE10128729A1
DE10128729A1 DE2001128729 DE10128729A DE10128729A1 DE 10128729 A1 DE10128729 A1 DE 10128729A1 DE 2001128729 DE2001128729 DE 2001128729 DE 10128729 A DE10128729 A DE 10128729A DE 10128729 A1 DE10128729 A1 DE 10128729A1
Authority
DE
Germany
Prior art keywords
user
authentication
unit
data
service unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2001128729
Other languages
German (de)
Inventor
Axel Frank
Gregor Kuznik
Frank Madeheim
Wolfram Rudolph
Gerhard Zorn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Corp
Original Assignee
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Corp filed Critical Siemens Corp
Priority to DE2001128729 priority Critical patent/DE10128729A1/en
Publication of DE10128729A1 publication Critical patent/DE10128729A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

A method of logging-on or registering a user with a service unit joined via an authentifying unit to the user, in which the user within the framework of a first authentification communicates first authentification information to the authentification unit, and in a second authentification a second authentification information is communicated to the service unit. The user communicates a log-on information to the authentifying unit and the latter relays this information of the user to the service unit. After first- and second-authentification, the user is logged on or registered by using the log-on information with the service unit.

Description

Die Erfindung betrifft ein Anmeldeverfahren eines Nutzers bei einer mit dem Nutzer verbundenen Dienstleistungseinheit sowie eine entsprechende Anordnung zum Anmelden eines Nutzers.The invention relates to a user registration process for a service unit associated with the user and a corresponding arrangement for logging in a user.

Ein solches Anmeldeverfahren ist beispielsweise aus [1] be­ kannt und in Fig. 2 schematisch dargestellt.Such a registration process is known, for example, from [1] and is shown schematically in FIG. 2.

Fig. 2 zeigt ein Rechnernetz 200, ein Client-Server-Netzwerk, mit über Datenleitungen 201 miteinander verbundenen Rechnern. Bei diesem Client-Server-Netzwerk 200 ist ein Server 210 mit verschiedenen Nutzern 220, 230, sogenannten Clients, über die Datenleitungen 201 verbunden. FIG. 2 shows a computer network 200 , a client-server network, with computers connected to one another via data lines 201 . In this client-server network 200 , a server 210 is connected to various users 220 , 230 , so-called clients, via the data lines 201 .

Weitere Grundlagen eines Client-Server-Netzwerks sind aus [4] bekannt.Further basics of a client-server network are from [4] known.

Der Server 210 nimmt in dem Client-Server-Netzwerk 200 admi­ nistrative Aufgaben sowie Dienstleistungsaufgaben wahr. Sol­ che administrativen Aufgaben sind beispielsweise eine Überwa­ chung und Kontrolle von in dem Datennetz übertragenen Daten, eine Überwachung und Verwaltung der mit dem Server vernetzen Clients, eine Verwaltung und eine Zugriffskontrolle von auf dem Serverrechner gespeicherten und in dem Client-Server- Netzwerk übertragbare Daten.The server 210 performs administrative tasks as well as service tasks in the client-server network 200 . Such administrative tasks are, for example, monitoring and control of data transmitted in the data network, monitoring and administration of the clients networked with the server, administration and access control of data stored on the server computer and transferable in the client-server network.

Dienstleistungsaufgaben eines Serverrechners können sein eine Bereitstellung von Daten und/oder Anwendungen, welche von den Clients genutzt bzw. in Anspruch genommen und/oder abgerufen werden können. Service tasks of a server computer can be one Provision of data and / or applications by the Clients used or used and / or accessed can be.  

In der Regel sind nicht alle von einem Server in einem Client-Server-Netzwerk zur Verfügung gestellten Daten für al­ le mit dem Server vernetzen Clients in gleichem Maße verfüg­ bar bzw. abrufbar. Insbesondere auf vertrauliche Daten oder auch auf kostenpflichtige Anwendungen, welche von einem Ser­ ver angeboten werden, kann nur ein eingeschränkter Nutzer­ kreis aus allen mit dem Server verbunden Clients, sogenannte berechtigte Nutzer, zu einem Zugriff berechtigt sein.Typically, not all of a server is in one Client-server network data provided for al clients networked with the server to the same extent cash or available. In particular on confidential data or also for paid applications, which are from a Ser only a limited user can be offered circle of all clients connected to the server, so-called authorized users to be authorized to access.

Des Weiteren ist es üblich innerhalb eines größerer Client- Server-Netzes einzelne kleinere Sub-Netze, sogenannte Intra­ nets, einzurichten, zu denen nicht alle Clients des größeren, übergeordneten Client-Server-Netzes Zugang haben.Furthermore, it is common within a larger client Server network individual smaller sub-networks, so-called intra nets, to which not all clients of the larger, parent client-server network have access.

Um diesen Netzzugang auf berechtigte Clients zu beschränken sowie den Zugriff auf nicht allgemein verfügbare Daten zu li­ mitieren und damit eine Vertraulichkeit von solchen geschütz­ ten Daten sicherzustellen, wird bei einem versuchten Zugang bzw. Zugriff die Identität des um Zugang nachsuchenden Nut­ zers (Authentifikation) sowie die Berechtigung des zugreifen­ den Nutzers überprüft (Autorisation).To limit this network access to authorized clients as well as access to non-generally available data on li mitieren and thus a confidentiality of such protected Attempting to secure data is the result of attempted access or access the identity of the groove seeking access zers (authentication) and the authorization of access checked the user (authorization).

Diese Überprüfung erfolgt wie aus [1] bekannt durch ein zwei­ stufiges kombiniertes Anmeldeverfahren 250, bei welchem eine Authentifikation bzw. Identifikation 251 des zugreifenden Nutzers gegenüber dem Server in einer ersten Stufe mit einer Autorisierung bzw. Überprüfung 252 der Berechtigung des zugreifenden Nutzers in einer zweiten Stufe kombiniert wird.As is known from [1], this check is carried out by a two-stage combined registration method 250 , in which an authentication or identification 251 of the accessing user against the server in a first stage with an authorization or check 252 of the authorization of the accessing user in a second Stage is combined.

Die Authentifikation 251, d. h. die Identifikation, eines Nut­ zers gegenüber einem Server erfolgt üblicherweise durch ein sogenanntes Benutzerzertifikat. Anschaulich gesehen ist ein solches Benutzerzertifikat ein von einer vertrauenswürdigen "Behörde" ausgestellter elektronischer Pass. Dieses erlaubt seinem Besitzer den Zugang bzw. die Nutzung eines Netzes, oh­ ne den Nutzer aber zu einem Zugriff auf bestimmte Daten oder bestimmte Anwendungen in dem Netz zu berechtigen. The authentication 251 , ie the identification, of a user against a server is usually carried out by a so-called user certificate. Such a user certificate is clearly an electronic passport issued by a trustworthy "authority". This allows its owner to access or use a network, but without authorizing the user to access certain data or certain applications in the network.

Grundlagen über solche Benutzerzertifikate sind aus [6] be­ kannt.The basics of such user certificates can be found in [6] known.

Die Überprüfung einer Berechtigung 252 zu einem Zugriff auf bestimmte Daten oder bestimmte Anwendungen erfolgt in der zweiten Stufe, d. h. bei der Autorisierung 252 eines Nutzers.The authorization 252 for access to certain data or certain applications is checked in the second stage, ie when a user is authorized 252 .

Diese Autorisierung 252 erfolgt üblicherweise durch ein pass­ wortgeschütztes Anmeldeverfahren. Bei einem solchen passwort­ geschützten Anmeldeverfahren wird wie bekannt vorab zwischen dem Nutzer und dem Server ein in der Regel geheimes Passwort vereinbart. Nur dieses berechtigt seinen Besitzer zum Zugriff auf geschützte Daten.This authorization 252 is usually carried out by a password-protected registration process. In the case of such a password-protected registration process, a generally secret password is agreed in advance between the user and the server, as is known. Only this authorizes its owner to access protected data.

Nur einem solchen Nutzer, welcher den Besitz des vereinbarten und des zum Zugriff berechtigenden Passwortes dem Server nachweist, wird der Zugriff auf die passwortgeschützten Daten gewährt.Only such a user who owns the agreed and the password authorizing access to the server proves access to the password-protected data granted.

Bei dem aus [1] bekannten zweistufigen kombinierten Anmelde­ verfahren 250 wird der um Zugang und Zugriff nachsuchende Client von dem Server aufgefordert, sich gegenüber dem Server zu identifizieren.In the known from [1] two-stage combined registration process 250 of requesting the access and access client is prompted by the server to identify themselves to the server.

Dazu übermittelt der Nutzer sein Benutzerzertifikat an den Server 251. Anhand dieses Benutzerzertifikats stellt der Ser­ ver die Identität des Nutzers fest und überprüft, ob der i­ dentifizierte Nutzer als Nutzer des Client-Server-Netzes zu­ gelassen ist. Dazu verwendet der Server eine gespeicherte Be­ nutzerliste, in welcher namentlich alle zugelassenen Benutzer des Client-Server-Netzes gespeichert sind.For this purpose, the user transmits his user certificate to the server 251 . On the basis of this user certificate, the server determines the identity of the user and checks whether the identified user is permitted as a user of the client-server network. For this purpose, the server uses a stored user list, in which all authorized users of the client-server network are stored.

Ergibt diese Überprüfung, dass der identifizierte Nutzer ein zugelassener Nutzer ist, so erfolgt nachfolgend die Überprü­ fung der Berechtigung zum Zugriff auf die gewünschten Daten, d. h. die Autorisierung 252. If this check reveals that the identified user is an authorized user, then the authorization to access the desired data is checked, ie the authorization 252 .

Ergibt die Überprüfung, dass der identifizierte Nutzer nicht zugelassen ist, so bricht der Server den Zugriff ab 253.The check reveals that the identified user is not allowed, the server aborts the access from 253.

Bei der Autorisierung 252 werden ein Anmeldename und ein Passwort bei dem um Zugriff nachsuchenden Client bzw. Nutzer erfragt und diese an den Server übertragen. Dieser überprüft den Anmeldenamen und das Passwort.Authorization 252 asks for a login name and a password for the client or user requesting access and transmits them to the server. This checks the login name and password.

Ergibt diese Überprüfung, dass der nachsuchende Client zum Zugriff auf die geschützten Daten berechtigt ist, so gewährt ihm der Server den Zugriff 253.If this check shows that the requesting client is authorized to access the protected data, the server grants him access 253 .

Ergibt die Überprüfung, dass der nachsuchende Client nicht zum Zugriff auf die geschützten Daten berechtigt ist, bei­ spielsweise bei einem falschen Passwort, so verweigert der Server den Zugriff auf die Daten 253.If the check shows that the requesting client is not authorized to access the protected data, for example with an incorrect password, the server refuses access to the data 253 .

Aus [3] sind verschiedene Verfahren zur Verschlüsselung von Daten, insbesondere asymmetrische Verschlüsselungsverfahren, bekannt.[3] shows various methods for encrypting Data, especially asymmetric encryption methods, known.

Aus [5] sind Grundlagen einer Smart-Card bekannt.The basics of a smart card are known from [5].

Nachteilig an dem aus [1] bekannten zweistufigen kombinierten Anmeldeverfahren ist, dass der Server jeden einzelnen um Zu­ gang zu einem Netz und um Zugriff auf Daten nachsuchenden Nutzer zuerst identifizieren und anschließend dessen Autori­ sierung überprüfen muss.A disadvantage of the two-stage combined known from [1] Registration process is that the server at each individual order go to a network and seek access to data First identify users and then their authori must check.

Dazu ist es einerseits notwendig, dass der Server alle zum Netzzugang zugelassenen Nutzer kennt, d. h. deren Namen müssen bei dem Server gespeichert oder zumindest von diesem an einer anderen Stelle erfragbar sein. Darüber hinaus müssen dem Ser­ ver alle vereinbarten Passwörter und deren jeweilige Berech­ tigung bekannt sein. For this it is necessary on the one hand that the server is all at Knows network access authorized users, d. H. whose names have to stored at the server or at least from this on one be available elsewhere. In addition, the Ser ver all agreed passwords and their respective calculations be known.  

Dieses erfordert einen großen Speicherbedarf des Servers so­ wie eine hohe Rechenleistung oder entsprechend lange Bearbei­ tungszeiten des Servers.This requires a large amount of memory on the server like a high computing power or a correspondingly long processing time server server times.

Somit ist es Aufgabe der Erfindung, eine Anordnung sowie ein Verfahren bereitzustellen, mit welchem die genannten Nachtei­ le des beschriebenen zweistufigen kombinierten Anmeldeverfah­ rens, nämlich ein großer Speicherbedarf, eine hohe Rechen­ leistung oder ein lange Bearbeitungszeit, vermindert werden können.It is therefore an object of the invention, an arrangement and a To provide a method by which the above-mentioned disadvantage le of the described two-stage combined registration procedure rens, namely a large memory requirement, a high level of computing performance or a long processing time can.

Diese Aufgabe wird durch das Verfahren sowie durch die Anord­ nung mit den Merkmalen gemäß dem jeweiligen unabhängigen Pa­ tentanspruch gelöst.This task is accomplished through the procedure as well as through the arrangement with the features according to the respective independent Pa claim resolved.

Bei dem Verfahren zum Anmelden eines Nutzers bei einer über eine Authentifizierungseinheit mit dem Nutzer verbundenen Dienstleistungseinheit übermittelt der Nutzer im Rahmen einer ersten Authentifikation eine erste Authentifikationsinforma­ tion an die Authentifizierungseinheit. Dabei wird der Nutzer gegenüber der Authentifizierungseinheit authentifiziert. Die Authentifizierungseinheit übermittelt im Rahmen einer zweiten Authentifikation eine zweite Authentifikationsinformation an die Dienstleistungseinheit, wobei die Authentifizierungsein­ heit gegenüber der Dienstleistungseinheit authentifiziert wird. Ferner übermittelt der Nutzer eine Anmeldeinformation an die Authentifizierungseinheit, welche die Anmeldeinforma­ tion des Nutzers an die Dienstleistungseinheit weiterleitet. Nach erfolgter erster und zweiter Authentifikation wird der Nutzer unter Verwendung der Anmeldeinformation bei der Dienstleistungseinheit angemeldet.In the procedure for registering a user with a an authentication unit connected to the user The user transmits a service unit as part of a first authentication a first authentication information tion to the authentication unit. The user authenticated to the authentication unit. The Authentication unit transmits as part of a second Authentication a second authentication information the service unit, the authentication being authenticated to the service unit becomes. The user also transmits a registration information to the authentication unit that provides the registration information tion of the user to the service unit. After the first and second authentication, the User using the credentials at Service unit registered.

Die Anordnung zum Anmelden eines Nutzers bei einer Dienst­ leistungseinheit weist eine Authentifizierungseinheit auf, über welche der Nutzer mit der Dienstleistungseinheit verbun­ den ist. The arrangement for registering a user with a service power unit has an authentication unit, via which the user connects to the service unit that is.  

Die Authentifizierungseinheit ist derart eingerichtet, dass unter Verwendung einer von dem Nutzer an sie übermittelten ersten Authentifikationsinformation der Nutzer authentifi­ zierbar ist. Ferner ist die Authentifizierungseinheit derart eingerichtet, dass eine zweite Authentifikationsinformation von der Authentifizierungseinheit an die Dienstleistungsein­ heit übermittelbar ist, unter Verwendung derer die Authenti­ fizierungseinheit gegenüber der Dienstleistungseinheit au­ thentifizierbar ist.The authentication unit is set up in such a way that using one that the user submitted to them first authentication information of users authentifi is decoratable. The authentication unit is also such set up a second authentication information from the authentication unit to the service provider is communicable, using which the authenti unit compared to the service unit au is identifiable.

Ferner ist die Anordnung derart eingerichtet, dass von dem Nutzer eine Anmeldeinformation an die Authentifizierungsein­ heit übermittelbar und diese Anmeldeinformation von der Au­ thentifizierungseinheit an die Dienstleistungseinheit weiter­ leitbar ist.Furthermore, the arrangement is set up such that the User credentials to the authentication transmission and this registration information from the Au authentication unit to the service unit is conductive.

Nach den erfolgten Authentifikationen, nämlich der ersten Au­ thentifikation des Nutzers gegenüber der Authentifizierung­ seinheit und der zweiten Authentifikation der Authentifizie­ rungseinheit gegenüber der Dienstleistungseinheit, ist bei der Anordnung der Nutzer unter Verwendung der Anmeldeinforma­ tion bei der Dienstleistungseinheit anmeldbar.After the authentications, namely the first Au authentication of the user in relation to authentication unity and the second authentication of authentication unit compared to the service unit, is at the arrangement of users using the registration information tion can be registered with the service unit.

Anschaulich gesehen erfolgt bei dem Verfahren sowie der An­ ordnung die Authentifizierung eines Nutzers örtlich getrennt von der Autorisierung desselben.Clearly seen in the procedure and the An order the authentication of a user locally separated of its authorization.

Die Authentifizierung eines Nutzers bzw. mehrere Authentifi­ zierungen bei verschiedenen Nutzern erfolgt bzw. erfolgen ge­ genüber der Authentifizierungseinheit. Diese hat entsprechen­ de Informationen gespeichert oder hat Zugriff auf solche In­ formationen, welche die Identifizierung eines Nutzers bzw. mehrerer Nutzer ermöglicht.The authentication of a user or several Authentifi adornments with different users takes place opposite the authentication unit. This has to match information stored or has access to such information formations that identify a user or allows multiple users.

Die Autorisierung eines Nutzers bzw. von verschiedenen Nut­ zern erfolgt direkt bei der Dienstleistungseinheit. Authorization of a user or different groove zer takes place directly at the service unit.  

Die Authentifizierungseinheit identifiziert sich ihrerseits gegenüber der Dienstleistungseinheit. Eine direkte Identifi­ zierung eines Nutzers gegenüber der Dienstleistungseinheit erfolgt in diesem Fall nicht mehr.The authentication unit identifies itself towards the service unit. A direct identification decoration of a user towards the service unit in this case no longer takes place.

Somit braucht die Dienstleistungseinheit nicht mehr für alle zugelassenen Nutzern die entsprechenden Authentifikationsin­ formationen zu speichern bzw. vorzuhalten, sondern nur noch diese für eine Identifizierung der Authentifizierungseinheit.The service unit therefore no longer needs everyone authorized users the appropriate authentication to save or maintain formations, but only this for identification of the authentication unit.

Durch die Authentifikation der Authentifizierungseinheit ge­ genüber der Dienstleistungseinheit "verbürgt" sich die Au­ thentifizierungseinheit für die von ihr identifizierten zuge­ lassenen Nutzern bzw. für deren weitergeleitete Anmeldeinfor­ mationen. Folglich braucht in diesem Fall nur mehr der Nutzer bei der Dienstleistungseinheit angemeldet werden.By authenticating the authentication unit the Au "guarantees" the service unit authentication unit for the identified train let users or for their forwarded registration information mation. As a result, only the user needs in this case be registered with the service unit.

Anschaulich gesehen fungiert die Authentifizierungseinheit als zentrale zwischengeschaltete Authentifikationsstelle, ge­ genüber der sich alle Nutzer zu identifizieren haben. Ist dann die Authentifizierungseinheit ihrerseits gegenüber der Dienstleistungseinheit identifiziert, gelten alle Nutzer, de­ ren Anmeldeinformationen über diese Authentifizierungseinheit an die Dienstleistungseinheit weitergeleitet werden, als ord­ nungsgemäß gegenüber der Dienstleistungseinheit identifi­ ziert.The authentication unit functions clearly as a central intermediate authentication point, ge against which all users have to identify. is then the authentication unit in turn against the Service unit identified, all users apply, de credentials about this authentication unit be forwarded to the service unit as ord According to the service unit identifi ed.

Die Anordnung ist insbesondere geeignet zur Durchführung des erfindungsgemäßen Verfahrens oder einer dessen nachfolgend erläuterten Weiterbildungen.The arrangement is particularly suitable for carrying out the inventive method or one of the following explained further training.

Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.Preferred developments of the invention result from the dependent claims.

Die im weiteren beschriebenen Weiterbildungen beziehen sich sowohl auf die Verfahren als auch auf die Anordnung. The further developments described below relate both on the procedures and on the arrangement.  

Die Erfindung und die im weiteren beschriebenen Weiterbildun­ gen können sowohl in Software als auch in Hardware, bei­ spielsweise unter Verwendung einer speziellen elektrischen Schaltung, realisiert werden.The invention and the training described below conditions can be found in both software and hardware for example using a special electrical Circuit.

Ferner ist eine Realisierung der Erfindung oder einer im wei­ teren beschriebenen Weiterbildung möglich durch ein computer­ lesbares Speichermedium, auf welchem ein Computerprogramm ge­ speichert ist, welches die Erfindung oder Weiterbildung aus­ führt.Furthermore, an implementation of the invention or one in white teren described further training possible by a computer readable storage medium on which a computer program stores which is the invention or training leads.

Auch kann die Erfindung oder jede im weiteren beschriebene Weiterbildung durch ein Computerprogrammerzeugnis realisiert sein, welches ein Speichermedium aufweist, auf welchem ein Computerprogramm gespeichert ist, welches die Erfindung oder Weiterbildung ausführt.Also, the invention or any described below Continuing education realized by a computer program product be, which has a storage medium on which a Computer program is stored, which the invention or Training.

Bei einer Weiterbildung sind/ist die erste Authentifikation­ sinformation und/oder die zweite Authentifikationsinformation Zertifikate/ein Zertifikat.In the case of further training, the first authentication is / is sinformation and / or the second authentication information Certificates / a certificate.

Die Anmeldung des Nutzers lässt sich sehr einfach realisie­ ren, wenn die Anmeldeinformation einen Benutzernamen und/oder eine Benutzeridentifikationsnummer und/oder ein Passwort auf­ weist.The registration of the user is very easy if the login information contains a user name and / or a user identification number and / or a password has.

Die Erfindung lässt sich vorzugsweise bei einem Intranet ein­ setzen, wobei in diesem Fall die Authentifizierungseinheit ein Intranet Server ist. Die Dienstleistungseinheit kann in diesem Fall ein weiterer Server sein, vorzugsweise ein Appli­ kationsserver oder Internet-Server.The invention can preferably be incorporated into an intranet set, in which case the authentication unit is an intranet server. The service unit can be in In this case, another server, preferably an appli cation server or internet server.

Zur Erhöhung der Sicherheit bei der Anmeldung des Nutzers ist es zweckmäßig, dass die Anmeldeinformation und die erste Au­ thentifikationsinformation auf einer Smart-Card des Nutzers gespeichert sind. Unter Verwendung entsprechender Leseein­ richtungen bei dem Nutzer werden diese Informationen gelesen und können anschließend zu der Authentifizierungseinheit ü­ bertragen werden.To increase security when the user logs on it is appropriate that the credential and the first Au Identification information on a user's smart card are saved. Using appropriate reading directions at the user this information is read  and can then ü to the authentication unit be transferred.

Eine weitere Verbesserung hinsichtlich einer Datensicherheit wird erzielt, wenn Daten zwischen dem Nutzer und der Authen­ tifizierungseinheit und/oder Daten zwischen der Authentifi­ zierungseinheit und der Dienstleistungseinheit jeweils ver­ schlüsselt übertragen werden.Another improvement in data security is achieved when there is data between the user and the author tification unit and / or data between the Authentifi decoration unit and the service unit ver keys are transmitted.

Unter "Daten" sind beliebige Informationen, insbesondere aber auch die Authentifikationsinformationen und die Anmeldeinfor­ mation, zu verstehen. Auch können solche Daten eine Anwendung bzw. eine Applikation, ein Dokument, Ton- oder Bilddaten, welche nach der Anmeldung zwischen dem Nutzer, der Authenti­ fizierungseinheit und der. Dienstleistungseinheit übertragen werden.Under "data" is any information, but especially also the authentication information and login information mation to understand. Such data can also be an application or an application, a document, sound or image data, which after registration between the user, Authenti fication unit and the. Service unit transferred become.

Ferner ist es zweckmäßig bei Weiterbildungen auf standardi­ sierte Datenprotokolle bei der Übermittlung von Daten zurück­ zugreifen. Solche Weiterbildungen weisen eine große Benutzer­ freundlichkeit auf. So werden bei einer Weiterbildung die Da­ ten gemäß einem HTTPS-Datenprotokoll Format über tragen.It is also useful for further training on standard based data protocols when transmitting data access. Such developments have a large user kindness on. This is how the Da format in accordance with an HTTPS data protocol.

Bei einer Weiterbildung sind der Nutzer, die Authentifizie­ rungseinheit und die Dienstleistungseinheit im Rahmen eines Client-Server-Netzes miteinander verbunden, wobei der Nutzer ein Client und die Authentifizierungseinheit und die Dienst­ leistungseinheit jeweils Server in dem Client-Server-Netz sind.In the case of further training, the user is authenticity unit and the service unit within the framework of a Client-server network interconnected, the user a client and the authentication unit and the service power unit each server in the client-server network are.

Bevorzugt lässt sich eine Weiterbildung einsetzen zu einem Zugriff des Nutzers auf von der Dienstleistungseinheit zur Verfügung gestellten Daten. Dabei sucht der Nutzer bei der Dienstleistungseinheit um Zugriff auf die Daten nach, wobei bei diesem Nachsuchen des Nutzers dieser bei der Dienstleis­ tungseinheit angemeldet wird. A training course on one can preferably be used User access to from the service unit Provided data. The user searches the Service unit to access the data after, where when the user searches the service provider unit is registered.  

Bei der Anmeldung des Nutzers überprüft die Dienstleistungs­ einheit dessen Berechtigung zum Zugriff auf die Daten, wobei dem Nutzer, falls die Berichtigung zu dem Zugriff festge­ stellt worden ist, der Zugriff auf die Daten gewährt wird. Andernfalls wird dem Nutzer der Zugriff auf die Daten ver­ wehrt.When registering the user checks the services unit whose authorization to access the data, whereby the user if the access correction is determined has been granted access to the data. Otherwise the user will be denied access to the data defends.

Dabei ist es hinsichtlich der Sicherheit der Daten zweckmä­ ßig, dass die Daten zusätzlich zu dem berechtigungskontrol­ lierten Zugriff durch einen geheimen Schlüssel verschlüsselt und verschlüsselt gespeichert werden.It is useful for the security of the data ßig that the data in addition to the authorization control access encrypted with a secret key and stored encrypted.

Bei einem Zugriff eines berechtigten Nutzers brauchen in die­ sem Fall nicht unverschlüsselte Daten über gegebenenfalls un­ sichere Datenleitungen übertragen werden, sondern es können durch eine Verschlüsselung geschützte Daten übertragen wer­ den. Die Entschlüsselung der Daten erfolgt in diesem fall nach dem Zugriff durch den berechtigten Nutzer.When an authorized user accesses the not unencrypted data about possibly un secure data lines are transmitted, but it can data protected by encryption the. In this case, the data is decrypted after access by the authorized user.

Die Verwendung solcher verschlüsselten Daten hat darüber hin­ aus den Vorteil, dass die Daten tatsächlich nur denjenigen Nutzern unverschlüsselt zugänglich sind, die den Schlüssel zum Entschlüsseln besitzen. Besitzen in einem solchen Fall nur die berechtigen Nutzer den entsprechenden Schlüssel, so können selbst Systemadministratoren, welche für die Verwal­ tung und Pflege der Daten zuständig sind, von den Daten in der unverschlüsselten Form ausgeschlossen werden.The use of such encrypted data has moreover from the advantage that the data is actually only those The key is accessible to users without encryption to decrypt. Possess in such a case only the authorized user has the corresponding key, so even system administrators, who are responsible for the admin data processing and maintenance are responsible for the data in the unencrypted form can be excluded.

Ein Ausführungsbeispiel der Erfindung ist in Figuren darge­ stellt und wird im weiteren erläutert.An embodiment of the invention is shown in figures represents and is explained below.

Es zeigenShow it

Fig. 1 Schematische Darstellung eines Client-Server- Kommunikationsnetzes sowie eines Anmeldeverfahrens in dem Client-Server-Kommunikationsnetz durch einen Client gemäß einem Ausführungsbeispiel Fig. 1 Schematic representation of a client-server communication network and a registration process in the client-server communication network by a client according to an embodiment

Fig. 2 Schematische Darstellung eines passwortgeschützten Anmeldeverfahrens in einem Client-Server-Netz gemäß dem Stand der Technik Fig. 2 Schematic representation of a password-protected registration process in a client-server network according to the prior art

Fig. 3 Schematische Darstellung von Verfahrensschritten bei einem Anmelden einer Nutzers in einem Client- Server-Netz gemäß einem Ausführungsbeispiel Figure 3 Schematic representation. Of process steps in a registering a user in a client-server network according to an embodiment

Fig. 4 Schematische Darstellung eines zentralen Personen­ verzeichnisses mit codierten Zugriffsberechtigungen (Rollen) gemäß einem Ausführungsbeispiel Fig. 4 Schematic representation of a central directory of people with coded access rights (roles) according to an embodiment

Ausführungsbeispielembodiment

Anmeldeverfahren eines Nutzers in einem Intranet und beschränkter Datenzugriff durch den NutzerRegistration procedure of a user in one Intranet and limited data access by the user

Fig. 1 zeigt schematisch eine Struktur eines Teils eines Client-Server-Kommunikationsnetzes 100, eines sogenannten World-Wide-Web (WWW), wie es in [2] beschrieben ist. Bei dem dargestellten Teil des Client-Server-Kommunikationsnetzes 100, einem sogenannten Intranet, sind einzelne Rechner 110, 120, 130, 140 durch Verbindungen 111, 121, 131, über welche Daten übertragen werden können, verbunden. Fig. 1 shows a structure schematically shows a portion of a client-server communications network 100, a so-called World-Wide-Web (WWW), as described in [2]. In the illustrated part of the client-server communication network 100 , a so-called intranet, individual computers 110 , 120 , 130 , 140 are connected by connections 111 , 121 , 131 , via which data can be transmitted.

Der Rechner 120 und der Rechner 130 sind jeweils Nutzerrech­ ner, sogenannte Clients, d. h. unter Verwendung eines solchen Clients kann ein Nutzer bzw. Kommunikationsteilnehmer in dem WWW bzw. Intranet Informationen, welche in dem WWW bzw. Int­ ranet angeboten werden, nutzen bzw. abrufen.The computer 120 and the computer 130 are each user computers, so-called clients, ie using such a client, a user or communication subscriber in the WWW or intranet can use or retrieve information which is offered in the WWW or Internet ,

Die beiden Clients 120 und 130 sind jeweils mit dem Rechner 110, einem sogenannten Intranet Server 110, verbunden. Der Intranet Server 110 ist darüber hinaus mit dem Rechner 140, einem zweiten Server, einem sogenannten Applikationsserver 140, verbunden. The two clients 120 and 130 are each connected to the computer 110 , a so-called intranet server 110 . The intranet server 110 is also connected to the computer 140 , a second server, a so-called application server 140 .

Der Applikationsserver 140 verwaltet und bietet Informationen in dem Intranet 100 an.The application server 140 manages and offers information in the intranet 100 .

Unter solchen Informationen sind jegliche Art von elektroni­ schen Daten zu verstehen, wie zum Beispiel Textdokumente, Ton- bzw. Audiodaten, Bild- bzw. Videodaten oder Softwarepro­ gramme.Such information includes all types of electronics understand data such as text documents, Sound or audio data, image or video data or software pro programs.

Jeder Client 120, 130 hat jeweils einen Speicher 112, 122 in dem ein Softwareprogramm, ein sogenannter WWW-Browser, wie er in [2] beschrieben ist, gespeichert ist.Each client 120 , 130 each has a memory 112 , 122 in which a software program, a so-called WWW browser, as described in [2], is stored.

Unter Verwendung eines solchen WWW-Browsers kann ein Kommuni­ kationsteilnehmer im Intranet 100 bestimmte Informationen su­ chen, gefundene Informationen zu sich übertragen und die ü­ bertragenen Informationen auf einem Bildschirm darstellen.Using such a WWW browser, a communication subscriber can search for specific information on the intranet 100 , transmit found information to himself and display the transmitted information on a screen.

Der Intranet Server 110 und der Applicationserver 140 nehmen in dem Intranet 100 administrative Aufgaben sowie Dienstleis­ tungsaufgaben wahr.The intranet server 110 and the application server 140 perform administrative tasks and service tasks in the intranet 100 .

Solche administrativen Aufgaben sind beispielsweise eine Ü­ berwachung und Kontrolle von in einem Datennetz übertragenen Daten, eine Überwachung und Verwaltung der mit einem Server vernetzen Clients, eine Verwaltung und eine Zugriffskontrolle von auf einem Serverrechner gespeicherten und in einem Intra­ net bzw. Client-Server-Kommunikationsnetz übertragbare Daten.Such administrative tasks are, for example, a Ü Monitoring and control of data transmitted in a data network Data monitoring and management with one server network clients, administration and access control of stored on a server computer and in an intra net or client-server communication network transferable data.

Dienstleistungsaufgaben können sein eine Bereitstellung von Daten und/oder Anwendungen, welche von den Clients genutzt bzw. in Anspruch genommen werden können.Service tasks can be a provision of Data and / or applications used by the clients or can be used.

Bei dem in Fig. 1 dargestellten Intranet 100 nimmt der Int­ ranet Server 110 insbesondere eine Authentifizierungsaufgabe wahr. Diese besteht in einer Identifizierung von Clients, welche um Zugang zu dem Intranet 100 nachsuchen, beispielsweise im Rahmen eines Zugriffs auf in dem Intranet 100 ver­ fügbare Daten.In the intranet 100 shown in FIG. 1, the Internet server 110 in particular performs an authentication task. This consists in identifying clients who are looking for access to the intranet 100 , for example in the context of access to data available in the intranet 100 .

Eine solche Authentifizierung, bei welcher die Identität ei­ nes um Zugang zu dem Intranet nachsuchenden Nutzers festge­ stellt wird, ist deshalb notwendig, da nicht alle in dem Client-Server-Kommunikationsnetz vernetzten Clients zum Zu­ gang zu dem Intranet 100 berechtigt sind.Such authentication, in which the identity of a user requesting access to the intranet is established, is necessary since not all clients networked in the client-server communication network are authorized to access the intranet 100 .

Beispielsweise kann es sich bei einem solchen Intranet 100 um ein Firmen internes Kommunikationsnetz handeln, zu dem Fir­ menfremde keine Zugangsberechtigung haben.For example, such an intranet 100 can be a company-internal communication network to which non-companies have no access authorization.

Der Applikationsserver 140 nimmt eine Autorisierungsaufgabe wahr, d. h. der Applikationsserver 140 überprüft eine Berech­ tigung zu einem Datenzugriff eines Clients.The application server 140 performs an authorization task, ie the application server 140 checks an authorization for data access by a client.

Darüber hinaus werden von dem Applikationsserver 140 Daten, Daten A 160 und Daten B 161, sowie Anwendungsprogramme, An­ wendungen C 170 und Anwendungen D 171, verwaltet und den Clients 120, 130 zur Nutzung zur Verfügung gestellt.In addition, the application server 140 manages data, data A 160 and data B 161, as well as application programs, applications C 170 and applications D 171, and makes them available to the clients 120 , 130 for use.

Diese Daten A 160 und B 161 sowie die Anwendungen C 170 und D 171 sind allerdings nicht für alle Kommunikationsteilnehmern frei verfügbar bzw. abrufbar.This data A 160 and B 161 as well as the applications C 170 and D However, 171 are not for all communication participants freely available or available.

So enthalten in diesem Fall die Daten A 160 und B 161 jeweils vertrauliche Sitzungsprotokolle, welche jeweils nur von einem ausgewählten und zum Zugriff berechtigten Kommunikationsteil­ nehmerkreis abgerufen werden können.In this case, data A 160 and B 161 each contain confidential meeting minutes, which are only sent by one selected and authorized access part of the communication can be called up.

Entsprechendes gilt für die Anwendungen C 170 und D 171. Auch diese stehen jeweils nur zum Zugriff berechtigten Kommunika­ tionsteilnehmern zur Verfügung.The same applies to applications C 170 and D 171. Also these are only available for communications authorized to access available to participants.

Um diesen beschränkten Zugriff und damit eine Vertraulichkeit der Daten A 160 und B 161 sowie der Anwendungen C 170 und D 171 sicherzustellen wird bei einem versuchten Zugriff durch einen Kommunikationsteilnehmer dessen Berechtigung überprüft (Autorisierung).For this limited access and therefore confidentiality data A 160 and B 161 and applications C 170 and D  171 is ensured if an attempt is made to access a communication subscriber checks its authorization (Authorization).

Oben genannte Authentifizierung und Autorisierung erfolgen durch ein spezielles Anmeldeverfahren, welches zwischen dem um Zugang nachsuchenden und auf Daten zugreifenden Kommunika­ tionsteilnehmer 120 bzw. Client, dem Intranet Server 110 so­ wie dem Applikationsserver 140 durchgeführt wird.The above-mentioned authentication and authorization take place by means of a special registration procedure which is carried out between the communication subscriber 120 or client who is seeking access and accessing data, the intranet server 110 and the application server 140 .

Dieses spezielle Anmeldeverfahren 150 wird an späterer Stelle der nachfolgenden Ausführungen beschrieben.This particular registration process 150 will be described later in the discussion below.

Ferner wird von dem Applikationsserver 140 ein zentrales Per­ sonenverzeichnis 180 verwaltet.Furthermore, a central personal directory 180 is managed by the application server 140 .

Dieses zentrale Personenverzeichnis 180, 400 ist in Fig. 4 dargestellt.This central directory of persons 180 , 400 is shown in FIG. 4.

In diesem Personenverzeichnis 400 sind alle zugelassenen Kom­ munikationsteilnehmer des Intranets 100 enthalten und nament­ lich gespeichert.In this directory of persons 400 , all authorized communication participants of the intranet 100 are contained and stored by name.

Für jeden dort gespeicherten Kommunikationsteilnehmer 410, 420 sind darüber hinaus weitere personenspezifische Informa­ tionen 411, 421 gespeichert, beispielsweise eine Adresse 412, 422, eine Abteilung 413, 423, eine Telefonnummer 414, 424.For each communication subscriber 410 , 420 stored there, further person-specific information 411 , 421 is also stored, for example an address 412 , 422 , a department 413 , 423 , a telephone number 414 , 424 .

Ferner sind für jeden gespeicherten Kommunikationsteilnehmer Zugangsberechtigungen 415, 425 in codierter Form, sogenannte Rollen, gespeichert.Furthermore, access authorizations 415 , 425 are stored in coded form, so-called roles, for each stored communication subscriber.

Diese Zugangsberechtigungen bzw. Rollen 415, 425 berechtigen den jeweiligen Kommunikationsteilnehmer 410, 420 auf bestimm­ te, von dem Applikationsserver 140 in dem Intranet 100 zur Verfügung gestellten Informationen, in diesem Fall die Daten A 160 und B 161 sowie die Anwendungen C 170 und D 171, zu­ zugreifen.These access authorizations or roles 415 , 425 authorize the respective communication subscriber 410 , 420 to certain information provided by the application server 140 in the intranet 100 , in this case the data A 160 and B 161 and the applications C 170 and D 171 to access.

So berechtigt bei dem Intranet 100 die Zugangsberechtigung A bzw. die Rolle A zum Zugriff auf die Daten A 160. Eine Rolle D oder eine Rolle AC berechtigt zum Zugriff auf die Anwendung D 171 bzw. auf die Daten A 160 und die Anwendung C 170. Eine Rolle ABCD berechtigt demnach einen Kommunikationsteilnehmer zum Zugriff auf alle in dem Intranet 100 zur Verfügung stehen den Informationen, nämlich die Daten A 160 und B 161 sowie die Anwendungen C 170 und D 171.In the case of the intranet 100, the access authorization A or the role A authorizes access to the data A 160. A role D or a role AC authorizes the user to access the application D 171 or the data A 160 and the application C 170. An ABCD role accordingly entitles a communication subscriber to access all the information available on the intranet 100 , namely the data A 160 and B 161 and the applications C 170 and D 171.

Dieses zentrale Personenverzeichnis 180, 400 wird von dem Ap­ plikationsserver 140 zentral verwaltet, d. h. der Applikati­ onsserver 140 aktualisiert zentral das Personenverzeichnis 180. Eine solche Aktualisierung umfasst beispielsweise ein Neuaufnehmen oder Löschen von neuen bzw. ausscheidenden Kom­ munikationsteilnehmern in das bzw. aus dem Personenverzeich­ nis 180. Ferner umfasst das Aktualisieren die Vergabe oder Änderung der Zugriffsberechtigungen für einzelne Kommunikati­ onsteilnehmer und damit das "Verteilen" der Rollen.This central people directory 180, 400 is plikationsserver of the Ap 140 centrally managed, the Applikati ie onsserver 140 updated centrally and its directory 180th Such an update includes, for example, new additions or deletions of new or leaving communication participants into or from the personal directory 180 . Furthermore, the update includes the assignment or change of access rights for individual communication participants and thus the "distribution" of roles.

Spezielles Anmeldeverfahren (Fig. 3)Special registration procedure ( Fig. 3)

Bei dem in Fig. 3 dargestellten speziellen Anmeldeverfahren 300 erfolgen:
In the special registration method 300 shown in FIG. 3, the following occurs:

  • a) eine Authentifizierung eines um Zugang in das Intranet nachsuchenden Clients gegenüber dem Intranet Server unter Verwendung eines Benutzerzertifikats des Clients (310)a) authentication of a client requesting access to the intranet to the intranet server using a user certificate of the client ( 310 )
  • b) eine Authentifizierung des Intranet Servers gegenüber dem Applikationsserver unter Verwendung eines Benutzerzerti­ fikats des Intranet Servers (320)b) authentication of the intranet server to the application server using a user certificate of the intranet server ( 320 )
  • c) eine Übertragung von Anmeldedaten des Clients an den Int­ ranet Server und weiter an den Applikationsserver (330)c) a transfer of the client's login data to the intranet server and further to the application server ( 330 )
  • d) eine rollenbasierte Anmeldung des Clients bei dem Appli­ kationsserver unter Verwendung der Anmeldedaten (340)d) a role-based registration of the client with the application server using the registration data ( 340 )

Die bei dem speziellen Anmeldeverfahren 300 übertragenen Da­ ten werden gemäß einem HTTP-Protokoll-Format übertragen. Fer­ ner werden die Daten gemäß einer 128 bit Verschlüsselung ver­ schlüsselt übertragen.The data transmitted in the special registration method 300 are transmitted in accordance with an HTTP protocol format. The data is also encrypted in accordance with 128-bit encryption.

Schritt 1 (310)Step 1 (310)

In einem ersten Schritt 310, 151 des speziellen Anmeldever­ fahrens 300 erfolgt eine Authentifikation eines um Zugang zu dem Intranet nachsuchenden Clients. Dazu sendet dieser Client sein persönliches Benutzerzertifikat an den Intranet Server. Dieser identifiziert anhand des Benutzerzertifikats des Clients den Client.In a first step 310 , 151 of the special registration method 300 , an authentication of a client requesting access to the intranet takes place. For this purpose, this client sends its personal user certificate to the intranet server. This identifies the client based on the client's user certificate.

Schritt 2 (320)Step 2 (320)

In einem zweiten Schritt 320, 152 des speziellen Anmeldever­ fahrens 300 erfolgt eine Authentifikation des Intranet Ser­ vers gegenüber dem Applikationsserver. Dazu sendet der Intra­ net Server sein persönliches Benutzerzertifikat an den Appli­ kationsserver. Dieser identifiziert anhand des Benutzerzerti­ fikats des Intranet Servers den Intranet Server.In a second step 320 , 152 of the special registration method 300 , the intranet server is authenticated to the application server. To do this, the intranet server sends its personal user certificate to the application server. This identifies the intranet server based on the intranet server's user certificate.

Schritt 3 (330)Step 3 (330)

In einem dritten Schritt 330, 153 des speziellen Anmeldever­ fahrens 300 überträgt der Client Anmeldedaten, d. h. seinen Benutzernamen sowie sein Passwort, an den Intranet Server. Dieser leitet die Anmeldedaten des Clients an den Applikati­ onsserver weiter.In a third step 330 , 153 of the special registration method 300 , the client transmits registration data, ie his user name and his password, to the intranet server. This forwards the client's login data to the application server.

Schritt 4 (340)Step 4 (340)

In einem vierten Schritt 340 des speziellen Anmeldeverfahrens 300 erfolgt eine rollenbasierte Anmeldung des Clients 120 bei dem Applikationsserver 140. In a fourth step 340 of the special registration method 300 , role-based registration of the client 120 with the application server 140 takes place .

Diese rollenbasierte Anmeldung 340 erfolgt im Rahmen eines passwortgeschützten Verfahrens.This role-based registration 340 takes place as part of a password-protected method.

Bei einem passwortgeschützten Verfahren werden im allgemeinen vorab zwischen Nutzern und dem Server vereinbarte, in der Re­ gel geheime Passwörter verwendet, um den Zugriff auf zu schützende Daten zu beschränken und die Berechtigung eines zugreifenden Nutzers zu überprüfen.A password-protected procedure generally involves agreed in advance between users and the server, in the Re gel secret passwords used to access to restrict protective data and the authorization of a to check the accessing user.

Nur solchen Nutzern, welche den Besitz des vereinbarten und des zum Zugriff berechtigenden Passworts dem Server nachwei­ sen können, wird der Zugriff auf die passwortgeschützten Da­ ten gewährt.Only those users who own the agreed and of the password authorizing access to the server access to the password-protected data ten granted.

Bei der rollenbasierten Anmeldung greift der Applikationsser­ ver auf das zentrale Personenverzeichnis 180 zu und prüft, ob dem um Zugriff nachsuchenden Client die entsprechende Rolle, welche ihn zum Zugriff berechtigt, zugeteilt wurde.In the case of role-based registration, the application server ver accesses the central personal directory 180 and checks whether the corresponding role that authorizes access has been assigned to the client requesting access.

Ergibt die Überprüfung, dass dem um Zugriff nachsuchenden Client die entsprechende Rolle zugeteilt wurde und dass der Client sich im Besitz des richtigen Passwortes befindet, so erhält der Client Zugriff auf die Daten A 160. Andernfalls wird dem Client der Zugriff verweigert.The check reveals that the person seeking access Client has been assigned the appropriate role and that the Client has the correct password, see above the client receives access to data A 160. Otherwise the client is denied access.

Nachfolgend wird eine Alternative zu dem Ausführungsbeispiel beschrieben.The following is an alternative to the embodiment described.

Alternative: Verwendung einer Smart-CardAlternative: use a smart card

Bei einer Alternative zu dem Ausführungsbeispiel wird bei dem speziellen Anmeldeverfahren des Kommunikationsteilnehmers bzw. Clients eine Smart-Card verwendet.In an alternative to the embodiment, the special registration procedure of the communication participant or clients used a smart card.

Grundlagen einer Smart-Card sind aus [5] bekannt. The basics of a smart card are known from [5].  

Eine solche Smart-Card weist einen Chip auf, in welchem Da­ ten, in diesem Fall das Benutzerzertifikat und die Anmeldein­ formation eines Kommunikationsteilnehmers, d. h. der Benutzer­ name des Smart-Card-Inhabers sowie das Passwort, gespeichert sind. Ferner können weitere benutzerspezifische Daten in dem Chip gespeichert sein.Such a smart card has a chip in which Da ten, in this case the user certificate and the login formation of a communication participant, d. H. the user name of the smart card holder and the password are. Furthermore, further user-specific data can be stored in the Chip.

Bei dieser Alternative weist der Client zusätzlich eine Lese­ vorrichtung auf, mit welcher Daten, die auf einer Smart-Card gespeichert sind, gelesen werden können.In this alternative, the client also has a read Device on what data on a smart card saved, can be read.

Anstelle der Eingabe des Benutzerzertifikats und der Anmelde­ information durch den nachfragenden Kommunikationsteilnehmer erfolgt in diesem Fall die Eingabe dadurch, dass der Kommuni­ kationsteilnehmer seine persönliche Smart-Card in das Lesege­ rät einführt. Von diesem wird das Benutzerzertifikat und die Anmeldeinformation ausgelesen und in das beschriebene spe­ zielle Anmeldeverfahren eingebracht. Das spezielle Anmelde­ verfahren läuft ansonsten unverändert ab. Instead of entering the user certificate and login information by the inquiring communication participant In this case, the entry is made by the communication participant inserted his personal smart card into the reading area advises introduces. From this the user certificate and the Registration information read out and in the described spe introduced registration procedures. The special registration Otherwise the procedure is unchanged.  

Im Rahmen dieses Dokuments sind folgende Veröffentlichungen zitiert:
[1] Grundlagen über ein Anmeldeverfahren eines Nutzers, er­ hältlich am 05. Juni 2001 unter:
http:/ / www.ietf.org/rfc/rfc2617.txt
[2] Grundlagen für das World-Wide-Web (WWW), erhältlich am 30. Mai 2001 unter: http:/ / www.w3.org/
[3] Menezes, von Oorschot, Vanstone: "Handbook of Applied Cryptography", Kapitel 1, CRC Press, 1997
[4] Tanenbaum, A. S., "Computer Networks" Prentice Hall, 1988, Auszug erhältlich am 05.06.2001 unter http:/ / vig.prenhall.com/catalog/academic/product/1,4096, 0133499456.html,00.html
[5] Rankl, W., Effing, W., "Handbuch der Chipkarten. Aufbau, Funktionsweise, Einsatz." Hanser Verlag, 1995, Auszug erhältlich am 05.06.2001 unter http:/ / www.hanser.de/buch/1999/3-446-21115-2.htm
[6] Grundlagen für ein Benutzerzertifikat, erhältlich am 05. Juni 2001 unter: http:/ / www.itu.int/itudoc/­ itu-t/rec/x/x500up/x509.htmlThe following publications are cited in the context of this document:
[1] Basics of a user's registration procedure, available on June 5, 2001 at:
http: / / www.ietf.org/rfc/rfc2617.txt
[2] Basics for the World Wide Web (WWW), available on May 30, 2001 at: http: / / www.w3.org/
[3] Menezes, by Oorschot, Vanstone: "Handbook of Applied Cryptography", Chapter 1, CRC Press, 1997
[4] Tanenbaum, AS, "Computer Networks" Prentice Hall, 1988, excerpt available on June 5, 2001 at http: / / vig.prenhall.com/catalog/academic/product/1.4096, 0133499456.html, 00.html
[5] Rankl, W., Effing, W., "Manual of chip cards. Structure, functionality, use." Hanser Verlag, 1995, excerpt available on June 5, 2001 at http: / / www.hanser.de/buch/1999/3-446-21115-2.htm
[6] Basics for a user certificate, available on June 5, 2001 at: http: / / www.itu.int/itudoc/ itu-t / rec / x / x500up / x509.html

Claims (11)

1. Verfahren zum Anmelden eines Nutzers bei einer über eine Authentifizierungseinheit mit dem Nutzer verbundenen Dienst­ leistungseinheit,
bei dem der Nutzer im Rahmen einer ersten Authentifikation eine erste Authentifikationsinformation an die Authentifi­ zierungseinheit übermittelt, wobei der Nutzer gegenüber der Authentifikationseinheit authentifiziert wird,
bei dem die Authentifizierungseinheit im Rahmen einer zweiten Authentifikation eine zweite Authentifikationsin­ formation an die Dienstleistungseinheit übermittelt, wobei die Authentifizierungseinheit gegenüber der Dienstleis­ tungseinheit authentifiziert wird,
bei dem der Nutzer eine Anmeldeinformation an die Authen­ tifizierungseinheit übermittelt und die Authentifizierung­ seinheit die Anmeldeinformation des Nutzers an die Dienst­ leistungseinheit weiterleitet,
bei dem der Nutzer nach erfolgter erster und zweiter Au­ thentifikation unter Verwendung der Anmeldeinformation bei der Dienstleistungseinheit angemeldet wird.1. Method for registering a user with a service unit connected to the user via an authentication unit,
in which the user transmits first authentication information to the authentication unit as part of a first authentication, the user being authenticated to the authentication unit,
in which the authentication unit transmits a second piece of authentication information to the service unit as part of a second authentication, the authentication unit being authenticated to the service unit,
in which the user transmits credentials to the authentication unit and the authentication unit forwards the credentials of the user to the service unit,
in which the user is logged on to the service unit after the first and second authentication using the registration information. 2. Verfahren nach Anspruch 1, bei dem die erste und die zweite Authentifikationsinformation Zertifikate sind.2. The method according to claim 1, where the first and second authentication information Certificates are. 3. Verfahren nach Anspruch 1 oder 2, bei dem die Anmeldeinformation einen Nutzernamen und eine Nutzeridentifikationsnummer aufweist.3. The method according to claim 1 or 2, where the credentials include a username and a Has user identification number. 4. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Authentifizierungseinheit ein Intranet-Server ist.4. The method according to any one of the preceding claims, where the authentication unit is an intranet server. 5. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Dienstleistungseinheit ein Internet-Server ist.5. The method according to any one of the preceding claims, where the service unit is an internet server. 6. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Anmeldeinformation und die erste Authentifikati­ onsinformation auf einer Smart-Karte gespeichert sind.6. The method according to any one of the preceding claims,  where the credentials and the first authentication Information is stored on a smart card. 7. Verfahren nach einem der vorangehenden Ansprüche, bei dem Daten zwischen dem Nutzer und der Authentifizierung­ seinheit und/oder Daten zwischen der Authentifizierungsein­ heit und der Dienstleistungseinheit jeweils verschlüsselt ü­ bertragen werden.7. The method according to any one of the preceding claims, in the data between the user and the authentication entity and / or data between authentication unit and the service unit are each encrypted ü be transferred. 8. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Daten gemäß einem HTTPS-Datenprotokoll Format ü­ ber tragen werden.8. The method according to any one of the preceding claims, in which the data according to an HTTPS data protocol format ü will carry over. 9. Verfahren nach einem der vorangehenden Ansprüche, bei dem der Nutzer, die Authentifizierungseinheit und die Dienstleistungseinheit im Rahmen eines Client-Server-Netzes miteinander verbunden sind, wobei der Nutzer ein Client und die Authentifizierungseinheit und die Dienstleistungseinheit jeweils Server in dem Client-Server-Netz sind.9. The method according to any one of the preceding claims, where the user, the authentication unit and the Service unit in the context of a client-server network are interconnected, the user being a client and the authentication unit and the service unit are each servers in the client-server network. 10. Verwendung eines Verfahrens nach einem der vorangehenden Ansprüche zu einem Zugriff auf von der Dienstleistungseinheit zur Verfügung gestellten Daten durch den Nutzer,
wobei der Nutzer bei der Dienstleistungseinheit um Zugriff auf die Daten nachsucht,
wobei bei dem Nachsuchen des Nutzers dieser bei der Dienstleistungseinheit angemeldet wird,
wobei bei der Anmeldung des Nutzers überprüft dessen Be­ rechtigung zum Zugriff auf die Daten überprüft wird,
wobei dem Nutzer, falls die Berichtigung zu dem Zugriff festgestellt worden ist, der Zugriff auf die Daten gewährt wird und
wobei dem Nutzer, falls die Berechtigung zu dem Zugriff nicht festgestellt worden ist, der Zugriff auf die Daten verwehrt wird. 10. Use of a method according to one of the preceding claims for access by the user to data made available by the service unit,
the user searches the service unit for access to the data,
when the user is searched, the user is registered with the service unit,
the user's authorization to access the data is checked when the user logs on,
wherein if the correction to the access has been determined, the user is granted access to the data and
if the authorization to access has not been determined, the user is denied access to the data. 11. Anordnung zum Anmelden eines Nutzers bei einer über eine Authentifizierungseinheit mit dem Nutzer verbundenen Dienst­ leistungseinheit,
mit dem Nutzer und der Authentifizierungseinheit, die der­ art eingerichtet sind, dass im Rahmen einer ersten Authen­ tifikation von dem Nutzer eine erste Authentifikationsin­ formation an die Authentifizierungseinheit übermittelbar ist, wobei der Nutzer gegenüber der Authentifikationsein­ heit authentifizierbar ist,
mit der Authentifizierungseinheit und der Dienstleistungs­ einheit, die derart eingerichtet sind, dass im Rahmen ei­ ner zweiten Authentifikation eine zweite Authentifikation­ sinformation von der Authentifizierungseinheit an die Dienstleistungseinheit übermittelbar ist, wobei die Au­ thentifizierungseinheit gegenüber der Dienstleistungsein­ heit authentifizierbar ist,
mit dem Nutzer, der Authentifizierungseinheit und der Dienstleistungseinheit, welche derart eingerichtet sind, dass von dem Nutzer eine Anmeldeinformation an die Authen­ tifizierungseinheit übermittelbar und diese von der Au­ thentifizierungseinheit an die Dienstleistungseinheit wei­ terleitbar ist, unter Verwendung derer nach erfolgter ers­ ter und zweiter Authentifikation der Nutzer bei der Dienstleistungseinheit anmeldbar ist.11. Arrangement for registering a user with a service unit connected to the user via an authentication unit,
with the user and the authentication unit, which are set up in such a way that, as part of a first authentication, the user can transmit a first piece of authentication information to the authentication unit, the user being able to be authenticated against the authentication unit,
with the authentication unit and the service unit, which are set up in such a way that, as part of a second authentication, second authentication information can be transmitted from the authentication unit to the service unit, the authentication unit being authenticatable to the service unit,
with the user, the authentication unit and the service unit, which are set up in such a way that a registration information can be transmitted from the user to the authentication unit and this can be forwarded from the authentication unit to the service unit, using those after the first and second authentication of the User can be registered with the service unit.
DE2001128729 2001-06-13 2001-06-13 User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit Withdrawn DE10128729A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001128729 DE10128729A1 (en) 2001-06-13 2001-06-13 User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001128729 DE10128729A1 (en) 2001-06-13 2001-06-13 User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit

Publications (1)

Publication Number Publication Date
DE10128729A1 true DE10128729A1 (en) 2002-07-25

Family

ID=7688179

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001128729 Withdrawn DE10128729A1 (en) 2001-06-13 2001-06-13 User log-on procedure via service unit connected via authentification unit to user, involves log-on of user after first- and second-authentification via log-on information with service unit

Country Status (1)

Country Link
DE (1) DE10128729A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10259755A1 (en) * 2002-12-19 2004-07-08 Bt Ingnite Gmbh & Co Automatic terminal or user identification in networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5619657A (en) * 1991-06-28 1997-04-08 Digital Equipment Corporation Method for providing a security facility for a network of management servers utilizing a database of trust relations to verify mutual trust relations between management servers
US5642401A (en) * 1993-06-29 1997-06-24 Nec Corporation System and method of authenticating a service request in a mobile communication system
JPH11187016A (en) * 1997-12-24 1999-07-09 Toyo Commun Equip Co Ltd Network authentication system
US6137884A (en) * 1995-03-21 2000-10-24 Bankers Trust Corporation Simultaneous electronic transactions with visible trusted parties

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5619657A (en) * 1991-06-28 1997-04-08 Digital Equipment Corporation Method for providing a security facility for a network of management servers utilizing a database of trust relations to verify mutual trust relations between management servers
US5642401A (en) * 1993-06-29 1997-06-24 Nec Corporation System and method of authenticating a service request in a mobile communication system
US6137884A (en) * 1995-03-21 2000-10-24 Bankers Trust Corporation Simultaneous electronic transactions with visible trusted parties
JPH11187016A (en) * 1997-12-24 1999-07-09 Toyo Commun Equip Co Ltd Network authentication system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HILDEBRANDT, E. u.a.: User authentacation in multidatabase systems, In: Database and Expert Systems Applications, IEEE 1998, S. 281-286 *
LAFERRIERE, C. u.a.: Authentication and Authorization Techniques in Distributed Systems, In: Security Technology, IEEE, 1993, S. 164-170 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10259755A1 (en) * 2002-12-19 2004-07-08 Bt Ingnite Gmbh & Co Automatic terminal or user identification in networks

Similar Documents

Publication Publication Date Title
DE60217962T2 (en) User authentication across the communication sessions
DE60114986T2 (en) METHOD FOR OUTPUTTING ELECTRONIC IDENTITY
DE60214632T2 (en) Multidomain authorization and authentication
DE10124111B4 (en) System and method for distributed group management
DE60200093T2 (en) Secure user authentication via a communication network
DE60308692T2 (en) METHOD AND SYSTEM FOR USER-DEFINED AUTHENTICATION AND UNIQUE REGISTRATION IN A FEDERALIZED ENVIRONMENT
EP1358533B1 (en) Method, arrangement and secure medium for authentication of a user
EP2454703B1 (en) Method for reading attributes from an id token
DE60200081T2 (en) Secure user and data authentication via a communication network
DE69835416T2 (en) METHOD FOR SAFELY CARRYING OUT A TELECOMMUNICATION COMMAND
DE602004012870T2 (en) METHOD AND SYSTEM FOR USER AUTHENTICATION IN A USER-PROVIDER ENVIRONMENT
EP2289222B1 (en) Method, authentication server and service server for authenticating a client
EP4357945A2 (en) Method for reading an attribute from an id token
WO2009089943A1 (en) Method for reading attributes from an id token
WO2011006791A1 (en) Method for reading attributes from an id token
WO2010031700A2 (en) Telecommunication method computer programme product and computer system
WO2010112368A2 (en) Method for reading attributes from an id token via a mobile radio connection
EP1777907B1 (en) Method and devices for carrying out cryptographic operations in a client-server network
EP2620892B1 (en) Method for generating a pseudonym with the help of an ID token
DE602004012103T2 (en) METHOD FOR DISTRIBUTING PASSWORDS
EP3540623B1 (en) Method for generating a pseudonym with the help of an id token
WO2022037997A1 (en) Authenticating a communication partner on a device
DE19939281A1 (en) Access control procedure for access to the contents of web-sites, involves using a mobile security module, such as a smart card
DE60219915T2 (en) Method for securing communications in a computer system
DE10107883B4 (en) Method for transmitting data, proxy server and data transmission system

Legal Events

Date Code Title Description
OAV Applicant agreed to the publication of the unexamined application as to paragraph 31 lit. 2 z1
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal