-
TECHNISCHES GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft das Gebiet der Authentifizierung,
insbesondere ein Verfahren zur Authentifizierung eines Benutzers
bei einem Dienst eines Diensteanbieters.
-
ALLGEMEINER STAND DER TECHNIK
-
Viele
elektronisch verfügbare
Dienste wie Websites im Internet oder elektronischer Handel (E-Commerce)
erfordern eine Identifizierung und Authentifizierung des Benutzers
für eine
Reihe von Zwecken, wie das Gewähren
des Zugangs zu vertraulichen Informationen oder Diensten oder Ressourcen,
z.B. für
webbasierten E-Mail-Zugang oder Online-Banking, wie das Anbieten
von personalisierten Diensten, die an ein Benutzerprofil angepasst
sind, wie Data-Mining, d.h. das Ziehen von Schlussfolgerungen aus
den Interaktionen einer Vielzahl von Benutzern mit dem Dienst, z.B.
zum Erzeugen von Profilen des Verhaltens eines Benutzers als Verbraucher,
oder wie das Überprüfen der
Kreditwürdigkeit
eines Benutzers in E-Commerce-Anwendungen, z.B. indem nachgeprüft wird,
ob der Benutzer immer seine Rechnungen bezahlt hat. Eine Benutzeridentifizierung
und -authentifizierung kann auch erforderlich sein, um einen Zugang
zu anderen Formen von Diensten zu gewähren, wie den Zugang zu physischen
Einheiten wie zu Fahrzeugtüren,
einem Firmengebäude
oder einem Lenkrad.
-
Identifizierung
bedeutet die Spezifizierung einer Kennung, welche einen bestimmten
Benutzer oder eine bestimmte Gruppe von Benutzern eindeutig kennzeichnet.
Die spezifizierte Kennung kann auf eine bestimmte Person oder Gruppe
von Personen zurückführbar sein
oder auch nicht, d.h. die Kennung könnte der Name des Benutzers
im Klartext sein, sie könnte
jedoch auch ein zufällig
gewählter
Anmeldename sein. Die einzige Bedingung ist, dass nur eine einzige
Person, oder eine Person aus einer bestimmten Gruppe von Personen
im Falle einer Gruppenanmeldung, unter dieser speziellen Benutzerkennung
registriert sein kann, auf deren Basis die Identifizierung des registrierten
Benutzers möglich
ist. Ein Beispiel ist z.B. ein Anmeldename des Benutzers für den Zugang
zu einem Dienst eines Diensteanbieters. Authentifizierung ist definiert
als die Überprüfung einer
Kennung, z.B. die Überprüfung, dass
ein Benutzer, der eine gewisse Kennung präsentiert, tatsächlich derselbe
Benutzer ist, der sich ursprünglich
unter eben dieser Kennung registrieren ließ.
-
Eine
Authentifizierung erfolgt durch das Überprüfen von User Credentials (Benutzer-Berechtigungsnachweisen).
Es gibt im Wesentlichen drei Typen von User Credentials. Zuallererst
etwas, was der Benutzer besitzt, z.B. ein Schlüssel, eine Chipkarte, eine
Company ID Card (Firmenausweis) usw., zweitens etwas, was der Benutzer
weiß,
z.B. ein Passwort, eine persönliche
Identifikationsnummer (PIN), der Mädchenname seiner Mutter usw.,
und drittens Körpermerkmale
des Benutzers, z.B. Irismuster, Stimme, Fingerabdruck, Gesichtsmerkmale,
Handschrift usw.
-
Eine
Benutzerauthentifizierung kann in der Überprüfung eines einzigen oder mehrerer
Typen von Credentials bestehen, z.B. des Passwortes allein, oder
aber des Besitzes einer Company ID (Firmenkennung) in Kombination
mit der Kenntnis eines PIN-Codes. Eine Benutzerkennung, z.B. ein
Name des Benutzers, wird in einem Identifizierungsschritt verwendet,
um User Credentials, die bei der Authentifizierung von dem Benutzer eingeholt
wurden, mit den mit der Benutzerkennung verknüpften User Credentials in Bezug
zu bringen, die registriert sind. Indem überprüft wird, ob die eingeholten
User Credentials und die registrierten User Credentials übereinstimmen,
kann die Überprüfung der
Benutzerkennung und damit die Authentifizierung bewerkstelligt werden.
Daher umfasst eine Authentifizierung normalerweise eine Identifizierung
einer Entität,
für welche
eine Authentifizierung angefordert wird, als Voraussetzung, und
normalerweise ist für
die Authentifizierung eine Registrierung des Benutzers erforderlich.
-
In
der Vergangenheit führte
jeder Diensteanbieter normalerweise seine eigene Identifizierung
und Authentifizierung von Benutzern durch, z.B. meist über einen
Benutzernamen und ein Passwort, möglicherweise unter Verwendung
eines sicheren Transportprotokolls, und er pflegte seine eigene
Benutzerprofil-Datenbank. Der Nachteil für den Benutzer ist, dass er
sich normalerweise für
unterschiedliche Diensteanbieter verschiedene Kombinationen von
Benutzerkennungen und Passwörtern,
oder, allgemeiner, verschiedene Kombinationen von Benutzerkennungen
und Credentials merken muss, was unpraktisch und in den meisten
Fällen
nicht sehr sicher ist, wenn der Benutzer seine verschiedenen Benutzerkennungen
und entsprechenden jeweiligen Passwörter (Credentials) notiert.
Die Sicherheit wird noch weiter beeinträchtigt, wenn der Benutzer dieselben oder ähnliche
Kombinationen für
verschiedene Diensteanbieter verwendet. Der Nachteil für einen
Diensteanbieter ist, dass er eigene Datenbanken unterhalten muss
und alle Schritte für
eine Authentifizierung selbst ausführen muss. Außerdem beruht
eine eigene Authentifizierung eines Diensteanbieter aus technischen
und wirtschaftlichen Gründen
normalerweise auf einem einzigen Typ oder einer sehr begrenzten
Anzahl von Typen von User Credentials, da das Einrichten der entsprechenden
Infrastruktur für
das Einholen und Verarbeiten von User Credentials unterschiedlicher
Typen teuer ist, was ein ernstes Hindernis für die Einführung moderner Authentifizierungsverfahren
ist, wie von Verfahren, die auf Biometrik beruhen oder auf Chipkarten
wie etwa einer Subscriber Identity Module (Teilnehmerkennungsmodul,
SIM-) Karte in einem Mobiltelefon beruhen.
-
In
jüngster
Zeit ist eine Reihe von Technologien entwickelt worden, z.B. Microsoft® Passport,
siehe z.B. Microsoft Passport Technical White Paper, März 2001,
veröffentlicht
unter http://www.passport.com, welche darauf abzielen, die Authentifizierung
von dem eigentlichen Dienst zu trennen. In diesem Falle ist ein "Identitätsanbieter" (Identity Provider, "IdP") für die Benutzerregistrierung
und jedes Mal, wenn der Benutzer auf einen Dienst zugreifen möchte, für die Benutzerauthentifizierung
verantwortlich. Benutzerregistrierung und Benutzerauthentifizierung
können
in einer einzigen Entität
implementiert sein oder können
getrennt sein. Der Anbieter des eigentlichen Dienstes ("Diensteanbieter", Service Provider, "SP") kann mit dem Identitätsanbieter identisch
sein oder auch nicht. Ein Identitätsanbieter könnte selbst
als ein Anbieter bestimmter Dienste agieren und außerdem Identitätsdienste
für externe
Diensteanbieter anbieten. Bei Microsoft® Passport
wird eine Benutzerauthentifizierung immer über einen Benutzername/Passwort-Mechanismus
durchgeführt,
der über
SSL transportiert wird, ohne irgendwelche Einschränkungen
auf das Passwortwechsel-Intervall zum Zugreifen auf einen Dienst
beliebiger Art, der bei Microsoft® Passport
registriert ist.
-
Die
Trennung der Funktionalitäten
des Identitätsanbieters
und des Diensteanbieters hat eine Reihe von Vorteilen. Der Diensteanbieter
muss nicht unbedingt seine eigene Benutzerregistrierung und -authentifizierung
abwickeln, sondern kann diese zu dem Identitätsanbieter "auslagern". Noch wichtiger ist jedoch, dass der
Benutzer eine einzige, konsistente Anmeldeprozedur für unterschiedliche
Dienste nutzen kann. Wie erwähnt,
müssen
Benutzer gegenwärtig
entweder verschiedene Credentials zur Authentifizierung für die einzelnen
Diensteanbieter sich merken und/oder besitzen, oder sie verwenden
Credentials wie etwa Passwörter mehrfach,
was natürlich
die Sicherheit beeinträchtigt.
Zum Beispiel könnte
ein Angreifer ein unverschlüsseltes Passwort
abhören,
das der Benutzer bei einem Webportal eingibt, und es dann verwenden,
um zu versuchen, mit demselben Passwort Zugang zum Online-Bankkonto des Benutzers
zu erhalten.
-
Die
bekannte Identitätsanbieter-Lösung Microsoft® Passport
unterscheidet jedoch nicht zwischen unterschiedlichen Sicherheitsanforderungen
für verschiedene
Dienste oder Diensteanbieter. Die Sicherheitsanforderung durch einen
Diensteanbieter kann stark von den Zwecken abhängen, für welche die Authentifizierung
benötigt
wird. Um einfach ein personalisiertes Webportal bereitzustellen,
wird normalerweise ein niedrigeres Sicherheitsniveau ausreichend
sein als für
einen Online-Zugang zu einem Bankkonto oder für das Authorisieren einer größeren Geldtransaktion.
Dagegen betrachtet Microsoft® Passport eine Authentifizierung
als eine binäre
Entscheidung, wie authentifiziert sein oder nicht authentifiziert
sein, auf der Basis eines einzigen Credential-Typs, und setzt voraus,
dass der statische Authentifizierungsmechanismus, der auf der Kombination
Benutzername-Passwort beruht, sowohl dem Identitätsanbieter als auch dem Diensteanbieter
bekannt ist und, explizit oder implizit, im Voraus vereinbart worden
ist. Dies hat offensichtlich eine Reihe von Nachteilen, darunter
vor allem die Unfähigkeit,
unterschiedlichen Typen von Sicherheitsanforderungen für verschiedene Dienste/Ressourcen
Rechnung zu tragen, und die Unfähigkeit, Änderungen
der Sicherheitsanforderungen, die im Laufe der Zeit eintreten, Rechnung
zu tragen. Wenn ein "Passport-ähnlicher" Identitätsanbieter irgendwann beschließt, den
Authentifizierungsprozess zu ändern,
müsste
dies jedem Diensteanbieter separat unter Verwendung von "Out-of-Band"-Mitteln mitgeteilt werden, oder der
Diensteanbieter müsste einfach
hoffen, dass eventuelle Änderungen,
welche der Identitätsanbieter
vornimmt, "sinnvoll" sind.
-
WO 01/11450 offenbart eine
Systemarchitektur und ein Verfahren für eine einzige Anmeldungsauthentifizierung
bei mehreren Informationsressourcen. Die Sicherheitsarchitektur
verknüpft
mit Informationsressourcen Vertrauenskategorie-(Trust-Level-)Anforderungen, und mit
den Vertrauenskategorien sind Authentifizierungsschemata verknüpft, die
auf Passwörtern,
Zertifikaten, biometrischen Techniken und Chipkarten beruhen. Bei
Empfang einer Anforderung für
einen Zugang zu einer Informationsressource ohne vorherige Authentifizierung
entsprechend einer ausreichenden Vertrauenskategorie benutzt ein
zentrales Steuerelement (Gatekeeper), der zwischen der Client-Entität und den
Informationsressourcen zwischengeschaltet ist, einen Credential-Einholdienst
zum Erlangen eines Anmelde-Credentials
für die
Client-Entität
entsprechend einer Abbildungsregel, welche eine Entsprechung zwischen
der ausreichenden Vertrauenskategorie und einer Menge von geeigneten
Credential-Typen festlegt.
-
Das
System, das in
WO 01/11450
A1 beschrieben ist, weist eine Reihe von Einschränkungen
auf. Vor allem stützt
es sich auf Verknüpfungen
zwischen den Informationsressourcen und Vertrauenskategorien und auf
Abbildungsregeln zwischen den Vertrauenskategorien und den für die Authentifizierung
verwendeten Credential-Typen, was beides eine A-priori-Kenntnis und vorherige Übereinkunft über die
Verknüpfungen
und die Abbildungsregeln zwischen der Entität, welche Identitätsanbieter-Funktionalität zur Verfügung stellt,
und der Informationsressource erfordert. Ferner werden alle Informationsressourcen,
welche mit derselben Vertrauenskategorie verknüpft sind, auf dieselbe Weise
gehandhabt. Dies führt
insbesondere immer dann zu einem Problem, wenn ein Identitätsanbieter
beschließt,
eine Verknüpfung
und/oder eine Abbildungsregel zu ändern, weil möglicherweise
nicht alle Informationsressourcen (oder Anbieter der jeweiligen
Informationsressourcen), die von der Änderung betroffen sind, die Änderung
akzeptabel finden, z.B. aus Sicherheits-, technischen oder die Geschäftstätigkeit
betreffenden Gründen.
Daher bestimmt letztendlich nicht der Anbieter der Informationsressource
oder die Informationsressource selbst, sondern der Identitätsanbieter
den Authentifizierungsprozess, d.h. er bestimmt, welche speziellen
Credentials für
eine bestimmte Authentifizierung zu verwenden sind.
-
Richtlinienentscheidungen
dieser Art, die von einem Identitätsanbieter getroffen werden,
sind jedoch für
viele Diensteanbieter nicht akzeptabel. Eine Aktualisierung von
Verknüpfungen
oder Abbildungsregeln kann daher Konflikte mit den Diensteanbietern
zur Folge haben. Statische oder vordefinierte Verknüpfungen oder
Abbildungsregeln sind nicht genügend
flexibel, um die Anforderungen der beteiligten Entitäten zu bedienen.
Außerdem
ist es recht kompliziert, alle möglichen
Kombinationen von Authentifizierungsschemata und Credential-Typen
durch vordefinierte Verknüpfungen
oder Abbildungsregeln auszudrücken,
um die verschiedenartigen Sicherheitsanforderungen für alle Diensteanbieter
und Diensttypen zu befriedigen, insbesondere in Anbetracht der zunehmenden
Menge und Vielfalt von Authentifizierungsverfahren und der sich
manchmal schnell ändernden
Anforderungen der Diensteanbieter. Aufgrund der inhärenten Inflexibilität von vorgegebenen
Verknüpfungen
oder Abbildungsregeln für
eine so große
Vielfalt von Möglichkeiten
müssen,
falls es überhaupt
möglich
ist, mühselige
Verfahren zur Aktualisierung von Verknüpfungen oder Abbildungsregeln
ausgeführt
werden, bevor eine Authentifizierung entsprechend einer neuen Sicherheitsanforderung
erfolgen kann. Diese Inflexibilität ist insbesondere in Ad-hoc-Situationen
ein Nachteil, z.B. wenn ein Zugang zu einem z.B. neu eingeführten Dienst angefordert
wird, der mit keiner oder keiner gültigen Vertrauenskategorie
verknüpft
ist. Eine weitere Einschränkung
ist, dass der gesamte Informationsfluss, der Anforderungen und Antworten
während
einer Session zwischen dem Client und der Informationsressource,
auf die zugegriffen wird, beinhaltet, über den Gatekeeper als eine
im Pfad angeordnete Komponente verläuft. Die Verwendung eines Identitätsanbieters
als eine im Pfad angeordnete Komponente für den gesamten Informationsfluss
zwischen einem Benutzer-Client und dem Diensteanbieter erhöht jedoch
unnötig
die Last für
den Identitätsanbieter.
-
Eine
weitere Einschränkung,
die Microsoft
® Passport
und
WO 01/11450 A1 gemeinsam
ist, ist die, dass ein einziger Identitätsanbieter für Authentifizierungszwecke
verwendet wird. Diese Einschränkung
zwingt Benutzer und Diensteanbieter, einem einzigen Identitätsanbieter
zu vertrauen. Eine zentralisierte Authentifizierungsinstanz ist
jedoch für
Benutzer und Diensteanbieter aus Vertraulichkeits-, Vertrauens-,
Geschäfts-
oder Kostengründen
oft nicht akzeptabel. Zum Beispiel möchte ein Benutzer möglicherweise
nicht, dass benutzerbezogene Informationen, wie verschiedene Typen
von Credentials, bei einem einzigen Identitätsanbieter gesammelt werden,
um eine unnötige
Datenaggregation oder gar einen Betrug zu verhindern.
-
Die
Patentanmeldung
US
2001/037469 A1 offenbart ein Authentifizierungsverfahren
zum Auslagern der Authentifizierung von einem Anwendungsserver zu
einem Anmeldeserver. Das Verfahren zur Authentifizierung beinhaltet
die Schritte des Anforderns eines Zugangs für den Client zu Informationen
vom Anwendungsserver, das Anfordern einer Authentifizierung des
Clients durch einen Anmeldeserver und das Authentifizieren des Clients,
z.B. anhand eines Benutzernamens und eines Passwortes. Nach der
Authentifizierung kann der Anwendungsserver direkt mit dem Anmeldeserver
kommunizieren, um zu überprüfen, ob
die Authentifizierung durchgeführt
worden ist.
-
Kurzdarstellung der Erfindung
-
Eine
Aufgabe der vorliegenden Erfindung ist es, Verfahren, Vorrichtungen
und Computerprogramme bereitzustellen, welche eine Authentifizierung
eines Benutzers bei einem Dienst eines Diensteanbieters auf eine
sicherere und flexiblere Art und Weise vorsehen.
-
Diese
Aufgabe wird durch die Verfahren gelöst, die in den Ansprüchen 1 und
8 beschrieben sind. Ferner wird die Erfindung durch Vorrichtungen
verkörpert,
die durch die Ansprüche
14, 19, 25 und 31 beschrieben sind, und durch Computerprogramme,
die in den Ansprüchen
33 und 34 beschrieben sind. Vorteilhafte Ausführungsformen sind in den weiteren
Ansprüchen
beschrieben.
-
Es
wird ein Verfahren für
eine Authentifizierung eines Benutzers bei einem Dienst eines Diensteanbieters
offenbart.
-
Das
Verfahren kann starten, indem ein Zugang für den Benutzer zu dem Dienst
des Diensteanbieters angefordert wird. Die Anforderung kann von
einer Vorrichtung des Benutzers zu dem Diensteanbieter gesendet
werden, wobei sie den Diensteanbieter ansteuert, mit den folgenden
Schritten fortzufahren. Stattdessen kann die Anforderung auch vorkonfiguriert
sein und den Diensteanbieter z.B. zu vordefinierten Zeitpunkten oder
Intervallen erreichen.
-
Angesteuert
durch die Anforderung eines Zugangs wählt der Diensteanbieter ein
oder mehrere Authentifizierungs-Sicherheitsprofile
zum Spezifizieren einer Authentifizierungs-Sicherheitsanforderung
für die Authentifizierung
des Benutzers bei dem Dienst aus.
-
Das
Verfahren wird fortgesetzt mit dem Senden einer Angabe des einen
oder der mehreren ausgewählten
Authentifizierungs-Sicherheitsprofile und einer Benutzerkennung,
die den Benutzer identifiziert, an einen Identitätsanbieter zum Anfordern der
Authentifizierung des Benutzers durch den Identitätsanbieter,
d.h. der Diensteanbieter sendet von seiner zugehörigen Vorrichtung oder einer
Vorrichtung, auf die durch den Diensteanbieter zugegriffen werden
kann, z.B. mittels Fernzugriff, das eine oder die mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
als eine Form einer Angabe, um dem Identitätsanbieter die Authentifizierungs-Sicherheitsanforderung
in der Form eines oder mehrerer Authentifizierungs-Sicherheitsprofile
anzuzeigen, unter denen dasjenige ist, auf dessen Basis die Authentifizierung
auszuführen
ist. Außerdem
wird die Benutzerkennung an die Identitätsanbieter gesendet, zum Zwecke
einer Identifizierung des Benutzers für den Authentifizierungsschritt.
-
Anschließend wird
auf der Basis der Benutzerkennung und eines des einen oder der mehreren
ausgewählten
Authentifizierungs-Sicherheitsprofile der Benutzer durch den Identitätsanbieter
authentifiziert. Die Authentifizierung kann vorgenommen werden,
indem der Benutzer identifiziert wird, z.B. als zuvor bei dem Identitätsanbieter
registriert, und indem der Benutzer anhand der Benutzerkennung entsprechend
dem einen Authentifizierungs-Sicherheitsprofil überprüft wird.
-
Schließlich kann
die Information über
ein Ergebnis der Authentifizierung durch den Identitätsanbieter an
den Diensteanbieter gesendet werden. Insbesondere wird eine Assertion,
welche die Authentifizierung des Benutzers anzeigt, an den Diensteanbieter
gesendet, z.B. um anzuzeigen, dass die Authentifizierung des Benutzers entsprechend
der Authentifizierungs-Sicherheitsanforderung vorgenommen worden
ist, die durch das Authentifizierungs-Sicherheitsprofil durch den Diensteanbieter
spezifiziert ist. In Abhängigkeit
von der Implementierung oder dem Anwendungsfall kann die Assertion
z.B. das eine Authentifizierungsprofil spezifizieren, das für die Authentifizierung
verwendet wurde, oder einfach "Authentifizierung
erfolgreich" anzeigen.
Es sind auch andere Implementierungen für die Assertion möglich.
-
Das
Verfahren verbessert die Authentifizierung eines Benutzers bei einem
Dienst eines Diensteanbieters und macht das Verfahren insbesondere
sehr sicher für
den Diensteanbieter, da der Diensteanbieter und nicht der Identitätsanbieter
letztendlich die Sicherheitsanforderung bestimmt, die von dem Identitätsanbieter für die Authentifizierung
des Benutzers entsprechend einem der Authentifizierungs-Sicherheitsprofile,
das von dem Diensteanbieter gewählt
wurde, erfüllt
werden muss. Das Verfahren ist außerdem sicherer für den Identitätsanbieter,
da er klar und spontan instruiert werden kann, welche Authentifizierungsanforderung
des Diensteanbieters gegenwärtig
zutrifft und für
die aktuelle Authentifizierung des Benutzers erfüllt werden muss. Die Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters kann sich ändern.
In diesem Falle kann sich der Diensteanbieter umgehend an seine
geänderte
Sicherheitsanforderung anpassen, indem er ein anderes Authentifizierungs-Sicherheitsprofil
wählt,
wodurch das Verfahren sicherer gemacht wird, jedoch auch sehr flexibel
für den
Diensteanbieter. Daher kann insbesondere in Ad-hoc-Szenarien, jedoch
auch in weiteren Situationen und Umgebungen mit sich ändernden
Authentifizierungs-Sicherheitsanforderungen
für den
Diensteanbieter, der Diensteanbieter flexibel agieren und kann umgehend
seine geänderte
Authentifizierungsanforderung durch ein oder mehrere ausgewählte Authentifizierungsprofile
spezifizieren und an den Identitätsanbieter übermitteln,
wenn er eine Authentifizierung von dem Identitätsanbieter anfordert. Ferner
erfordert das Verfahren nicht, dass der Diensteanbieter einen bestimmten,
einzigen Identitätsanbieter
verwendet. Stattdessen kann ein beliebiger Identitätsanbieter
für die
Authentifizierung verwendet werden. Außerdem ist es nicht erforderlich,
dass der Identitätsanbieter
als eine im Pfad angeordnete Komponente zwischen dem Diensteanbieter und
dem Client angeordnet ist.
-
Gemäß einer
bevorzugten Ausführungsform
umfasst das eine oder umfassen die mehreren Authentifizierungs-Sicherheitsprofile
wenigstens ein Sicherheitsattribut um z.B. die Authentifizierungs-Sicherheitsanforderung
genauer zu spezifizieren. Der Diensteanbieter kann durch Spezifizieren
von Sicherheitsattributen ein oder mehrere Authentifizierungs-Sicherheitsprofile
zusammenstellen. Indem er seine eigene Spezifizierung vornimmt,
kann der Diensteanbieter ein Authentifizierungs-Sicherheitsprofil
maßgeschneidert
exakt für
seine Sicherheitsanforderung erstellen. Der Diensteanbieter kann
stattdessen oder zusätzlich
auch ein vordefiniertes Authentifizierungs-Sicherheitsprofil auswählen, das
ein oder mehrere Sicherheitsattribute umfasst, die in einer vordefinierten
Weise angeordnet sind. Authentifizierungsfähigkeiten des Identitätsanbieters
und/oder des Benutzers können
berücksichtigt
werden, wenn ein Authentifizierungs-Sicherheitsprofil auf der Basis eines oder
mehrerer Sicherheitsattribute spezifiziert und/oder ausgewählt wird.
Beispiele für
ein Sicherheitsattribut sind eine Spezifikation, die ein Element
aus einer Gruppe beschreibt, die enthält: ein Credential, eine Transportschicht-Sicherheit, eine
Vermittlungsschicht-Sicherheit, eine Sicherungsschicht-Sicherheit,
Taktinformationen, Richtlinien, eine Betrugserkennungs-Maßnahme,
eine Haftung und/oder Garantie und andere Sicherheitsmerkmale. Das Sicherheitsattribut
kann eine Spezifikation eines Typs umfassen, z.B. eines Credential-Typs
wie Passwort oder Biometrik, und eine Spezifikation eines mit einem
bestimmten Typ verknüpften
Wertes, z.B. eine Passwortlänge,
die mit einem Passwort verknüpft
ist, oder einen Fingerabdruck von einer gewissen Auflösung, der
mit Biometrik verknüpft
ist. Unter Verwendung von Sicherheitsattributen kann der Identitätsanbieter
von dem Diensteanbieter genau instruiert werden, auf der Basis welcher
Sicherheitsmerkmale gemäß den Anforderungen
des Diensteanbieters die Authentifizierung des Benutzers von dem
Identitätsanbieter durchzuführen ist.
-
Gemäß einer
anderen bevorzugten Ausführungsform
wählt der
Diensteanbieter das eine oder die mehreren Authentifizierungs-Sicherheitsprofile
aus einer Gruppe aus einem oder mehreren Sicherheitsprofilen aus,
für welche
angegeben ist, dass sie von dem Identitätsanbieter für die Authentifizierung
unterstützt
werden. Ein Auswählen
des einen oder der mehreren Authentifizierungs-Sicherheitsprofile aus einer Gruppe
aus einem oder mehreren unterstützten
Authentifizierungs-Sicherheitsprofilen erhöht die Wahrscheinlichkeit für eine erfolgreiche
Authentifizierung.
-
Gemäß einer
anderen bevorzugten Ausführungsform
empfängt
der Diensteanbieter eine Angabe für die Gruppe des einen oder
der mehreren unterstützten
Sicherheitsprofile von dem Identitätsanbieter, z.B. durch Senden
einer Liste von unterstützten
Authentifizierungs-Sicherheitsprofilen. Die Angabe kann auch eine URI
sein, die auf einen Server zeigt, von welchem der Diensteanbieter
die Gruppe erhalten, z.B. herunterladen kann. Es sind auch andere
Arten der Angabe möglich.
Vorzugsweise wird die Angabe für
die Gruppe oder die Gruppe selbst, als eine Form einer Angabe, zu
dem Diensteanbieter gesendet, wenn Änderungen in den Authentifizierungs-Fähigkeiten
des Identitätsanbieters eintreten,
z.B. wenn der Identitätsanbieter
ein gewisses Sicherheitsattribut wie einen Credential-Typ und/oder
Credential-Wert aufhört
zu unterstützen,
z.B. wenn eine Passwortlänge
von weniger als 4 Zeichen nicht mehr unterstützt wird, oder wenn der Identitätsanbieter
einen neu eingeführten
Credential-Typ oder -Wert anbietet, z.B. Fingerabdrücke, der
von nun an unterstützt
wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
wird das besagte eine Authentifizierungs-Sicherheitsprofil, auf
dessen Basis die Authentifizierung durchgeführt wird, von dem Identitätsanbieter
aus dem einen oder den mehreren ausgewählten Authentifizierungs-Sicherheitsprofilen
ausgewählt.
Indem er dies tut, kann der Identitätsanbieter vermeiden, den Diensteanbieter
zu fragen, auf der Basis welches der ausgewählten Authentifizierungs-Sicherheitsprofile
die Authentifizierung durchzuführen
ist. Stattdessen kann der Identitätsanbieter annehmen, dass sämtliche
ausgewählten
und angegebenen Authentifizierungs-Sicherheitsprofile der Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters genügen,
und kann dasjenige auswählen, das
am besten passt, z.B. zu den Erfordernissen oder Fähigkeiten
des Identitätsanbieters
und/oder des Benutzers, welcher authentifiziert werden muss. Ferner
kann die Interaktion zwischen dem Diensteanbieter und dem Identitätsanbieter
zum Aushandeln des Authentifizierungs-Sicherheitsprofils, auf dessen
Basis die Authentifizierung des Benutzers tatsächlich durchgeführt wird,
auf ein Minimum begrenzt werden, und somit kann die Geschwindigkeit
und Wahrscheinlichkeit einer erfolgreichen Authentifizierung erhöht werden.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann das eine oder können
die mehreren ausgewählten
Authentifizierungs-Sicherheitsprofile durch eine oder mehrere Relationen
zu einem oder mehreren weiteren Authentifizierungs-Sicherheitsprofilen
in Beziehung gesetzt werden. Jede dieser Relationen drückt ein
Ordnen des einen oder der mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
in Bezug auf das eine oder die mehreren weiteren Authentifizierungs-Sicherheitsprofile
hinsichtlich einer Stärke
der Authentifizierungssicherheit aus. Beispiele für Relationen
sind gerichtete Kanten, die z.B. eine Relation "stärker
als oder gleich stark wie" zwischen
zwei Authentifizierungs-Sicherheitsprofilen ausdrücken. Ausgewählte Authentifizierungs-Sicherheitsprofile
können
auch miteinander in Beziehung gesetzt werden. Auf der Basis der
Relation des einen oder der mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
zu dem einen oder den mehreren weiteren Authentifizierungs-Sicherheitsprofilen,
d.h. der Informationen über
die Gesamtheit der ausgewählten
und der weiteren Authentifizierungsprofile und der jeweiligen Relationen,
kann der Schritt des Authentifizierens des Benutzers auf der Basis
eines des einen oder der mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
ausgeführt
werden, indem durch den Identitätsanbieter
eines des einen oder der mehreren weiteren Authentifizierungs-Sicherheitsprofile
ausgewählt
wird, das hinsichtlich der Stärke
der Authentifizierungssicherheit in einer Relation "gleich stark oder
stärker" zu dem einen oder
den mehreren ausgewählten Authentifizierungs-Sicherheitsprofilen
steht, und indem der Benutzer auf der Basis des weiteren Authentifizierungs-Sicherheitsprofils
authentifiziert wird, das von dem Identitätsanbieter gewählt wurde.
Damit werden die Vielfalt und die Anzahl der Authentifizierungs-Sicherheitsprofile,
die der Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters genügen,
vergrößert. Aus
der vergrößerten Vielfalt
und Anzahl der Authentifizierungs-Sicherheitsprofile kann der Identitätsanbieter
flexibel ein Authentifizierungsprofil für die Authentifizierung auswählen, z.B.
eines, welches am besten zu gewissen Fähigkeiten passt, wie weiter
oben erläutert,
womit die Möglichkeit
für eine
erfolgreiche Authentifizierung verbessert und die Geschwindigkeit
der Authentifizierung erhöht
wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann der Diensteanbieter die eine oder mehreren Relationen zu dem
einen oder den mehreren weiteren Authentifizierungs-Sicherheitsprofilen
spezifizieren, und der Diensteanbieter kann eine Angabe der einen
oder mehreren Relationen zu dem einen oder den mehreren weiteren
Authentifizierungs-Sicherheitsprofilen
an den Identitätsanbieter
senden. Infolgedessen widerspiegeln die Relationen zwischen dem
einen oder den mehreren ausgewählten
und der einen oder den mehreren weiteren Authentifizierungs-Sicherheitsprofilen
genauer die Authentifizierungs-Sicherheitsanforderung des Diensteanbieters,
was zu einer schnelleren Authentifizierung mit weniger Interaktion
für die
Aushandlung eines Authentifizierungs-Sicherheitsprofils, das tatsächlich für die Authentifizierung
verwendet werden soll, führen
kann.
-
Gemäß einer
anderen bevorzugten Ausführungsform
wird die Assertion durch eine Angabe des Authentifizierungs-Sicherheitsprofils
ergänzt,
auf dessen Basis die Authentifizierung durchgeführt wird, und das angegebene
Authentifizierungs-Sicherheitsprofil wird von dem Diensteanbieter
auf Akzeptanz geprüft.
Das Liefern von Informationen über
das Authentifizierungs-Sicherheitsprofil,
auf dessen Basis die Authentifizierung durchgeführt wird, an den Diensteanbieter
erhöht
die Sicherheit für
den Diensteanbieter zusätzlich
und verschafft dem Diensteanbieter die Möglichkeit, z.B. zu prüfen, ob
das Authentifizierungs-Sicherheitsprofil, das für die Authentifizierung tatsächlich verwendet
worden ist, seiner aktuellen Authentifizierungs-Sicherheitsanforderung
genügt.
-
Es
wird ein Verfahren zur Authentifizierung eines Benutzers bei einem
Dienst eines Diensteanbieters offenbart. Das Verfahren umfasst die
Schritte des Anforderns eines Zugangs für den Benutzer zu dem Dienst des
Diensteanbieters, des Sendens einer Benutzerkennung, die den Benutzer
identifiziert, an einen Identitätsanbieter
zum Anfordern der Authentifizierung des Benutzers durch den Identitätsanbieter,
des Authentifizierens des Benutzers auf der Basis der Benutzerkennung
und eines Authentifizierungs-Sicherheitsprofils,
des Sendens einer Assertion, welche die Authentifizierung des Benutzers
anzeigt, an den Diensteanbieter, wobei die Assertion durch eine
Angabe des Authentifizierungs-Sicherheitsprofils ergänzt wird,
und des Prüfens
des angegebenen Authentifizierungs-Sicherheitsprofils durch den Diensteanbieter
auf Akzeptanz.
-
Hier übermittelt
der Diensteanbieter dem Identitätsanbieter
seine Authentifizierungs-Sicherheitsanforderung nicht vor der Authentifizierung,
was für
manche Implementierungen vorteilhaft sein kann. Der Diensteanbieter
ist jedoch nach wie vor in der Lage zu überprüfen, ob die Authentifizierung
des Benutzers bei dem Dienst den Authentifizierungs-Sicherheitsanforderungen
des Diensteanbieters genügt,
indem er prüft,
ob das angegebene Authentifizierungs-Sicherheitsprofil, auf dessen Basis
die Authentifizierung des Benutzers erfolgt, der Sicherheitsanforderung
des Diensteanbieters entspricht. Ferner kann die Flexibilität für den Identitätsanbieter
aufgrund der Tatsache erhöht
werden, dass eine Authentifizierung auf der Basis eines beliebigen
Authentifizierungs-Sicherheitsprofils, das von dem Identitätsanbieter
unterstützt
wird, für
die Authentifizierung verwendet werden kann, vorzugsweise angepasst
an die Authentifizierungsfähigkeiten
des Benutzers, falls eine Credential-Überprüfung notwendig ist. Letztendlich
ist es der Diensteanbieter, welcher befugt ist zu entscheiden, ob
ein Benutzer ausreichend authentifiziert ist oder nicht.
-
Beide
Verfahren können
ferner den Schritt des Empfangens der Benutzerkennung und eines
Verweises auf den Identitätsanbieter
von einer Benutzervorrichtung, in Reaktion auf eine von dem Diensteanbieter an
die Benutzervorrichtung gesendete Authentifizierungsaufforderung,
bei dem Diensteanbieter umfassen. Diese Interaktion mit der Benutzervorrichtung
ist sehr verbreitet und kann die Implementierung erleichtern.
-
Auf
der Basis der empfangenen Assertion kann der Zugang zu dem Dienst
gewährt
werden. Stattdessen kann der Zugang zu dem Dienst auch auf der Basis
der Assertion und auf der Basis der Prüfung auf Akzeptanz gewährt werden,
d.h. indem geprüft
wird, ob das angegebene Authentifizierungs-Sicherheitsprofil der Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters genügt,
wodurch die Sicherheit der Authentifizierung insbesondere für den Diensteanbieter
erhöht
wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann das Verfahren einen Schritt einer Authentifizierungserweiterung
umfassen. Die Authentifizierungserweiterung kann durchgeführt werden,
indem eine weitere Authentifizierung auf der Basis des weiteren
Authentifizierungs-Sicherheitsprofils
ausgeführt
wird. Die Auswahl und die weitere Authentifizierung können gemäß irgendeinem
der die Auswahl und die Authentifizierung betreffenden Schritte
des Verfahrens zur Authentifizierung des Benutzers bei dem Dienst
des Diensteanbieters, das weiter oben beschrieben wurde, durchgeführt werden,
z.B. kann der Diensteanbieter ein oder mehrere Authentifizierungs-Sicherheitsprofile
auswählen
und diese an den Identitätsanbieter
senden, welcher eines von ihnen für die Authentifizierung des
Benutzers auswählt.
Der Identitätsanbieter
kann ein Authentifizierungs-Sicherheitsprofil auf der Basis von
Relationen auswählen
und kann ein ausgewähltes Authentifizierungs-Sicherheitsprofil,
auf dessen Basis die Authentifizierung durchgeführt wird, dem Diensteanbieter
angeben, welcher z.B. das angegebene Authentifizierungs-Sicherheitsprofil
im Hinblick darauf prüfen
kann, ob es seiner Authentifizierungs-Sicherheitsanforderung für die Authentifizierung
genügt.
Die Erweiterungs-Funktionalität
kann den Benutzer und den Diensteanbieter in die Lage versetzen,
eine Sitzung fortzusetzen, wenn auf einen Dienst mit einer höheren Authentifizierungs-Sicherheitsanforderung
zugegriffen werden soll.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die Authentifizierungserweiterung einen Wechsel zu einem weiteren
Identitätsanbieter
zum Durchführen
der weiteren Authentifizierung des Benutzers auf der Basis des weiteren
Authentifizierungs-Sicherheitsprofils umfassen, womit sie z.B. ermöglicht,
die Dienstsitzung fortzusetzen, falls der vorhergehende Identitätsanbieter
das weitere Authentifizierungsprofil gemäß der stärkeren Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters nicht unterstützen kann.
-
Die
Erfindung wird ferner durch Vorrichtungen verkörpert. Im Folgenden werden
eine Vorrichtung, die einem Diensteanbieter zugeordnet ist, und
eine Vorrichtung, die einem Identitätsanbieter zugeordnet ist,
beschrieben.
-
Es
wird eine Vorrichtung offenbart, die einem Diensteanbieter zugeordnet
ist. Die dem Diensteanbieter zugeordnete Vorrichtung umfasst eine
Empfangseinheit zum Empfangen von Nachrichten, eine Sendeeinheit zum
Senden von Nachrichten und eine Verarbeitungseinheit zum Verarbeiten
von Nachrichten und Informationen. Die dem Diensteanbieter zugeordnete
Vorrichtung kann in der Lage sein, eine Anforderung eines Zugangs
eines Benutzers zu einem Dienst des Diensteanbieters zu empfangen,
ein oder mehrere Authentifizierungs-Sicherheitsprofile zum Spezifizieren einer
Authentifizierungs-Sicherheitsanforderung für eine Authentifizierung des
Benutzers bei dem Dienst auszuwählen,
eine Angabe des einen oder der mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
und eine Benutzerkennung, die den Benutzer identifiziert, an einen
Identitätsanbieter
zum Anfordern der Authentifizierung des Benutzers durch den Identitätsanbieter
zu senden, und eine Assertion zu empfangen, welche die Authentifizierung
des Benutzers durch den Identitätsanbieter
anzeigt.
-
Gemäß einer
bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, das eine oder die mehreren Authentifizierungs-Sicherheitsprofile
auszuwählen,
die wenigstens ein Sicherheitsattribut zum Spezifizieren der Authentifizierungs-Sicherheitsanforderung
umfassen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, das eine oder die mehreren Authentifizierungs-Sicherheitsprofile
aus einer Gruppe von Sicherheitsprofilen auszuwählen, für welche angegeben ist, dass
sie von dem Identitätsanbieter
für die
Authentifizierung unterstützt
werden.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, eine Angabe für
die Gruppe des einen oder der mehreren unterstützten Sicherheitsprofile von
dem Identitätsanbieter
zu empfangen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, das eine oder die mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
zu einer oder mehreren weiteren Authentifizierungs-Sicherheitsprofilen
in Beziehung zu setzen, wobei jede Relation ein Ordnen des einen
oder der mehreren ausgewählten
Authentifizierungs-Sicherheitsprofile
in Bezug auf das eine oder die mehreren weiteren Authentifizierungs-Sicherheitsprofile
hinsichtlich einer Stärke
der Authentifizierungssicherheit ausdrückt, und die Vorrichtung kann
ferner in der Lage sein, wenigstens die eine oder die mehreren Relationen
zu dem einen oder den mehreren weiterem Authentifizierungs-Sicherheitsprofilen,
die in einer Relation "gleich
stark oder stärker" hinsichtlich der
Stärke
der Authentifizierungssicherheit stehen, an den Identitätsanbieter
für die
Authentifizierung zu senden.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, eine Angabe des Authentifizierungs-Sicherheitsprofils zu empfangen,
auf dessen Basis die Authentifizierung des Benutzers durch den Identitätsanbieter
ausgeführt
wird, und die Vorrichtung ist ferner in der Lage, das angegebene
Authentifizierungs-Sicherheitsprofil auf Akzeptanz zu prüfen.
-
Stattdessen
oder zusätzlich
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, eine Anforderung eines Zugangs eines Benutzers zu einem Dienst
des Diensteanbieters zu empfangen, eine Benutzerkennung, die den
Benutzer identifiziert, an einen Identitätsanbieter zum Anfordern einer
Authentifizierung des Benutzers durch den Identitätsanbieter
zu senden, eine Assertion, welche die Authentifizierung des Benutzers
anzeigt, von dem Identitätsanbieter
zu empfangen, wobei die Assertion durch eine Angabe des Authentifizierungs-Sicherheitsprofils
ergänzt
wird, und das angegebene Authentifizierungs-Sicherheitsprofil auf Akzeptanz zu prüfen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, von einer Benutzervorrichtung in Reaktion auf eine von der
dem Diensteanbieter zugeordneten Vorrichtung an die Benutzervorrichtung
gesendete Authentifizierungsaufforderung die Benutzerkennung und
einen Verweis auf den Identitätsanbieter
zu empfangen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, auf der Basis der Assertion einen Zugang zu dem Dienst zu
gewähren.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, auf der Basis der Assertion und der Prüfung auf Akzeptanz einen Zugang
zu dem Dienst zu gewähren.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, eine Authentifizierungserweiterung auszuführen, die auf einer weiteren
Authentifizierung auf der Basis eines weiteren Authentifizierungs-Sicherheitsprofils
beruht.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Diensteanbieter zugeordnete Vorrichtung in der Lage
sein, für
die Authentifizierungserweiterung zu einem weiteren Identitätsanbieter
zum Durchführen
der weiteren Authentifizierung zu wechseln.
-
Es
wird eine Vorrichtung offenbart, die einem Identitätsanbieter
zugeordnet ist. Die dem Identitätsanbieter
zugeordnete Vorrichtung umfasst eine Empfangseinheit zum Empfangen
von Nachrichten, eine Sendeeinheit zum Senden von Nachrichten und
eine Verarbeitungseinheit zum Verarbeiten von Nachrichten und Informationen.
Die dem Identitätsanbieter
zugeordnete Vorrichtung kann in der Lage sein, eine Aufforderung
zur Authentifizierung eines Benutzers zu empfangen. Die Aufforderung
umfasst eine Benutzerkennung, die den Benutzer für den Identitätsanbieter
identifiziert, z.B. für
die dem Identitätsanbieter
zugeordnete Vorrichtung, und eine Angabe eines oder mehrerer Authentifizierungs-Sicherheitsprofile,
die eine Authentifizierungs-Sicherheitsanforderung des Diensteanbieters
für die
Authentifizierung des Benutzers bei einem Dienst des Diensteanbieters
spezifizieren. Die dem Identitätsanbieter
zugeordnete Vorrichtung kann in der Lage sein, den Benutzer auf
der Basis der Benutzerkennung und eines des einen oder der mehreren
Authentifizierungs-Sicherheitsprofile
zu authentifizieren und eine Assertion, welche dem Diensteanbieter
die Authentifizierung des Benutzers anzeigt, zu senden.
-
Gemäß einer
bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, den Benutzer anhand wenigstens
eines Sicherheitsattributes zu authentifizieren, das in dem einen
Authentifizierungs-Sicherheitsprofil enthalten ist, auf dessen Basis
die Authentifizierung durchgeführt wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, eine Angabe für eine Gruppe
von einem oder mehreren Sicherheitsprofilen, welche für die Authentifizierung
von dem Identitätsanbieter
unterstützt
werden, an den Diensteanbieter zu senden.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, das eine Authentifizierungs-Sicherheitsprofil,
auf dessen Basis die Authentifizierung ausgeführt wird, aus dem einen oder
den mehreren Authentifizierungs-Sicherheitsprofilen
auszuwählen.
-
Ein
oder mehrere Authentifizierungs-Sicherheitsprofile können durch
eine oder mehrere Relationen zu einem oder mehreren weiteren Authentifizierungs-Sicherheitsprofilen
in Beziehung gesetzt werden. Jede der einen oder mehreren Relationen
drückt
ein Ordnen des einen oder der mehreren Authentifizierungs-Sicherheitsprofile
in Bezug auf das eine oder die mehreren weiteren Authentifizierungs-Sicherheitsprofile
hinsichtlich einer Stärke
der Authentifizierung aus. Die dem Identitätsanbieter zugeordnete Vorrichtung
kann in der Lage sein, die Authentifizierung des Benutzers durch
Auswählen
eines des einen oder der mehreren weiteren Authentifizierungs-Sicherheitsprofile,
das hinsichtlich der Stärke
der Authentifizierungssicherheit in einer Relation "gleich stark oder
stärker" zu dem einen oder
den mehreren Authentifizierungs-Sicherheitsprofilen steht, und durch
Authentifizieren des Benutzers auf der Basis des ausgewählten weiteren
Authentifizierungs-Sicherheitsprofils auszuführen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, eine Angabe für die eine
oder die mehreren Relationen zu dem einen oder den mehreren weiteren
Authentifizierungs-Sicherheitsprofilen
von dem Diensteanbieter zu empfangen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, die Assertion durch eine
Angabe des Authentifizierungs-Sicherheitsprofils zu ergänzen, auf
dessen Basis die Authentifizierung durchgeführt wird.
-
Stattdessen
oder zusätzlich
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, eine Aufforderung zur
Authentifizierung eines Benutzers zu empfangen. Die Aufforderung
umfasst eine Benutzerkennung, die den Benutzer für den Identitätsanbieter
identifiziert, z.B. für
die Vorrichtung des Identitätsanbieters.
Die dem Identitätsanbieter
zugeordnete Vorrichtung kann in der Lage sein, den Benutzer auf
der Basis der Benutzerkennung und eines Authentifizierungs-Sicherheitsprofils
zu authentifizieren und eine Assertion, welche dem Diensteanbieter
die Authentifizierung des Benutzers anzeigt, zu senden. Die Assertion
wird durch eine Angabe des Authentifizierungs-Sicherheitsprofils
ergänzt,
auf dessen Basis die Authentifizierung des Benutzers ausgeführt wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann die dem Identitätsanbieter
zugeordnete Vorrichtung in der Lage sein, eine Authentifizierungserweiterung
auszuführen,
die auf einer weiteren Authentifizierung auf der Basis eines weiteren
Authentifizierungs-Sicherheitsprofils beruht.
-
Die
Erfindung wird ferner durch ein oder mehrere Computerprogramme verkörpert. Das
eine oder die mehreren Computerprogramme umfassen Abschnitte von
Softwarecode, die auf Vorrichtungen zum Ausführen irgendwelcher der Schritte
des Authentifizierungsverfahrens geladen werden können. Das
eine oder die mehreren Computerprogramme können auf einem maschinenlesbaren
Medium gespeichert werden. Das maschinenlesbare Medium kann ein
nichtflüchtiger
oder wiederbeschreibbarer Speicher innerhalb einer Vorrichtung oder
an einem externen Ort sein. Das Computerprogramm kann auch zu einer
Vorrichtung zum Beispiel über ein
Kabel oder eine drahtlose Verbindung als eine Folge von Signalen übertragen
werden.
-
Insbesondere
wird ein Computerprogramm offenbart, das auf eine Vorrichtung geladen
werden kann, die einem Diensteanbieter zugeordnet ist. Das Computerprogramm
umfasst Code, der dazu geeignet ist, eine Anforderung eines Zugangs
eines Benutzers zu einem Dienst des Diensteanbieters zu verarbeiten,
ein oder mehrere Authentifizierungs-Sicherheitsprofile zum Spezifizieren
einer Authentifizierungs-Sicherheitsanforderung für eine Authentifizierung
des Benutzers bei dem Dienst auszuwählen, ein Senden einer Angabe
des einen oder der mehreren ausgewählten Authentifizierungs-Sicherheitsprofile
und einer Benutzerkennung, die den Benutzer identifiziert, an einen
Identitätsanbieter
zum Anfordern der Authentifizierung des Benutzers durch den Identitätsanbieter
auszulösen
und eine Assertion zu verarbeiten, welche die Authentifizierung
des Benutzers durch den Identitätsanbieter
anzeigt.
-
Stattdessen
kann das Computerprogramm auch in einer Form vorliegen, bei welcher
die Softwareabschnitte, welche die Auswahl des einen oder der mehreren
Authentifizierungs-Sicherheitsprofile
und das Senden der Angabe des einen oder der mehreren Authentifizierungs-Sicherheitsprofile
an den Identitätsanbieter betreffen,
nicht enthalten sind oder übersprungen
werden und stattdessen oder zusätzlich
das Computerprogramm Code umfasst, der dazu geeignet ist, ein angegebenes
Authentifizierungs-Sicherheitsprofil, auf dessen Basis die Authentifizierung
des Benutzers durchgeführt
wird, auf Akzeptanz zu prüfen,
wobei das angegebene Authentifizierungsprofil in Verbindung mit
der Assertion in das Computerprogramm eingegeben wird.
-
Ferner
wird ein Computerprogramm offenbart, das auf eine Vorrichtung geladen
werden kann, die einem Identitätsanbieter
zugeordnet ist. Das Computerprogramm umfasst Code, der dazu geeignet
ist, eine Aufforderung zu einer Authentifizierung eines Benutzers
zu verarbeiten, wobei die Aufforderung eine Benutzerkennung, die
den Benutzer für
den Identitätsanbieter
identifiziert, und eine Angabe für
eines oder mehrere Authentifizierungs-Sicherheitsprofile, die eine Authentifizierungs-Sicherheitsanforderung
des Diensteanbieters für
die Authentifizierung des Benutzers bei einem Dienst des Diensteanbieters
spezifizieren, umfasst, eine Authentifizierung des Benutzers auf
der Basis der Benutzerkennung und eines des einen oder der mehreren Authentifizierungs-Sicherheitsprofile,
die von dem Diensteanbieter empfangen wurden, durchzuführen und
ein Senden einer Assertion, welche dem Diensteanbieter die Authentifizierung
des Benutzers anzeigt, auszulösen.
-
Weitere
Wege zum Implementieren des Verfahrens gemäß der Erfindung durch Computerprogramme sind
möglich.
Insbesondere können
die Computerprogramme beliebige Ausführungsformen des beschriebenen
Verfahrens implementieren.
-
Im
Folgenden werden unter Bezugnahme auf die Figuren detaillierte Ausführungsformen
der vorliegenden Erfindung beschrieben.
-
Kurzbeschreibung der Zeichnungen
-
1a zeigt
ein Beispiel für
ein Authentifizierungs-Sicherheitsprofil
mit Attributen;
-
1b zeigt
ein Beispiel für
Authentifizierungs-Sicherheitsprofile
und ihr Ordnen hinsichtlich der Stärke der Authentifizierungs-Sicherheit;
-
2 zeigt
Beispiele für
Abbildungen zwischen numerischen Werten von Attributen und der Stärke der Authentifizierungs-Sicherheit;
-
3 zeigt
einen ersten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
4 zeigt
einen zweiten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
5 zeigt
einen dritten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
6 zeigt
einen vierten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
7 zeigt
einen fünften
beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
8 zeigt
einen sechsten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
9 zeigt
einen siebenten beispielhaften Nachrichtenfluss für eine Authentifizierung;
-
10 zeigt
einen ersten beispielhaften Nachrichtenfluss für eine Authentifizierungserweiterung;
-
11 zeigt
einen zweiten beispielhaften Nachrichtenfluss für eine Authentifizierungserweiterung;
-
12 zeigt
ein Beispiel für
eine Vorrichtung zum Implementieren des Verfahrens;
-
13 zeigt
ein erstes Beispiel für
Vorrichtungen und Verbindungen zwischen den Vorrichtungen zum Ausführen des
Verfahrens;
-
14 zeigt
ein zweites Beispiel für
Vorrichtungen und Verbindungen zwischen den Vorrichtungen zum Ausführen des
Verfahrens;
-
15 zeigt
ein drittes Beispiel für
Vorrichtungen und Verbindungen zwischen den Vorrichtungen zum Ausführen des
Verfahrens.
-
Ausführliche Beschreibung der Erfindung
-
Das
Authentifizierungsverfahren kann aus den folgenden drei Elementen
bestehen: Erstens, einer Datenstruktur zum Beschreiben eines oder
mehrerer Authentifizierungs-Sicherheitsprofile
(ASProfs) und möglicher
Relationen zwischen ASProfs als eine strukturierte, erweiterbare
und maschinenlesbare Menge. Zum Beschreiben der Datenstruktur kann
ein gerichteter Graph verwendet werden, um die Relation zwischen
verschiedenen ASProfs auszudrücken,
z.B. "ist stärker als
oder gleich stark wie" (≥). In diesem
Graph ist jeder Knoten ein ASProf, und jede gerichtete Kante drückt eine
Relation zwischen zwei ASProfs aus. Zweitens, einem Verfahren zum
Vereinbaren eines ASProf, das zur Authentifizierung eines Benutzers
bei einem Dienst eines Diensteanbieters zu verwenden ist. Der Diensteanbieter
kann ein oder mehrere geforderte ASProfs im Sinne einer "Wunschliste" an einen Identitätsanbieter
senden, welcher seinerseits entscheidet, ob er dem entsprechen kann
oder nicht, und alternative Vorschläge für ein oder mehrere zu verwendende
ASProfs machen kann. Durch Verwendung von Referenzen und Aktualisierungen
anstelle eines Hin- und Hersendens der vollständigen ASProfs können die
ausgetauschten Daten verringert werden. Es kann mit einem weiteren
Identitätsanbieter
zwecks Authentifizierung Kontakt aufgenommen werden, falls der erste
Identitätsanbieter
die Anforderungen des Diensteanbieters nicht erfüllen kann. Drittens, einem
Verfahren zum Erweitern eines ASProf während einer Sitzung; das Erweitern
eines ASProf während
einer Sitzung schließt
ein erneutes Aushandeln des ASProf ein und kann auch eine neue Validierung
von User Credentials erfordern. Falls der Identitätsanbieter dem
erweiterten ASProf nicht entsprechen kann, kann der Diensteanbieter
mit einem alternativen Identitätsanbieter
hinsichtlich der Erweiterung Kontakt aufnehmen.
-
Der
Gewissheitsgrad, dass ein Benutzer, welcher die Kennung X zu haben
behauptet, tatsächlich
der zu dieser Kennung gehörende
Benutzer ist, ist auf einer kontinuierlichen Skala ersichtlich und
hängt von
einer Anzahl von Faktoren ab, zu denen unter anderem gehören:
- – ein
oder mehrere Typen von User Credentials, die zur Authentifizierung überprüft werden;
zum Beispiel kann ein Passwort als weniger sicher betrachtet werden
als eine Company ID (Firmenkennung) in Kombination mit einem PIN-Code;
- – Sicherheitsmerkmale
von Transport-, Vermittlungs- und Sicherungsschicht, die verwendet
werden, wenn Authentifizierungsinformationen (z.B. Passwörter) zwischen
Client und Server übermittelt
werden, z.B. TLS, IPsec;
- – der
Zeitpunkt der letzten Authentifizierung; z.B. ist eine PIN, welche
vor zehn Sekunden eingegeben worden ist, normalerweise sicherer
als eine PIN, welche vor drei Tagen eingegeben worden ist, da ein
Angreifer in der Zwischenzeit einen unberechtigten Zugang zu der
Client-Vorrichtung erlangt haben könnte;
- – Länge und
Komplexität
der User Credentials, z.B. Länge
von Passwort oder PIN, ein Passwort, das nur Buchstaben enthält, gegenüber einem
Passwort, das mindestens zwei Buchstaben und mindestens zwei Sonderzeichen
enthält,
Länge eines
geheimen Schlüssels
usw.;
- – Richtlinien
(Policies) in Bezug auf die Handhabung geheimer User Credentials,
z.B. wie oft muss ein Passwort geändert werden, nach wie vielen Änderungen
kann ein altes Passwort erneut verwendet werden, wie schützt der
Identitätsanbieter
die Vertraulichkeit und Unversehrtheit von geheimen User Credential
Daten;
- – Richtlinien
in Bezug auf die Handhabung von Schlüsseln, wenn eine Öffentliche-Schlüssel-Infrastruktur (Public
Key Infrastructure, PKI) verwendet wird, z.B. wie wird ein Zertifikatwiderruf
(Certificate Revocation) gehandhabt, welchen Stammzertifikaten wird
vertraut, usw.;
- – ergriffene
Maßnahmen,
um Betrug zu erkennen, sowie die Prozeduren zum Widerruf (Sperrung)
von Credentials und die für
einen Widerruf benötigte
Zeit im Falle einer Betrugserkennung;
- – Haftung/Garantien,
die dem Diensteanbieter vom Identitätsanbieter für den Fall
eines Betrugs gegeben werden;
- – Richtlinien
in Bezug auf die Überprüfung der "realen" Identität des Benutzers
bei der Registrierung bei dem Identitätsanbieter, z.B. kann das Eingeben
eines Namens und von persönlichen
Daten auf einer Webseite als weniger sicher angesehen werden als
die Überprüfung eines
Passes.
-
Im
vorliegenden Dokument wird die Vereinigung dieser und anderer Attribute,
welche den Gewissheitsgrad einer Benutzerauthentifizierung beeinflussen,
als ein "Authentifizierungs-Sicherheitsprofil" ("ASProf") bezeichnet.
-
Das
ASProf ist als eine Menge von Attributen beschrieben, z.B. durch
diejenigen Attribute, die oben angegeben wurden, mit oder ohne Attributwerte.
Zum Beispiel kann ein leeres oder Standard-ASProf Attribute haben,
ohne Attributwerte zu haben, die den Attributen zugewiesen sind.
Das ASProf kann man sich so vorstellen, dass es Richtlinien umfasst,
die Prozesse beschreiben, mittels welcher Authentifizierungs-Credentials gehandhabt,
erneuert, widerrufen werden sollen usw. Die Beschreibung eines ASProf
ist vorzugsweise veränderbar,
erweiterbar und maschinenlesbar. Vorzugsweise wird die extensible
Markup Language (XML) als eine zugrunde liegende Metasprache verwendet.
Erweiterbarkeit ist wichtig, weil ein ASProf normalerweise keine abgeschlossene
Menge von Daten ist, sondern möglicherweise
an neu entstehende Authentifizierungstechniken wie Biometrik und
an neue Sicherheitstechniken, z.B. kryptographische Verfahren, angepasst
werden muss. Erweiterbarkeit stellt sicher, dass zukünftige Attribute
in das ASProf eingefügt
werden können,
und schließt
auch Änderbarkeit
ein, als eine Anforderung für
das Ersetzen von Attributen eines gegebenen ASProf. Es können Relationen
zwischen verschiedenen Attributen existieren.
-
1a zeigt
ein Beispiel eines ASProf A01 mit verschiedenen Attributen wie PIN
B01, Chipkarte B02, Biometrik B03, Transportsicherheit B04 und Richtlinien
(Policy) B05. Das ASProf kann durch weitere Attribute erweitert
werden, z.B. um zukünftige
Technologien B06 für
die Authentifizierung zu erfassen.
-
Den
Attributen eines ASProf können
Attributwerte zugewiesen sein, z.B. kann die Menge der Attribute numerisch
sein, d.h. "Schlüssellänge" = "128, "minimale Passwortlänge" = "10", oder deskriptiv,
z.B. "Transportsicherheit" = "Tunnelung über TLS" oder "Transportsicherheit" = "WTLS", wobei TLS Transport
Layer Security (Transportschicht-Sicherheit)
und WTLS Wireless TLS (drahtlose TLS) bedeutet. Es wird auf
1a Bezug
genommen; Attributwerte können
wie folgt zugewiesen werden:
Attribut | Attributwert |
PIN | 10
Zeichen |
Chipkarte | keine |
Biometrik
(z.B. Fingerabdruck) | Hohes
Auflösungsvermögen (200
kByte) |
Transportsicherheit | WTLS |
Richtlinien | keine |
-
Ein
weiteres Beispiel eines ASProf mit in XML codierten Attributen ist
unten in Tabelle A dargestellt, mit Anmerkungen, die im nachfolgenden
Text angegeben werden. In dem untenstehenden Beispiel existieren Relationen
zwischen einigen der Attribute.
-
-
-
Tabelle
A: Beispiel für
ein in XML codiertes ASProf.
-
Anmerkungen zu Tabelle A:
-
- AA1: Für
die Benutzerauthentifizierung wird ein Passwort mit mindestens 5
und höchstens
10 Zeichen verwendet. Die maximale Sitzungsdauer, bis eine erneute
Authentifizierung erforderlich ist, beträgt 8 Stunden. Das Passwort
ist Groß/Kleinschreibungsempfindlich,
braucht keine Sonderzeichen zu enthalten, muss jedoch mindestens
ein numerisches Zeichen enthalten.
- AA2: Es wird TLS verwendet, um die Transportschicht sicher zu
machen, zulässige
Nachrichtenauthentifizierungs-Algorithmen
sind Message Digest Algorithm No. 5 (MD5) und Security Hash Algorithm
(SHA), zulässige Verschlüsselungsalgorithmen
sind Data Encryption Standard (DES) und Triele-DES. SSL ist ebenfalls
als Transportschicht-Sicherheitsprotokoll zulässig, anstelle von TLS.
- AA3: Das Passwort muss mindestens alle drei Monate geändert werden;
ein altes Passwort darf erst wiederverwendet werden, nachdem mindestens
10 andere Passwörter
verwendet worden sind. Die detaillierten Vertraulichkeitsrichtlinien
für den
Umgang mit Benutzerdaten sind unter der angegebenen URL zu finden.
- AA4: Verisign, RSA und Thawte sind als Root-Zertifizierungsstellen vertrauenswürdig.
- AA5: Der Identitätsanbieter übernimmt
keine Haftung ($0.00) für
Betrug oder Datendiebstahl.
- AA6: Bei der Registrierung wird die Benutzerkennung unter Verwendung
einer Bestätigungs-E-Mail,
die an die E-Mail-Adresse
des Benutzers gesendet wird, bestätigt. Die Registrierung erlischt,
wenn das Konto 6 Monate lang nicht benutzt wird. Eine Regelmäßige Erneuerung
der Registrierung ist nicht erforderlich.
- AA7: Im Falle eines entdeckten Betruges oder Diebstahls von
Credentials wird garantiert, dass ein Konto innerhalb von 30 Minuten
gesperrt (widerrufen) wird.
-
Mehrere
ASProfs sind vorzugsweise in Bezug auf die Stärke der Authentifizierungssicherheit
durch Relationen verknüpft.
Die Relationen, welche die Rangfolge oder Ordnung von ASProfs ausdrücken, können mittels
eines gerichteten Graphen beschrieben werden. In diesem Graph ist
jeder Knoten ein ASProf. Der Graph kann einen "Wurzelknoten" haben, welcher ein leeres ASProf sein
kann, d.h. keinerlei Sicherheit. Jede gerichtete Kante gibt eine
Relation zwischen zwei ASProfs an, z.B. eine Relation "≥". Die Beschreibung der Menge von ASProfs
und der Relation zwischen ASProfs ist vorzugsweise veränderbar,
erweiterbar und maschinenlesbar. Vorzugsweise wird XML als eine
zugrunde liegende Metasprache verwendet.
-
Es
sind Spezialfälle
vorstellbar, z.B. der Fall, dass der Graph ein n-dimensionales Gitter
wird (im Falle von n Attributen). In diesem Falle existieren unabhängige Relationen
für jedes
der Attribute, und der Vergleich von zwei ASProfs entspricht dem
separaten Vergleich jedes der Attribute. Als ein Beispiel für einen
Vergleich zwischen zwei ASProfs mit einer Relation ≥:
WENN
Schlüssellänge 1 ≥ Schlüssellänge 2 UND
Passwortlänge
1 ≥ Passwortlänge 2
DANN
ASProf1 ≥ ASProf2.
-
Die
allgemeinere Graph-Notation ermöglicht
jedoch wesentlich komplexere Spezifikationen, z.B. eine Fingerabdruckerkennung
mit Schlüssellänge 64 ist
sicherer als ein Passwort mit Schlüssellänge 256. Dieser Fall des "Vergleichens von Äpfeln mit
Birnen" erlangt
Bedeutung, wenn in einem einzigen System völlig unterschiedliche Authentifizierungsmechanismen
angewendet werden. Die Graph-Notation
ist allgemeiner als andere Konzepte, bei denen die einzelnen Attribute
unabhängig
behandelt werden, und ermöglicht
das Ausdrücken
von Prioritäten
zwischen ungleichartigen Authentifizierungsverfahren und -technologien.
-
Dieser
Graph kann im Prinzip von jedem Diensteanbieter erzeugt werden,
und verschiedene Diensteanbieter können unterschiedliche Graphen
verwenden. Ein Diensteanbieter kann mehrere Graphen haben, z.B.
für verschiedene
Benutzer oder Identitätsanbieter
oder Dienste. Dies widerspiegelt die Anforderung, dass jeder Diensteanbieter
vorzugsweise in der Lage ist, seine eigenen Präferenzen und Prioritäten im Hinblick
auf Merkmale der Authentifizierungssicherheit zu definieren. Ein
erster Diensteanbieter kann einen Iris-Scan für sicherer als ein Schlüsselwort
ansehen. Ein zweiter Diensteanbieter kann das Schlüsselwort
für sicherer
ansehen. Dies schließt
natürlich
nicht die Wiederverwendung von "Standard"-Graphen aus, wenn
der Diensteanbieter dies wünscht.
-
In 1b ist
ein Beispiel für
einen ASProf-Graphen dargestellt. Der Graph umfasst ASProfs A1,
A2, A3, A4, A5, A6, A7,. A8, A9, die als Punkte dargestellt sind
und durch Pfeile verbunden sind, um eine Relation ≥ zwischen
zwei ASProfs auszudrücken.
Die in der graphischen Darstellung von 1b verwendete
Pfeilnotation bedeutet, dass ein Pfeil, der zwei ASProfs verbindet,
mit seiner Pfeilspitze auf dasjenige der zwei ASProfs zeigt, das,
verglichen mit dem anderen ASProf von den zwei ASProfs, ≥ ist, d.h.
ASProf1 → ASProf2
bedeutet ASProf2 ≥ ASProf1.
In dem Graph sind Pfeile 12, 13, 16, 24, 35, 47, 58, 68, 79, 89 zum
Ausdrücken
der ≥ Relationen
zwischen den ASProfs zu finden.
-
Es
sind Attribute und Attributwerte für Chipkarten, PINs und Biometrik
dargestellt, welche zu ASProfs gehören. Insbesondere umfasst das
ASProf A4 ein 56-Bit-Chipkarten-Attribut
B4, das ASProf A7 umfasst ein 128-Bit-Chipkarten-Attribut B7, das ASProf A6 umfasst ein
4-Ziffern-PIN-Attribut
B6, das ASProf A8 umfasst ein 10-Ziffern-PIN-Attribut B8 und das ASProf A9 umfasst
ein Iris-Erkennungs-Attribut
B9. Weitere Attribute oder Kombinationen von Attributen können zu
den ASProfs in 1 gehören. Außerdem kann
ein Wurzelknoten ASProf A1, der "keinerlei
Sicherheit" angibt,
definiert sein und zu ASProfs in Beziehung stehen, z.B. zu den ASProfs
A2, A3, A6 über Relationen 12, 13 und 16 in 1b.
Weitere ASProfs oder Relationen können in den Graphen eingefügt werden,
existierende ASProfs oder Relationen können geändert oder gelöscht werden.
-
Die
Kenntnis einer PIN mit 10 Ziffern ist definiert als ≥ als die Kenntnis
einer PIN mit 4 Ziffern. Diese Relation ≥ ist durch einen Pfeil 68 dargestellt,
der an dem ASProf A6 beginnt, das ein 4-Ziffern-PIN-Attribut B6 umfasst,
und auf das ASProf A8 zeigt, das ein 10-Ziffern-PIN-Attribut B8
umfasst. Der Besitz einer Chipkarte mit einem 128 Bit langen geheimen
Schlüssel
ist definiert als ≥ als
der Besitz einer Chipkarte mit einem 56 Bit langen geheimen Schlüssel. Dementsprechend
wird die Relation ≥ zwischen
dem ASProf B7 und dem ASProf B4 durch einen Pfeil 47 ausgedrückt, der
von der 56-Bit-Chipkarte zu der 128-Bit-Chipkarte zeigt. Ferner kann ein Iris-Erkennungsverfahren
definiert sein als ≥ als
ein 10-Ziffern-Passwort sowie als als ein 128 Bit langer geheimer
Schlüssel
auf einer Chipkarte, wobei Pfeile 89 bzw. 79 die
jeweilige Relation ≥ ausdrücken. Möglicherweise
macht es jedoch nicht viel Sinn, zu versuchen zu entscheiden, ob
ein 10-Ziffern-Passwort ≥ als
128 Bit langer geheimer Schlüssel
auf einer Chipkarte ist. Falls eine Relation ≥ zwischen zwei ASProfs nicht
realisierbar oder nicht gewünscht
ist, fehlt in dem Graph ein entsprechender Pfeil.
-
Ein
Beispiel einer XML-Darstellung des in 1b dargestellten
Graphen ist unten angegeben. Es gibt zwei Datenstrukturen, welche
gewöhnlich
verwendet werden, um einen gerichteten Graphen darzustellen: (a) Verwendung
einer Adjazenzliste (Nachbarschaftsliste), welche eine Liste von
Paaren ist, wobei jedes Paar eine gerichtete Kante (manchmal auch
als ein Pfeil oder eine Relation bezeichnet) repräsentiert,
wobei das erste Element des Paares das Ursprungs-ASProf angibt und
das zweite Element das Ziel-ASProf der jeweiligen gerichteten Kante
angibt. (b) Verwendung einer Inzidenzmatrix, welche für jeden
Ursprungsknoten eine Liste von Zielknoten enthält, zu welchen in dem Graph
Kanten existieren. In dem in der untenstehenden Tabelle B angegebenen
Beispiel wird eine Inzidenzmatrix-Darstellung verwendet. Es sind
auch andere Darstellungen möglich.
-
-
-
Tabelle
B: Beispiel für
ASProfs mit Relationen gemäß Fig. 1b,
in XML codiert.
-
Anmerkungen zu Tabelle B:
-
- BB1: A1 ist der Wurzelknoten des Graphen und steht für ein leeres
ASProf, d.h. überhaupt
keine Sicherheitsmerkmale.
- BB2: Es gibt gerichtete Kanten in dem Graphen von dem Wurzelknoten
A1 zu den Knoten A2, A3 und A6. Ein "Nachfolger" eines Knotens ist definiert als "stärker als
oder gleich stark wie" der
Ursprungsknoten.
- BB3: Gemäß 1b gehört das Attribut
B4 "Chipkarte" mit dem Attributwert "56 Bit" zu ASProf A4.
- BB4: Gemäß 1b gehört das Attribut
B6 "PIN" mit dem Attributwert "4 Ziffern" zu ASProf A6.
- BB5: Gemäß 1b gehört das Attribut
B7 "Chipkarte" mit dem Attributwert "128 Bit" zu ASProf A7.
- BB6: Gemäß 1b gehört das Attribut
B8 "PIN" mit dem Attributwert "10 Ziffern" zu ASProf A8.
- BB7: Gemäß 1b gehört das Attribut
B9 "Biometrik" mit dem Attributwert "Iriserkennung" zu ASProf A9.
-
Außerdem können die
Attribute eines ASProf eine hierarchische Struktur haben. Zum Beispiel
könnte ein
Attribut "Schlüssellänge" unterschiedliche
Interpretationen haben, in Abhängigkeit
davon, ob das Attribut der nächsthöheren Ebene "Tunnelung über TLS" oder "WTLS" spezifiziert. Daher
können
die numerischen Werte des Attributes "Schlüssellänge" nicht immer direkt
miteinander verglichen werden, ohne dass zuvor das Attribut der
nächsthöheren Ebene
verglichen wurde.
-
Im
Falle von numerischen Attributwerten muss keine monotone Relation
zwischen dem Attributwert und der Stärke der Authentifizierungssicherheit
bestehen, in dem Sinne, dass z.B. eine größere Schlüssellänge immer eine größere Stärke der
Authentifizierungssicherheit nach sich zieht. 2 zeigt
ein Beispiel für
eine nichtmonotone Relation: In dem Beispiel wird eine Passwortlänge von
rund 9 als optimal empfunden, was die Stärke der Authentifizierungssicherheit
anbelangt. Kürzere
Passwörter
werden als weniger sicher betrachtet, da sie leichter gebrochen
werden können,
z.B. mittels einer Brute-Force-Attacke im Falle von sehr kurzen
Längen
und mittels einer Lexikon-Attacke für längere Passwörter. Passwörter, die wesentlich länger als
9 sind, werden jedoch ebenfalls als weniger sicher betrachtet, da
es wahrscheinlich ist, dass sie von dem Benutzer niedergeschrieben
werden, da sie schwer zu merken sind. Der Zusammenhang zwischen
dem Attributwert "Passwortlänge" und der entsprechenden
Stärke
der Authentifizierungssicherheit ist im oberen Teil von 2 dargestellt.
Der untere Teil zeigt, wie diese Abbildung mittels eines gerichteten
Graphen dargestellt werden kann, obwohl auch andere Darstellungen
denkbar sind. Die Relation zwischen einem ersten ASProf mit Attribut Passwortlänge und
einem zweiten ASProf mit Attribut Passwortlänge wird entsprechend durch
Pfeile ausgedrückt,
wobei ein Pfeil nun eine Relation "stärker" ausdrückt, d.h.
dass ein erstes ASProf stärker (">")
als ein zweites ASProf ist, wird durch einen Pfeil angegeben, der
an dem zweiten ASProf beginnt und mit seiner Pfeilspitze an dem
ersten ASProf endet. Dass das erste ASProf und das zweite ASProf
von gleicher Stärke
("=") sind, wird dadurch
angegeben, dass ein zusätzlicher
Pfeil, der an dem ersten ASProf beginnt, mit seiner Pfeilspitze
an dem zweiten ASProf endet. Zum Beispiel wird eine Relation die
aussagt, dass die Stärke
von zwei Passwortlängen
gleich ist, durch zwei Pfeile ausgedrückt, wobei ein Pfeil von der
ersten Passwortlänge
zu der zweiten Passwortlänge
zeigt und ein zweiter Pfeil von der zweiten Passwortlänge zu der
ersten Passwortlänge zeigt.
In diesem Beispiel werden Passwörter,
die 11-20 Zeichen haben, als die gleiche Stärke der Authentifizierungssicherheit
wie Passwörter
mit 3-6 Zeichen aufweisend definiert.
-
Tatsächlich kann
es vollkommen dem Diensteanbieter überlassen werden, über seine
eigenen Präferenzen
und Prioritäten
zu entscheiden; z.B. kann sich ein erster Diensteanbieter für eine monotone
Abbildung entscheiden, ein weiterer Diensteanbieter kann sich für eine Abbildung
gemäß 2 entscheiden,
und ein dritter Diensteanbieter kann einen Standard-Graphen von
einem Identitätsanbieter
akzeptieren, ohne sich um die Einzelheiten der Abbildung zu kümmern.
-
Das
Beispiel von 2 veranschaulicht, wie eine
nichtmonotone Relation in einem gerichteten Graphen dargestellt
werden kann. Es veranschaulicht ferner, wie Bereiche von Attributwerten,
z.B. "7-10 Zeichen", in der Darstellung
des Graphen zu einem einzigen Knoten zusammengefasst werden können, d.h.
es besteht keine Notwendigkeit, dass jeder zulässige numerische Wert einen
separaten Knoten in dem Graphen bildet.
-
Im
Folgenden wird die Authentifizierung eines Benutzers bei einem Dienst
eines Diensteanbieters SP durch einen oder mehrere Identitätsanbieter
beschrieben:
Gemäß 3 nimmt
ein Client Kontakt mit einem von einem Diensteanbieter SP angebotenen
Dienst auf, welchen der Benutzer in Anspruch nehmen möchte, indem
er mittels Nachricht 1a eine Dienstanforderung sendet. Der
Dienst erfordert eine Benutzerauthentifizierung, und der Diensteanbieter
SP sendet mittels Nachricht 1b eine Aufforderung zur Benutzerauthentifizierung
an den Client. Der Client liefert mittels Nachricht 1c eine
Benutzerkennung an den Diensteanbieter SP, welcher die Benutzerkennung überprüfen kann.
Wenn der Identitätsanbieter
IdP1 für
die Authentifizierung des Clients dem Diensteanbieter SP unbekannt
ist, sendet der Client mittels Nachricht 1c einen Verweis
auf einen Identitätsanbieter
IdP1, z.B. einen Uniform Resource Identifier (URI), an den SP. Optional
wird der Verweis auf einen Identitätsanbieter IdP1 standardmäßig von
dem Client an den Diensteanbieter SP gesendet.
-
Der
Diensteanbieter SP fordert eine Authentifizierung des Benutzers
an, indem er mittels Nachricht 2 ein gewünschtes
ASProf, das die Authentifizierungs-Sicherheitsanforderung des Dienstes
spezifiziert, und die Benutzerkennung an den Identitätsanbieter
IdP1 sendet. Normalerweise richten der Diensteanbieter SP und der
Identitätsanbieter
IdP1 eine sichere Sitzung ein (z.B. unter Verwendung von TLS), welche
Vertraulichkeit, Integrität
und Authentizität
der von ihnen ausgetauschten Informationen gewährleistet, sowie eine einseitige oder
gegenseitige Authentifizierung zwischen dem Diensteanbieter SP und
dem Identitätsanbieter
IdP1. Prozesse und Nachrichten, welche für eine beliebige Art von Verschlüsselung
zwischen Entitäten
beliebiger Art, die an dem vorgeschlagenen Authentifizierungsverfahren
beteiligt sind, notwendig sind, sind weder in 3 noch
in den folgenden Figuren dargestellt.
-
Der
Identitätsanbieter
IdP1 prüft
in Prozess 3a, ob er die Anforderungen, die in dem von
dem SP empfangenen ASProf dargelegt sind, erfüllen kann oder nicht. Falls
die Anforderungen erfüllt
werden können,
kann der Identitätsanbieter
IdP1 in Prozess 3a ferner prüfen, ob eine Überprüfung von
User Credentials erforderlich ist oder nicht. Falls eine Überprüfung von
Credentials erforderlich ist, kann eine Anforderung 3b von
User Credentials zu dem Client gesendet werden, und der Client kann
mittels Nachricht 3c auf diese Anforderung 3b antworten,
indem er die angeforderten User Credentials sendet. Für die Anforderung 3b und
die entsprechende Antwort 3c ist sowohl In-Band- als auch
Out-of-Band-Kommunikation möglich.
Auf der Basis eines positiven Ergebnisses der Prüfung der Anforderungen des
ASProf und der optionalen Überprüfung der
Credentials sendet der Identitätsanbieter
IdP1 mittels Nachricht 3d eine Assertion der Benutzerauthentifizierung
an den SP. Auf der Basis der Assertion kann der Diensteanbieter
SP dem Client Zugang gewähren,
damit dieser auf die angeforderte Dienstsitzung zugreifen kann.
-
Beispiel
für die Überprüfung von
User Credentials: Ein Benutzer hat um 9 Uhr über einen Identitätsanbieter
(IdP) die Verwendung eines Benutzername-/Passwort-Mechanismus für sein Lieblings-Webportal
authentifiziert. Um 11 Uhr möchte
der Benutzer auf sein Profil bei einem Diensteanbieter zugreifen,
der einen Dienst für
einen Internet-Buchverkauf anbietet, wobei dieser Diensteanbieter
auch Authentifizierungs-Assertionen von demselben IdP akzeptiert.
Falls dieser Diensteanbieter in seinem ASProf fordert, dass die
Passworteingabe nicht mehr als eine Stunde alt sein darf, muss der
IdP den Benutzer auffordern, erneut ein Passwort einzugeben, bevor
der Benutzer bei diesem Diensteanbieter authentifiziert werden kann.
Falls dagegen dieser Diensteanbieter Passworteingaben akzeptiert,
welche bis zu 24 Stunden alt sind, besteht keine Notwendigkeit, das
Passwort erneut einzugeben.
-
Gemäß 3 und
der Beschreibung von 3 wird nur ein ASProf von dem
Diensteanbieter SP an den Identitätsanbieter IdP1 gesendet. Das
vorgeschlagene Verfahren kann jedoch leicht an den Fall angepasst werden,
dass mehrere gewünschte
ASProfs von dem Diensteanbieter SP an den Identitätsanbieter
IdP1 gesendet werden. In diesem Falle sendet der Diensteanbieter
SP eine "Wunschliste" von ASProfs, welche
der Diensteanbieter SP als ausreichend für eine Authentifizierung des
Clients betrachtet. Der Identitätsanbieter IdP1
prüft die
Wunschliste. Wenn eines oder mehrere der ASProfs der Wunschliste
von dem Identitätsanbieter IdP1
unterstützt
werden, kann der Identitätsanbieter
IdP1 dasjenige von den ASProfs auswählen, welches von dem Identitätsanbieter
IdP1 am besten unterstützt
wird, z.B. wo keine Credential-Überprüfung notwendig
ist oder die Credential-Überprüfung weniger
schwierig ist, verglichen mit den weiteren unterstützten ASProfs
der Wunschliste.
-
Das
in Verbindung mit 3 beschriebene Verfahren verwendet
einen "Rückkanal"-Nachrichtenfluss, der
einen direkten Nachrichtenaustausch zwischen dem Identitätsanbieter
IdP1 und dem SP beinhaltet. Stattdessen kann das Verfahren auch
unter Anwendung einer "Frontkanal"-Kommunikation implementiert werden, d.h.
jede beliebige Kommunikation zwischen dem Identitätsanbieter
IdP1 und dem Diensteanbieter SP wird von dem Client weitergeleitet,
vorzugsweise unter Anwendung geeigneter Sicherheitsvorkehrungen,
so dass der Client die vor und zurück durchlaufenden Informationen
nicht manipulieren kann. Eine Kombination von Rückkanal und Frontkanal für verschiedene
Nachrichten ist ebenfalls möglich.
-
Ein
Beispiel für
eine Frontkanal-Kommunikation für
eine 3 entsprechende Authentifizierung ist in 4 dargestellt.
Bei einer Frontkanal-Kommunikation werden das gewünschte ASProf
und optional die Benutzerkennung mittels Nachricht 42a von
dem Diensteanbieter SP an den Client gesendet. Der Client sendet mittels
Nachricht 42b das gewünschte
ASProf und die Benutzerkennung an den Identitätsanbieter IdP1. Wenn die Benutzerkennung
nicht durch den Diensteanbieter SP geliefert wird, beschafft der
Client die Benutzerkennung und sendet sie mittels Nachricht 42b an
den Identitätsanbieter
IdP1. Wie in 3 kann der Identitätsanbieter
IdP1 in Prozess 3a das empfangene ASProf prüfen, und
ob eine Credential-Überprüfung notwendig
ist. Ist dies der Fall, kann der Identitätsanbieter IdP1 die User Credentials
unter Verwendung von Nachrichten 3b, 3c überprüfen. Wie
in 3 sind die Nachrichten 3b, 3c optional,
und es kann In-Band- oder Out-of-Band-Kommunikation angewendet werden. Die
Sicherheits-Assertion, die von dem Identitätsanbieter IdP1 gegeben wird,
wird mittels der Nachrichten 43d, 43e über den
Client an den Diensteanbieter SP gesendet. In diesem Falle kann
die Sicherheits-Assertion als ein Authentifizierungstoken oder -ticket
betrachtet werden.
-
Im
Falle eines mobilen Clients hat eine Rückkanal-Implementierung den Vorteil, dass eine
Kommunikation zwischen dem Diensteanbieter SP und dem Identitätsanbieter
IdP1 über
die Luftschnittstelle des Clients vermieden wird. Bei Frontkanal-Kommunikation
wird für
den alleinigen Zweck der Übermittlung
von Informationen zurück
und vor zwischen dem Diensteanbieter SP und dem Identitätsanbieter
IdP1 zusätzliche
Bandbreite verwendet und zusätzliche
Latenz verursacht.
-
Eine
Frontkanal-Implementierung ist für
Festnetze wie das Internet üblich
und kann gegenüber
einer Rückkanal-Implementierung bevorzugt
werden, um den Implementierungsaufwand zu verringern. Sie hat außerdem den
Vorteil, dass eine Sitzungsumleitung stattfindet, d.h. die Anforderung
an den Diensteanbieter SP in 1c von 4 wird durch
eine Antwort von dem Diensteanbieter SP in Nachricht 42a beantwortet
und nicht, wie im Falle des Rückkanals,
durch eine Antwort von einem Identitätsanbieter IdP1. Dies kann
bewirken, dass die für
die Authentifizierung benötigte
Gesamtzeit kürzer
ist als bei der Rückkanal-Kommunikation.
-
Es
kann auch eine Hybrid-Implementierung möglich sein, zum Beispiel unter
Verwendung eines Proxy-Servers, um einen Frontkanal für die Kommunikation
zwischen dem Diensteanbieter SP und dem Identitätsanbieter IdP1 zu emulieren
und gleichzeitig Verkehr über
den Client zu vermeiden. Eine Hybrid-Implementierung kann daher
für einen
mobilen Client sehr nützlich
sein.
-
Für den Fall,
dass der Identitätsanbieter
IdP1, wie in Verbindung mit 3 beschrieben,
das gewünschte
eine oder die gewünschten
mehreren ASProfs, die von dem Diensteanbieter SP an den Identitätsanbieter
IdP1 gesendet werden, nicht unterstützt, kann der Identitätsanbieter
IdP1 dem Diensteanbieter SP einen Gegenvorschlag für das eine
oder die mehreren gewünschten
ASProfs liefern. Gemäß 5 sendet
der Diensteanbieter SP mittels Nachricht 2 eine Aufforderung
zur Authentifizierung, welche das gewünschte ASProf und die Benutzerkennung
umfasst, an den Identitätsanbieter
IdP1. Der Identitätsanbieter
IdP1 prüft
das empfangene gewünschte
ASProf und stellt fest, dass das gewünschte ASProf nicht unterstützt wird.
Es werden ein oder mehrere alternative ASProfs bestimmt und mittels
Nachricht 4 als vorgeschlagene alternative ASProfs von
dem Identitätsanbieter
IdP1 an den SP gesendet. Der Diensteanbieter SP prüft in Prozess 5a,
ob wenigstens eines des einen oder der mehreren vorgeschlagenen
alternativen ASProfs akzeptabel ist. Falls keines der empfangenen
vorgeschlagenen alternativen ASProfs akzeptabel ist, kann der Diensteanbieter
SP ein oder mehrere weitere gewünschte
ASProfs an den Identitätsanbieter
IdP1 senden, oder er kann mit einem weiteren Identitätsanbieter
IdP1 zwecks Authentifizierung Kontakt aufnehmen, oder er kann die
Authentifizierung beenden. Falls wenigstens eines von dem einen
oder den mehreren vorgeschlagenen alternativen ASProfs akzeptabel
ist, sendet der Diensteanbieter SP mittels Nachricht 5b eine
Genehmigung des wenigstens einen vorgeschlagenen alternativen ASProf
an den Identitätsanbieter
IdP1. Falls mehrere vorgeschlagene alternative ASProfs akzeptabel
sind, kann der Diensteanbieter SP eines der mehreren ASProfs auswählen, bevor
er die Genehmigung für
das ausgewählte
ASProf sendet; z.B. kann der Diensteanbieter SP das empfangene eine
oder die empfangenen mehreren vorgeschlagenen alternativen ASProfs
prüfen
und die Prüfung
abbrechen, nachdem ein erstes ASProf für akzeptabel befunden wurde.
Dieses ASProf wird von dem Diensteanbieter SP genehmigt, und eine
Anzeige der Genehmigung dieses ASProf wird an den Identitätsanbieter
IdP1 gesendet. Für das
genehmigte ASProf fährt
der Identitätsanbieter
IdP1 mit den Prozessen und Nachrichten 3a-3d fort,
die in Verbindung mit 3 beschrieben wurden.
-
Wie
oben in Verbindung mit 3-5 beschrieben
wurde, wünscht
der Diensteanbieter SP, dass ein oder mehrere ASProfs von dem Identitätsanbieter
IdP1 verwendet werden, in dem Sinne, dass das eine oder die mehreren
gewünschten
ASProfs an den Identitätsanbieter
IdP1 gesendet werden. Der Diensteanbieter SP muss jedoch nicht unbedingt
das eine oder die mehreren gewünschten
ASProfs in der Aufforderung zur Authentifizierung an den Identitätsanbieter
IdP1 senden. Stattdessen kann der Diensteanbieter SP eine Liste von
unterstützten
ASProfs von dem Identitätsanbieter
IdP1 anfordern. Dies ist in 6 dargestellt.
Der Diensteanbieter SP sendet mittels Nachricht 62a die
Benutzerkennung an den Identitätsanbieter
IdP1 und fordert eine Authentifizierung an. Der Identitätsanbieter
IdP1 antwortet mittels Nachricht 62b mit einer Liste von
ASProfs, die von dem Identitätsanbieter
IdP1 unterstützt
werden. Die Liste wird in Prozess 62c von dem Diensteanbieter
SP geprüft,
und es wird ein akzeptables ASProf aus der Liste ausgewählt. Das
ausgewählte
ASProf (als ein Beispiel für
eine Angabe) oder eine Angabe des ausgewählten ASProf wird mittels Nachricht 62d an
den Identitätsanbieter
IdP1 gesendet. Das Senden des ausgewählten ASProf (als ein Beispiel
für eine
Angabe) oder der Angabe kann durch die Benutzerkennung ergänzt werden,
um das ausgewählte
ASProf mit der Aufforderung zur Authentifizierung zu korrelieren,
die mittels Nachricht 62a gesendet wurde. Der Identitätsanbieter
IdP1 kann in Prozess 63a prüfen, ob eine Credential-Überprüfung für das ausgewählte ASProf
notwendig ist, und fährt
mit den Prozessen und Nachrichten gemäß 3b-3d fort,
wie in Verbindung mit 3 beschrieben.
-
Das
Senden von ASProfs kann durchgeführt
werden, indem einzelne ASProfs mit oder ohne eine Relation, welche
die Stärke
des Sicherheitsniveaus aufzeigt, gesendet werden. Es können einzelne
ASProfs oder ASProfs und Informationen über die Relation zwischen den
ASProfs gesendet werden. Zum Beispiel kann, im Hinblick auf die
Graph-Notation, die in Verbindung mit 1 und 2 beschrieben
wurde, der vollständige Graph
gesendet werden, oder Teile des Graphen, wie ASProfs und Pfeile.
Der Absender der ASProfs, z.B. der Diensteanbieter SP, kann die
ASProfs angeben, deren Verwendung durch den Empfänger, d.h. den Identitätsanbieter
IdP1, gewünscht
ist. Insbesondere in dem Falle, wenn der Empfänger keines der gewünschten
ASProfs unterstützt,
kann der Empfänger
durch den Graphen navigieren, beginnend bei den gewünschten
ASProfs, um festzustellen, ob er ein ASProf unterstützen kann,
welches als gleich stark wie oder stärker als ein gewünschtes
ASProf erkannt wird, falls Informationen über die Relation zwischen ASProfs
beim Empfänger verfügbar sind.
Beim Navigieren durch den Graphen oder Teile des Graphen, die dem
Empfänger
bekannt sind, kann der Empfänger
wenigstens ein ASProf auswählen,
das gleich stark oder stärker
ist, um die Anforderungen bezüglich
der Stärke
des ASProf zu erfüllen,
die vom Absender gewünscht
werden.
-
Ein
entsprechendes Beispiel für
eine Navigation ist in 7 dargestellt, wobei der Diensteanbieter
mittels Nachricht 72a einen Teil des ASProf Graphen oder
den vollständigen
Graphen, eine Angabe für
das gewünschte
ASProf und die Benutzerkennung an den IdP1 zur Authentifizierung
sendet. Anstatt den vollständigen
Graphen zu senden, kann der Diensteanbieter SP nur denjenigen Teil
des Graphen senden, der ASProfs umfasst, die gleich stark wie oder
stärker
als das gewünschte
ASProf sind, z.B. um den Übertragungsaufwand zu
verringern oder um dem Identitätsanbieter
keine Informationen zu liefern, die für diese Authentifizierung nicht
verwendbar sind. Der Identitätsanbieter
IdP1 prüft
im Prozess 73a, ob das gewünschte ASProf unterstützt wird.
Falls es nicht unterstützt
wird, prüft
der Identitätsanbieter
IdP1 in Prozess 73a, ob ein stärkeres ASProf (wie in 7 dargestellt)
oder ein ASProf von gleicher Stärke
unterstützt
wird, indem er durch den Graphen navigiert, den vom SP empfangen
hat. Falls wenigstens ein ASProf, das stärker als oder von gleicher Stärke wie
das nicht unterstützte
gewünschte
ASProf und von diesem verschieden ist, von dem Identitätsanbieter
IdP1 unterstützt
wird, kann der Identitätsanbieter
IdP1 in Prozess 73a eine Überprüfung von User Credentials vornehmen
und sie, falls erforderlich, von dem Benutzer anfordern, wie in
Verbindung mit 3 beschrieben wurde (Prozess
und Nachrichten 3a-3c). Falls ein gleich starkes
oder stärkeres
ASProf verwendet wird und optional die User Credentials überprüft werden,
sendet der Identitätsanbieter
IdP1 mittels Nachricht 73d eine Assertion der Benutzerauthentifizierung,
die vorzugsweise durch eine Angabe des verwendeten gleich starken
oder stärkeren
ASProf ergänzt
wird, an den Identitätsanbieter
IdP1. Vor der Gewährung
des Zugangs zu dem Dienst für
den Client kann der Diensteanbieter SP in Prozess 73e prüfen, ob
das verwendete ASProf für
den Diensteanbieter SP akzeptabel ist, z.B. die Authentifizierungs-Sicherheitsanforderungen
des Diensteanbieters SP erfüllt.
-
Die Übertragung
des Graphen oder von Teilen des Graphen, wie oben erläutert, macht
das vorgeschlagene Verfahren wesentlich effizienter, was die Anzahl
von Nachrichtenübertragungen
hin und zurück
anbelangt, wenn der Diensteanbieter SP und der Identitätsanbieter – wenigstens
bis zu einem gewissen Grade – ähnliche
Vorstellungen davon haben, was ein ASProf stärker als oder gleich stark
wie ein anderes ASProf macht, d.h. wenn sie über gemeinsame Informationen über ASProfs
und die Relationen zwischen ASProfs in Bezug auf die Stärke der
Stärke
der Authentifizierungssicherheit verfügen. Außerdem hat die Übertragung
des Graphen den Vorteil, dass die Anzahl der hin- und hergesendeten
Nachrichten zwischen Diensteanbieter SP und Identitätsanbieter
auf ein Minimum begrenzt wird, was den Authentifizierungsdienst
wesentlich schneller macht und dabei nach wie vor garantiert, dass
die Sicherheitspräferenzen
und -prioritäten
des SP beachtet werden.
-
Wenn
zum Beispiel ein Diensteanbieter SP eine Schlüssellänge von 128 Bit anfordert und
der Identitätsanbieter
nur entweder 64 Bit oder 256 Bit zur Verfügung stellen kann, dann ist
es vorteilhaft, wenn der Diensteanbieter SP und der Identitätsanbieter
gemeinsam der Ansicht sind, dass ein 256-Bit-Schlüssel von
dem Diensteanbieter SP als stärker
als ein 128-Bit-Schlüssel
akzeptiert wird. Wenn diese Ansicht nicht geteilt wird, müssen zusätzliche
Nachrichten ausgetauscht werden, bis der Diensteanbieter SP und
der Identitätsanbieter sich
auf ein zu verwendendes ASProf einigen können. Ohne die Kenntnis der
Relation, dass ein 256-Bit-Schlüssel
stärker
als ein 128-Bit-Schlüssel
ist, sendet zum Beispiel der Identitätsanbieter eine Angabe an den
Diensteanbieter SP, dass 128-Bit-Schlüssel nicht unterstützt werden.
Für diesen
Fall kann der Diensteanbieter SP mit einem alternativen ASProf von
256 Bit antworten, welcher unterstützt wird.
-
Die
geteilte Vorstellung darüber,
ob ein ASProf gleich stark wie oder stärker als ein anderes ist, kann implizit
oder explizit sein. Ein Beispiel für eine implizite Vereinbarung
ist der obige Fall "128
Bit gegenüber
256 Bit", welcher
bedeutet, dass 256 Bit allgemein als stärker als 128 Bit angesehen
werden. Der Identitätsanbieter,
welcher 128 Bit nicht liefern kann, verwendet stattdessen 256 Bit
und teilt diese Tatsache dem Diensteanbieter SP in dem ASProf mit,
unter der Annahme, dass der Diensteanbieter SP 256 Bit akzeptabel
finden wird, wenn der Diensteanbieter SP 128 Bit angefordert hat.
Falls jedoch der Diensteanbieter SP eine andere Definition der Stärke eines
ASProf verwendet hat als der Identitätsanbieter, führt die
falsche Annahme des Identitätsanbieters
zu einer zusätzlichen
Neuverhandlung und zusätzlichen
Nachrichten oder zu einer Beendigung der Authentifizierung. Ein
Beispiel, in dem eine explizite geteilte Ansicht zwischen dem Diensteanbieter
SP und dem Identitätsanbieter
gegenüber
einer impliziten geteilten Ansicht vorzuziehen ist, ist in 2 angegeben, wo
der Diensteanbieter eine nichtmonotone und nicht allgemein anerkannte
Relation zwischen einem numerischen Attribut und der empfundenen
Stärke
der Authentifizierungssicherheit definiert.
-
8 zeigt
eine Authentifizierung, bei welcher der Diensteanbieter SP mittels
Nachricht 2a eine Aufforderung zur Authentifizierung sendet,
welche das gewünschte
ASProf und die Benutzerkennung umfasst, jedoch ohne weitere Informationen über einen
Graphen des SP zu senden. Der Identitätsanbieter IdP1 unterstützt das
gewünschte
ASProf nicht, und der Identitätsanbieter
IdP1 wählt
ein alternatives ASProf aus, wie in Prozess 83a dargestellt.
Der Identitätsanbieter
prüft in
Prozess 83a, ob eine Credential-Überprüfung notwendig ist. Nach einer
optionalen Überprüfung von
User Credentials unter Verwendung der Nachrichten 3b und 3c entsprechend
den in Verbindung mit 3 gegebenen Erläuterungen
werden die Assertion der Benutzerauthentifizierung und eine Angabe
des verwendeten alternativen ASProf mittels Nachricht 83d an
den SP gesendet. Der Diensteanbieter SP prüft in Prozess 83e,
ob das alternative ASProf akzeptabel ist oder nicht. Wenn das ASProf
akzeptabel ist, kann die Dienstsitzung beginnen. Zum Wählen des
alternativen ASProf kann der Identitätsanbieter seine eigene Notation
verwenden, z.B. durch Verwenden eines eigenen Graphen oder Übernehmen
einer expliziten Notation. Um jedoch zu vermeiden, dass der Diensteanbieter
SP das alternative ASProf inakzeptabel findet, verwendet der Identitätsanbieter
IdP1 vorzugsweise eine Notation, die von dem Diensteanbieter SP
und dem Identitätsanbieter
IdP1 gemeinsam genutzt wird. Ein Graph, welcher die Ordnung gemäß dem Diensteanbieter
SP widerspiegelt, kann zur Verfügung
gestellt werden, wenn der Diensteanbieter SP bei dem von dem Identitätsanbieter
IdP1 angebotenen Authentifizierungsdienst registriert wird. Für Ad-hoc-Szenarien, in denen
bei dem Identitätsanbieter
IdP1 keine weiteren Informationen verfügbar sind als das gewünschte ASProf
und die Benutzerkennung, kann der Identitätsanbieter IdP1 jedoch vorzugsweise
seine eigene Notation verwenden, z.B. seinen eigenen Graphen, oder
er kann eine oder mehrere unterstützte ASProfs, z.B. in Form
eines Graphen, von dem Identitätsanbieter
anfordern.
-
Durch
ein Verknüpfen
von ASProfs mit Relationen können
Gruppen von ASProfs erzeugt werden. Zum Beispiel kann eine Anzahl
von ASProfs verknüpft
werden, indem jedes Paar aus dieser Anzahl von ASProfs durch eine
Relation "=" verknüpft wird,
so dass eine Gruppe von ASProfs mit gleicher Stärke der Authentifizierungssicherheit
gebildet wird, z.B. wie in 2 durch
die ASProfs mit 3-6 und 11-20 Zeichen angegeben ist, die eine Gruppe
mit gleicher Starke der Authentifizierungssicherheit bilden. Der
Diensteanbieter kann dem Identitätsanbieter
angeben, irgendeines der zu einer gewissen Gruppe gehörenden ASProfs
durch Auswählen eines
der zu dieser Gruppe gehörenden
ASProfs für
die Authentifizierung des Benutzers zu verwenden und eine Angabe
des ausgewählten
ASProf an den Identitätsanbieter
für die
Authentifizierung des Benutzers zu senden. Wenn der Identitätsanbieter über die
angegebene Gruppe informiert ist, z.B. aufgrund der Tatsache, dass
Informationen über
die charakteristischen Merkmale der Gruppe, d.h. die ASProfs und
ihre Relationen, von dem Diensteanbieter SP an den IdP oder umgekehrt
geliefert werden, kann der Identitätsanbieter auf der Basis der
Angabe ein ASProf für
die Authentifizierung aus der Gruppe auswählen. Um dem Identitätsanbieter die
Gruppe anzugeben, kann eine Gruppenkennung verwendet werden, falls
der Diensteanbieter und der Identitätsanbieter gemeinsam dieselbe
Notation der Gruppe verwenden. Die einzelnen Gruppen können hierarchisch
geordnet sein; z.B. kann eine erste Gruppe, die eine erste Anzahl
von ASProfs umfasst, durch eine Relation mit einer zweiten Gruppe
von ASProfs verknüpft
sein, und der Identitätsanbieter
kann zur Authentifizierung von einer Gruppe zu einer anderen Gruppe
navigieren. Um zu prüfen,
ob das ASProf, auf dessen Basis die Authentifizierung durchgeführt wird,
den Authentifizierungs-Sicherheitsanforderungen
des Diensteanbieters genügt,
kann eine Angabe der Gruppe, zu der dieses Authentifizierungs-Sicherheitsprofil
gehört,
ausreichend sein. Das Bilden von Gruppen kann den Vorteil einer
besseren Skalierbarkeit und Handhabbarkeit von Authentifizierungs-Sicherheitsprofilen
mit vergleichbaren charakteristischen Eigenschaften wie vergleichbaren Credential-Typen
oder vergleichbaren Erzeugungs- oder Gültigkeitszeiträumen haben.
-
Als
ein alternatives Authentifizierungsverfahren kann der Diensteanbieter
SP um eine Authentifizierung ersuchen, ohne irgendein ASProf zu
spezifizieren. Ein entsprechendes Szenario ist in 9 dargestellt. Der
Diensteanbieter SP sendet mittels Nachricht 62a eine Aufforderung
zur Authentifizierung, die eine Benutzerkennung umfasst, an den
Identitätsanbieter
IdP1. Der Identitätsanbieter
IdP1 verwendet ein ASProf seiner eigenen Wahl, wie in Prozess 93a angegeben,
und führt
optional eine Credential-Überprüfung gemäß dem gewählten ASProf
durch, z.B. unter Verwendung von Nachrichten 3b, 3c,
wie in Verbindung mit 3 erläutert wurde. Danach sendet
der Identitätsanbieter
IdP1 mittels Nachricht 93d eine Angabe des verwendeten
ASProf oder, als eine alternative Form einer Angabe, das verwendete
ASProf selbst an den Diensteanbieter SP, zusammen mit der Assertion
der Authentifizierung. Der Diensteanbieter SP entscheidet dann,
ob die Authentifizierung akzeptiert werden soll oder nicht, d.h.
es wird in Prozess 93e geprüft, ob das verwendete ASProf
akzeptabel ist oder nicht.
-
Das
Verfahren zum Erweitern einer Benutzerauthentifizierung für einen
Diensteanbieter SP durch einen Identitätsanbieter während einer
Dienstsitzung wird in den folgenden zwei 10 und 11 beschrieben.
Gemäß 10 nimmt
ein Client an einer Dienstsitzung teil. Der Aufbau der Dienstsitzung
mit einer ersten Authentifizierung des Benutzers bei dem Dienst
des Diensteanbieters kann entsprechend der Beschreibung von 3 bis 9 erfolgen.
Während
der Dienstsitzung greift der Kunde auf einen Dienst zu, welcher
ein höheres
Sicherheitsniveau erfordert als die aufgebaute Sitzung. Ein Beispiel
für ein
höheres
Sicherheitsniveau ist, dass ein Benutzer auf sein Online-Bankkonto mittels
eines aus 5 Ziffern bestehenden PIN-Codes zugreifen kann. Falls
der Benutzer jedoch zusätzlich
eine Geldtransaktion von seinem Bankkonto genehmigen möchte, wird
ein zusätzliches,
zur einmaligen Verwendung bestimmtes Passwort, oder TAN, benötigt. Ein
anderes Beispiel ist, dass ein Benutzer auf sein personalisiertes
Webportal mittels eines Passwortes zugreifen kann. Einige Dienste
auf dem Portal können
einer Gebühr
unterliegen. Wenn der Benutzer einen solchen Dienst anklickt, kann
eine Authentifizierung unter Verwendung eines Chipkartenlesers,
der an den PC des Benutzers angeschlossen ist, erforderlich sein.
-
Der
Diensteanbieter SP erkennt die Dienstanforderung, die mittels Nachricht 102a von
dem Client an den Diensteanbieter SP gesendet wird, und wählt ein
ASProf aus, im Weiteren modifiziertes ASProf genannt, das den strengeren
Anforderungen genügt,
d.h. das modifizierte ASProf ist stärker als das ASProf, das für die erste
Authentifizierung verwendet wird. Der Diensteanbieter SP sendet
mittels Nachricht 102b eine Aufforderung zur Authentifizierung,
welche das modifizierte ASProf und die Benutzerkennung umfasst,
an einen Identitätsanbieter,
der nicht notwendigerweise mit einem für die erste Authentifizierung
verwendeten Identitätsanbieter
identisch ist. Der Identitätsanbieter
IdP1 prüft
in Prozess 103a, ob er in der Lage ist, die Anforderungen des
stärkeren
ASProf zu erfüllen.
Ist dies der Fall, prüft
der Identitätsanbieter
IdP1 in Prozess 103a, ob dieses stärkere ASProf eine erneute Überprüfung von
User Credentials erfordert, und führt, falls erforderlich, mittels der
Nachrichten 103b, 103c diese Überprüfung durch. Wie in 3 können die
optionalen Nachrichten 103b, 103c mittels In- oder Out-of-Band-Kommunikation
ausgetauscht werden. Danach wird fortgefahren, wie in Verbindung
mit 3 beschrieben wurde, was die Assertion der Benutzerauthentifizierung
betrifft, die von dem Identitätsanbieter
IdP1 mittels Nachricht 103d an den Diensteanbieter SP gesendet
wird. Auf der Basis der Assertion kann der Diensteanbieter SP Zugang
zu dem Dienst gewähren,
welcher das erweiterte ASProf erfordert, und die Dienstsitzung kann
fortgesetzt werden. Anstelle des Sendens des ausgewählten ASProf
(als eine Form einer Angabe) kann eine Angabe wie etwa ein URI für das ausgewählte ASProf
gesendet werden, z.B. wenn das ausgewählte ASProf dem Identitätsanbieter
IdP1 bekannt oder zugänglich
ist. Falls das bei der ersten Authentifizierung verwendete ASProf
dem Identitätsanbieter
IdP1 bekannt ist, kann der Diensteanbieter SP stattdessen einen
Hinweis senden, ein ASProf zu verwenden, das stärker ist als das bei der ersten
Authentifizierung verwendete ASProf. In diesem Falle kann der Identitätsanbieter
IdP1 die Auswahl des modifizierten ASProf vornehmen, z.B. durch
Navigieren in einem Graphen. Vorzugsweise wird dieses modifizierte
ASProf, das für
die erweiterte Authentifizierung verwendet wird, dem Diensteanbieter
SP angezeigt und von ihm für
die erweiterte Authentifizierung genehmigt.
-
11 zeigt
den Fall, dass von einem ersten Identitätsanbieter IdP1 eine Authentifizierung
durchgeführt
und eine Dienstsitzung eingerichtet worden ist und der Client einen
Dienstzugang zu einem Dienst anfordert, der ein höheres Sicherheitsniveau
erfordert als die aufgebaute Sitzung. Der Diensteanbieter SP erkennt dementsprechend
die mittels Nachricht 112a gesendete Dienstanforderung,
die das höhere
Sicherheitsniveau erfordert, und sendet mittels Nachricht 112b eine
Aufforderung zur Authentifizierung, die das modifizierte ASProf
und die Benutzerkennung umfasst, an den ersten IdP. Der erste Identitätsanbieter
IdP1 prüft
in Prozess 113a1 das empfangene modifizierte ASProf und
erkennt, dass das modifizierte ASProf nicht unterstützt wird. Dementsprechend
sendet der erste Identitätsanbieter
IdP1 mittels Nachricht 113b eine Ablehnung des modifizierten
ASProf und optional alternative ASProfs, welche von dem ersten Identitätsanbieter
IdP1 unterstützt werden.
Der Diensteanbieter SP kann in Prozess 113c die alternativen
ASProfs prüfen
und sie als inakzeptabel erachten. An den ersten Identitätsanbieter
IdP1 kann eine Antwort auf die Ablehnung gesendet werden, um anzuzeigen,
dass die Authentifizierung in Bezug auf den ersten Identitätsanbieter
IdP1 beendet ist. An diesem Punkt kann der Diensteanbieter SP die
Authentifizierungserweiterung beenden, oder er kann einen zweiten Identitätsanbieter
IdP2 für
die Authentifizierungserweiterung wählen. Wenn ein zweiter Identitätsanbieter
IdP2 verfügbar
ist, wird eine weitere Aufforderung zur Authentifizierung mittels
Nachricht 112b an den zweiten Identitätsanbieter IdP2 gesendet. Die
weitere Aufforderung umfasst das modifizierte ASProf und eine Benutzerkennung,
die mit der für
die erste Authentifizierung bei dem ersten Identitätsanbieter
IdP1 verwendeten Benutzerkennung identisch ist oder auch nicht.
Der zweite Identitätsanbieter
IdP2 prüft
in Prozess 113a2, ob das modifizierte ASProf unterstützt wird.
Falls das modifizierte ASProf unterstützt wird, kann, falls erforderlich,
eine Überprüfung von
User Credentials durchgeführt
werden, z.B. unter Verwendung von Nachrichten 113b, 113c über In-
oder Out-of-Band-Kommunikation. Eine Assertion der Benutzerauthentifizierung
wird mittels Nachricht 113d an den SP gesendet. Auf der
Basis dieser Assertion kann der SP den Zugang zu dem Dienst gewähren, der
strengere Sicherheitsanforderungen hat, und die Dienstsitzung kann
fortgesetzt werden.
-
Weitere
beispielhafte Erweiterungsszenarien sind: Ein Benutzer wird über ein
Passwort von seinem Internetdiensteanbieter (Internet Service Provider,
ISP), manchmal auch Internetzugangsanbieter genannt, authentifiziert.
Zu einem bestimmten Zeitpunkt möchte
der Benutzer auf einen Video-Streaming-Dienst zugreifen, für welchen
eine Gebühr
zu entrichten ist und welcher eine stärkere Authentifizierung erfordert,
z.B. über ein
Mobiltelefon (Subscriber Identity Module [Teilnehmer- Kennungsmodul]/Wireless
Identification Module, SIM/WIM) als ein Authentifizierungstoken.
Der Diensteanbieter, d.h. der Anbieter des Video-Streaming-Dienstes,
nimmt zuerst mit dem ISP betreffs einer Authentifizierungserweiterung
Kontakt auf. Der ISP kann, da er normalerweise keine SIMs und Mobiltelefone
verwaltet, sondern wahrscheinlich nur Passwortlisten, kann dem strengeren
ASProf nicht genügen.
Er kann dem Diensteanbieter ein schwächeres ASProf anbieten, doch
der Diensteanbieter lehnt dies ab. Der Diensteanbieter nimmt anschließend mit
dem Mobilfunkbetreiber des Benutzers Kontakt auf, welcher von dem
Client in der ursprünglichen
Dienstanforderung als ein potentieller Identitätsanbieter spezifiziert worden
sein kann. Der Mobilfunkbetreiber als ein Identitätsanbieter
ist in der Lage, dem spezifizierten, d.h. den Besitz eines speziellen
SIM/WIM sowie die Kenntnis eines PIN-Codes erfordernden ASProf zu
genügen.
Er sendet die Assertion der stärkeren
Authentifizierung an den Diensteanbieter, so dass der Benutzer dann
den Streaming-Dienst benutzen kann.
-
Es
ist nicht notwendig, jedes Mal, wenn ein ASProf von einem Identitätsanbieter
an einen Diensteanbieter oder umgekehrt gesendet wird, explizit
die vollständige
Menge von Attributen des ASProf aufzuführen. Dementsprechend müssen auch
Relationen zwischen ASProfs oder sogar der vollständige Graph
nicht in ihrer Gesamtheit gesendet werden. Stattdessen können Verweise
(URIs) sowie Aktualisierungen verwendet werden, um die Menge der
Daten zu reduzieren, die ausgetauscht werden, wie im Folgenden erläutert wird.
-
Ein
ASProf kann aus einer Folge von Fragmenten bestehen, wobei jedes
ein oder mehrere Attribute spezifiziert; vergleiche z.B. die XML-Beschreibung
gemäß Tabelle
A mit Fragmenten, welche <User_Credentials>, <Transportschicht_Sicherheit>, <Sicherheitsrichtlinien> und <Benutzerregistrierung> betreffen. Die Attribute
aus den einzelnen Fragmenten ergänzen
entweder einander, d.h. wenn sie nur in einem Fragment vorhanden
sind, oder sie setzen einander außer Kraft, d.h. wenn sie in
beiden Fragmenten vorhanden sind. Im Falle einer Außerkraftsetzung
muss eine Prioritätsvereinbarung
auf der Basis der Reihenfolge der Fragmente festgelegt werden, d.h.
nachfolgende Fragmente setzen vorhergehende außer Kraft, oder umgekehrt.
-
Ein
Verweis, z.B. vorzugsweise ein URI, kann verwendet werden, um auf
ein ASProf oder auf ein Fragment zu verweisen, das vorzugsweise
eine semantische Teilmenge des vollständigen ASProf repräsentiert, anstatt
explizit alle Attribute des betreffenden ASProf oder Fragments aufzuführen. Die
Verwendung von Verweisen ermöglicht
das Laden (Fetching) und Zwischenspeichern (Caching) und kann die
Menge der zurück und
vor gesendeten Daten wesentlich reduzieren. Wenn zum Beispiel ein
Diensteanbieter häufig
einen gewissen Identitätsanbieter
verwendet, welcher für
einen gewissen Zeitraum dasselbe ASProf verwendet, besteht keine
Notwendigkeit, dass jedes Mal, wenn innerhalb des besagten gewissen
Zeitraums ein neuer Benutzer authentifiziert wird, das ASProf explizit
zwischen dem Diensteanbieter und dem Identitätsanbieter ausgetauscht wird.
-
Die
Verwendung von Aktualisierungen von ASProfs im Sinne einer Delta-Aktualisierung,
die sich auf Unterschiede zwischen existierenden ASProfs und neueren
ASProfs bezieht, kann die Datenmenge, die ausgetauscht wird, zusätzlich reduzieren.
Ein Aktualisierungs-ASProf ist ein neueres ASProf, welches entweder ein
existierendes ASProf ergänzt
oder einige seiner Attribute außer
Kraft setzt. Auch Aktualisierungs-Fragmente oder Aktualisierungs-Attribute
sind möglich.
Zum Beispiel ist ein Benutzer bei einem Diensteanbieter von einem
Identitätsanbieter
unter Verwendung einer Passwort-Überprüfung authentifiziert
worden. Für
eine gewisse Benutzer-Interaktion ist eine Authentifizierunga-Aktualisierung
erforderlich, wobei der einzige Unterschied gegenüber dem
zuvor verwendeten ASProf ist, dass eine kürzere Lebensdauer für die Passwortüberprüfung spezifiziert
ist. In diesem Falle ist es natürlich
effizienter, einen Verweis auf das zuvor verwendete ASProf zu senden,
plus ein einziges Attribut, welches das abweichende Lebensdauer-Attribut
spezifiziert, als einen Verweis auf ein neues ASProf zu senden,
welches der empfangende Teilnehmer vollständig laden und zwischenspeichern
müsste.
-
Das
vorgeschlagene Verfahren wird auch durch Vorrichtungen wie Server
verkörpert,
die einem Diensteanbieter oder einem Identitätsanbieter zugeordnet sind,
oder durch einen Proxy, oder eine Client-Vorrichtung. Eine solche
Vorrichtung umfasst mindestens eine Empfangseinheit R zum Empfangen
von Nachrichten M2, eine Sendeeinheit T zum Senden von Nachrichten
M1 und eine Verarbeitungseinheit P zum Verarbeiten von Nachrichten
und Informationen, und vorzugsweise eine Datenbank D zum Speichern
von Informationen. Ein Beispiel für eine solche Vorrichtung ist
in 12 dargestellt, welche die Einheiten R, T, P,
D und Nachrichten M1, M2 und Verbindungen PR, PT, PT zum Austauschen
von Informationen und Nachrichten zwischen den einzelnen Einheiten
R, T, P, D zeigt. Die Vorrichtung DEV ist ein Beispiel für eine Vorrichtung,
welche von dem Diensteanbieter, dem Identitätsanbieter oder dem Benutzer
als Client-Vorrichtung zur Implementierung des Verfahrens verwendet
werden kann.
-
Beispiele
für Vorrichtungen
und Verbindungen zum Austauschen von Nachrichten und Informationen zwischen
Vorrichtungen zur Ausführung
des Authentifizierungsverfahrens sind in 13, 14 und 15 für Rückkanal-,
Frontkanal- bzw. hybride Rückkanal-/Frontkanal-Kommunikation angegeben.
Die Vorrichtungen können
so aufgebaut sein, wie in Verbindung mit 12 dargestellt
und beschrieben wurde.
-
13 zeigt
einen Client D12, einen Diensteanbieter D10 und einen Identitätsanbieter
D11 sowie Verbindungen CON10, CON11, CON12 zwischen den drei Teilnehmern
zur Authentifizierung des Clients D12 bei dem Diensteanbieter D10
mittels Frontkanal-Kommunikation. Die Kommunikation zwischen dem
Client D12 und dem Diensteanbieter D10 erfolgt über die Verbindung CON10, die
Kommunikation zwischen dem Diensteanbieter D10 und dem Identitätsanbieter
D11 erfolgt über
die Verbindung CON11, und die Kommunikation zwischen dem Identitätsanbieter
D11 und dem Client D12 erfolgt über
die Verbindung CON12. Beispiele für Informationen und Nachrichten,
die zwischen den drei Teilnehmern über die Verbindungen CON10,
CON11, CON12 ausgetauscht werden, sind zum Beispiel in 3 zu
finden, nämlich
Dienstanforderung (Nachricht 1a), Aufforderung zur Authentifizierung
(Nachricht 1b), Benutzerkennung und Verweis auf Identitätsanbieter
(Nachricht 1c) und Dienstsitzung über die Verbindung CON10, das
gewünschte
ASProf und die Benutzerkennung (Nachricht 2) und die Assertion
der Benutzerauthentifizierung (Nachricht 3d) über die
Verbindung CON11 und die Anforderung von User Credentials (Nachricht 3b)
sowie die Übermittlung
der User Credentials (Nachricht 3c) über die Verbindung CON12. Die
Verbindungen CON10, CON11, CON12 können stationäre Verbindungen sein,
müssen
es jedoch nicht; z.B. kann die Verbindung CON12 über Kurzmitteilungsdienste
(Short Message Services, SMS) realisiert werden, wenn der Client
D12 ein Mobiltelefon ist.
-
14 zeigt
einen Client D22, einen Diensteanbieter D20 und einen Identitätsanbieter
D21 sowie Verbindungen CON20, CON21 zwischen den drei Teilnehmern
zur Authentifizierung des Clients D22 bei dem Diensteanbieter D20
mittels Frontkanal-Kommunikation. Anders als in 11 existiert keine
direkte Verbindung zwischen dem Diensteanbieter D20 und dem Identitätsanbieter
D21. Stattdessen erfolgt die Kommunikation zwischen dem Diensteanbieter
D20 und dem Identitätsanbieter
D21 über
den Client D22, in dem Sinne, dass die Informationen, die zwischen
dem Diensteanbieter D20 und dem Identitätsanbieter D21 auszutauschen
sind, von dem Client D22 weitergeleitet werden. Beispiele für Informationen
und Nachrichten, die zwischen den drei Teilnehmern über die
Verbindungen CON20 und CON21 ausgetauscht werden, sind in 4 zu
finden, nämlich
Dienstanforderung (Nachricht 1a), Aufforderung zur Authentifizierung
(Nachricht 1b), Benutzerkennung und Verweis auf Identitätsanbieter
(Nachricht 1c) und Dienstsitzung werden über die
Verbindung CON20 gesendet. Dementsprechend werden die Anforderung
von User Credentials (3b) und die User Credentials über die
Verbindung CON21 gesendet. Jedoch werden das gewünschte ASProf und die Benutzerkennung,
die in der Aufforderung zur Authentifizierung enthalten sind (Nachrichten 42a, 42b), über die
Verbindungen CON20 und CON21 von dem Diensteanbieter D20 über den
Client D22 an den Identitätsanbieter
D21 gesendet. Eine entsprechende Weiterleitung wird für die Assertion
der Benutzerauthentifizierung (Nachrichten 43d, 43e)
durchgeführt,
die über
die Verbindungen CON21 und CON20 von dem Identitätsanbieter D21 über den
Client D22 an den Diensteanbieter D20 gesendet wird.
-
15 zeigt
eine Hybrid-Implementierung mit Verwendung eines Proxy D31 zum Emulieren
einer Frontkanal-Implementierung.
Zur Authentifizierung des Benutzers des Clients D33 bei einem Dienst
des Diensteanbieters D30 sendet der Client D33 eine Dienstanforderung über die
Verbindung CON30 an den Diensteanbieter D30. Der Diensteanbieter
D30 antwortet mit einer Aufforderung zur Benutzerauthentifizierung über die
Verbindung C30 an den Client, und der Client D33 liefert dem Diensteanbieter
D30 über
die Verbindung CON30 die Benutzerkennung und optional einen Verweis
auf den Identitätsanbieter
D32. Für
die Kommunikation zwischen dem Diensteanbieter D30 und dem Identitätsanbieter
D32, z.B. für
das Senden der Benutzerkennung und des gewünschten ASProf oder für die Assertion
der Benutzerauthentifizierung, ist ein Proxy D31 zwischen dem Diensteanbieter
D30 und dem Identitätsanbieter
D32 zwischengeschaltet. Informationen können von dem Diensteanbieter
D30 zu dem Identitätsanbieter
D32 und umgekehrt unter Verwendung der Verbindungen CON31 und CON32 über den
Proxy D31 gesendet werden. Für
die Anforderung von User Credentials und die Übermittlung von User Credentials
kann die Verbindung CON35 verwendet werden. Stattdessen können auch
die Verbindung CON32 und die Verbindung CON34 für die Anforderung und die Übermittlung
von User Credentials verwendet werden. Weitere Informationen können zwischen
dem Proxy D31 und dem Client D33 über die Verbindung CON34 ausgetauscht
werden.
-
Das
Verfahren gemäß der Erfindung
wird außerdem
durch ein oder mehrere Computerprogramme verkörpert, die auf Vorrichtungen
geladen werden können,
die einem Diensteanbieter, Identitätsanbieter, Proxy oder Client
zugeordnet sind. Das eine oder die mehreren Computerprogramme umfassen
Abschnitte von Softwarecodes, um das Verfahren, so wie es oben beschrieben
wurde, zu implementieren. Das eine oder die mehreren Computerprogramme
können
auf einem maschinenlesbaren Medium gespeichert sein. Das maschinenlesbare
Medium kann ein nichtflüchtiger
oder wiederbeschreibbarer Speicher innerhalb eines Servers oder
ein Server sein oder extern angeordnet sein. Das Computerprogramm
kann auch zum Beispiel über
ein Kabel oder eine drahtlose Verbindung als eine Folge von Signalen
zu einem Server übertragen
werden.
-
Das
vorgeschlagene Verfahren kann so angepasst werden, dass es in 2G
und 3G Mobilkommunikationssystemen wie GPRS bzw. UMTS verwendet
werden kann. Es kann auch für
eine Authentifizierung bei Diensten in Festnetzen wie dem Internet
und Kombinationen von Festnetzen und drahtlosen Netzen einschließlich von
drahtlosen Lokalnetzen (Wireless Local Area Networks, WLAN) angewendet
werden. Von dem Benutzer können
mobile und stationäre
Client-Terminals verwendet werden. Die einem Diensteanbieter, Identitätsanbieter
oder Proxy zugeordneten Server sind normalerweise stationär in einem
Netz. Das vorgeschlagene Verfahren kann jedoch auch für sich bewegende,
nichtstationäre
Server angewendet werden. Beispiele für Server sind Personalcomputer
(PCs) oder Laptopcomputer.
-
Im
Folgenden werden einige der Vorteile der Erfindung zusammengefasst:
Anstelle
des Vorhandenseins fester Beziehungen zwischen Diensteanbietern
und Identitätsanbietern
mit statischen Authentifizierungs-Sicherheitsrichtlinien kann die
Erfindung Ad-hoc-Verhandlung und Erweiterung von Authentifizierungs-Sicherheitsprofilen
ermöglichen.
Für eine
Ad-hoc-Verhandlung ist keine vorherige Vereinbarung zwischen einem
Diensteanbieter und einem Identitätsanbieter über ASProfs erforderlich.
-
Ferner
können
verschiedene Typen von Diensten und Transaktionen sehr unterschiedliche
Anforderungen an den Grad der Gewissheit darüber aufweisen, dass ein Benutzer
derjenige ist, der er zu sein behauptet. Ebenso gewährleisten
unterschiedliche Authentifizierungsmechanismen und Sicherheits-Infrastrukturen unterschiedliche
Gewissheitsgrade. Das vorgeschlagene Verfahren unterstützt diese
unterschiedlichen Gewissheitsgrade und überwindet daher Einschränkungen,
die bei binären
Authentifizierungskonzepten gewöhnlich
vorhanden sind.
-
Ein
anderer Vorteil ist, dass die Erfindung ein flexibles Modell bereitstellt,
welches spontane Änderungen
von Richtlinien sowohl auf der Seite des Diensteanbieters als auch
auf der des Identitätsanbieters
ermöglicht.
Wenn sich Richtlinien und Sicherheitsmerkmale ändern, kann die Out-of-Band-Kommunikation
zwischen Diensteanbieter und Identitätsanbieter auf ein Minimum
begrenzt werden.
-
Ferner
ermöglicht
das Authentifizierungsverfahren, komplexe Spezifikationen von ASProfs
zu handhaben, d.h. unterschiedliche Typen von Attributen wie Fingerabdruck-Erkennung und Passwort
können
in Bezug auf die Stärke
der Authentifizierungssicherheit verglichen werden. Ferner können auch
Kombinationen von verschiedenen Attributen verhandelt werden, was
das vorgeschlagene Verfahren sogar noch flexibler macht.
-
Außerdem versetzt
das Authentifizierungsverfahren den Dienst bzw. den Diensteanbieter
in die Lage, als die Richtlinienentscheidungs- und Richtliniendurchsetzungs-Instanz zu agieren,
welche letztendlich die Entscheidung über die Authentifizierung trifft.
Für diesen
für den
Diensteanbieter günstigen
Fall kann die Erfindung derart implementiert werden, dass der Identitätsanbieter
den Dienst des Validierens von User Credentials anbietet und der
Identitätsanbieter
vorzugsweise nur am Aufbau der Sitzung oder bei Authentifizierungserweiterungen
beteiligt ist. Dass der Identitätsanbieter
ansonsten während
einer Sitzung nicht benötigt
wird, verringert demzufolge die Belastung des Identitätsanbieters
und die Komplexität
seines Sitzungsmanagements, und es verbessert die Skalierbarkeit
im Vergleich zu Authentifizierungsverfahren nach dem Stand der Technik
mit einem zwischengeschalteten Identitätsanbieter.