WO2007096249A1 - Method for securely identifying the end of a user session - Google Patents

Method for securely identifying the end of a user session Download PDF

Info

Publication number
WO2007096249A1
WO2007096249A1 PCT/EP2007/051178 EP2007051178W WO2007096249A1 WO 2007096249 A1 WO2007096249 A1 WO 2007096249A1 EP 2007051178 W EP2007051178 W EP 2007051178W WO 2007096249 A1 WO2007096249 A1 WO 2007096249A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
internet gateway
http
authentication
session
Prior art date
Application number
PCT/EP2007/051178
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Wolfgang BÜCKER
Torsten Waldeck
Original Assignee
Siemens Home And Office Communication Devices Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Home And Office Communication Devices Gmbh & Co. Kg filed Critical Siemens Home And Office Communication Devices Gmbh & Co. Kg
Publication of WO2007096249A1 publication Critical patent/WO2007096249A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access, e.g. scheduled or random access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Definitions

  • the invention relates to a method for the secure detection of the end of a user session according to the preamble of the single claim.
  • a so-called Internet gateway such as a so- ⁇ -called WLAN (Engl. Wireless L_ocal Area Network) Access Point or wireless access point or a so-called ADSL (ger .: Asymmetric Digital Subscriber Line) modem
  • WLAN Wireless L_ocal Area Network
  • ADSL European Subscriber Line
  • the custom Internet access restrictions are enforced, must authenticate a respective user and then correctly assign the data traffic to a respective authenticated user to each respective authenticated user.
  • the end of a user session is recognized in different ways.
  • a user session is assigned an absolute session duration length, during which the user session is considered completed (absolute timeout).
  • a user enters a so-called logout (logout from the user session). In this case, the end of the relevant user session has been deliberately initiated or enforced.
  • the data traffic that belongs to a specific user can generally be assigned to this user only through "weak” and non-unique methods.
  • the problem here is in particular the processing of the so-called MAC (Media Access Control) and / or IP ( ⁇ nternet-p_rotocol) - address.
  • the predetermined maximum time period until a user inactivity is tolerated, on the one hand to be as short as possible, so that the end ei ⁇ ner relevant user session as accurately as possible with an actual past user session activity to ⁇ coincides, that is, the end of the user session as soon as possible to the last session activity is detected, but on the other hand, a user does not immediately authenticate again against the Internet gateway or login there, just because he has a short Pau ⁇ has inserted.
  • the exactness of the recognition of the termination of an active user session of a specific user should not depend on the specific user concerned always checking his user session in active mode by a logout, that is, by a specific logoff, explicitly ended.
  • the aforementioned problems are particularly relevant when one and the same client device connected to the Internet gateway is used alternately by different users.
  • a single so-called personal computer (PC) or a a so-called notebook as a client device in turn be used by the individual family members, and, at least here for the present example case, the individual family members are assigned different rights of use.
  • a subsequent family member may continue the user session of the previous active family member, with the rights that the previous active family member also has if the subsequent Fa ⁇ milien go not.
  • the children of a family could access web pages, but only the parents have the rights to access them. For children, this access is blocked if they log on using the same computer but with their own ID. The children would then be able to access the way pages when the parents, in the belief that they are going to resume the user session immediately, interrupt the user session and then stop the user session immediately. Then the end of the user session, the parents do not time, for example because of too However, large time constant for a tolerated inactivity ⁇ close enough recognized the children instead of their parents can lead to which is still in action user session on and, for example, access the web pages mentioned above.
  • HTTP coockies to track a user's surfing behavior towards a specific web server and to pre-allocate the user name of a user in question for future registration.
  • Session Tracking "known. The latter is also known under the title: "Remember-Login-Name”.
  • Authentication method is used, for example, in the already available broadband router: D-Link DFL-700 Network Security Firewall.
  • the subsequent network or data traffic which is mainly not addressed to the Internet gateway itself, but is only transported via this to another network area, the respectively authenticated associated users assign For example, the following properties are evaluated by the relevant Internet gateway: Client MAC and / or IP address;
  • SSL / TLS session for HTTPS network traffic to the access point.
  • Web browsers are computer programs for viewing web pages on the Internet. In addition to HTML pages, they can display various other types of documents.
  • HTTP Hypertext Transfer P j otocol
  • HTTPS HTTPS stands for Hypertext Transfer Pjotocol Secure (HTTPS) and is a network protocol that enables a secure HTTP connection between computers.
  • TLS is T_ransport L_ayer ⁇ Security and is a pro ⁇ Protocol for encrypting data transmissions on the Internet.
  • SSL SSL stands for Secure ⁇ Sockets L_ayer or Secure Server L_ine and stands for a network protocol for the secure transmission, inter alia, of Internet pages.
  • HTML Hypertext Markup L_anguage
  • HTML is a docu ⁇ tenformat on the Awarding of hypertext on the World Wide Web. It is a markup language for describing information in hypertexts.
  • Cookie A cookie is a short entry in a mostly small database on a computer and is used for the exchange information between computer programs or the time-limited archiving of information.
  • HTTP cookie An HTTP cookie is information that a web browser sends, which the browser then sends back to later users for access to the same web server.
  • MAC Media Access Control.
  • MAC is factory communication a term from the network ⁇ and describes a network protocol.
  • MAC address The MAC address (Media Access Control, also known as LAN address, Ethernet ID or Apple Airport ID) is the hardware address of all network devices used to uniquely identify the device in the network.
  • IP Internet P_rotocol.
  • IP refers to a protocol in network technology.
  • IP Address An IP address (Internet Protocol address) is a date that a logical addressing of devices (hosts) in IP networks such as the Internet, he ⁇ laubt. A host (for example, computer, router, printer, IP phone) will have at least one IP address unique in its subnet at a time. This allows IP addresses to communicate with each other on the network.
  • URL Uniform Resource Locator. URLs identify a resource through its primary access mechanism, often http or ftp, and the location of the resource on computer networks.
  • the object of the present invention is, starting from a method of the type mentioned, to provide a method for the secure detection of the end of a user session with the advantages of being automatically executable and suitable for the home.
  • the user authentication carried out for the first time by a user of the client device in question takes place between the relevant client device and the Internet gateway by HTTP or HTML (HTTP basic, Di ⁇ gest-Authentication, HTML form-based authentication), that is, to a web server on the Internet gateway.
  • HTTP HyperText Transfer Protocol
  • HTML HyperText Transfer Protocol basic, Di ⁇ gest-Authentication, HTML form-based authentication
  • the web server installs corresponding status information (HTTP cookie) on the client device.
  • the Internet gateway grants access to said specific user or its client device which corresponds to the authorizations of the authenticated user of the particular user in question (firewall, packet filter).
  • a first time counter expires regarding a tolerated user inactivity and / or an absolute session duration length for a current user session
  • an HTTP re-direct to an HTTP page on the Internet gateway.
  • the client device sends the installed status information (HTTP cookie) to the Internet gateway.
  • the Internet Gateway checks the sent status information. In a positi ⁇ ven check result then sends the Internet gateway another HTTP Re-Direct, now on the originally from the client device nally requested web page. In the case of a negative verification result, the Internet gateway requires a renewed user authentication as initially.
  • the Internet gateway uses both time counters for detecting the time period of the user's current non-use of the user session and time counters for recognizing the achievement or overrunning of an absolute session duration length. More preferably, the Internet gateway uses two values each for both the tolerated inactivity counter and the absolute session duration length counter.
  • the respective kür ⁇ zere value indicates that the method described above for immediate re-authentication is allowed without user intervention, and is therefore to be performed without user intervention. However, if the longer-lasting timer value has expired, a new, complete user
  • At least the first time counters can be set relatively short because the automatic re-authentication is carried out for a user without additional expenditure.
  • the current Anwen is if the message sent during the re- authentication status information to the user session is part of another user, ⁇ the session associated with that other users and enforced also associated with that user permission from that date.
  • the longer-lasting but not the traffic that authentication Re is not suitable for that is, all traffic except HTTP Request, continues to be assigned to the respective authenticated user and enforced its corresponding authorizations. Only when the prolonged time counter is running strig ⁇ , the permissions are enforced, the gel ⁇ th, as long as a user is not authenticated.
  • the communication to the Internet gateway includes special protocols such as HTTPS, ie HTTP over SSL / TLS instead of unsecured HTTP, then instead of or in addition to the Cockie-based status information, the special protocol session can also be used, for example SSL / TSL session, to be evaluated as status information.
  • the method according to the invention improves the recognition of a continuing or terminated user session for network traffic via an Internet gateway. This it is, ⁇ enough by the evaluation is combined a reliable, definitively attributable to the user relevant criterion for traffic to the Internet gateway with the Auswer ⁇ processing of less reliable criteria such as client IP / MAC address for traffic which is not directed to the Inter ⁇ net gateway. This combined, improved recognition is transparent to the user. He noted gege ⁇ appropriate, only a slight delay action in traffic.
  • the invention allows, for the short duration periods, ie for non-usage time sequences, small values to ver ⁇ call without the user through frequent to bother re-authentications. This will make the end of a user session more accurate and reliable.
  • the long-lasting time counters would be set to very large values, for example
  • the new user can only do so for a relatively short time, namely, until the next re-authentication based on the absolute session duration length Continue to use the session of the previous user.
  • Figure 1 shows a known deployment scenario for an Internet access
  • Figure 2 is a schematic flow of a known HTTP re-Direct process
  • FIGS 3 and 4 a schematic flow of an Internet connection according to the invention.
  • FIG. 1 is a notebook (wireless client) via a
  • the Internet gateway which establishes the actual In ⁇ ternet connection, ver ⁇ connected with the Internet (Internet).
  • the Internet gateway which in the present exemplary embodiment, as stated, is a WLAN access point, could for example also be realized by an ADSL modem operating in accordance with the Ethernet standard.
  • the notebook is just on the Internet page: wvjw. googl e. com, switched on.
  • FIG. 2 shows a schematic representation of a message flow diagram. It shows the basic processes for an Internet re-direction on a login page of a gateway.
  • the Internet gateway functions for a user, for example, as a wireless access point through which he can ⁇ fen zugrei on the Internet.
  • Such Internet re-directions are used by Freenet, for example, to force users who want to dial into the Internet into the Freenet home page instead of the home page they want to dial in to.
  • the Internet re-directions are used to force customers to a vor ⁇ given welcome page on which, for example, freely available local information is displayed. Such local information may, for example, concern information about airports or restaurant menus.
  • Such Internet re-directions are used to allow the user to enter authentication data so that the user can gain access to public internet sites.
  • the Internet Gateway monitors the access requests to port 80 (http).
  • the Internet Gateway intercepts the access request and redirects it to a special login page.
  • a user accesses the http server www. google. com and requests the file located on it: "/ index. html".
  • This access request is intercepted by the Internet Gateway.
  • the Internet gateway sends an HTTP re-direction message: 302 Moved Temporarily, back with the URL address is displayed in the instead vice ⁇ forwards will.
  • this is the login page of the Internet gateway: http: //192.168.0. l / login .html.
  • the wender then requests this login page instead of its original Internet site.
  • the Internet gateway After the user has authenticated, Internet access made by him is no longer intercepted by the Internet gateway. If the user now, for example, the www. google. com server requests, this request is immediately forwarded to the server in question. Preferably, after the authentication has been completed, the user's Internet gateway remembers the originally requested URL address and forwards the user to the corresponding destination address.
  • FIGS. 3 and 4 the re-authentication according to the invention, namely a cookie-based re-authentication, is shown in greater detail.
  • Cookie-based re-authentication can be used in two different ways.
  • the Web browser user profile defines specific Settin ⁇ gen such as so-called bookmarks, and other appli ⁇ the related peculiarities found also lets users related cookies be taken into account. So if the Be ⁇ operating system of a personal computer or used in ⁇ ternet browser already different users are different and have different profiles with each of these users in Connect this knowledge can be used so that an Internet gateway automatically authenticates the currently active user.
  • FIGS. 3 and 4 show in greater detail the re-authentication process according to the invention with reference to a schematic message flow diagram.
  • the figures 3 and 4 are to be understood in such a way that in Figure 4, the figure 3 is continued.
  • FIG. 4 is therefore to be attached to FIG. 3 below FIG.
  • FIGS. 3 and 4 The texts to be taken from FIGS. 3 and 4 are to be regarded as included in the present description. Therefore, they are not ex reproduced again at this point ⁇ plicitly.
  • three paths are arranged side by side, of which the left path is for a user, the middle one for a user-used Internet gateway and the right one for a server on the Internet. In between the corresponding information will be exchanged.
  • the arrow directions indicate the exchange direction. From top to bottom, the time sequence is plotted.
  • the Inter ⁇ net gateway as an access point to the Internet installs a Coockie on the client device, the device of the user in question.
  • the coockie is preferably already set with the first sent HTTP response, namely the sent login page of the access point. This allows the access point to recognize ⁇ when the second message is sent by the user, this message will contain the user name and the user's password, if the client device supports Coopers ckies. Supports client device ckies no Coopers, the access point a long time-out values could USAGE ⁇ , as the re-authentication for the user would not be transparent.
  • Timeout values may relate to both an absolute session duration length and a nonuse time period. In this case, both a short-term value and a long-term value can be taken into account for both positions. If a long-term value is not reached over ⁇ , is again a complete authentication necessary, at which the special user reference data must be entered. However, if only a short-term value has been exceeded, re-authentication based on coockies is accepted.
  • the user accesses an Internet site with a specific URL, for example on the public Internet. For example, he accesses the Internet site http://www.yahoo.com/index.html.
  • the HTTP request to the Internet is caught by the access point.
  • the access point sends a re-direction message (Moved Temporarily) to the user's client device to direct its request to the login page of the access point provided by the access point. If the user requests his access with this login page, then the client device of the user with this request also immediately sends corresponding coockies to the access point. If the access point then accepts the sierende on data supplied Coockies ba ⁇ re-authentication takes place Wiederak ⁇ tivtechnik the blocked because of timing user session.
  • a re-direction message Moved Temporarily
  • the elapsed time counter is reset.
  • the user is sent back a second re-direction message (Moved Temporarily) in which the user is informed that his request is now for the originally requested Internet appearance, in the present case the originally requested URL http://www.yahoo.com/index.html, is diverted.
  • the user can now request this appearance without the request being intercepted by the access point. There now exists ⁇ as a valid user session for the user.
  • the access point In the event that the access point decides on the hand of him in the course of the diversion from the client device sent coockies that re-authentication of the user is not is acceptable, the access point, in its second response to the user, directs the user to the "normal" login page provided for that access so as to allow the user to log in completely.
  • the identification of a previously already authenticated user with reference to a Coockies or with reference to a vormali ⁇ gen SSL / TLS session can also be used to avoid the that a user's user name or user name, his password or password, and so on must enter. If a valid copy or valid SSL / TLS session has been recognized for a user, this information is accepted as a user authentication.
  • the period of validity of such an authentication can be limited in time. After this period of validity, the user must authenticate himself again with his user name and password. Although security is obviously reduced if the password is not entered as well. Nevertheless, it is user-friendly and can be accepted if this simplification is combined with automatic re-direction to the currently requested URL destination.
  • the value or meaning stored in the mailing is in a form that can not be decrypted by any of the various users.
  • One way is to store a supposedly random value ("nonce"). In any case, you should not save the user name, a user ID or a session counter. Such information could be determined.
  • the password should not be saved because it would be decipherably transmitted each time an Internet page is accessed on the access point. In addition, it would be stored in decipherable manner on the personal computer.

Abstract

The invention relates to a method for securely identifying the end of a user session, authorising automatic re-authentication. The user authentication carried out for the first time for a clearly concerned user of a client appliance is then executed between the associated client appliance and an Internet gateway via HTTP or HTML, i.e. in relation to a web server on the Internet gateway. This web server installs corresponding status information on the client appliance. Following authentication, the Internet gateway grants access to the user concerned, corresponding to the rights of said authenticated user. When a first time meter relating to tolerated user inactivity and/or an absolute session period has expired for a current user session, an HTTP re-direct to an HTTP page is carried out on the Internet gateway, during a subsequent HTTP request by the client appliance of the user for access to a web server in the internet from the Internet gateway. The client appliance sends the status information installed by the web server to the Internet gateway. The Internet gateway checks the status information sent. If the check is positive, the Internet gateway sends another HTTP re-direct to the web page originally requested by the client appliance, otherwise a new user authentication is required as initially described.

Description

Beschreibungdescription
Verfahren zum sicheren Erkennen des Endes einer Anwender- SitzungA method for the secure detection of the end of a user session
Die Erfindung betrifft ein Verfahren zum sicheren Erkennen des Endes einer Anwender-Sitzung gemäß dem Oberbegriff des einzigen Anspruchs.The invention relates to a method for the secure detection of the end of a user session according to the preamble of the single claim.
Ein so genanntes Internet-Gateway, beispielsweise ein so ge¬ nannter WLAN (engl . : Wireless L_ocal Area Network) -Access-Point beziehungsweise WLAN-Zugriffspunkt oder ein so genanntes ADSL (engl.: Asymmetrie Digital Subscriber Line) -Modem, das anwenderspezifische Beschränkungen bezüglich des Internet-Zugangs durchsetzt, muss einen jeweiligen Anwender authentisieren und dann den abzuwickelnden Datenverkehr zu einem jeweiligen au- thentisierten Anwender jeweils korrekt dem jeweils betreffenden authentisierten Anwender zuordnen.A so-called Internet gateway, such as a so-¬-called WLAN (Engl. Wireless L_ocal Area Network) Access Point or wireless access point or a so-called ADSL (ger .: Asymmetric Digital Subscriber Line) modem, the custom Internet access restrictions are enforced, must authenticate a respective user and then correctly assign the data traffic to a respective authenticated user to each respective authenticated user.
Um Fehler in der Zuordnung eines Datenverkehrs zu einem authentisierten Anwender zu vermeiden, ist es notwendig, dass durch das Internet-Gateway ein Ende einer Sitzung eines au¬ thentisierten Anwenders erkannt wird, und zwar möglichst zeitnah zum wirklichen Ende der betreffenden Anwender- Sitzung.Errors in the assignment to avoid a traffic to authenticated users, it is necessary that an end of a session is detected an au ¬ thentisierten user through the Internet gateway, namely as close as possible to the very end of the user session in question.
Das Ende einer Anwender-Sitzung wird auf verschiedene Art und Weise erkannt .The end of a user session is recognized in different ways.
Es gibt eine vorgegebene Zeitdauer, die ein Anwender inaktiv sein darf, bevor das Ende der Anwender-Sitzung angenommen wird.There is a predetermined amount of time that a user may be inactive before accepting the end of the user session.
Einer Anwender-Sitzung ist eine absolute Sitzungsdauerlänge zugeordnet, bei deren erreichen die Anwender-Sitzung als beendet angesehen wird (absoluter Zeitablauf) . Ein Anwender gibt ein so genanntes Logout (Abmelden von der Anwender-Sitzung) ein. In diesem Fall ist das Ende der betreffenden Anwender-Sitzung bewusst herbeigeführt beziehungsweise erzwungen worden.A user session is assigned an absolute session duration length, during which the user session is considered completed (absolute timeout). A user enters a so-called logout (logout from the user session). In this case, the end of the relevant user session has been deliberately initiated or enforced.
Der Datenverkehr, der zu einem konkreten Anwender gehört, kann im Allgemeinen nur durch „schwache" und nicht eindeutige Verfahren diesem Anwender zugeordnet werden. Problematisch ist hier insbesondere die Verarbeitung der so genannten MAC (Media-Access-Control) - und/oder IP (^nternet-P_rotocol) - Adresse .The data traffic that belongs to a specific user can generally be assigned to this user only through "weak" and non-unique methods. [Problem Problem] The problem here is in particular the processing of the so-called MAC (Media Access Control) and / or IP ( ^ nternet-p_rotocol) - address.
Es besteht weiter das Problem, dass die vorgegebene maximale Zeitdauer, bis zu der eine Anwender-Inaktivität toleriert ist, einerseits möglichst kurz sein soll, damit das Ende ei¬ ner betreffenden Anwender-Sitzung möglichst exakt mit einer tatsächlich getätigten letzten Anwender-Sitzungsaktivität zu¬ sammenfällt, das heißt, dass das Ende der Anwender-Sitzung möglichst zeitnah zur letzten Sitzungs-Aktivität erkannt wird, dass sich aber andererseits ein Anwender nicht sofort wieder neu gegenüber dem Internet-Gateway authentisieren beziehungsweise dort anmelden muss, nur weil er eine kurze Pau¬ se eingelegt hat.There is also the problem that the predetermined maximum time period until a user inactivity is tolerated, on the one hand to be as short as possible, so that the end ei ¬ ner relevant user session as accurately as possible with an actual past user session activity to ¬ coincides, that is, the end of the user session as soon as possible to the last session activity is detected, but on the other hand, a user does not immediately authenticate again against the Internet gateway or login there, just because he has a short Pau ¬ has inserted.
Im übrigen soll die Exaktheit des Erkennens der Beendigung einer aktiven Anwender-Sitzung eines konkreten Anwenders nicht davon abhängen, dass der betreffende konkrete Anwender stets seine sich im aktiven Modus befindliche Anwender- Sitzung durch ein Logout, das heißt, durch ein konkretes Ab- melden, explizit beendet.Moreover, the exactness of the recognition of the termination of an active user session of a specific user should not depend on the specific user concerned always checking his user session in active mode by a logout, that is, by a specific logoff, explicitly ended.
Die vorgenannten Probleme sind insbesondere dann relevant, wenn ein und dasselbe Client-Gerät, das an das Internet- Gateway angeschlossen ist, wechselweise von unterschiedlichen Anwendern benutzt ist.The aforementioned problems are particularly relevant when one and the same client device connected to the Internet gateway is used alternately by different users.
Beispielsweise kann in einem Heimbereich einer Familie ein einzelner so genannter Personal Computer (PC) oder ein ein- zelnes so genanntes Notebook als ein Client-Gerät im Wechsel von den einzelnen Familienmitgliedern benutzt sein, wobei, und das sei zumindest hier für den vorliegenden Beispielfall so, den einzelnen Familienmitglieder unterschiedliche Nut- zungsrechte zugeordnet sind.For example, in a home area of a family, a single so-called personal computer (PC) or a a so-called notebook as a client device in turn be used by the individual family members, and, at least here for the present example case, the individual family members are assigned different rights of use.
Wird in so einem Fall das Ende einer aktiven Anwender-Sitzung für ein konkretes Familienmitglied nicht exakt erkannt, kann ein nachfolgendes Familienmitglied die Anwender-Sitzung des vorausgegangen aktiv gewesenen Familienmitglieds weiterführen, und zwar mit den Rechten, die das vorausgegangen aktiv gewesene Familienmitglied hat, auch wenn das nachfolgende Fa¬ milienmitglied diese Rechte selbst nicht hat.If, in such a case, the end of an active user session for a specific family member is not accurately recognized, a subsequent family member may continue the user session of the previous active family member, with the rights that the previous active family member also has if the subsequent Fa ¬ milienmitglied these rights itself has not.
Im Detail könnten so zum Beispiel die Kinder einer Familie auf Web-Seiten zugreifen, für deren Zugriff aber nur die Eltern die Rechte haben. Für die Kinder ist dieser Zugriff gesperrt, wenn sie sich zwar mit Hilfe des gleichen Computers, aber mit ihrer eigenen Kennung anmelden. Die Kinder könnten dann auf die Weg-Seiten zugreifen, wenn die Eltern im Glauben, die Anwender-Sitzung gleich wieder weiter zu führen, die Anwender-Sitzung unterbrechen und dann die Anwender-Sitzung doch nicht mehr sofort weiter führen. Wird dann das Ende der Anwender-Sitzung der Eltern beispielsweise wegen der zu gro- ßen Zeitkonstante für eine tolerierte Inaktivität nicht zeit¬ nah genug erkannt, können die Kinder an Stelle der Eltern die sich noch in Aktion befindliche Anwender-Sitzung weiter führen und zum Beispiel auf die oben erwähnten Web-Seiten zugreifen .In detail, for example, the children of a family could access web pages, but only the parents have the rights to access them. For children, this access is blocked if they log on using the same computer but with their own ID. The children would then be able to access the way pages when the parents, in the belief that they are going to resume the user session immediately, interrupt the user session and then stop the user session immediately. Then the end of the user session, the parents do not time, for example because of too However, large time constant for a tolerated inactivity ¬ close enough recognized the children instead of their parents can lead to which is still in action user session on and, for example, access the web pages mentioned above.
Um eine Anwender-Sitzung zu starten, sind Authentisierungs- maßnahmen für die Authentisierung am Internet-Gateway notwendig. Diese Maßnahmen sind aufwändig, insbesondere dann, wenn sie nach mehreren zu langen Pausen immer wieder auszuführen sind. Es ist daher wünschenswert, hierfür eine automatische Durchführung zu haben, die insbesondere für den Heimbereich geeignet ist. Es ist bekannt, neben der vorgegebenen Zeitdauer, bis zu der eine Inaktivität innerhalb einer aktiven Anwender-Sitzung toleriert ist, eine absolute Zeitdauer, bis zu der eine Anwen¬ der-Sitzung längstens dauern kann, zu berücksichtigen. Ferner ist bekannt, ein explizites so genanntes „Log-Off", ein ex¬ plizites Abmelden, ein explizites Beenden einer Anwender- Sitzung, zu berücksichtigen.In order to start a user session, authentication measures for the authentication at the Internet gateway are necessary. These measures are costly, especially if they are repeatedly run after several too long breaks. It is therefore desirable to have an automatic implementation for this, which is particularly suitable for home use. It is known that in addition to the predetermined period of time, up to the inactivity session user is tolerated within an active, an absolute time to which one appli ¬ may take longer than the session to consider. Furthermore, an explicit so-called "Log Off", an ex ¬ plizites Logout Explicit closing is known to include a user session.
Weiter ist bekannt, so genannte „HTTP-Coockies" zu verwenden, um das Surf-Verhalten eines Anwenders gegenüber einem konkreten Web-Server verfolgen und um den Anwendernamen eines betreffenden Anwenders für künftige Anmeldung vorbelegen zu können. Erstgenanntes ist auch unter dem Begriff: „Session Tracking" bekannt. Zuletztgenanntes ist auch unter dem Beg- riff: „Remember-Login-Name" bekannt.It is also known to use so-called "HTTP coockies" to track a user's surfing behavior towards a specific web server and to pre-allocate the user name of a user in question for future registration. Session Tracking "known. The latter is also known under the title: "Remember-Login-Name".
Weiter ist ein Verfahren zur Authentisierung eines konkreten Anwenders gegenüber einem Internet-Gateway bekannt, bei dem das Anmelden mit einem Anwendernamen und einem Passwort auf einer so genannten „HTML-Seite" erfolgt. Ein solchesFurthermore, a method for authenticating a specific user with respect to an Internet gateway is known, in which the registration takes place with a user name and a password on a so-called "HTML page"
Authentisierungs-Verfahren ist beispielsweise beim heute schon erhältlichen Breitband Router: D-Link DFL-700 Network Security Firewall, eingesetzt.Authentication method is used, for example, in the already available broadband router: D-Link DFL-700 Network Security Firewall.
Um nach einer solchen Anwender-Authentisierung auf einem entsprechend zugehörigen Internet-Gateway den nachfolgenden Netz- beziehungsweise Datenverkehr, der überwiegend nicht an das Internet-Gateway selbst gerichtet ist, sondern nur über dieses zu einem anderen Netzbereich transportiert wird, dem jeweils zugehörig authentisierten Anwender zuordnen zu können, werden beispielsweise folgende Eigenschaften vom betreffenden Internet-Gateway ausgewertet : Client MAC- und/oder IP-Adresse;After such a user authentication on a corresponding associated Internet gateway, the subsequent network or data traffic, which is mainly not addressed to the Internet gateway itself, but is only transported via this to another network area, the respectively authenticated associated users assign For example, the following properties are evaluated by the relevant Internet gateway: Client MAC and / or IP address;
Im Fall eines WLAN-Zugriffspunktes kann eine bestehende WLAN-Assoziierung und ein eventuell verwendeter transienter Sicherheitsparameter ausgewertet werden, ein so genannter „Pairwise-Transient-Key" (PTK) , der während des Ablaufs eines so genannten „4-Way-Handshake- Verfahrens" von einem so genannten „Master-Session-Key" (MSK) abgeleitet worden ist. Dabei kann es jedoch sein, dass eine WLAN-Assoziierung, die mit einem Netzwerk-Key, einem so genannten „Pre-Shared-Key" (PSK) , abgesichert ist, in vielen Fällen auch bei einem Anwenderwechsel bestehen bleibt. Beispielsweise sind bei Windows XP die WLAN-Profile nicht anwenderspezifisch definiert; HTTP-Cookie für HTTP [S] -Netzverkehr zum Internet-Gateway, zum Beispiel für die Anwender-Login/Logout-Seite oder für die Administrations-Seiten;In the case of a WLAN access point, an existing WLAN association and a possibly used transient security parameter can be evaluated, a so-called "pairwise transient key" (PTK), which occurs during the course of a so-called "4-way handshake". Method "has been derived from a so-called" Master Session Key "(MSK). However, it may happen that a WLAN association, which is secured with a network key, a so-called "pre-shared key" (PSK), in many cases also persists when the user switches over XP does not define the WLAN profiles user-specifically; HTTP cookie for HTTP [S] network traffic to the Internet gateway, for example for the user login / logout page or for the administration pages;
SSL/TLS-Sitzung für HTTPS-Netzverkehr zum Zugriffspunkt.SSL / TLS session for HTTPS network traffic to the access point.
An dieser Stelle seien einige wiederkehrende bekannte Kurzbe¬ zeichnungen näher erläutert :At this point, some recurring known Kurzbe ¬ drawings are explained in more detail:
Web-Browser : Web-Browser sind Computerprogramme zum Betrachten von Web-Seiten im Internet. Neben HTML-Seiten können sie verschiedene andere Arten von Dokumenten anzeigen. HTTP : Das Hypertext Transfer Pjotocol (HTTP) ist ein Proto- koll zur Übertragung von Daten über ein Netzwerk. Es wird hauptsächlich eingesetzt, um Web-Seiten und andere Daten aus dem World Wide Web (WWW) in einen Web-Browser zu laden. HTTPS : HTTPS steht für Hypertext Transfer Pjotocol Secure (HTTPS) und ist ein Netzwerkprotokoll, das eine gesicherte HTTP-Verbindung zwischen Rechnern ermöglicht.Web browsers: Web browsers are computer programs for viewing web pages on the Internet. In addition to HTML pages, they can display various other types of documents. HTTP: Hypertext Transfer P j otocol (HTTP) is a proto- col for transmitting data over a network. It is mainly used to load web pages and other data from the World Wide Web (WWW) into a web browser. HTTPS: HTTPS stands for Hypertext Transfer Pjotocol Secure (HTTPS) and is a network protocol that enables a secure HTTP connection between computers.
TLS : TLS steht für T_ransport L_ayer ^Security und ist ein Pro¬ tokoll zur Verschlüsselung von Datenübertragungen im Internet . SSL : SSL steht für Secure ^Sockets L_ayer oder auch Secure Ser- ver L_ine und steht für ein Netzwerkprotokoll zur sicheren Ü- bertragung u. a. von Internet-Seiten.TLS: TLS is T_ransport L_ayer ^ Security and is a pro ¬ Protocol for encrypting data transmissions on the Internet. SSL: SSL stands for Secure ^ Sockets L_ayer or Secure Server L_ine and stands for a network protocol for the secure transmission, inter alia, of Internet pages.
HTML : Die Hypertext Markup L_anguage (HTML) ist ein Dokumen¬ tenformat zur Auszeichnung von Hypertext im World Wide Web. Sie ist eine Auszeichnungssprache zur Beschreibung von Infor- mationen in Hypertexten.HTML: Hypertext Markup L_anguage (HTML) is a docu ¬ tenformat on the Awarding of hypertext on the World Wide Web. It is a markup language for describing information in hypertexts.
Cookie : Ein Cookie ist ein kurzer Eintrag in einer meist kleinen Datenbank auf einem Computer und dient dem Austausch von Informationen zwischen Computerprogrammen oder der zeitlich beschränkten Archivierung von Informationen. HTTP-Cookie : Ein HTTP-Cookie bezeichnet Informationen, die ein Web-Browser sendet, die dann der Browser wiederum bei späteren Zugriffen auf denselben Web-Server zurücksendet.Cookie: A cookie is a short entry in a mostly small database on a computer and is used for the exchange information between computer programs or the time-limited archiving of information. HTTP cookie: An HTTP cookie is information that a web browser sends, which the browser then sends back to later users for access to the same web server.
MAC: Media Access Control. MAC ist ein Begriff aus der Netz¬ werkkommunikation und beschreibt ein Netzwerkprotokoll. MAC-Adresse : Die MAC-Adresse (Media Access Control, auch LAN- Adresse, Ethernet-ID oder Apple Airport-ID genannt) ist die Hardware-Adresse aller Netzwerkgeräte, die zur eindeutigen Identifikation des Geräts im Netzwerk dient.MAC: Media Access Control. MAC is factory communication a term from the network ¬ and describes a network protocol. MAC address: The MAC address (Media Access Control, also known as LAN address, Ethernet ID or Apple Airport ID) is the hardware address of all network devices used to uniquely identify the device in the network.
IP : Internet P_rotokoll. IP bezeichnet ein Protokoll in der Netzwerktechnik . IP-Adresse : Eine IP-Adresse (Internet Protocol Adresse) ist ein Datum, welches eine logische Adressierung von Geräten (Hosts) in IP-Netzwerken wie zum Beispiel dem Internet er¬ laubt. Ein Host (zum Beispiel Computer, Router, Drucker, IP- Telefon) hat zu einem Zeitpunkt dabei mindestens eine IP- Adresse, die in seinem Subnetz eindeutig ist. Damit ermögli- chen IP-Adressen den Geräten im Netzwerk miteinander zu kommunizieren .IP: Internet P_rotocol. IP refers to a protocol in network technology. IP Address: An IP address (Internet Protocol address) is a date that a logical addressing of devices (hosts) in IP networks such as the Internet, he ¬ laubt. A host (for example, computer, router, printer, IP phone) will have at least one IP address unique in its subnet at a time. This allows IP addresses to communicate with each other on the network.
URL : Uniform Ressource Locator. URLs identifizieren eine Ressource über ihren primären Zugriffsmechanismus, häufig http oder ftp, und den Ort der Ressource in Computernetzwerken.URL: Uniform Resource Locator. URLs identify a resource through its primary access mechanism, often http or ftp, and the location of the resource on computer networks.
Aufgabe der vorliegenden Erfindung ist es, ausgehend von einem Verfahren der eingangs genannten Art, ein Verfahren zum sicheren Erkennung des Endes einer Anwender-Sitzung anzugeben mit den Vorteilen, automatisch ausführbar und für den Heimbe- reich geeignet zu sein.The object of the present invention is, starting from a method of the type mentioned, to provide a method for the secure detection of the end of a user session with the advantages of being automatically executable and suitable for the home.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren ge¬ löst, das die Verfahrensschritte im kennzeichnenden Teil des einzigen Anspruchs aufweist.This object is achieved by a ge ¬ solves, having the method steps in the characterizing part of the single claim.
Danach erfolgt die für einen konkret betreffenden Anwender des besagten Client-Geräts erstmalig durchgeführte Anwender- Authentisierung zwischen dem betreffenden Client-Gerät und dem Internet-Gateway durch HTTP oder HTML (HTTP-Basic, Di¬ gest-Authentication; HTML-Form-Based-Authentication) , das heißt, gegenüber einem Web-Server auf dem Internet-Gateway. Der Web-Server installiert auf dem Client-Gerät eine entspre- chende Statusinformation (HTTP-Cookie) . Nach erfolgter Au- thentisierung gewährt das Internet-Gateway dem besagten konkret betreffenden Anwender beziehungsweise dessen Client- Gerät einen Zugriff, der den Berechtigungen des authentisier- ten besagten konkret betreffenden Anwenders entspricht (Fire- wall, Paketfilter) . Läuft im Laufe der Zeit ein erster Zeitzähler bezüglich einer tolerierten Anwender-Inaktivität und/oder bezüglich einer absoluten Sitzungsdauerlänge für eine aktuelle Anwender-Sitzung ab, erfolgt bei einem nächsten HTTP-Request durch das Client-Gerät des besagten Anwenders zu einem gewünschten Web-Server im Internet vom Internet-Gateway ein HTTP-Re-Direct auf eine HTTP-Seite auf dem Internet- Gateway. Daraufhin, entweder automatisch durch das Client- Gerät oder nach einer entsprechenden Aufforderung an den Anwender durch entsprechende Betätigung durch den Anwender, sendet das Client-Gerät die installierte Statusinformation (HTTP-Cookie) an das Internet-Gateway. Das Internet-Gateway überprüft die zugesandte Statusinformation. Bei einem positi¬ ven Überprüfungsergebnis sendet dann das Internet-Gateway ein weiteres HTTP-Re-Direct, jetzt auf die vom Client-Gerät ur- sprünglich angeforderte Web-Seite. Bei einem negativen Überprüfungsergebnis wird vom Internet-Gateway eine erneute An- wender-Authentisierung, wie anfangs, gefordert.After that, the user authentication carried out for the first time by a user of the client device in question takes place between the relevant client device and the Internet gateway by HTTP or HTML (HTTP basic, Di ¬ gest-Authentication, HTML form-based authentication), that is, to a web server on the Internet gateway. The web server installs corresponding status information (HTTP cookie) on the client device. After authentication has taken place, the Internet gateway grants access to said specific user or its client device which corresponds to the authorizations of the authenticated user of the particular user in question (firewall, packet filter). If, over time, a first time counter expires regarding a tolerated user inactivity and / or an absolute session duration length for a current user session, the next time an HTTP request is made by the client device of that user to a desired web server on the Internet from the Internet gateway, an HTTP re-direct to an HTTP page on the Internet gateway. Thereupon, either automatically by the client device or upon a corresponding request to the user by corresponding actuation by the user, the client device sends the installed status information (HTTP cookie) to the Internet gateway. The Internet Gateway checks the sent status information. In a positi ¬ ven check result then sends the Internet gateway another HTTP Re-Direct, now on the originally from the client device nally requested web page. In the case of a negative verification result, the Internet gateway requires a renewed user authentication as initially.
Letzteres wird auch dann gefordert, wenn ein gegebenenfalls vorhandener zweiter Zeitzähler bezüglich der tolerierten Anwender-Inaktivität und/oder bezüglich der absoluten Sitzungsdauerlänge vorhanden und überschritten ist, wobei der jewei¬ lige zweite Zeitzähler länger andauernd eingestellt ist, als der jeweilig entsprechende erste Zeitzähler.The latter is also required if a possibly present second time counter of tolerated user inactivity and / or with respect to the absolute session time length is present and exceeded with respect to the jewei ¬ celled second time counter is set constantly longer than the respective corresponding first time counter.
Vorzugsweise verwendet das Internet-Gateway sowohl Zeitzähler für das Erkennen der Zeitspanne einer momentanen Nichtnutzung der Anwender-Sitzung durch den Anwender als auch Zeitzähler für das Erkennen des Erreichens beziehungsweise Überschrei¬ tens einer absoluten Sitzungsdauerlänge. Weiter vorzugsweise verwendet das Internet-Gateway jeweils zwei Werte sowohl für den Zähler für eine tolerierte Inaktivität als auch für den Zähler für eine absolute Sitzungsdauerlänge. Der jeweils kür¬ zere Wert gibt an, dass das oben beschriebene Verfahren zur sofortigen Re-Authentisierung ohne Anwenderzutun zulässig ist und demzufolge ohne Anwenderzutun durchgeführt werden soll. Ist jedoch jeweils der länger andauernde Zeitzählerwert abge- laufen, ist eine erneute, vollständige Anwender-Preferably, the Internet gateway uses both time counters for detecting the time period of the user's current non-use of the user session and time counters for recognizing the achievement or overrunning of an absolute session duration length. More preferably, the Internet gateway uses two values each for both the tolerated inactivity counter and the absolute session duration length counter. The respective kür ¬ zere value indicates that the method described above for immediate re-authentication is allowed without user intervention, and is therefore to be performed without user intervention. However, if the longer-lasting timer value has expired, a new, complete user
Authentisierung, wie ganz zu Anfangs auch, also eine Anwen- der-Authensisierung mit Anwenderzutun, erforderlich.Authentication, as at the very beginning, ie a user authensisation with user action required.
Zumindest die ersten Zeitzähler können relativ kurz einge- stellt werden, weil ohne Mehraufwand für einen Anwender die automatische Re-Authentisierung durchgeführt ist.At least the first time counters can be set relatively short because the automatic re-authentication is carried out for a user without additional expenditure.
Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von Unteransprüchen.Advantageous embodiments of the invention are the subject of dependent claims.
In einer Variante wird, falls die während der Re- Authentisierung gesendete Statusinformation zu der Anwender- Sitzung eines anderen Anwenders gehört, die aktuelle Anwen¬ der-Sitzung diesem anderen Anwender zugeordnet und ab diesem Zeitpunkt auch die zu diesem Anwender gehörende entsprechende Berechtigung durchgesetzt.In a variant, the current Anwen is if the message sent during the re- authentication status information to the user session is part of another user, ¬ the session associated with that other users and enforced also associated with that user permission from that date.
Falls bei vorhanden Sein eines kürzer und eines länger andau¬ ernden Zeitzählers der kürzer andauernde Zeitzähler bereits abgelaufen ist, der länger andauernde aber noch nicht, der Datenverkehr, der nicht für die Re-Authentisierung geeignet ist, das heißt, jeglicher Datenverkehr außer dem HTTP- Request, weiterhin dem betreffenden authentisierten Anwender zugeordnet und dessen entsprechenden Berechtigungen durchge- setzt. Erst wenn auch der länger andauernde Zeitzähler abge¬ laufen ist, werden die Berechtigungen durchgesetzt, die gel¬ ten, solange ein Anwender noch nicht authentisiert ist. Falls die Kommunikation zum Internet-Gateway Spezialprotokol- Ie beinhaltet wie zum Beispiel HTTPS, das heißt HTTP über SSL/TLS anstatt ungesichertem HTTP, kann anstatt oder zusätzlich zur Cockie-basierten Statusinformation auch die Spezial- protokoll-Sitzung, das heißt zum Beispiel die SSL/TSL- Sitzung, als Statusinformation ausgewertet werden.At present his case one shorter and one longer andau ¬ ernden time counter of shorter-running timer has expired, the longer-lasting but not the traffic that authentication Re is not suitable for, that is, all traffic except HTTP Request, continues to be assigned to the respective authenticated user and enforced its corresponding authorizations. Only when the prolonged time counter is running abge ¬, the permissions are enforced, the gel ¬ th, as long as a user is not authenticated. If the communication to the Internet gateway includes special protocols such as HTTPS, ie HTTP over SSL / TLS instead of unsecured HTTP, then instead of or in addition to the Cockie-based status information, the special protocol session can also be used, for example SSL / TSL session, to be evaluated as status information.
Durch das erfindungsgemäße Verfahren wird das Erkennen einer fortbestehenden bzw. beendeten Anwender-Sitzung für Netzver- kehr über ein Internet-Gateway verbessert. Dies wird er¬ reicht, indem die Auswertung eines verlässlichen, eindeutig dem betreffenden Anwender zuordenbaren Kriteriums für Datenverkehr zum Internet-Gateway kombiniert wird mit der Auswer¬ tung von weniger verlässlichen Kriterien, wie zum Beispiel Client-IP/MAC-Adresse, für Datenverkehr, der nicht zum Inter¬ net-Gateway gerichtet ist. Dieses kombinierte, verbesserte Erkennen erfolgt für den Anwender transparent. Er merkt gege¬ benenfalls lediglich eine leichte Aktionsverzögerung im Datenverkehr .The method according to the invention improves the recognition of a continuing or terminated user session for network traffic via an Internet gateway. This it is, ¬ enough by the evaluation is combined a reliable, definitively attributable to the user relevant criterion for traffic to the Internet gateway with the Auswer ¬ processing of less reliable criteria such as client IP / MAC address for traffic which is not directed to the Inter ¬ net gateway. This combined, improved recognition is transparent to the user. He noted gege ¬ appropriate, only a slight delay action in traffic.
Die Erfindung erlaubt, für die kurzdauernden Zeitspannen, das heißt für die Nichtnutzungs-Zeitabläufe, kleine Werte zu ver¬ wenden, ohne den Anwender durch häufige Re-Authentisierungen zu belästigen. Dadurch kann das Ende einer Anwender-Sitzung genauer und zuverlässiger erkannt werden.The invention allows, for the short duration periods, ie for non-usage time sequences, small values to ver ¬ call without the user through frequent to bother re-authentications. This will make the end of a user session more accurate and reliable.
Speziell für eine Anwender-Authentisierung im Heimbereich kann eine sehr anwenderfreundliche Authentisierung auf einem Internet-Gateway erreicht werden. Hier würden die lang andau- ernden Zeitzähler auf sehr große Werte gesetzt werden, zumEspecially for a user authentication in the home area, a very user-friendly authentication can be achieved on an Internet gateway. Here, the long-lasting time counters would be set to very large values, for example
Beispiel auf mehrere Tage oder sogar unbegrenzt lang. Ein An¬ wender müsste sich dann gar nicht explizit am Internet- Gateway authentisieren . Die Authentisierung würde, ohne dass eine Anwenderinteraktion erforderlich ist, erfolgen. Dies funktioniert, weil auf üblichen Betriebssystemen bzw. bei üb¬ lichen Web-Browsern die Cookies individuell für jeden Anwender organisiert sind. Wenn zum Beispiel im Heimbereich ein Personal Computer zuerst von einem ersten Anwender verwendet wird und kurz darauf von einem zweiten, ohne dass ein Ablauf der absoluten Sitzungsdauerlänge erkannt wurde, so wird beim Ablauf des kurz andau- ernden Zeitzählers eine Re-Authentisierung durchgeführt und dabei erkannt, dass der aktuelle Anwender nun ein anderer Anwender als der frühere ist. Entweder kann dann eine explizite Authentisierung durchgeführt werden, oder, wenn der zweite Anwender durch das für ihn eingerichtete Cookie erkannt wur- de, können auch unmittelbar die für diesen zweiten Anwender geltenden Berechtigungen durchgesetzt werden.Example for several days or even unlimited. At a pancake ¬ then do not have to explicitly authenticate at the Internet gateway. Authentication would be done without requiring user interaction. This works because on common operating systems or with üb ¬ handy web browsers cookies individually for each user are organized. If, for example, in the home area a personal computer is first used by a first user and shortly thereafter by a second, without an expiry of the absolute session duration length has been detected, a re-authentication is performed at the end of the short-term timer counter and recognized that the current user is now a different user than the previous one. Either an explicit authentication can then be carried out or, if the second user was recognized by the cookie set up for him, the authorizations that apply to this second user can also be enforced immediately.
Im Gegensatz zu bekannten Lösungen kann selbst dann, wenn durch den Nichtnutzungs-Zeitablauf-Mechanismus der Anwender- Wechsel nicht erkannt wurde, der neue Anwender nur während einer relativ kurzen weiteren Zeit, nämlich bis zur nächste Re-Authentisierung basierend auf der absoluten Sitzungsdauerlänge, die Sitzung des vorigen Anwenders weiterbenutzen.In contrast to known solutions, even if the user switching was not recognized by the non-use timing mechanism, the new user can only do so for a relatively short time, namely, until the next re-authentication based on the absolute session duration length Continue to use the session of the previous user.
Nachfolgend wird die Erfindung anhand einer Zeichnung näher erläutert. Darin zeigen:The invention will be explained in more detail with reference to a drawing. Show:
Figur 1 ein bekanntes Einsatzszenario für einen Internet- Zugang, Figur 2 einen schematischen Ablauf eines bekannten HTTP-Re- Direct-Vorgangs, undFigure 1 shows a known deployment scenario for an Internet access, Figure 2 is a schematic flow of a known HTTP re-Direct process, and
Figuren 3 und 4 einen schematischen Ablauf einer Internet-Verbindung gemäß der Erfindung.Figures 3 and 4 a schematic flow of an Internet connection according to the invention.
In der Figur 1 ist ein Notebook (Wireless Client) über einIn the figure 1 is a notebook (wireless client) via a
Internet-Gateway (WLAN-Access-Point ) , das die eigentliche In¬ ternet-Verbindung herstellt, mit dem Internet (Internet) ver¬ bunden. Das Internet-Gateway, das im vorliegenden Ausführungsbeispiel, wie gesagt, ein WLAN-Access-Point ist, könnte beispielsweise auch durch ein ADSL-Modem, das gemäß dem E- thernet-Standard arbeitet, realisiert sein. Weiter ist gemäß dem in der Figur 1 dargestellten Ausführungsbeispiel das Notebook gerade auf die Internet-Seite: wvjw . googl e . com, aufgeschaltet .Internet gateway (WLAN access point), which establishes the actual In ¬ ternet connection, ver ¬ connected with the Internet (Internet). The Internet gateway, which in the present exemplary embodiment, as stated, is a WLAN access point, could for example also be realized by an ADSL modem operating in accordance with the Ethernet standard. Next, according to the embodiment shown in Figure 1, the notebook is just on the Internet page: wvjw. googl e. com, switched on.
Die Figur 2 zeigt in schematischer Darstellung ein Nachrichtenflussdiagramm. Darin sind die grundlegenden Abläufe bezüglich einer Internet-Re-Direction auf eine Anmeldeseite eines Gateways dargestellt.FIG. 2 shows a schematic representation of a message flow diagram. It shows the basic processes for an Internet re-direction on a login page of a gateway.
Das Internet-Gateway arbeitet für einen Anwender zum Beispiel als WLAN-Zugriffspunkt , über den er auf das Internet zugrei¬ fen kann. Solche Internet-Re-Directions werden zum Beispiel von Freenet benutzt, um Anwender, die sich in das Internet einwählen wollen, anstelle derjenigen Homepage, auf die sie sich einwählen wollten, auf die Freenet-Homepage zu zwingen. Auch im Zusammenhang mit öffentlichen WLAN-hotspots werden die Internet-Re-Directions verwendet, um Kunden auf eine vor¬ gegebene Willkommens-Seite zu zwingen, auf der zum Beispiel frei verfügbare Lokalinformationen angezeigt sind. Solche Lo- kalinformationen können zum Beispiel Informationen über Flughäfen oder Speisekarten von Restaurants betreffen. Auch sind derartige Internet-Re-Directions dazu benutzt, dem Anwender die Möglichkeit zu geben, Authentisierungsdaten einzugeben, damit der Anwender einen Zugriff auf Seiten des öffentlichen Internets bekommen kann.The Internet gateway functions for a user, for example, as a wireless access point through which he can ¬ fen zugrei on the Internet. Such Internet re-directions are used by Freenet, for example, to force users who want to dial into the Internet into the Freenet home page instead of the home page they want to dial in to. Also in connection with public Wi-Fi hotspots, the Internet re-directions are used to force customers to a vor¬ given welcome page on which, for example, freely available local information is displayed. Such local information may, for example, concern information about airports or restaurant menus. Also, such Internet re-directions are used to allow the user to enter authentication data so that the user can gain access to public internet sites.
Das Internet-Gateway überwacht die Zugriffsanforderungen auf das Port 80 (http) . Beim ersten Zugriff in einer Anwender- Sitzung fängt das Internet-Gateway die Zugriffsanforderung ab und leitet sie auf eine besondere Anmelde-Seite um. In dem in der Figur 2 gezeigten Beispiel greift ein Anwender auf den http-Server www . google . com zu und fordert die darauf liegende Datei: "/index. html", an. Diese Zugriffsanforderung wird vom Internet-Gateway abgefangen. Das Internet-Gateway sendet eine HTTP-Re-Direction-Meldung: 302 Moved Temporarily, zurück, mit der die URL-Adresse angezeigt wird, auf die stattdessen umge¬ leitet wird. Im vorliegenden Fall ist dies die Anmelde-Seite des Internet-Gateways: http : //192.168.0. l/login .html . Der An- wender fordert daraufhin diese Anmelde-Seite an Stelle seiner ursprünglichen Internet-Seite an. Nachdem sich der Anwender authentisiert hat werden von ihm getätigte Internet-Zugriffe nicht mehr länger vom Internet-Gateway abgefangen. Wenn der Anwender jetzt zum Beispiel den www. google . com-Server anfordert, wird diese Anforderung sofort an den betreffenden Server weitergeleitet . Vorzugsweise erinnert sich das Internet- Gateway des Anwenders nach der abgeschlossenen Authentisie- rung an die ursprünglich angeforderte URL-Adresse und leitet den Anwender zu der entsprechenden Zieladresse weiter.The Internet Gateway monitors the access requests to port 80 (http). On the first access in a user session, the Internet Gateway intercepts the access request and redirects it to a special login page. In the example shown in FIG. 2, a user accesses the http server www. google. com and requests the file located on it: "/ index. html". This access request is intercepted by the Internet Gateway. The Internet gateway sends an HTTP re-direction message: 302 Moved Temporarily, back with the URL address is displayed in the instead vice ¬ forwards will. In this case, this is the login page of the Internet gateway: http: //192.168.0. l / login .html. The wender then requests this login page instead of its original Internet site. After the user has authenticated, Internet access made by him is no longer intercepted by the Internet gateway. If the user now, for example, the www. google. com server requests, this request is immediately forwarded to the server in question. Preferably, after the authentication has been completed, the user's Internet gateway remembers the originally requested URL address and forwards the user to the corresponding destination address.
In den Figuren 3 und 4 ist die erfindungsgemäße Re-Authenti- sierung, nämlich eine Ckookie-basierte Re-Authentisierung, näher dargestellt. Die Cookie-basierte Re-Authentisierung kann auf zwei unterschiedliche Arten benutzt werden.In FIGS. 3 and 4, the re-authentication according to the invention, namely a cookie-based re-authentication, is shown in greater detail. Cookie-based re-authentication can be used in two different ways.
Sie kann zur Re-Aktivierung einer abgelaufenen Anwender- Sitzung eines Anwenders benutzt werden, die beendet wurde nach einer Periode der Inaktivität des Anwenders, die so lan- ge dauerte, dass eine absolut erlaubte Sitzungsdauerlänge ü- berschritten wurde. Der Anwender ist dann trotzdem nicht gezwungen, seinen Benutzernamen und sein Passwort erneut einzugeben .It can be used to re-enable an expired user session of a user that ended after a period of inactivity of the user that was long enough to exceed an absolute session length. Nevertheless, the user is not forced to enter his username and password again.
Sie kann weiter ähnlich der automatischen Authentisierung eines Anwenders gegenüber dem Internet-Gateway benutzt werden, im Prinzip entsprechend einer lang andauernden Anwender- Sitzung. Wenn unterschiedliche Anwender denselben Personal Computer verwenden, müssen sie auf dem Personal Computer un- terschieden sein, beispielsweise auf der Grundlage, dass je¬ der Anwender ein unterschiedliches Web-Browser-Profil hat. Das Web-Browser-Profil legt Anwender spezifische Einstellun¬ gen wie zum Beispiel so genannte bookmarks und andere Anwen¬ der bezogene Eigentümlichkeiten fest, auch können Anwender bezogene Cookies mit berücksichtigt sein. Wenn also das Be¬ triebssystem eines Personal Computers oder der genutzte In¬ ternet-Browser schon unterschiedliche Anwender unterscheiden und unterschiedliche Profile mit jedem dieser Anwender in Verbindung bringen, kann dieses Wissen dazu genutzt werden, dass ein Internet-Gateway automatisch den gegenwärtig aktiven Anwender authentisiert . Auf diese Weise ist ein Anwender nicht gezwungen bei einem Internet-Zugriff seinen Benutzerna- men und sein Passwort explizit in ein HTML-Formblatt ein¬ zugeben. Er muss seinen Internet-Gateway-Benutzernamen und sein Internet-Gateway-Passwort für einen Internet-Zugriff nur beim ersten Internet-Zugriff eingeben. Diese Informationen sind dann in Form eines Cookies für spätere Dienste gespei- chert.It can also be used similarly to the automatic authentication of a user to the Internet gateway, in principle corresponding to a long-lasting user session. If different users use the same personal computer, they must be distin- guished on the personal computer, for example, on the basis that each ¬ the user has a different Web browser profile. The Web browser user profile defines specific Settin ¬ gen such as so-called bookmarks, and other appli ¬ the related peculiarities found also lets users related cookies be taken into account. So if the Be ¬ operating system of a personal computer or used in ¬ ternet browser already different users are different and have different profiles with each of these users in Connect this knowledge can be used so that an Internet gateway automatically authenticates the currently active user. In this way, a user is not forced to an Internet access men's Benutzerna- and password explicitly in an HTML form a ¬ admit. He must enter his Internet gateway user name and his Internet gateway password for Internet access only at the first Internet access. This information is then stored in the form of a cookie for later services.
Die Figuren 3 und 4 zeigen, wie schon erwähnt, den erfindungsgemäßen Re-Authentisierungs-Vorgang an Hand eines schematischen Nachrichtenflussdiagramms näher. Dabei sind die Fi- guren 3 und 4 in der Weise zu verstehen, dass in der Figur 4 die Figur 3 fortgesetzt ist. Die Figur 4 ist also unterhalb der Figur 3 an die Figur 3 anzuhängen.As already mentioned, FIGS. 3 and 4 show in greater detail the re-authentication process according to the invention with reference to a schematic message flow diagram. The figures 3 and 4 are to be understood in such a way that in Figure 4, the figure 3 is continued. FIG. 4 is therefore to be attached to FIG. 3 below FIG.
Die den Figuren 3 und 4 zu entnehmenden Texte sollen als in die hier vorliegende Beschreibung aufgenommen angesehen werden. Sie werden deshalb an dieser Stelle nicht nochmals ex¬ plizit wiedergegeben. Insgesamt sind nebeneinander drei Pfade angeordnet, von denen der linke Pfad für einen Anwender, der mittlere für ein vom Anwender benutztes Internet-Gateway und der rechte für einen Server im Internet ist. Dazwischen werden die entsprechend angegebenen Informationen ausgetauscht. Die Pfeilrichtungen geben die Austauschrichtung an. Von oben nach unten ist die zeitliche Folge aufgetragen.The texts to be taken from FIGS. 3 and 4 are to be regarded as included in the present description. Therefore, they are not ex reproduced again at this point ¬ plicitly. Altogether three paths are arranged side by side, of which the left path is for a user, the middle one for a user-used Internet gateway and the right one for a server on the Internet. In between the corresponding information will be exchanged. The arrow directions indicate the exchange direction. From top to bottom, the time sequence is plotted.
Entsprechendes gilt im Übrigen auch für die Darstellung in der Figur 2.The same also applies to the illustration in FIG. 2.
Ergänzt werden die in den Figuren 3 und 4 angegebenen textlichen Informationen lediglich wie folgt: Figur 3, textliche Information: Formbasierte Authentisierung, bei der der Access-Point ein Cookie setzt, wird mit der Information er¬ gänzt: Dieses könnte auch im Zusammenhang mit der „Willkommen-Seite gesetzt werden. Figur 3, textliche Information: Ac- cess-Point verifiziert und akzeptiert die ..., wird mit der In¬ formation ergänzt: Das heißt, die Informationen (zum Beispiel Anwender-MAC/IP-Adresse) erlauben es, zukünftigen Datenverkehr mit dem Datenverkehr eines authentisierten Anwenders zu verbinden. Zu sehen ist das Ganze in Verbindung mit dem Anwender-Sitzungs-Status: Zeitablauf. Figur 4: textliche Infor¬ mation: Access-Point verifiziert Cookie und legt fest, dass ..., wird mit der Information ergänzt: Es wird die Zeit der letzten Authentisierung geprüft, optional auch die Anwender- IP/MAC-Adresse . Es ist keine tatsächliche Authentisierung notwendig, bei der der Anwender tatsächlich seinen Benutzernamen und sein Passwort eingibt.The textual information presented in Figures 3 and 4 only be supplemented as follows: 3, textual information: form-based authentication, in which the access point sets a cookie, is it with the information ¬ adds: This could also be related to the Welcome page. FIG. 3, textual information: Ac- cess-Point verifies and accepts the ..., is supplemented with the In ¬ formation: That is, the information (for example, user MAC / IP address) allow future traffic to connect with the traffic of an authenticated user. The whole thing can be seen in connection with the user session status: Timeline. Figure 4: textual Infor ¬ mation: Access Point verified cookie and specifies that ..., is supplemented with information: Checks the time of the last authentication, optionally, the user IP / MAC address. No actual authentication is necessary, in which the user actually enters his username and password.
Ansonsten wird zu den Figuren 3 und 4 noch folgendes ausge- führt:Otherwise, the following is carried out to FIGS. 3 and 4:
Zu Beginn einer Anwender-Sitzung wird die Anwender-Sitzung eingerichtet. Dabei ist es erforderlich, dass der Anwender seine Informationen: Benutzername beziehungsweise Anwenderna- me und Passwort beziehungsweise Kennwort, eingibt. Das Inter¬ net-Gateway als Zugriffspunkt auf das Internet installiert ein Coockie auf dem Client-Gerät, dem Gerät des betreffenden Anwenders. Das Coockie ist vorzugsweise schon mit der ersten gesendeten HTTP-Antwort gesetzt, nämlich mit der gesendeten Anmelde-Seite des Zugriffspunkts. Dies erlaubt dem Zugriffs¬ punkt zu erkennen, wenn die zweite Meldung vom Anwender gesendet wird, wobei diese Meldung dann den Benutzernamen und das Passwort des Anwenders enthält, ob das Client-Gerät Coo- ckies unterstützt. Unterstützt das Client-Gerät keine Coo- ckies, könnte der Zugriffspunkt längere Zeitaus-Werte verwen¬ den, da die Re-Authentisierung für den Anwender nicht durchsichtig wäre.At the beginning of a user session, the user session is set up. It is necessary for the user to enter his information: user name or user name and password or password. The Inter ¬ net gateway as an access point to the Internet installs a Coockie on the client device, the device of the user in question. The coockie is preferably already set with the first sent HTTP response, namely the sent login page of the access point. This allows the access point to recognize ¬ when the second message is sent by the user, this message will contain the user name and the user's password, if the client device supports Coopers ckies. Supports client device ckies no Coopers, the access point a long time-out values could USAGE ¬, as the re-authentication for the user would not be transparent.
Zeitaus-Werte können sowohl eine absolute Sitzungsdauerlänge als auch eine Nichtnutzungszeitdauer betreffen. Dabei kann für beide Positionen sowohl ein Kurzzeitwert als auch ein Langzeitwert berücksichtigt sein. Wenn ein Langzeitwert über¬ schritten ist, ist wieder eine vollständige Authentisierung notwendig, bei der die speziellen Anwender-Referenzangaben eingegeben werden müssen. Wenn allerdings nur ein Kurzzeitwert überschritten worden ist, ist die Re-Authentisierung auf der Basis von Coockies akzeptiert.Timeout values may relate to both an absolute session duration length and a nonuse time period. In this case, both a short-term value and a long-term value can be taken into account for both positions. If a long-term value is not reached over ¬, is again a complete authentication necessary, at which the special user reference data must be entered. However, if only a short-term value has been exceeded, re-authentication based on coockies is accepted.
Die auf Coockies basierende Re-Authentisierung funktioniert folgendermaßen :The coockies-based re-authentication works as follows:
Der Anwender greift auf einen Internet-Auftritt mit einer be- stimmten URL, zum Beispiel im öffentlichen Internet, zu. Beispielsweise greift er auf den Internet-Auftritt http://www.yahoo.com/index.html zu. Die HTTP-Anforderung zum Internet wird vom Zugriffspunkt abgefangen. Der Zugriffspunkt sendet eine Re-Direction-Nachricht (Moved Temporarily) an das Client-Gerät des Anwenders zurück, dass er seine Anforderung auf die Anmelde-Seite des Zugriffspunkts richten soll, die vom Zugriffspunkt zur Verfügung gestellt ist. Wenn der Anwender seinen Zugriff mit dieser Anmelde-Seite anfordert, sendet das Client-Gerät des Anwenders mit dieser Anforderung dann auch gleich entsprechende Coockies zum Zugriffspunkt. Wenn der Zugriffspunkt dann die auf den übermittelten Coockies ba¬ sierende Re-Authentisierung akzeptiert, erfolgt die Wiederak¬ tivierung der wegen Zeitablaufs gesperrten Anwender-Sitzung. Der abgelaufene Zeitzähler wird dabei zurückgesetzt. Dem An- wender wird eine zweite Re-Direction-Nachricht (zweie Umlen- kungsnachricht ) zurückgesendet (Moved Temporarily), in der dem Anwender mitgeteilt wird, dass seine Anforderung nun an den ursprünglich angeforderten Internet-Auftritt, im vorliegenden Fall die ursprünglich verlangte URL http://www.yahoo.com/index.html, umgelenkt ist. Der Anwender kann nun diesen Auftritt anfordern, ohne dass die Anforderung vom Zugriffspunkt jetzt abgefangen ist. Es existiert nun wie¬ der eine gültige Anwender-Sitzung für den betreffenden Anwender .The user accesses an Internet site with a specific URL, for example on the public Internet. For example, he accesses the Internet site http://www.yahoo.com/index.html. The HTTP request to the Internet is caught by the access point. The access point sends a re-direction message (Moved Temporarily) to the user's client device to direct its request to the login page of the access point provided by the access point. If the user requests his access with this login page, then the client device of the user with this request also immediately sends corresponding coockies to the access point. If the access point then accepts the sierende on data supplied Coockies ba ¬ re-authentication takes place Wiederak ¬ tivierung the blocked because of timing user session. The elapsed time counter is reset. The user is sent back a second re-direction message (Moved Temporarily) in which the user is informed that his request is now for the originally requested Internet appearance, in the present case the originally requested URL http://www.yahoo.com/index.html, is diverted. The user can now request this appearance without the request being intercepted by the access point. There now exists ¬ as a valid user session for the user.
Im Falle, dass der Zugriffspunkt an Hand des ihm im Zuge der Umlenkungsmaßnahmen vom Client-Gerät zugesendeten Coockies entscheidet, dass die Re-Authentisierung des Anwenders nicht annehmbar ist, lenkt der Zugriffspunkt in seiner zweiten Antwort an den Anwender den Anwender auf die für diesen Zugriff vorgesehene „normale" Anmelde-Seite, um so dem Anwender die Möglichkeit zu geben, dass er sich vollständig von Neuem an- meldet .In the event that the access point decides on the hand of him in the course of the diversion from the client device sent coockies that re-authentication of the user is not is acceptable, the access point, in its second response to the user, directs the user to the "normal" login page provided for that access so as to allow the user to log in completely.
Die Identifizierung eines früher schon einmal authentisierten Anwenders an Hand eines Coockies oder an Hand einer vormali¬ gen SSL/TLS-Sitzung kann auch dazu benutzt werden, zu vermei- den, dass ein Anwender seinen Benutzernamen beziehungsweise Anwendernamen, sein Passwort beziehungsweise Kennwort und so weiter eingeben muss. Wenn ein gültiges Coockie oder eine gültige SSL/TLS-Sitzung für einen Anwender erkannt worden ist, ist diese Information als eine Anwender-Authentisierung akzeptiert. Optional kann die Gültigkeitsdauer einer solchen Authentisierung zeitlich begrenzt sein. Nach dieser Gültigkeitsdauer muss sich der Anwender wieder ganz regulär mit seinem Anwendernamen und Kennwort authentisieren . Die Sicherheit ist zwar in offensichtlicher Weise reduziert, wenn das Kennwort nicht ebenfalls eingegeben wird. Trotzdem liegt eine anwenderfreundliche Handhabung darin vor und kann akzeptiert werden, wenn diese Vereinfachung mit einer automatischen Re- Direction zu dem aktuell angeforderten URL-Ziel kombiniert wird .The identification of a previously already authenticated user with reference to a Coockies or with reference to a vormali ¬ gen SSL / TLS session can also be used to avoid the that a user's user name or user name, his password or password, and so on must enter. If a valid copy or valid SSL / TLS session has been recognized for a user, this information is accepted as a user authentication. Optionally, the period of validity of such an authentication can be limited in time. After this period of validity, the user must authenticate himself again with his user name and password. Although security is obviously reduced if the password is not entered as well. Nevertheless, it is user-friendly and can be accepted if this simplification is combined with automatic re-direction to the currently requested URL destination.
Der Wert bzw. die Bedeutung, die im Coockie gespeichert wird erfolgt in einer Form, die für keinen der verschiedenen Anwender entschlüsselbar ist. Eine Möglichkeit ist, einen vermeintlich zufälligen Wert ("nonce") zu speichern. Es sollten aber auf jeden Fall nicht der Anwendername, ein Anwender-ID oder ein Sitzungszähler gespeichert werden. Derartige Informationen könnten ermittelt werden. Das Kennwort sollte nicht gespeichert werden, weil es jedes Mal in entzifferbarer Weise übertragen werden würde, wenn auf eine Internet-Seite auf dem Zugriffspunkt zugegriffen wird. Außerdem würde es in entzifferbarer Weise auf dem Personal Computer gespeichert werden. The value or meaning stored in the mailing is in a form that can not be decrypted by any of the various users. One way is to store a supposedly random value ("nonce"). In any case, you should not save the user name, a user ID or a session counter. Such information could be determined. The password should not be saved because it would be decipherably transmitted each time an Internet page is accessed on the access point. In addition, it would be stored in decipherable manner on the personal computer.

Claims

Patentansprüche claims
1. Verfahren zum sicheren Erkennen des Endes einer Anwender- Sitzung innerhalb eines Internet-Gateways, an das ein Client- Gerät angeschlossen ist, das wechselweise für jeweilige An¬ wender-Sitzungen von unterschiedlichen Anwendern genutzt ist, die sich jeweilig für ihre Anwender-Sitzung gegenüber dem Internet-Gateway authentisieren über den Weg, dass sich das Client-Gerät insbesondere der Formate HTML und HTTP sowie so genannter Cookies bedient, gekennzeichnet durch die Verfahrensschritte: a) Die für einen konkret betreffenden Anwender des besagten Client-Geräts erstmalig durchgeführte Anwender- Authentisierung zwischen dem Client-Gerät und dem Inter- net-Gateway erfolgt durch HTTP oder HTML, das heißt, ge¬ genüber einem Web-Server auf dem Internet-Gateway; b) Dieser Web-Server installiert auf dem Client-Gerät eine entsprechende Statusinformation; c)- Nach erfolgter Authentisierung gewährt das Internet- Gateway dem besagten konkret betreffenden Anwender einen Zugriff, der den Berechtigungen des authentisierten besagten konkret betreffenden Anwenders entspricht; d) Wenn ein erster Zeitzähler bezüglich einer tolerierten1. A method for the safe detection of the end of a user session within an Internet gateway to which a client device is connected, which is used alternately for respective An ¬ pancake sessions of different users, which for their respective user session authenticate to the Internet gateway via the path that the client device, in particular the formats HTML and HTTP and so-called cookies served, characterized by the method steps: a) the first time for a specific user of said client device performed user authentication between the client device and the Internet gateway is done by HTTP or HTML, that is, ge ¬ genüber a web server on the Internet gateway; b) This web server installs corresponding status information on the client device; c) - After authentication has taken place, the Internet gateway grants access to said specific user concerned which corresponds to the authorizations of the authenticated user of said specific user; d) If a first time counter is tolerated
Anwender-Inaktivität und/oder bezüglich einer absoluten Sitzungsdauerlänge für eine aktuelle Anwender-Sitzung abgelaufen ist, erfolgt bei einem nächsten HTTP-Request durch das Client-Gerät des besagten Anwenders zu einem Web-Server im Internet vom Internet-Gateway ein HTTP-Re- Direct auf eine HTTP-Seite auf dem Internet-Gateway; da) Das Client-Gerät sendet die vom besagten Web-Server installierte Statusinformation an das Internet- Gateway; db) Das Internet-Gateway überprüft die gesendete Status¬ information; dbi) Bei positiver Überprüfung sendet das Internet- Gateway ein weiteres HTTP-Re-Direct nun auf die vom Client-Gerät ursprünglich angeforderte Web- Seite; dbii) Bei negativer Überprüfung ist eine erneute Anwen- der-Authentisierung wie unter a) vom Client-Gerät und dort vom betreffenden Anwender gefordert.User inactivity and / or has expired with respect to an absolute session duration length for a current user session, an HTTP request by the client device of the said user to a web server on the Internet from the Internet gateway causes an HTTP response. Direct to an HTTP page on the Internet Gateway; da) The client device sends the status information installed by said web server to the internet gateway; db) The Internet gateway checks the status sent ¬ information; dbi) If the check is positive, the Internet Gateway will now send another HTTP Re-Direct to the web page originally requested by the client device; dbii) In the case of a negative check, renewed user authentication is required as under a) by the client device and there by the user in question.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass im Falle des Sen- dens einer zu einem anderen als dem zu einer aktuellen Anwender-Sitzung gehörenden Anwender gehörenden Statusinformation während der Phase einer Re-Authentisierung in der aktuellen Anwender-Sitzung die aktuelle Anwender-Sitzung dem anderen2. Method according to claim 1, characterized in that in the case of sending a status information belonging to a user other than the user belonging to a current user session during the phase of a re-authentication in the current user session, the current user Meeting the other
Anwender mit zu diesem gehörenden Berechtigungen durchgesetzt wird.Enforced users with associated permissions.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet , dass bei vorhanden Sein eines zweiten Zeitzählers bezüglich einer tolerierten Anwen- der-Inaktivität und/oder bezüglich einer absoluten Sitzungsdauerlänge für eine aktuelle Anwender-Sitzung, der gegenüber dem jeweilig entsprechenden ersten Zeitzähler länger andau- ernd eingestellt ist, im Falle des Ablaufs des kürzer andau¬ ernden ersten Zeitzählers und des noch nicht Ablaufs des ent¬ sprechenden länger andauernden zweiten Zeitzählers der Datenverkehr, der nicht für eine Re-Authentisierung geeignet ist, das heißt, jeglicher Datenverkehr mit Ausnahme eines HTTP- Requests, weiterhin dem bis dato authentisierten Anwender zugeordnet und dessen entsprechenden Berechtigungen durchgesetzt werden, und dass dann, wenn auch der jeweilig entspre¬ chend länger andauernde zweite Zeitzähler abgelaufen ist, Be¬ rechtigungen vom Internet-Gateway durchgesetzt werden, die gelten, solange ein Anwender noch nicht authentisiert ist.3. The method according to claim 1 or 2, characterized in that if there is a second time counter with respect to a tolerated user inactivity and / or with respect to an absolute session duration length for a current user session longer than the respectively corresponding first time counter - is set ernd, in the case of the sequence of the shorter andau ¬ ernden first time counter and the not yet sequence of the ent ¬ speaking prolonged second time counter of the data traffic, the authentication Re is not suitable for, that is, all traffic with the exception of HTTP requests, further associated with the hitherto authenticated users and their permissions are enforced and that, even if the respective entspre ¬ accordingly prolonged second timer has expired, be ¬ authorizations be enforced by the Internet gateway, which apply as long as a user does not yet authenticate is tisiert.
4. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet , dass in Fällen, in denen für die Kommunikation zum Internet-Gateway Spezialprotokolle verwendet werden, anstatt oder zusätzlich zu Cookie-basierten Statusinformationen auch speziell zu diesen Spezialprotokol- len gehörende Statusinformationen zur Prüfung einer gültigen Authentisierung ausgewertet werden. 4. The method according to any one of the preceding claims, characterized in that in cases where special protocols are used for the communication to the Internet gateway, instead of or in addition to cookie-based status information also len specially belonging to these special protocols status information for testing a valid Authentication are evaluated.
PCT/EP2007/051178 2006-02-20 2007-02-07 Method for securely identifying the end of a user session WO2007096249A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006007793A DE102006007793B3 (en) 2006-02-20 2006-02-20 User-conference`s termination detecting method for Internet gateway, involves transmitting status information from client device to gateway, and transmitting hypertext transfer protocol redirect on web page requested by device
DE102006007793.8 2006-02-20

Publications (1)

Publication Number Publication Date
WO2007096249A1 true WO2007096249A1 (en) 2007-08-30

Family

ID=38038026

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/051178 WO2007096249A1 (en) 2006-02-20 2007-02-07 Method for securely identifying the end of a user session

Country Status (2)

Country Link
DE (1) DE102006007793B3 (en)
WO (1) WO2007096249A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009115528A3 (en) * 2008-03-17 2009-12-03 Vodafone Group Plc Mobile terminal authorisation arrangements
US8549605B2 (en) 2011-07-22 2013-10-01 Sony Corporation System and method for automatically establishing new session with interactive service after previous session expiration

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006051826B3 (en) * 2006-11-03 2008-03-27 Mindlab Gmbh Computer network e.g. Internet, for e.g. office, has detecting systems assigned to server, where user activity identification assigned by systems includes network address and process identification number and start time point of programs
EP2475194B1 (en) * 2009-08-31 2018-12-19 China Mobile Communications Corporation Service access method, system and device based on wlan access authentication
DE102021109253B4 (en) 2021-04-13 2022-11-17 Sma Solar Technology Ag PROCEDURE FOR LOGGING IN AN AUTHORIZED USER TO A DEVICE, IN PARTICULAR TO A DEVICE FOR A POWER GENERATION PLANT, AND A POWER GENERATION PLANT WITH DEVICE

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074580A1 (en) * 2001-03-21 2003-04-17 Knouse Charles W. Access system interface
US20040073660A1 (en) * 2002-10-15 2004-04-15 Toomey Christopher Newell Cross-site timed out authentication management
WO2005011205A1 (en) * 2003-07-22 2005-02-03 Thomson Licensing S.A. Method and apparatus for controlling credit based access (prepaid) to a wireless network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941534B2 (en) * 1997-04-14 2011-05-10 Carlos De La Huerga System and method to authenticate users to computer systems
US7769845B2 (en) * 2001-05-04 2010-08-03 Whale Communications Ltd Method and system for terminating an authentication session upon user sign-off
US20050251856A1 (en) * 2004-03-11 2005-11-10 Aep Networks Network access using multiple authentication realms

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074580A1 (en) * 2001-03-21 2003-04-17 Knouse Charles W. Access system interface
US20040073660A1 (en) * 2002-10-15 2004-04-15 Toomey Christopher Newell Cross-site timed out authentication management
WO2005011205A1 (en) * 2003-07-22 2005-02-03 Thomson Licensing S.A. Method and apparatus for controlling credit based access (prepaid) to a wireless network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009115528A3 (en) * 2008-03-17 2009-12-03 Vodafone Group Plc Mobile terminal authorisation arrangements
US9253188B2 (en) 2008-03-17 2016-02-02 Vodafone Group Plc Mobile terminal authorisation arrangements
US8549605B2 (en) 2011-07-22 2013-10-01 Sony Corporation System and method for automatically establishing new session with interactive service after previous session expiration

Also Published As

Publication number Publication date
DE102006007793B3 (en) 2007-05-31

Similar Documents

Publication Publication Date Title
DE69830726T2 (en) METHOD FOR OPERATING A SYSTEM OF AUTHENTICATION SERVER AND SUCH A SYSTEM
DE60319791T2 (en) Method and device for accessing a computer to a communication network
DE602004003518T2 (en) Method and system for legally intercepting packet-switched network services
DE602004003568T2 (en) Network access control for a terminal connected to a VPN tunnel
DE60220718T2 (en) METHOD AND SYSTEM FOR SAFE TREATMENT OF ELECTRONIC BUSINESS ON THE INTERNET
DE602004011689T2 (en) Method and system for handling the transmission of content in communication networks
DE602004010703T2 (en) A PERSISTENT AND RELIABLE MEETING THAT CARRIES SAFELY TO NUCLEAR COMPONENTS USING A CAPTURE PROTOCOL
DE602005000543T2 (en) A method and apparatus for assisting in switching the same session between the terminals of an end user
DE602004012870T2 (en) METHOD AND SYSTEM FOR USER AUTHENTICATION IN A USER-PROVIDER ENVIRONMENT
DE112012002729T5 (en) Zero sign-on authentication
DE60313445T2 (en) Apparatus and method for authentication with one-time password entry via an insecure network access
DE60203099T2 (en) A method, a network access server, an authentication, authorization, and accounting server, a computer program with proxy capability for user authentication, authorization, and billing messages through a network access server
DE60001832T2 (en) TRANSFER METHOD AND DEVICE
DE60132211T2 (en) CONTROL OF UNCHANGED USER TRAFFIC
WO2004043045A2 (en) Method for the pre-transmission of structured data amounts between a client device and a server device
DE69636945T2 (en) Arrangement for network access via the telecommunications network through a remote-controlled filter
DE102006007793B3 (en) User-conference`s termination detecting method for Internet gateway, involves transmitting status information from client device to gateway, and transmitting hypertext transfer protocol redirect on web page requested by device
DE60215482T2 (en) ARCHITECTURE FOR THE PROVISION OF INTERNET SERVICES
DE60130899T2 (en) WAP MEETING TUNNELING
DE10025271A1 (en) Method for establishing a connection between a terminal and a serving cellular network, cellular network and terminal therefor
EP2215806B1 (en) Internet-smart-card
DE602004010625T2 (en) FORCED ENCRYPTION FOR WIRELESS LOCAL NETWORKS
DE112004000125T5 (en) Secure client-server communication system
EP2680497B1 (en) External access to IP-based house control unit in a local network
EP2800342B1 (en) Method and system for a state-dependent IP address management

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07704432

Country of ref document: EP

Kind code of ref document: A1