DE4125830C1 - Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classification - Google Patents
Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classificationInfo
- Publication number
- DE4125830C1 DE4125830C1 DE4125830A DE4125830A DE4125830C1 DE 4125830 C1 DE4125830 C1 DE 4125830C1 DE 4125830 A DE4125830 A DE 4125830A DE 4125830 A DE4125830 A DE 4125830A DE 4125830 C1 DE4125830 C1 DE 4125830C1
- Authority
- DE
- Germany
- Prior art keywords
- data
- network
- network computer
- security
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
Description
Die Erfindung betrifft eine Sicherheitseinrichtung an ei nem lokalen Netzwerk, in dem Verschlußsachen-Daten unter schiedlicher Geheimhaltungsstufen gleichzeitig übertragbar und verarbeitbar sind.The invention relates to a safety device on egg nem local network, in which classified data under different levels of confidentiality can be transferred simultaneously and are processable.
Derartige lokale Netzwerke umfassen eine begrenzte Anzahl (n) von Netzrechnern, zwischen denen Daten ausgetauscht werden können, die gegebenenfalls unterschiedlichen Ge heimhaltungsstufen unterliegen. Um einen Schutz solcher Daten gegen einen unberechtigten Zugriff zu erzielen, wer den die Daten in verschiedenen Verschlüsselungen übertra gen. Im Rahmen der Sicherheitseinrichtung ist eine Ver gleichseinrichtung mit den Netzrechnern je einzeln zuge ordneten Sicherheitsfiltern vorgesehen, die aus einem Ver gleich im jeweiligen Sicherheitsfilter gespeicherter, den Kreis der berechtigten Benutzer charakterisierender Daten mit von einem Benutzer zum Nachweis seiner Identität und Benutzungsberechtigung (Authentifikation) eingegebenen Daten eine auf den Netzrechner bezogene Authentifikations- Überprüfung ausführt und nur im Falle erfolgreicher Authentifikation die Freigabe des vom Benutzer gewünschten Datenübertragungspfades und die Ausgabe von Daten-VS in einer für den sendenden Netzrechner charakteristischen Verschlüsselung an das Übertragungs-Leitungssystem des Netzwerks vermittelt.Such local area networks comprise a limited number (n) of network computers between which data is exchanged can be the possibly different Ge levels of compliance are subject to. To protect such To obtain data against unauthorized access, who which the data transmits in various encodings gen. Within the scope of the safety device, a Ver equalization with the network computers each individually arranged security filters provided from a ver immediately saved in the respective security filter Circle of authorized data characterizing users with from a user to prove his identity and User authorization (authentication) entered Data an authentication related to the network computer Check is carried out and only if successful Authentication the release of what the user wants Data transmission path and the output of data VS in a characteristic of the sending network computer Encryption to the transmission line system of the Network mediated.
Eine derartige, nach dem sogenannten Off-Line-Verfahren arbeitende Sicherheitseinrichtung für ein lokales Netzwerk ist durch Matyas S., und Meyer, C.: Cryptography: "A new dimension in computer data security", Seiten 511 bis 520, bekannt.One such, according to the so-called off-line method working security device for a local network is by Matyas S., and Meyer, C .: Cryptography: "A new dimension in computer data security ", pages 511 to 520, known.
Nachteilig an solchen Sicherheitseinrichtungen, ist zum einen, daß an jedem Netzrechner die gesamte Information darüber vorliegen muß, wer und wenn ja, in welchem Umfang, zur Benutzung des jeweiligen Netzrechners und des lokalen Netzwerkes befugt ist, sowie über die Schlüssel, mit denen die einzelnen Netzrechner arbeiten, was sowohl mit hohem Hardware- als auch Software-Aufwand an den einzelnen Netz rechnern verknüpft ist. Es kommt hinzu, daß die solcher maßen zwangsläufig vielfältige Verteilung der Informatio nen über die einzelnen Netzrechner und deren mögliche Be nutzer ein nicht unerhebliches Sicherheitsrisiko darstellt.A disadvantage of such safety devices is one that all the information on each network computer about who, and if so, to what extent, to use the respective network computer and the local one Network is authorized, as well as the keys with which the individual network computers work, both with high Hardware and software expenditure on the individual network computers is linked. There is also the fact that such inevitably measured diverse distribution of information nen about the individual network computers and their possible Be represents a not insignificant security risk.
Dies gilt auch dann, wenn die Authentifikation des jewei ligen Benutzers in einem On-Line-Verfahren gegenüber dem Kommunikationspartner erfolgt, wie durch die US-PS 46 94 492 für den Fall bekannt, daß der Benutzer sich von einer pe ripheren Station aus gegenüber einem Hauptrechner, zu dem er Zugang haben möchte, authentifizieren muß oder, wie durch die US-PS 44 38 824 für den Fall bekannt, daß ein Benutzer sich von einem Netzrechner eines lokalen Netzwer kes aus gegenüber einer zentralen Sicherheits-Service-Sta tion in einem "Frage- und Antwortspiel" authentifizieren muß, danach aber die Kommunikation zwischen dem Netzrechner des Benutzers - des Senders - und dem Netzrechner des Emp fängers freigegeben ist und danach zwischen diesen Netz rechnern im Prinzip beliebige Informationen ausgetauscht werden können.This also applies if the authentication of the respective ligen user in an online process against the Communication partner takes place as by the US-PS 46 94 492 known in the event that the user is from a pe peripheral station from opposite a main computer to which he wants to have access, has to authenticate or how known from US-PS 44 38 824 in the event that a User away from a local area network computer kes off compared to a central security service sta Authentication in a "question and answer game" must, but then the communication between the network computer the user - the sender - and the Emp is released and then between these networks in principle, any information exchanged can be.
Soll hinsichtlich einer Kommunikation zwischen zwei Netz rechnern eines lokalen Netzwerkes auch deren gegebenen falls unterschiedliche Sicherheitseinstufung berücksichtigt werden, ist es daher unumgänglich, daß beim Aufbau von Daten-Übertragungspfaden zwischen miteinander kommunizie renden Netzrechnern zusätzliche Authentifikations-Protokol le abgewickelt werden, anhand derer auch die Zulässigkeit der Öffnung eines Übertragungspfades unter dem Gesichts punkt der Sicherheitseinstufung bzw.- ermächtigung der Kommunikationspartner erfolgt.Is intended for communication between two networks computers of a local network also their given if different security ratings are taken into account , it is therefore inevitable that when building Data transmission paths between communicating with each other additional authentication protocol for network computers le are processed, based on which also the admissibility the opening of a transmission path under the face point of security classification or authorization of Communication partner takes place.
Soweit solchen Sicherheitsanforderungen genügende loka le Netzwerke derzeit realisierbar sind, ist hierzu, unabhängig von der Art der Authentifikation der Be nutzer, entweder der Einsatz mehrstufig sicherer Rechen anlagen als Netzrechner notwendig, deren Betriebssy steme für eine gleichzeitige Verarbeitung und Speiche rung von Daten-VS unterschiedlicher Geheimhaltungsstu fen konzipiert sind, oder eine Verbindung der Netzrech ner mit dem jeweiligen Übertragungs-Leitungssystem über spezielle Netzwerkadapter, d. h. Komponenten, die in bereits bestehende lokale Netzwerke nicht, zumindest nicht mit einem vertretbaren Aufwand integrierbar sind. As far as such security requirements sufficient loka le networks are currently feasible, regardless of the type of authentication of the Be users, either the use of multi-stage, safe rakes systems necessary as network computers, their operating sys steme for simultaneous processing and spoke Data VS different confidentiality level fen are designed, or a connection to the network ner with the respective transmission line system special network adapters, d. H. Components in existing local networks do not, at least not can be integrated with reasonable effort.
Bei solchen mit "üblichen" Rechenanlagen realisierten Netz werken ist eine einigermaßen wirksame Sicherung gegen Fremdzugriff zu Daten-Verschlußsachen (Daten-VS) oder ge gen eine unkontrollierte Offenlegung derselben allenfalls durch organisatorische Maßnahmen erreichbar, derart, daß die Verarbeitung von Daten-VS jeweils derselben Geheim haltungsstufe bestimmten Zeitspannen (detizierter Betriebs modus) vorbehalten ist, was aber den Nachteil hat, daß eine zeitsparende gleichzeitige Verarbeitung von Daten-VS unterschiedlicher Geheimhaltungsstufen nicht möglich ist.In such a network realized with "usual" computing systems work is a reasonably effective safeguard against External access to data classified information (data VS) or ge against an uncontrolled disclosure at most achievable through organizational measures such that the processing of data VS the same secret level of certain periods of time (detected operation mode) is reserved, but this has the disadvantage that a time-saving simultaneous processing of data VS. different levels of confidentiality is not possible.
Aufgabe der Erfindung ist es daher, eine Sicherheitsein richtung an einem lokalen Netzwerk der eingangs genannten Art zu schaffen, die, unbeschadet der Möglichkeit einer gleichzeitigen Verarbeitung und Speicherung von Daten-VS unterschiedlicher Geheimhaltungsstufen in dem Netzwerk, einen wirksamen Schutz gegen einen unberechtigten Zugriff zu den Daten-VS und/oder gegen eine unkontrollierte Offen legung derselben vermittelt, dabei gleichwohl mit einfa chen technischen Mitteln realisierbar und erforderlichen falls in die Struktur eines schon bestehenden lokalen Netzes einfügbar ist.The object of the invention is therefore a security direction on a local network of the aforementioned Kind of creating that, without prejudice to the possibility of one simultaneous processing and storage of data VS. different levels of confidentiality in the network, effective protection against unauthorized access to the data VS and / or against an uncontrolled open placement of the same mediated, nevertheless with simpl Chen technical means feasible and necessary if in the structure of an existing local Network is insertable.
Diese Aufgabe wird erfindungsgemäß durch die im kennzeich nenden Teil des Patentanspruchs 1 genannten Merkmale gelöst.This object is achieved by the in the characterizing ning part of claim 1 resolved features.
Durch die hiernach vorgesehene Schaffung eines VS-Vermitt lungsknotens, der in einem über die Benutzer-Authentifika tion hinausgehenden, weiteren Authentifikationsschritt aus einem Vergleich der für die Netzrechner, die für einen Datenaustausch vorgesehen sind, maßgeblichen Sicherheits einstufungen "entscheidet", ob eine Interaktion dieser Netzrechner erlaubt ist oder nicht und für den Fall, daß ein Datenaustausch zwischen den hierfür vorgesehenen Netz rechnern erlaubt ist, deren ausschließliche Kommunikations- Verbindung vermittelt, ist eine Struktur der Sicherheits einrichtung erzielt, die schaltungstechnisch im peripheren Bereich der Netzrechner und des lokalen Netzwerks insge samt liegt, so daß die durch diese Struktur charakterisier te Sicherheitseinrichtung ohne weiteres auch in ein beste hendes Netz eingefügt und dieses an die Erfordernisse für eine gleichzeitige Verarbeitung und Speicherung von Daten- VS unterschiedlicher Geheimhaltungsstufen angepaßt werden kann.Through the creation of a VS mediator node that is in a user authentication tion further authentication step a comparison of those for the network computers, for one Data exchange are provided, relevant security ratings "decides" whether an interaction of these Network computer is allowed or not and in the event that a data exchange between the designated network computers, whose exclusive communication Mediation is a structure of security device achieved, the circuitry in the peripheral Area of network computers and local network in total lies together, so that it is characterized by this structure te safety device easily into the best existing network and this meets the requirements for simultaneous processing and storage of data VS different levels of confidentiality can be adjusted can.
Die gemäß Anspruch 2 vorgesehene Einfügung der Sicherheits filter zwischen die Anwendungssoftware der jeweiligen Netz rechner und deren NetBIOS-Schnittstellen, (BIOS = Basic Input/Output System) ist besonders vorteilhaft, da hier Sicherheitsfilter, wie durch die Merkmale der Ansprüche 3, 4, 5 und/oder 6 näher spezifiziert und gemäß Anspruch 7 als Steckkarten ausgeführt, über Bus-Adapter an den Daten- Bus und den Adreß-Bus des jeweiligen Netzrechners auf einfache Weise anschließbar sind.The security insertion provided according to claim 2 filter between the application software of the respective network computer and their NetBIOS interfaces, (BIOS = Basic Input / output system) is particularly advantageous since here Security filter as defined by the features of claims 3, 4, 5 and / or 6 specified in more detail and according to claim 7 designed as plug-in cards, via bus adapter to the data Bus and the address bus of the respective network computer are easy to connect.
Für die Filter je einzeln vorgesehene periphere Eingabege räte, mit denen die mit gespeicherten Authentifika tionsdaten zu vergleichenden persönlichen Daten der möglichen Benutzer eingebbar sind, sind in bevorzugter Gestaltung als Chipkarten-Lesegeräte ausgebildet, mit denen benutzer-bezo gene Chipkarten lesbar sind, deren physischer Besitz erfor derlich ist, um sich dem lokalen Netzwerk gegenüber legiti mieren zu können. Die schon allein hierdurch erreichbare "Sicherheitsschwelle" gegen einen unerlaubten Eingriff in das lokale Netzwerk kann in bevorzugter Gestaltung der Sicher heitseinrichtung dadurch noch erhöht werden, daß zusätzlich zum Besitz einer auf einen berechtigten Benutzer ausgestell ten Chipkarte auch noch die Vornahme einer nur dem berechtig ten Benutzer möglichen Handlung, z. B. die Eingabe eines Paßworts erforderlich ist, um eine erfolgreiche Authentifika tion zu erzielen.Peripheral inputs provided individually for the filters councils with which the authenticated with saved tion data to be compared personal data of the possible Users can be entered are in a preferred design as Smart card readers trained with which user-related gene chip cards are legible, their physical possession requires is legiti to the local network to be able to lubricate. The one that can be achieved through this alone "Security threshold" against unauthorized interference in the local network can be in the preferred form of security Unit device can be increased by the fact that in addition issued to an authorized user ten chip card, the only one authorized to do so ten user possible action, e.g. B. entering a Password is required to successfully authenticate tion to achieve.
Die Darstellung einer Vielzahl von Kommunikationsverbindungen zwischen je einem sendenden und einem empfangenden Netzrech ner und gleichzeitige Verarbeitung von Daten-VS unterschied licher Geheimhaltungsstufen, die zwischen verschiedenen Netzrechner-Paaren ausgetauscht werden, ist auf einfache Weise durch Umschlüsselung der in einer spezifischen Ver schlüsselung des sendenden Netzrechners am VS-Vermittlungs knoten eingehenden Daten-VS auf den für den empfangenden Netzrechner spezifischen Schlüssel möglich.The representation of a multitude of communication connections between a sending and a receiving network rake ner and simultaneous processing of data VS difference levels of secrecy between different Network pairs are exchanged is simple Way by recoding the in a specific ver encryption of the sending network computer on the VS switch node incoming data VS on the for the receiving Network-specific key possible.
In bevorzugter Auslegung der Sicherheitseinrichtung ist der VS-Vermittlungsknoten einem ausgewählten Netzrechner des lokalen Netzwerks zugeordnet und vermittelt für diesen Netz rechner auch die Funktion des Sicherheitsfilters der bezüg lich dieses Netzrechners das Benutzer-Authentifikationsproto koll abwickelt. Dieser ausgewählte Netzrechner, an dem allein die Zugriffsmöglichkeit zu mittels des VS-Vermittlungsknotens speicherbaren Protokolldaten besteht, die über sämtliche Interaktionen in dem lokalen Netzwerk, insbesondere auch Zugriffe zu diesem erstellt werden, ist dem sogenannten Sicherheits-Administrator des lokalen Netzwerks zugeordnet, der die höchste Sicherheitseinrichtung hat.In a preferred design of the safety device, the VS switching node a selected network computer assigned to local network and mediated for this network the function of the security filter of the cover Lich this network computer the user authentication prototype koll handled. This selected network computer on which alone the accessibility to by means of the VS switching node storable log data exists that covers all Interactions in the local network, in particular also Access to this is the so-called Assigned to the security administrator of the local network, who has the highest security facility.
Die Erfindung wird nachfolgend anhand eines in der Zeichnung schematisch vereinfacht dargestellten lokalen Netzwerks (LAN), das mit einer erfindungsgemäßen Sicherheitseinrich tung ausgerüstet ist, näher erläutert.The invention is described below with reference to a drawing schematically simplified local network (LAN) with a security device according to the invention is equipped, explained in more detail.
Das in der Zeichnung dargestellte, insgesamt mit 1 bezeich nete lokale Netzwerk (LAN) ist als ein den einschlägigen Standards IEE 802.3, 802.4, 802.5 bzw. ISO 8802 entsprechen des Netzwerk ausgebildet, in dem auch eine gleichzeitige Speicherung, Verarbeitung und Übertragung von Verschluß sachen (Daten-VS) unterschiedlicher Geheimhaltungsstufen möglich sein soll, beispielsweise der Geheimhaltungsstufen "VS - nur für den Dienstgebrauch", "VS - Vertraulich" oder "VS - Geheim", wie speziell durch die Daten-VS-Richtlinien des Bundesministers des Inneren der Bundesrepublik Deutsch land, 1980, definiert.The local network (LAN) shown in the drawing, denoted overall by 1, is designed as a network that corresponds to the relevant standards IEE 802.3, 802.4, 802.5 and ISO 8802, in which a simultaneous storage, processing and transmission of encrypted matters (Data VS) different levels of secrecy should be possible, for example the secrecy levels "VS - only for official use", "VS - confidential" or "VS - secret", as specifically through the data VS guidelines of the Federal Minister of the Interior of the Federal Republic Germany, 1980, defined.
Das lokale Netzwerk 1 umfaßt eine - begrenzte, im übrigen beliebige - Anzahl von Netzrechnern 2/i (i = 1, 2, . . ., n), deren Besitzer bzw. Besitzergruppen zum Umgang mit Verschluß sachen unterschiedlicher Geheimhaltungsstufen autorisiert sind, wobei der bzw. die Besitzer eines einzelnen der jewei ligen Netzrechner eine bestimmte, im Falle mehrerer Besitzer des Netzrechners dieselbe Ermächtigung zum Umgang mit Ver schlußsachen haben.The local network 1 comprises a - limited, otherwise arbitrary - number of network computers 2 / i (i = 1, 2,..., N), whose owners or groups of owners are authorized to deal with classified information of different levels of confidentiality, the or the owners of a single one of the respective network computers have a specific authorization, in the case of several owners of the network computer, to handle classified information.
Entsprechend den vorgenannten Standards ist das lokale Netz werk 1 so konzipiert, daßAccording to the aforementioned standards, the local network 1 is designed so that
- - bei einer gleichzeitigen Verarbeitung von Daten-VS unter schiedlicher Geheimhaltungsstufen die Daten-VS nur den jeweils Empfangsberechtigten zur Kenntnis gelangen,- with simultaneous processing of data VS under different levels of confidentiality, the data VS only the get to know the right to receive,
- - nur solche an das Netzwerk 1 angeschaltete Netzrechner 2/1 und 2/2, sowie gegebenenfalls weitere Netzrechner 2/i, die mit ermächtigten Benutzern besetzt sind, Daten-VS empfan gen oder senden können und- Only those network computers 2/1 and 2/2 connected to the network 1 , and possibly further network computers 2 / i, which are staffed with authorized users, can receive or send data VS and
- - bei der Übertragung von Daten-VS die zu übertragene In formation verschlüsselt ist.- When transferring data VS the In to be transferred formation is encrypted.
Die Realisierung dieser Fähigkeit des lokalen Netzwerks 1 ist, verglichen mit einem "konventionellen" Netzwerk, bei dem beliebige Rechenanlagen miteinander vernetzt sind, die keinerlei Ausrüstung für eine datensichere Verarbeitung von Daten-VS unterschiedlicher Geheimhaltungsstufen haben, durch ein Hinzufügen von Komponenten erzielt, nämlich den Netz rechnern einzeln zugeordneter Sicherheitsfilter 3/i und eines insgesamt mit 4 bezeichneten VS-Vermittlungsknotens, wobei durch die Sicherheitsfilter 3/i die von den Netzrechnern 2/i zu übertragenden Daten-VS in verschlüsselter Form zu dem Vermittlungsknoten 4 umgeleitet werden und die Daten-VS in dem lokalen Netzwerk 1 unter alleiniger Regie des VS-Vermitt lungsknotens 4 in umgeschlüsselter Form an den als Empfänger vorgesehenen Netzrechner, z. B. den Netzrechner 2/2 gesendet werden, und wobei der VS-Vermittlungsknoten 4 die Zulässig keit der Datenübertragung zwischen dem sendenden Netzrechner 2/1 und dem empfangenden Netzrechner 2/2 überwacht und die Weiterleitung von Daten-VS unterläßt, wenn diese eine unzu lässige Übertragung zwischen den Netzrechnern 2/1 und 2/2 bedeuten würde.The realization of this capability of the local network 1 is achieved by adding components, namely that, compared to a "conventional" network, in which any computing systems are networked with one another, which have no equipment for data-safe processing of data VS of different levels of secrecy network computers individually associated safety filter 3 / i and a designated overall by 4 VS-switching node, wherein are / i diverted i of the network computers 2 to transfer data VS in encrypted form to the switch node 4 by the safety filter 3 / and the data VS in the local network 1 under the sole direction of the VS switching node 4 in encrypted form to the network computer provided as the receiver, e.g. B. the network computer 2/2 are sent, and the VS switching node 4 monitors the permissibility of the data transmission between the sending network computer 2/1 and the receiving network computer 2/2 and omits the forwarding of data VS if this is unacceptable would mean casual transmission between the network computers 2/1 and 2/2 .
Diese zusätzlichen Komponenten - Sicherheitsfilter 3/i und VS-Vermittlungsknoten 4 - werden mehr im einzelnen nachfol gend anhand ihrer Funktionen erläutert, woraus sich für den Fachmann zahlreiche Möglichkeiten der Realisierung dieser Komponenten hinsichtlich Hardware und gegebenenfalls zusätz lich erforderlicher Software ergeben, deren in die schaltungs technischen Einzelheiten gehende Beschreibung daher nicht erforderlich erscheint.These additional components - security filter 3 / i and VS switching node 4 - are explained in more detail below on the basis of their functions, which results in numerous possibilities for the person skilled in the art to implement these components with regard to hardware and any additional software that may be required, the circuit of which technical description therefore does not appear necessary.
Die Sicherheitsfilter 3/i können als reine Hardware-Kompo nenten ausgebildet sein oder auch als programmgesteuerte Mikroprozessoren und sind logisch zwischen die Anwendungs ebene und die NetBIOS-Schnittstelle des jeweiligen Netzrech ners 2/i geschaltet. Ihre Aufgabe ist die vollständige Kon trolle aller Interaktionen zwischen der Anwendungssoftware 5/i sowie des Rechner-Betriebssystems 6/i und des LAN-Be triebssystems 7/i des jeweiligen Netzrechners 2/i, einer seits, und den Software-Treibern sowie den Hardware-Kompo nenten, insbesondere den LAN-Adaptern 8/i, andererseits, über die die Daten-VS in die zum VS-Vermittlungsknoten füh rende Übertragungsleitung 9/i eingekoppelt bzw., gesehen in Richtung des Datenflusses, aus der vom Vermittlungsknoten 4 kommenden Übertragungsleitung 9/2 in den empfangenden Netz rechner 2/2 eingekoppelt werden.The security filters 3 / i can be designed as pure hardware components or as program-controlled microprocessors and are logically connected between the application level and the NetBIOS interface of the respective network computer 2 / i. Your task is the complete control of all interactions between the application software 5 / i and the computer operating system 6 / i and the LAN operating system 7 / i of the respective network computer 2 / i, on the one hand, and the software drivers and hardware Components, in particular the LAN adapters 8 / i, on the other hand, via which the data VS is coupled into the transmission line 9 / i leading to the VS switching node or, viewed in the direction of the data flow, from the transmission line coming from the switching node 4 9/2 can be coupled into the receiving network computer 2/2 .
Diese Kontrolle wird dadurch ausgeübt, daß alle Aufträge der Anwendungssoftware 5/i an das lokale Netzwerk 1 zunächst von dem jeweiligen Sicherheitsfilter 3/i aufgehalten, analysiert und so verändert werden, daß keine Übertragung von Daten-VS an unberechtigte Netzrechner 2/i erfolgen kann, wonach erst die Daten-VS an das lokale Netzwerk 1 weitergegeben werden. Umgekehrt werden alle Nachrichten, die von dem lokalen Netz werk 1 in einen der Netzrechner 2/i gelangen, von deren Sicherheitsfilter 3/i aufgehalten und in einer entsprechen den Weise aufbereitet, bevor sie an die Anwendungs-Software 5/i weitergereicht werden.This control is carried out in that all orders from the application software 5 / i to the local network 1 are initially stopped, analyzed and changed by the respective security filter 3 / i in such a way that no data VS can be transmitted to unauthorized network computers 2 / i , after which the data VS are passed on to the local network 1 . Conversely, all messages that come from the local network 1 into one of the network computers 2 / i are stopped by their security filter 3 / i and processed in a corresponding manner before they are passed on to the application software 5 / i.
Die Sicherheitsfilter 3/i ändern alle Aufträge an das lokale Netzwerk 1 dahingehend um, daß alle Nachrichten - Daten-VS - die von Netzrechnern 2/i aus gesendet werden, zu dem VS- Vermittlungsknoten 4 umgeleitet werden, was durch eine im Sinne einer Zwangsadressierung erfolgende Umsetzung der in den Datenblöcken enthaltenen Adreß-Informationen erzielt wird. Keinerlei Nachricht gelangt unter Umgehung des VS- Vermittlungsknotens 4 direkt von einem der Netzrechner 2/1 zu einem anderen.The security filter 3 / i change all orders to the local network 1 in such a way that all messages - data VS - which are sent from network computers 2 / i are redirected to the VS switching node 4 , which is due to a forced addressing successful implementation of the address information contained in the data blocks is achieved. No message gets bypassing the VS switching node 4 directly from one of the network computers 2/1 to another.
Der VS-Vermittlungsknoten vermittelt auch die Funktion, die Zulässigkeit der Datenübertragung zu prüfen und im Sinne einer Vermittlungs-Funktion gegebenenfalls die jeweiligen Nachrichten an den vorgesehenen Empfänger weiter zu ver mitteln. The VS switch node also switches the function that Check the admissibility of the data transfer and in the sense a mediation function, if applicable, the respective To forward messages to the intended recipient average.
Die Sicherheitsfilter 3/i enthalten eine Verschlüsselungs komponente, die alle in Nachrichtenblöcken enthaltenen An wendungsdaten verschlüsselt. Die Verschlüsselungskomponente führt weiterhin auch automatisch die Ver- und Entschlüsse lung der in den lokalen Massenspeichern der Netzrechner gespeicherten Daten aus. Weiter bewirken die Sicherheits filter, daß Daten nur in verschlüsselter Form in das lokale Netz 1 gelangen können.The security filter 3 / i contain an encryption component that encrypts all application data contained in message blocks. The encryption component also automatically performs the encryption and decryption of the data stored in the local mass storage devices of the network computers. Furthermore, the security filters ensure that data can only get into the local network 1 in encrypted form.
Entsprechend ist im VS-Vermittlungsknoten 4 eine Verschlüsse lungskomponente vorgesehen, die im Falle einer Weitergabe von Datenblöcken von einem sendenden Netzrechner, z. B. dem Netzrechner 2/1 zu dem empfangenden Netzrechner 2/2 zum Umschlüsseln der mittels des Sicherheitsfilters 3/1 mit dem Senderschlüssel verschlüsselten Daten auf den Schlüssel des Sicherheitsfilters 3/2 des empfangenden Netzrechners 2/2 eingesetzt wird, wobei der VS-Vermittlungsknoten 4 jeweils nur mit einem der Netzrechner 2/i gemeinsame Schlüssel hat.Accordingly, a encryption component is provided in the VS switching node 4 , which in the event of a transfer of data blocks from a sending network computer, for. B. the network computer 2/1 to the receiving network computer 2/2 for converting the data encrypted by means of the security filter 3/1 with the transmitter key to the key of the security filter 3/2 of the receiving network computer 2/2 , the VS switching node being used 4 only has keys shared with one of the network computers 2 / i.
Die Verschlüsselungskomponenten der Sicherheitsfilter 3/i der Netzrechner 2/i werden auch zur Abwicklung nachfolgend noch näher zu erläuterternder kryptographischer Authentifi kationsprotokolle eingesetzt, anhand derer Benutzer des lokalen Netzwerks 1 ihre Identität und den Grad ihrer Be rechtigung zum Umgang mit Daten-VS nachweisen müssen.The encryption components of the security filter 3 / i of the network computer 2 / i are also used for processing cryptographic authentication protocols to be explained in more detail below, by means of which users of the local network 1 must prove their identity and the degree of their authorization to deal with data VS.
Jeder Benutzer eines Netzrechners 2/i muß sich gegenüber diesem authentisieren. Als Mittel für diese Benutzer-Authen tifikation ist ein maschinenlesbarer Datenträger, z. B. eine Chipkarte geeignet, die mit einem eigenen Mikroprozessor und Speicher ausgestattet ist und mit benutzer-spezifischen Identitäts- und Authentifikationsmerkmalen personalisiert ist, wobei eines dieser Identitätsmerkmale auch den Grad der Ermächtigung des Benutzers zum Umgang mit Verschlußsachen angibt.Every user of a network computer 2 / i must authenticate himself to this. As a means for this user authentication is a machine-readable data carrier, for. B. suitable a chip card, which is equipped with its own microprocessor and memory and is personalized with user-specific identity and authentication features, one of these identity features also indicates the degree of authorization of the user to handle classified information.
Zur Benutzer-Authentifikation wird die Chipkarte in ein hierfür geeignetes, je einem der Sicherheitsfilter 3/i zuge ordnetes Chipkarten-Lesegerät 12/i eingesteckt und zwischen der Chipkarte des Benutzers und dem Sicherheitsfilter 3/i des jeweiligen Netzrechners 2/1 ein kryptographisches Authen tifikationsprotokoll abgewickelt, innerhalb dessen der Benut zer sich gegenüber dem Sicherheitsfilter 3/i auch durch die Eingabe eines Paßworts identifizieren muß. Eine Benutzersit zung dauert so lange, wie der Benutzer seine Chipkarte in dem Chipkarten-Lesegerät beläßt. Sobald die Chipkarte aus dem Lesegerät entfernt wird, ist die Benutzersitzung beendet, und eine neue Benutzersitzung kann nur durch eine neue Authen tifikation eingeleitet werden. Erst der Besitz der persona lisierten Chipkarte und die zusätzliche Kenntnis des korrek ten Paßwortes führen zu einer erfolgreichen Authentifikation, wonach der solchermaßen angesprochene Sicherheitsfilter 3/i des benutzten Netzrechners 2/i dem VS-Vermittlungsknoten 4 die Indentität des Benutzers und den Grad seiner VS-Ermächti gung mitteilt.For user authentication, the chip card is inserted into a suitable chip card reader 12 / i assigned to one of the security filters 3 / i and a cryptographic authentication protocol is inserted between the chip card of the user and the security filter 3 / i of the respective network computer 2/1 processed, within which the user has to identify himself against the security filter 3 / i by entering a password. A user session lasts as long as the user leaves his chip card in the chip card reader. As soon as the chip card is removed from the reader, the user session is ended, and a new user session can only be initiated by a new authentication. Only the possession of the personalized chip card and the additional knowledge of the correct password lead to successful authentication, according to which the security filter 3 / i addressed in this way of the network computer 2 / i used, the VS switching node 4, the identity of the user and the degree of his VS- Empowerment.
Der VS-Vermittlungsknoten speichert diese Daten und stuft den - sendenden - Netzrechner nach dem Grad der Ermächtigung des Benutzers ein. Alle hiernach von dem sendenden Netzrech ner aus in das lokale Netzwerk 1 gelangenden Daten werden von dem VS-Vermittlungsknoten 4 entsprechend dieser Einstufung behandelt. Nach Empfang eines solchen Datenblockes referen ziert der VS-Vermittlungsknoten 4 die gespeicherte Tabelle der VS-Einstufungen sämtlicher Netzrechner 2/i und vergleicht die entsprechenden Einträge. Falls die Einstufung des Adressa ten, an den die Daten weitergeleitet werden sollen, niedriger ist als diejenige des sendenden Netzrechners, wird die Weiter gabe der Daten verweigert.The VS switching node stores this data and classifies the - sending - network computer according to the degree of authorization of the user. All data subsequently arriving from the sending network computer into the local network 1 are treated by the VS switching node 4 in accordance with this classification. After receiving such a data block, the VS switching node 4 references the stored table of the VS classifications of all network computers 2 / i and compares the corresponding entries. If the rating of the addressee to whom the data is to be forwarded is lower than that of the sending network computer, the transfer of the data is refused.
Ist hingegen die Einstufung des Adressaten gleich oder höher als diejenige des Senders, so werden die Daten mit dem Schlüssel des Empfängers umgeschlüsselt und an diesen weiter geleitet. Der Sicherheitsfilter 3/i des Empfänger-Netzrech ners 2/i entschlüsselt die Daten und übergibt diese dem Betriebssystem 6/i dieses Netzrechners 2/i zur Weiterver arbeitung.If, on the other hand, the addressee's rating is equal to or higher than that of the sender, the data is transcoded with the recipient's key and forwarded to it. The security filter 3 / i of the receiver network computer 2 / i decrypts the data and passes it to the operating system 6 / i of this network computer 2 / i for further processing.
Die für die Vermittlung durch den VS-Vermittlungsknoten 4 notwendige Adreßinformation wird zwischen dem Sicherheits filter 3/i des jeweiligen Netzrechners 2/i und dem VS-Ver mittlungsknoten 4 in speziellen Protokollen ausgetauscht.The address information necessary for the switching by the VS switching node 4 is exchanged between the security filter 3 / i of the respective network computer 2 / i and the VS switching node 4 in special protocols.
Daten werden lokal auf Massenspeichern nur verschlüsselt gespeichert und können nur von den jeweiligen Besitzern eines Netzrechners 2/i geschrieben oder gelesen werden bzw. den Besitzern des VS-Vermittlungsknotens 4, wenn dieser, wie dargestellt, im Rahmen des Netzrechners 2/3 sowohl die VS- Vermittlungsfunktion für das Netz 1 insgesamt als auch die Funktion des Sicherheitsfilters für den Rechner 2/3 hat.Data is stored locally on mass storage devices only in encrypted form and can only be written or read by the respective owners of a network computer 2 / i or the owners of the VS switching node 4 , if this, as shown, both the VS within the framework of the network computer 2/3 - Mediation function for the network 1 as a whole and also the function of the security filter for the computer 2/3 .
Der Besitzerstatus ist hierbei durch die folgenden Randbe dingungen definiert, die auch bei der Authentifikation der Benutzer berücksichtigt werden:The owner status is here by the following randbe conditions that also apply to the authentication of the Users are considered:
- 1. Nur den Besitzern des jeweiligen Netzrechners 2/i ist der Zugriff auf die bei diesen lokal gespeicherten Daten möglich.1. Only the owners of the respective network computer 2 / i can access the data stored locally with them.
- 2. Für die Besitzer eines Netzrechners muß bei einem Aus fall des lokalen Netzwerkes ein "Stand-Alone"-Betrieb mit den lokal gespeicherten Daten möglich sein.2. For the owner of a network computer must on an off in the case of the local network, a "stand-alone" operation with the locally stored data.
Die - gemeinsamen - Besitzer eines Netzrechners bilden eine Benutzergruppe, die einen gemeinsamen Schlüssel für die Verschlüsselung der Massenspeicher des betreffenden Netz rechners teilen, wobei alle Besitzer dieses Netzrechners dieselbe Ermächtigung zum Umgang mit Verschlußsachen haben.The - common - owners of a network computer form one User group that have a common key for the Encryption of the mass storage of the network concerned share computer, with all owners of this network computer have the same authorization to handle classified information.
Alle legitimierten Benutzer können sich bei nicht gestörtem Netzbetrieb über jeden Netzrechner authentisieren, um diesen als Arbeitsplatz-Rechner ohne Massenspeicher zu nutzen.All legitimate users can log in if not disturbed Authenticate network operation via any network computer to this to use as a workstation computer without mass storage.
Der Besitzer des VS-Vermittlungsknotens ist der "Sicherheits administrator", der sich als einziger Benutzer am VS-Vermitt lungsknoten 4 authentisieren kann. Er ist der einzige Benut zer, der auf die lokal im VS-Vermittlungsknoten 4 auf Massen speichern gespeicherten Daten zugreifen kann.The owner of the VS switching node is the "security administrator", who can authenticate himself as the only user at the VS switching node 4 . He is the only user who can access the data stored locally in the VS switching node 4 to store masses.
Der VS-Vermittlungsknoten ist auch mit einer Protokollierungs komponente ausgerüstet, die alle sicherheitsrelevanten Er eignisse aufzeichnet und dem Sicherheitsadministrator Werk zeuge zur Auswertung dieser Protokolle zur Verfügung stellt. The VS switch node is also with a logging component equipped that all safety-relevant Er events and the security administrator's work provides evidence for the evaluation of these protocols.
Die Sicherheitsfilter 3/i sowie der VS-Vermittlungsknoten 4 des Netzrechners 2/3 des Sicherheitsadministrators enthalten die nach ihrer Funktion erforderlichen Verschlüsselungsbau steine und sind im übrigen zur Implementierung der Inter aktionen mit den Rechner- und LAN-Betriebssystemen mit je einem Mikroprozessor bestückt, der als Arbeitsspeicher einen RAM-Speicher hat, wobei für die Anwendungs-Software dieses Mikroprozessors ein ROM-Speicherelement vorgesehen ist. Ein EPROM-Speicherelement ist für die Aufnahme personenbezogener Benutzerdaten vorgesehen, die mit denen mittels der Chip karte angebotenen Daten verglichen werden können. Des weite ren ist ein EEPROM-Speicherelement im Rahmen der Sicherheits filter vorgesehen, in dem Protokoll-Daten speicherbar sind, die sich auf die Abwicklung der Authentisierungs-Protokolle, die zwischen den Sicherheitsfiltern 3/i und dem VS-Vermitt lungsknoten 4 abgewickelt werden, sowie auf gegebenenfalls unerlaubte Benutzungs-Versuche des lokalen Netzwerks 1 be ziehen können und vom Sicherheitsadministrator zur Erkennung solcher Versuche ausgenutzt werden können.The security filter 3 / i and the VS switching node 4 of the network computer 2/3 of the security administrator contain the encryption modules required for their function and are also equipped with a microprocessor for implementing the interactions with the computer and LAN operating systems has a RAM memory as the main memory, a ROM memory element being provided for the application software of this microprocessor. An EPROM memory element is provided for the recording of personal user data, which can be compared with the data offered by means of the chip card. Furthermore, an EEPROM memory element is provided as part of the security filter, in which protocol data can be stored which relate to the handling of the authentication protocols that are processed between the security filters 3 / i and the VS switching node 4 , and possibly refer to unauthorized attempts to use the local network 1 and can be used by the security administrator to identify such attempts.
Diese Komponenten sind in analoger Funktion auch im VS- Vermittlungsknoten 4 vorgesehen. Dieser ist zweckmäßig zu sätzlich mit einem batteriegepufferten CMOS-RAM-Speicher element ausgestattet, in dem ebenfalls derartige Protokoll- Daten sehr schnell speicherbar sind, die danach in das EEPROM-Speicherelement übertragen werden können.These components are also provided in an analog function in the VS switching node 4 . This is expediently additionally equipped with a battery-backed CMOS RAM memory element, in which such protocol data can also be stored very quickly, which can then be transferred to the EEPROM memory element.
In dem VS-Vermittlungsknoten 4 ist zweckmäßigerweise auch ein weiterer Kryptobaustein vorgesehen, der eine parallele Ver arbeitung ein- und ausgehender Nachrichtenblöcke ermöglicht. In the VS switching node 4 , a further crypto block is expediently provided, which enables parallel processing of incoming and outgoing message blocks.
Dementsprechend ist auch mindestens der den VS-Vermittlungs knoten 4 enthaltende Netzrechner 2/3 mit einem Betriebssy stem, z. B. dem Microsoft-Betriebssystem OS/2 ausgerüstet, das eine parallele Datenverarbeitung im Sinne verschiedener Anwendungsprogramme ermöglicht.Accordingly, at least the VS switching node 4 containing network computer 2/3 with an operating system, z. B. equipped the Microsoft operating system OS / 2, which enables parallel data processing in the sense of different application programs.
Die insoweit erläuterten elektronischen Komponenten der Sicherheitsfilter 3/i sind, mit Ausnahme des Chipkarten lesers, auf einer gemeinsamen Leiterkarte zusammengeschal tet, die mit üblichen Bus-Adaptern an hierfür vorbereiteten Anschlußstellen der Netzrechner 2/i mit deren Daten- und Adreßbussen verbunden sind. Entsprechendes gilt sinngemäß für den VS-Vermittlungsknoten 4 des Netzrechners 2/3 des Sicherheitsadministrators.The electronic components of the security filter 3 / i explained so far, with the exception of the chip card reader, are switched together on a common circuit card, which are connected to the data and address buses with conventional bus adapters at connection points of the network computers 2 / i prepared for this purpose. The same applies analogously to the VS switching node 4 of the network computer 2/3 of the security administrator.
Das vorstehend erläuterte Prinzip der ständigen Kontrolle aller Interaktionen zwischen der Anwendungssoftware eines Netzrechners und den Software-Treibern sowie den Hardware- Komponenten des lokalen Netzwerks 1 (Separation) sowie Über prüfung der Zulässigkeit der Datenübertragung zwischen einem sendenden und einem empfangenden Netzrechner, z. B. 2/1 und 2/2 und Vermittlung zwischen diesen beiden Netzrechnern ist sowohl für eine verbindungslose als auch für eine verbin dungsorientierte Datenübertragung (i.S. der ISO-Norm) anwend bar.The principle explained above of the constant control of all interactions between the application software of a network computer and the software drivers and the hardware components of the local network 1 (separation) and checking the permissibility of data transmission between a sending and a receiving network computer, for. B. 2/1 and 2/2 and mediation between these two network computers can be used for both connectionless and connection-oriented data transmission (as defined by the ISO standard).
Während eine verbindungslose Übertragung von Daten in der detailliert erläuterten Weise über den VS-Vermittlungsknoten 4 geleitet werden kann, kann bei verbindungsorientierter Kommunikation zwischen zwei Netzrechnern die Kontroll- und Vermittlungsfunktion des VS-Vermittlungsknotens 4 auf den Verbindungsaufbau beschränkt bleiben, derart, daß nach einer erfolgreichen Vermittlung einer Verbindung durch den VS- Vermittlungsknoten danach Daten-VS direkt zwischen den mit einander kommunizierenden Netzrechnern ausgetauscht werden können.While a connectionless transmission of data in the detail explained manner may be passed over the VS-switching node 4, in connection-oriented communication between two network computers, the monitoring and switching function of the VS-switching node 4 can be limited to the connection, such that after a successful Mediation of a connection by the VS switching node thereafter data VS can be exchanged directly between the network computers communicating with one another.
Wenn die Sicherheitsfilter 3/i, wie in der Zeichnung darge stellt und vorstehend erläutert zwischen der Anwendungs- Software und der NetBIOS-Schnittstelle 11/i des jeweiligen Netzrechners 2/i eingesetzt sind, so bedeutet dies, daß die Sicherheitsfilter 3/i sich den Anwendungen gegenüber wie die NetBIOS-Schnittstellen 11/i und umgekehrt den NetBIOS-Schnitt stellen 11/i gegenüber wie Anwendungen verhalten müssen. Die erwähnten Sicherheitsfunktionen sind insoweit innerhalb einer "Phantomschicht" zwischen bestehende Protokollschich ten eingeschoben. Dieses, für die Erfindung charakteristi sche Prinzip ist für alle Schnittstellen des lokalen Netz werks 1 anwendbar, die in der beispielhaft beschriebenen Weise kontrollierbar sind.If the security filter 3 / i, as shown in the drawing and explained above, are used between the application software and the NetBIOS interface 11 / i of the respective network computer 2 / i, this means that the security filter 3 / i is the Applications compared to the NetBIOS interfaces 11 / i and vice versa the NetBIOS interfaces 11 / i to how applications have to behave. The security functions mentioned are so far inserted within a "phantom layer" between existing protocol layers. This principle, which is characteristic of the invention, can be used for all interfaces of the local network 1 which can be controlled in the manner described by way of example.
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4125830A DE4125830C1 (en) | 1991-08-03 | 1991-08-03 | Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classification |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4125830A DE4125830C1 (en) | 1991-08-03 | 1991-08-03 | Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classification |
Publications (1)
Publication Number | Publication Date |
---|---|
DE4125830C1 true DE4125830C1 (en) | 1993-01-21 |
Family
ID=6437683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE4125830A Expired - Fee Related DE4125830C1 (en) | 1991-08-03 | 1991-08-03 | Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classification |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE4125830C1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4335161A1 (en) * | 1993-10-15 | 1995-04-20 | Joachim Linz | Method and installation for authenticating connections which can be set up via a telephone network |
WO1995012264A1 (en) * | 1993-10-25 | 1995-05-04 | Koninklijke Ptt Nederland N.V. | Device for processing data packets |
GB2299000A (en) * | 1995-03-14 | 1996-09-18 | Marconi Gec Ltd | A communications system |
DE19515681A1 (en) * | 1995-04-28 | 1996-10-31 | Sel Alcatel Ag | Method, system and subscriber device for tamper-proof separation of message streams |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4438824A (en) * | 1981-04-22 | 1984-03-27 | Siemens Corporation | Apparatus and method for cryptographic identity verification |
US4694492A (en) * | 1984-11-09 | 1987-09-15 | Pirmasafe, Inc. | Computer communications security control system |
-
1991
- 1991-08-03 DE DE4125830A patent/DE4125830C1/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4438824A (en) * | 1981-04-22 | 1984-03-27 | Siemens Corporation | Apparatus and method for cryptographic identity verification |
US4694492A (en) * | 1984-11-09 | 1987-09-15 | Pirmasafe, Inc. | Computer communications security control system |
Non-Patent Citations (1)
Title |
---|
MEYER, C., MATYAS, S.: Cryptography: A new dimension in computer data security, New York, John Wiley u. Sons, 1982, S. 511-520 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4335161A1 (en) * | 1993-10-15 | 1995-04-20 | Joachim Linz | Method and installation for authenticating connections which can be set up via a telephone network |
WO1995012264A1 (en) * | 1993-10-25 | 1995-05-04 | Koninklijke Ptt Nederland N.V. | Device for processing data packets |
NL9301841A (en) * | 1993-10-25 | 1995-05-16 | Nederland Ptt | Device for processing data packets. |
GB2299000A (en) * | 1995-03-14 | 1996-09-18 | Marconi Gec Ltd | A communications system |
GB2299000B (en) * | 1995-03-14 | 1999-10-27 | Marconi Gec Ltd | A communications system |
US6055634A (en) * | 1995-03-14 | 2000-04-25 | Gec-Marconi Limited | Secure internal communication system |
DE19515681A1 (en) * | 1995-04-28 | 1996-10-31 | Sel Alcatel Ag | Method, system and subscriber device for tamper-proof separation of message streams |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69333852T2 (en) | Method, apparatus and arrangement for encrypting data transmitted over connected networks | |
DE69533024T2 (en) | Access control system for computers connected to a private network | |
DE19740547B4 (en) | Apparatus and method for ensuring secure communication between a requesting entity and a serving entity | |
DE60226014T2 (en) | PORTABLE DEVICE FOR SECURING PACKAGE TRAFFIC IN AN ESTABLISHMENT SYSTEM | |
EP0283432B1 (en) | Method and apparatus for protecting secret elements in a cryptographic devices network with open key management | |
DE69837201T2 (en) | DEVICE FOR REALIZING VIRTUAL PRIVATE NETWORKS | |
DE3018945C2 (en) | Method and device for checking the admissibility of a connection between data transmission network participants | |
DE19823666B4 (en) | The cryptographic communication system | |
DE69233708T2 (en) | Device and method for creating network security | |
DE10124800A1 (en) | Process automation system and process device for a process automation system | |
EP0548967A2 (en) | Data exchange system with authentification status check | |
EP3649625A1 (en) | Method for delegating access rights | |
DE19716111A1 (en) | Procedure for mutual authentication of two units | |
EP1768342A1 (en) | Network component, communications network and method for providing data connection | |
EP3266186B1 (en) | Network device and method for accessing a data network from a network component | |
DE4125830C1 (en) | Data security appts. for local area network - exchanges data between network processors via encoding connection nodes w.r.t. coding classification | |
EP1406464B1 (en) | Method and communication device for secure set-up of a communication connection | |
DE60023426T2 (en) | Electronic authentication system | |
DE60108905T2 (en) | ANTI-cloning PROCEDURE | |
EP1240794B1 (en) | Method for encrypting data and a telecommunications terminal and access authorization card | |
DE3922642C2 (en) | ||
DE19818998B4 (en) | Method for protecting against attacks on the authentication algorithm or the secret key of a chip card | |
EP0670646B1 (en) | Mutual authentication method | |
EP3316147B1 (en) | Data transmission device, method for the transmission of data with a data transmission device and system assembly | |
EP0844762A2 (en) | Method for secure message exchange for mass services as well as subscriber apparatus and server apparatus herefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8100 | Publication of patent without earlier publication of application | ||
D1 | Grant (no unexamined application published) patent law 81 | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |