-
Gebiet der
Erfindung
-
Diese
Erfindung bezieht sich auf die Verwendung von mehr als einer Authentisierungseinrichtung
im sicheren Nachrichtenverkehr.
-
Hintergrund
der Erfindung
-
Während des
letzten Jahrzehnts des zwanzigsten Jahrhunderts wurde das Internet
ein lebendiges Kommunikationsmedium für eine Vielfalt von Anwendungsbereichen,
einschließlich
einfacher E-Mail, Homebanking, elektronischen Aktienhandels, netzgestütztem Telephonverkehr
und vielen anderen elektronischen Handelsanwendungen. Die Authentisierung
eines Benutzers wird zu einer Schlüsselanforderung bei der Zulassung
oder Autorisierung eines legitimen Benutzers für die Ausübung von Benutzerrechten in
einem bestimmten Netzwerk oder Teilnetzwerk.
-
Derzeit
stehen viele Benutzerauthentisierungseinrichtungen zur Verfügung, einschließlich eines
einfachen Benutzernamens mit Passwort, eines einmaligen Passwortes
(z. B. S/Key), RSA-gestützter
digitaler Signaturauthentisierung, Kerberos, Aufforderung und Antwort
und SSL v3.0 (SSL = Secure Socket Layer) mit Benutzer/Client-Authentisierung.
Bruce Schneider beschreibt und charakterisiert in Applied Cryptography, John
Wiley & Sons,
Inc., New York, zweite Ausgabe, 1996, S. 34–74 und 566–275, mehrere Benutzer- und/oder
Schlüsselauthentisierungstests,
die häufig
auf einer zugrundeliegenden Verschlüsselungsprozedur beruhen oder
dieser zugeordnet sind.
-
Ein
interessantes Authentisierungsschema ist die steckbare Authentisierungseinrichtung
von Sun (PAM = Pluggable Authentication Mechanism), der im Folgenden
genauer beschrieben wird und die Integration mehrerer Authentisierungspakete
oder Tests erleichtert, ohne die Änderung der zugrundeliegenden
Anwendung (z. B. der Anmeldung) zu erfordern. Obwohl ein System,
wie z. B. eine PAM, einen Rahmen für die Integration bereitstellt,
behandelt ein System häufig
die mehreren Authentisierungseinrichtungen so, als ob alle die gleiche
Verschlüsselungs-
oder Authentisierungsstärke
oder Priorität
hätten.
Zum Beispiel kann ein Unternehmen fordern, sowohl Kerberos (relativ
stark) als auch ein Benutzerpasswort (relativ schwach) für die Benutzerauthentisierung
zu verwenden. Die Verwendung mehrerer Authentisierungsmodule kann
innerhalb der PAM durch die Verwendung der Stapelung bewerkstelligt
werden. Wenn der Benutzer bei einem der Authentisierungstests unter
den vielen, die in der Stapelung angewendet werden, versagt, wird
die Authentisierung verweigert, ohne anzuzeigen, bei welchen der
vielen Tests der Benutzer versagt hat. PAM behandelt alle Authentisierungstests
in einem integrierten Paket als gleich stark und gleichermaßen geeignet.
-
Was
benötigt
wird, ist ein System, das einen oder mehrere Authentisierungstests
integriert, jedoch die Zuweisung einer Priorität oder einer Stärke zu jedem
dieser Tests erlaubt, und erlaubt, die Authentisierung als eine
notwendige, jedoch nicht hinreichende Bedingung für die Benutzerauthentisierung
zu behandeln. Wenn Authentisierungstests integriert sind, sollten
diese Tests vorzugsweise auf der Grundlage eines Indexes ausgeführt werden,
der ein Maß der
Priorität
und/oder Stärke
für jeden
Authentisierungstest ist. Das System sollte vorzugsweise die Feststellung,
welcher Authentisierungstest oder welche Tests der Benutzer nicht
bestanden hat, sowie die Berücksichtigung
dieser Tatsache erlauben. Das System sollte vorzugsweise flexibel
genug sein, um die Zuweisung unterschiedlicher Prioritäten und/oder
Stärken
zu den Tests innerhalb eines integrierten Authentisierungspaketes
auf der Grundlage der Anwendung und der aktuellen Umstände zu erlauben.
-
US 5 229 764 offenbart eine
Einrichtung zum Kontrollieren des Zugangs zu einem Computersystem, das
wiederholt mehrere biometrische Authentisierungsvorrichtungen überwacht.
Das Dokument schlägt
die Verwendung einer Hierarchie der Wichtigkeit der biometrischen
Tests vor. Zum Beispiel können
in Bezug auf das Treffen der Annahme/Zurückweisungs-Entscheidung Testergebnisse
von genaueren Tests stärker
gewichtet werden als diejenigen von weniger genauen Tests.
-
US 5 365 574 bezieht sich
auf eine Telephonnetz-Spracherkennung unter Verwendung von selektiv einstellbaren
Signalschwellen. Wenn das Ergebnis eines ersten Zugangstests zwischen
eine Akzeptanzschwelle und eine Zurückweisungsschwelle fällt, wird
der Telephonanrufer einem zweiten Zugangstest unterzogen.
-
Überblick über die
Erfindung
-
Diese
Anforderungen werden von der Erfindung erfüllt, die ein Verfahren der
Autorisierung eines Benutzerzugangs zu einem ausgewählten Betriebsmittel
nach Anspruch 1, sowie ein entsprechendes System zur Autorisierung
des Benutzerzugangs und ein computerlesbares Medium schafft, wie
in den Ansprüchen
10 und 19 ausgeführt
ist. Die Systeme, die die Erfindung verkörpern, integrieren zwei oder
mehr Authentisierungstests und erlauben die Zuweisung willkürlicher
(und änderbarer)
relativer Prioritäten
und/oder relativer Stärken
zu jedem dieser Tests. In einer Ausführungsform erlaubt das System
einem integrierten elektronischen Authentisierungssystem, physikalische
Objekte, wie z. B. Führerscheine,
Geburtsurkunden, Pässe,
Sozialversicherungskarten und dergleichen, für eine teilweise oder vollständige Authentisierung
eines Benutzers zu akzeptieren, obwohl jedes dieser Dokumente für einen
anderen primären
Zweck verwendet wird und die Zwecke selten überlappen.
-
In
einer ersten Ausführungsform
wendet das System zwei oder mehr Authentisierungstests mit zunehmender
numerischer Priorität
oder Stärke
an und fordert, dass der Benutzer alle oder eine Mehrheit dieser Tests
bis zu wenigstens einer ausgewählten
Priorität
oder Stärke
besteht, bevor Zugang zu der Anwendung gewährt wird. Das System fordert
vom Benutzer, einen gewichteten Mittelwert der Authentisierungstestprioritäten oder
-stärken
zu erreichen, der wenigstens gleich einem oder mehreren ausgewählten Schwellenwerten ist,
bevor Zugang zur Anwendung oder einer Teilmenge der Anwendung gewährt wird.
In einer weiteren Ausführungsform
wendet das System einen oder mehrere Authentisierungstests mit möglicherweise
unterschiedlicher Priorität
oder Stärke
an, verwendet die Testergebnisse des Benutzers, um einen gewichteten
Mittelwert der Authentisierungstestprioritäten oder -stärken zu
erzeugen, und gewährt
Zugang zu einer Teilmenge der Anwendung in Abhängigkeit davon, wie der gewichtete
Mittelwert des Benutzers im Vergleich zu einem oder mehreren einer
Folge von Schwellenwerten ausfällt.
-
Die
Ausführungsformen
der Erfindung bieten die folgenden Vorteile: (1) die Stärkung einer
Zuordnung oder einer Verknüpfung
zwischen der Authentisierung und dem Autorisierungsprozess; (2)
die Feststellung, welcher der Authentisierungstests verwendet wird;
(3) Erweiterung einer Integrationsprozedur, wie z. B. der PAM, ohne
die Prozedur zu stören;
(4) Erhöhen
der Gesamtsicherheit des Autorisierungsprozesses; (5) Bewahren und
Handhaben der Authentisierungseinrichtungen auf der Grundlage ihrer
relativen Vorzüge
und Zuordnen einer relativen Priorität auf der Grundlage der relativen
Verschlüsselungsstärke; und
(6) Zulassen einer Instanz, um diejenigen zu klassifizieren, mit
denen sie zu Autorisierungszwecken funktioniert (Kunden, Lieferanten
und dergleichen).
-
Kurzbeschreibung
der Zeichnungen
-
1 zeigt
die Architektur eines Betriebsmittelzugangssystems, das eine Benutzerauthentisierung
erfordert.
-
2A–2B und 3A–3B–3C sind
Flussdiagramme der Prozeduren zum Ausführen von Einzelschwellen- und
Mehrschwellen-Ausführungsformen
der Erfindung.
-
4A–4B sind
ein Flussdiagramm zum Ausführen
einer "Top-Down"-Ausführungsform
der Erfindung.
-
Genaue Beschreibung
der Erfindung
-
Die
Benutzerauthentisierung wird als eine notwendige, jedoch nicht hinreichende
Bedingung für
die Benutzerauthentisierung in diesem System behandelt. Das Autorisierungsniveau
variiert von Benutzer zu Benutzer auf der Grundlage der Rolle, der
Gruppenzugehörigkeit,
der Rechte, des früheren
Verhaltens und dergleichen des Benutzers. Wenn der Benutzer alle
Authentisierungstests befriedigt oder besteht, wird dem Benutzer
Zugang zu einer maximalen Menge konsistent zum Status, den Bereichen
oder Rechten des Benutzers gewährt.
Wenn der Benutzer einige, jedoch nicht alle Authentisierungstests
besteht, wird dem Benutzer Zugang zu einer ausgewählten Teilmenge
des maximalen Bereichs gewährt,
wobei die ausgewählte
Teilmenge eine geeignete Teilmenge sein kann oder die maximale Menge
sein kann, was entsprechend den bestandenen oder nichtbestandenen
Tests variiert.
-
Die
Stärke
eines Authentisierungstests kann objektiv bewertet werden. Zum Beispiel
wird von vielen angenommen, dass SSL v3.0 mit Authentisierung ein
stärkerer
Authentisierungstest ist als Kerberos, beschrieben in Schneider,
op cit, S. 566–572;
während
Kerberos als ein stärkerer
Test als ein einfacher Benutzer/Passwort-Test betrachtet wird. Wenn
diese drei Authentisierungstests integriert werden, kann eine Zuweisung
einer relativen Stärke
der Authentisierung für
die Verwendung in den Ausführungsformen
der Erfindung wie folgt ablaufen.
Authentisierungstest | relative
Stärke |
SSL
v3.0 | 1 |
Kerberos | 2 |
Benutzer/Passwort | 3 |
-
Eine
Gewichtung wi (0 ≤ wi ≤ 1) kann jedem
Authentisierungstest zugewiesen werden, wobei eine höhere Gewichtung
einem Test mit einer höheren
relativen Stärke
zugewiesen wird. In einer Ausführungsform
ist die relative Priorität
eines Authentisierungstests der relativen Stärke eines Test gleich gesetzt.
In einer weiteren Ausführungsform
wird die relative Priorität
jedem von mehreren Test unabhängig
von deren relativen Stärken auf
der Grundlage der Umstände
zugewiesen, unter denen die Tests in einem integrierten Lösungsansatz
verwendet werden.
-
Die
steckbare Authentisierungseinrichtung (Pluggable Authentication
Mechanism, PAM) ist genauer beschrieben von Vipin Samar und Charles
Lai in "Making Login
Services Independent of Authentication Technologies", präsentiert
auf der Third ACM Conference on Computer and Communication Security,
März 1996, und
ist nützlich
als Führer
bei der Implementierung der Erfindung. Der Artikel von Samar u.
a. berichtet, dass die meisten UNIX-Systeme derzeit eine Anmeldeprozedur
auf der Grundlage eines modifizierten Datenverschlüsselungsstandard-(DES)-Algorithmus
verwenden, der annimmt, dass das Passwort nicht erraten werden kann
und dass das Passwort nicht im Klartext über den Kommunikationskanal
läuft.
Diese Annahmen sind akzeptabel, wenn eine Kommunikation nur innerhalb
eines vertrauenswürdigen
Netzwerks stattfindet. Ein offenes Netzwerk jedoch, wie z. B. das
Internet, erfordert die Verwendung restriktiverer und stärkerer Authentisierungseinrichtungen.
Beispiele für
diese stärkeren
Einrichtungen umfassen Kerberos, RSA-Digitalsignatur, Diffie-Hellman,
S/Key und andere einmalige Passwörter,
sowie Aufforderung-und-Antwort- und Chipkarten-Authentisierungssysteme.
-
Ein
Ziel eines PAM-Systems ist, in Abhängigkeit von der Anwendung
möglicherweise
unterschiedliche Authentisierungsverfahren zu erfordern. Zum Beispiel
kann ein Angebot eine S/Key-Passwortauthentisierung für den Telnetd-Zugang
erfordern, jedoch einen Konsolenanmeldezugang nach der Präsentation
eines UNIX-Passwortes erlauben. Ein weiteres Ziel eines PAM-Systems ist die Anforderung,
dass ein Benutzer mehr als einen Authentisierungstest, wie z. B.
Kerberos und RSA-Digitalsignaturtests, besteht, um Zugang zu einem bestimmten
Betriebsmittel oder einer Anwendung zu erhalten. Ein weiteres Ziel
ist, dass Systemzugangsdienste sich nicht ändern sollen, wenn sich eine
zugrundeliegende Authentisierungseinrichtung ändert.
-
Kernkomponenten
eines geeigneten Authentisierungsrahmens enthalten: (1) eine oder
mehrere Anwendungen oder Betriebsmittel, wie z. B. Anmeldung, telnetd
und ftpd, zu denen ein Benutzer Zugang begehrt; (2) ein Authentisierungseinrichtungsverzeichnis,
wie z. B. eine PAM-Anwendungsprogrammierschnittstelle (API) oder
ein Verzeichnis (das Endgerät);
und (3) spezifische Authentisierungsmodule, wie z. B. Kerberos, S/Key
und UNIX-Benutzerpasswort (Hintergrundgerät). 1 zeigt
eine Beziehung zwischen diesen drei Komponenten. Wenn ein Benutzer
Zugang zu einer bestimmten Anwendung oder einem Betriebsmittel begehrt,
ruft die Anwendung eine PAM-API auf, die ihrerseits eines oder mehrere
Authentisierungsmodule aufruft, die für den Zugang zu dieser Anwendung
benötigt
werden. Die geeigneten Authentisierungsmodule, die durch die API
bestimmt werden, werden geladen und dem Benutzer präsentiert
(möglicherweise
nur eines). Wenn der Benutzer auf die Authentisierungstests in einer
PAM korrekt antwortet, wird Zugang gewährt. Wenn der Benutzer falsch
antwortet, wird der Zugang verweigert, wobei der Benutzer optional
eine weitere Gelegenheit erhält,
um auf die Tests richtig zu antworten.
-
Ein
Betriebsmittelzugangssystem kann in vier Bereiche der Managementfunktionalität unterteilt
werden: Authentisierung, Konto, Sitzung und Passwort. Das Authentisierungsmanagement
authentisiert den Benutzer und aktualisiert, erweitert oder vernichtet
die Benutzerberechtigungsnachweise. Das Kontomanagement prüft den Benutzerkontoverfall
und die Zugangsstundenbeschränkungen,
falls vorhanden, und bestimmt, ob ein Benutzer Zugang zu dem Betriebsmittel
zu diesen bestimmten Datum und zu dieser bestimmten Zeit hat. Das
Sitzungsmanagement wird für
Abrechnungs- und Rechnungserstellungszwecke verwendet, sowie optional
dazu, die Zeitmenge zu bestimmen, die der Benutzer Zugang zu den
Betriebsmittel in der laufenden Sitzung hatte (nützlich, wenn die Benutzerkontaktzeit
beschränkt
ist). Das Passwort Management wird verwendet, um das Passwort von
Zeit zu Zeit zu ändern.
Die PAM implementiert jedes dieser vier Managementelemente als ein
separates steckbares Modul. Ein bestimmter Benutzer braucht nicht
von allen vier Modulen abgefragt oder überwacht zu werden. Alternativ
kann die Zugangsanfrage des Benutzers parallel von zwei oder mehr
der vier Module verarbeitet werden.
-
Das
Authentisierungssystem kann eine Stärke und/oder eine Priorität jeder
der mehreren Authentisierungseinrichtungen, die einer bestimmten
Anwen dung oder einem Betriebsmittel zugeordnet sind, zuweisen. Das
System kann diese Einrichtungen in einer bestimmten Reihenfolge
anwenden, und/oder kann erfordern, dass der Benutzer wenigstens
eine ausgewählte
Anzahl dieser Tests befriedigt oder besteht, um Zugang zu der Anwendung
zu erlangen. Jedem zugeordneten Authentisierungstest ist ein Gewichtungswert
w
i (0 ≤ w
i ≤ 1;
e = 1, ..., I; I ≥ 1)
zugewiesen, der mit ansteigender Stärke oder Priorität für den zugehörigen Test
ansteigt, wobei das System dem Benutzer eine "Testpunktzahl" zuweisen kann:
wobei
ATS(i) = 1 gilt, wenn der Benutzer den Authentisierungstest Nummer
i besteht, und ansonsten ATS(i) = 0 gilt. Das System verweigert
den Benutzer optional Zugang zu der Anwendung, solange die Benutzertestpunktzahl
nicht wenigstens gleich einem ausgewählten Schwellentestpunktzahlwert
TS
thr ist (d. h. TS ≥ TS
thr), selbst
wenn der Benutzer wenigstens einen der zugehörigen Authentisierungstests
besteht. Die Schwellentestpunktzahl TS
thr kann
mit der bestimmten Anwendung, für
die der Zugang begehrt wird, variieren.
-
Die 2A–2B präsentieren
ein Flussdiagramm, das eine Prozedur zeigt, die diese Anwendung verkörpert. Im
Schritt 21 begehrt der Benutzer Zugang zu einer bestimmten
Anwendung oder einem Betriebsmittel. Im Schritt 23 bestimmt
das System, welche Authentisierungseinrichtungen (i = 1, ..., E)
dem Zugang zu der gewählten
Anwendung zugeordnet sind. Im Schritt 25 bestimmt das System
den Testpunktzahlschwellenwert, der dem gewählten Betriebsmittel zugeordnet
ist. Im Schritt 27 wird das System mit I = 1 und TS(0)
= 0 initialisiert. Im Schritt 29 präsentiert das System dem Benutzer
die Authentisierungseinrichtung Nummer i, wobei der Benutzer auf
diesen Test Nummer i im Schritt 31 antwortet. Im Schritt 33 bestimmt
das System, ob der Benutzer den Authentisierungstest Nummer i bestanden
hat. Wenn die Antwort auf die Anfrage im Schritt 33 "Ja" ist, setzt das System
im Schritt 35 ATS(i) = 1, und rückt zum Schritt 39 vor
(2B). Wenn die Antwort auf die Abfrage im Schritt 33 "Nein" ist, setzt das System
im Schritt 37 ATS(i) = 0 und rückt zu Schritt 39 vor. Im
Schritt 39 (2B) multipliziert das System
ATS(i) mit einer Gewichtung wi, die dem
Test Nummer i zugewiesen ist, addiert die Größe wiATS(i)
zur alten Summe TS(i – 1),
um eine neue Summe TS(i) zu bilden, und inkrementiert den Index
I (i → i
+ 1) im Schritt 40. Im Schritt 41 bestimmt das
System, ob i die Bedingung i ≥ I +
1 erfüllt.
Wenn die Antwort auf die Abfrage im Schritt 41 "Nein" ist, kehrt das System
zum Schritt 29 zurück und
wiederholt die Schritte 29, 31, 33, 39, 40 und 41 wenigstens
einmal. Wenn die Antwort auf die Abfrage im Schritt 41 "Ja" ist, geht das System
zum Schritt 43 über
und vergleicht die Summe TS(I) mit der zugeordneten Schwellentestpunktzahl
TSthr. Wenn TS(I) ≥ TSthr ist,
wird dem Benutzer im Schritt 45 Zugang zur Anwendung gewährt. Wenn
TS(I) < TSthr gilt, wird dem Benutzer Zugang zu einer
Vorgabeteilmenge der Anwendung im Schritt 47 gewährt, wobei
die Vorgabeteilmenge die leere Menge sein kann.
-
Alternativ
kann das System eine streng monotone Folge von Testpunktzahlschwellenwerten
TSthr,1, TSthr,2,
..., TSthr,N mit TSthr,1 < TSthr,2 < ... < TSthr,N und
N ≥ 1 setzen
und kann dem Benutzer Zugang zu einer ausgewählten Teilmenge des vollständigen Betriebsmittels
gewähren,
in Abhängigkeit
davon, welche Schwellenwerte die Benutzertestpunktzahl erreicht
oder überschreitet.
Wenn die Benutzertestpunktzahl TS(I) steigt, erhält der Benutzer Zugang zu mehr
und mehr Teilmengen der Zielanwendung.
-
Die 3A–3B–3C zeigen
die Prozedur gemäß dieser
alternativen Ausführungsform.
Die Schritte 21–41 in
den 3A–3B–3C werden
wie in den
-
2A–2B ausgeführt, um
die Summe TS(I) zu berechnen. Im Schritt 51 (3B)
stellt das System eine monotone Folge von N Schwellenwerten (N ≥ 2), TSthr,1 < TSthr,1 < ... < TSthr,N,
zur Verfügung,
die verwendet werden, um zu bestimmen, welcher Zugang dem Benutzer
innerhalb der Anwendung oder des Betriebsmittels gewährt werden
kann, falls überhaupt.
Im Schritt 53 wird das System initialisiert durch Setzen
eines Zählindex
n = 1. Im Schritt 55 bestimmt das System, ob die Summe
TS(I) die Bedingung TS(I) ≥ TSthr,n erfüllt.
Wenn die Antwort auf die Frage im Schritt 55 "Nein" ist, bestimmt das
System im Schritt 57 (3C), ob
n = 1 gilt.
-
Wenn
die Antwort auf die Frage im Schritt 57 "Ja" ist, gewährt das
System dem Benutzer Zugang zu einer ersten Vorgabeteilmenge S0 der
Anwendung im Schritt 59. Diese erste Vorgabeteilmenge kann
die leere Menge sein, was dem Benutzer effektiv den Zugang zu jedem
der Teil der Anwendung verweigert. Wenn die Antwort auf die Frage
im Schritt 57 "Nein" ist, was n > 1 entspricht, gewährt das
System dem Benutzer Zugang zu einer ausgewählten Teilmenge Sn-1 der
Anwendung.
-
Wenn
die Antwort auf die Frage im Schritt 55 "Ja" ist, inkrementiert
das System im Schritt 63 den Zählindex n (n → n + 1),
und bestimmt im Schritt 65, ob n die Bedingung n ≥ N + 1 erfüllt. Wenn
die Antwort auf die Frage im Schritt 65 "Nein" ist, kehrt das System
zu Schritt 55 zurück
und wiederholt diesen wenigstens einmal. Wenn die Antwort auf die
Frage im Schritt 65 "Ja" ist, gewährt das
System im Schritt 67 dem Benutzer Zugang zu einer weiteren
Vorgabeteilmenge SN, die optional die gesamte
Anwendung ist.
-
Die
vorangehenden Ausführungsformen
können
als "Bottom-Up"-Ansätze bezeichnet
werden, bei denen das System den Benutzer Zugang zu einer Vorgabeteilmenge
der Anwendung der des Betriebsmittels, die anfangs die leere Menge
sein kann, gewährt.
Das System gewährt
ferner Zugang durch den Benutzer auf immer größere Teile der Anwendung oder
des Betriebsmittels, wenn der Benutzer mehr und mehr der Authentisierungstests
befriedigt oder besteht.
-
In
einem alternativen "Top-DOWN"-Ansatz, der in einem
Flussdiagramm in den 4A–4B gezeigt
ist, beginnt der Benutzer mit einem potenziellen Zugang zum gesamten
Betriebsmittel oder der gesamten Anwendung und verliert Zugang zu
bestimmten Teilmengen des Betriebsmittels, wenn er einen oder mehrere der
Authentisierungstests nicht befriedigt oder besteht. Im Schritt 71 begehrt
der Benutzer Zugang zu einem Betriebsmittel oder zu einer Teilmenge
desselben. Im Schritt 73 stellt das System I Authentisierungseinrichtungen
bereit, die mit i = 1, 2, ..., I (I ≥ 1) nummeriert sind und dieser
Anwendung zugeordnet sind. Im Schritt 75 wird das System
mit i = 1 initialisiert. Im Schritt 77 wird dem Benutzer
der Authentisierungstest Nummer i präsentiert, wobei der Benutzer
auf den Test Nummer i im Schritt 79 antwortet. Im Schritt 81 ermittelt
das System, ob der Benutzer den Test Nummer i bestanden hat.
-
Wenn
die Antwort auf die Abfrage im Schritt 81 "Ja" ist, gewährt das
System im Schritt 85 dem Benutzer Zugang zu der ausgewählten Betriebsmittelteil menge
Si (4B). Das
System geht anschließend
zum Schritt 87 über
und inkrementiert den Zählindex
i (i → i
+ 1). Im Schritt 89 bestimmt das System, ob der Zählindex
i die Bedingung i ≥ I
+ 1 erfüllt.
Wenn die Antwort auf die Abfrage im Schritt 89 "Ja" ist, rückt das
System zum Schritt 91 vor und gewährt dem Benutzer Zugang zur
vollständigen
Betriebsmittelmenge oder einer modifizierten Version oder Vorgabeversion
desselben. Wenn die Antwort auf die Abfrage im Schritt 89 "Nein" ist, kehrt das System
zurück
und wiederholt die Schritte 77, 79 und 81 wenigstens
einmal.
-
Wenn
die Antwort auf die Abfrage im Schritt 81 "Nein" ist, gewährt das
System dem Benutzer im Schritt 83 Zugang zur einer ausgewählten Vorgabeteilmenge
Si,def der Betriebsmittelteilmenge Si, und fährt
optional mit Schritt 87 fort, wo der Zählindex i inkrementiert wird
und gegen I + 1 getestet wird (Schritt 89). Die Vorgabeteilmenge
Si,def ist optional die leere Menge.
-
Am
Ende der in den 4A–4B gezeigten
Prozeduren gewährt
das System den Benutzer dann, wenn der Benutzer die Authentisierungstests
Nummer i = i1, i2, ..., iM unter der Gesamtzahl I von Authentisierungstests
(0 ≤ M ≤ I; I ≥ 1) nicht
befriedigt oder bestanden hat, Zugang zu einer oder mehreren der
bestimmten Vorgabeteilmengen Si1,def, Si2,def, ..., SiM,def,
so dass der Benutzer nun Zugang zu der Vereinigung dieser Vorgabeteilmengen
der ursprünglichen "gesamten" Betriebsmittel-
oder Anwendungsteilmenge S hat. Jedes Mal, wenn der Benutzer einen
Authentisierungstest befriedigt oder besteht, bleibt die Teilmenge
des Betriebsmittels, zu der der Benutzer Zugang hat, unverändert (kein
Verlust in dieser Phase).
-
Wenn
mehrere Benutzer vorhanden sind, werden dem ersten und dem zweiten
Benutzer, die Zugang zu verschiedenen Abschnitten eines Betriebsmittels
begehren, optional verschiedene Folgen von Authentisierungstest
präsentiert,
um den Anteil des Betriebsmittels zu bestimmen, zu dem jedem Benutzer
Zugang gewährt
wird. Zum Beispiel können
dem ersten Benutzer die Authentisierungstest Nr. 1, 2 und 4 für den Zugang zu
einem ersten ausgewählten
Anteil des Betriebsmittels präsentiert
werden; während
dem zweiten Benutzer die Authentisierungstests Nr. 2, 3, 4 und 5
für den
Zugang zu einem zweiten ausgewählten
Anteil des Betriebsmittels präsentiert
werden können.
Wenn der erste und der zweite Benutzer den gleichen Authentisierungstest bestehen
(z. B. den Test Nr. 2), kann alternativ der Anteil des Betriebsmittels,
zu dem jeweils Zugang gewährt wird,
für jeden
Benutzer verschieden sein. Zum Beispiel kann dem ersten und dem
Benutzer Zugang zu verschiedenen Abschnitten eines gegebenen vertraulichen
Dokuments, das die nationale Sicherheit beeinflusst, gewährt werden,
da diese zwei Benutzer unterschiedlichen "Wissensbedarf" haben.
-
Das
Betriebsmittel oder die Anwendung, zu denen der Benutzer Zugang
begehrt, können
sich von Zeit zu Zeit ändern.
Zum Beispiel kann ein Betriebsmittel eine Sammlung von Dokumenten
verschiedener Klassifizierungsniveaus (z. B. im Unternehmen privat
und vertraulich, sowie geheim und streng geheim auf Bundesebene)
enthalten, wobei das für
den Zugang benötigte
Authentisierungsniveau durch die Dokumente mit dem höchsten Vertraulichkeitsniveau
festgelegt werden kann. Die Bundesregierung stuft die Klassifizierung
ausgewählter
Dokumente von Zeit zu Zeit zurück,
wobei das benötigte
Authentisierungsniveau in Folge dieser Zurückstufung oder als Ergebnis
der Entfernung eines oder mehrerer Dokumente aus dem Betriebsmittel
entsprechend reduziert werden kann. Umgekehrt können ein oder mehrere zusätzliche
Dokumente mit einem höheren
Klassifizierungsniveau zum Betriebsmittel hinzugefügt werden,
wobei diese Heraufsetzung der Klassifizierung eine Erhöhung des
Authentisierungsniveaus für
den Zugang zum Betriebsmittel erfordern kann.
-
In
einer weiteren alternativen Ausführungsform ändern sich
ein oder mehrere Authentisierungsniveaus oder Tests, die einen gegebenen
Betriebsmittel zugeordnet sind, optional zu einem gegebenen Zeitpunkt, möglicherweise
in Folge einer Änderung
der Kennzeichnung des Betriebsmittels oder eines oder mehrerer Dokumente
oder anderer Objekte, die Teil des Betriebsmittels sind oder diesem
zugeordnet sind. Diese Änderung würde zu einem
Zeitpunkt implementiert, der näherungsweise
gleichzeitig zu der Änderung
der Kennzeichnung ist, und wäre
Gegenstand nachfolgender Kennzeichnungsänderungen.
-
Die
vorangehenden Ausführungsformen
können
implementiert werden, indem dem Benutzer eine Folge eines oder mehrerer
Authentisierungstests präsentiert
wird, wobei der Benutzer einen oder mehrere dieser Tests positiv "bestehen" muss, um Zugang
zu einem Teil oder zum gesamten Betriebsmittel zu erhalten.
-
Alternativ
kann dem Benutzer eine Chipkarte ausgehändigt werden, die Klartext
und/oder (vorzugsweise) verschlüsselte
Antworten oder "Schlüssel" auf I Authentisierungstests
(I >= 2) enthält, wobei
jede Antwort einem Durchlauf eines Authentisierungstests entsprechen
kann, jedoch nicht muss. Bei diesem Ansatz präsentiert der Benutzer dem System
seine Chipkarte, wobei das System die Karte liest und bestimmt,
ob irgendwelche Einträge
auf der Chipkarte einem Durchlauf eines Authentisierungstests entsprechen
und welchem Test diese entsprechen. Die Chipkarte wird von einem
Computer gelesen, der verfolgt, welche Authentisierungstests die
Chipkarte "bestanden" hat, und bestimmt
somit eine entsprechende Teilmenge des Betriebsmittels (die das
gesamte Betriebsmittel, eine geeignete Teilmenge des gesamten Betriebsmittels
oder die leere Menge sein kann), zu der der Benutzer Zugang hat,
auf der Grundlage der Chipkartenpunktzahl des Benutzers. Die Chipkarte
erfordert vorzugsweise eine Spezifikation einer PIN des Kartenbesitzers,
die der präsentierten
Chipkarte entsprechend muss, um die Chipkarte zu lesen und ihre
Punktzahl bezüglich
einem oder mehrerer Authentisierungstests zu bestimmen. Dieser Ansatz
erfordert den Besitz sowohl der Chipkarte als auch speziellen Wissens
(der PIN), bevor Zugang zu einem Betriebsmittel oder Teilen hiervon
gewährt
wird.
-
Die
steckbare Authentisierungseinrichtung (Pluggable Authentication
Mechanism, PAM), die die Abfrage eines oder mehrerer Authentisierungstests
bewerkstelligt, ist kompatibel mit der Erfindung. Die PAM muss nicht
verändert,
sondern nur verbessert werden, um die Erfindung zu implementieren.