Zugangsregelung für Daten oder Applikationen eines Netzwerks Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Regelung eines Zugangs zu Daten oder Applikationen eines Netzwerks. Weiterhin werden ein entsprechendes System bzw. ein Computerprogrammprodukt vorgeschlagen. Der Begriff "Cloud Computing" umschreibt einen Ansatz, abstrahierte informationstechnische (IT) Infrastrukturen (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Sicht des Nutzers scheint die zur Verfügung gestellte Infrastruktur fern und undurchsichtig, wie in eine "Wolke" gehüllt.

Bei diesem Ansatz wird ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software) nicht mehr auf Nutzerseite betrieben oder am Ort des Nutzers bereitgestellt, sondern beispielsweise bei einem oder mehreren Anbietern als Dienst gemietet, wobei die ^¬ se Anbieter geografisch entfernt angesiedelt sein können. Die Anwendungen oder Daten befinden sich nicht mehr (nur) auf dem lokalen Rechner oder einem (Firmen-) Rechenzentrum, sondern in der "Wolke", nachfolgend bezeichnet als Cloud. Die Cloud kann dabei Teil des Internets sein oder dieses umfassen.

Cloud Computing bietet die Möglichkeit, netzbasierte Anwen- düngen in neuen Geschäftsmodellen anzubieten. Dienstleistungen in der Cloud können dabei auf verschiedenen Ebenen zur Verfügung gestellt werden:

(a) Infrastruktur:

Ein potentieller Kunde "mietet" Rechenleistung, um seine eigenen Dienste zu realisieren. Cloud Computing nutzt hierzu Rechenzentren, die sich entweder konzentriert an einem Ort befinden, oder die zur Erbringung von flexib- len Diensten verteilt zusammengeschaltet sein können. Auf diesen Rechnern werden virtuelle Maschinen ausgeführt. Die Kunden laden Daten (z.B. Bilder) in die

Cloud, die Verarbeitung erfolgt ohne Benutzerinteraktion im Rechenzentrum.

(b) Plattform:

Der Kunde erhält Zugriff auf eine Plattform, die zum ei ^¬ nen die Infrastruktur für die Erbringung eines Dienstes als auch bestimmte Softwareteile (z.B. Middleware) um- fasst, mit deren Hilfe Dienste erstellt werden können. Der damit erstellte Dienst ist beispielsweise eine Web ^¬ applikation .

(c) Software:

Ein Cloud-Anbieter (auch bezeichnet als Cloud-Provider) bietet eine netzbasierte Applikation an, die der Kunde mittels seines Browsers nutzt. Dabei können von dem Kun ^¬ den über den Browser Dokumente oder Datensätze angelegt oder bearbeitet werden.

Die Auslagerung von Applikationen und Daten kann eine Sicherheitsbedrohung darstellen, denn Daten und Dokumente werden bei dem Cloud-Anbieter gespeichert und - je nach Typ der Cloud bzw. Implementierung des Dienstes - dort auch verarbei ^¬ tet (d.h. auf diese Daten wird auch in der Cloud zugegriffen) .

Eine Security Assertion Markup Language (kurz SAML) ist be ^¬ kannt als ein XML-Framework zum Austausch von Authentifizie- rungs- und Autorisierungsinformationen . Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen. Bei der Entwicklung von SAML wurden die folgenden Anwendungsfälle berücksichtigt:

- Single Sign-on (ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung von weiteren Anwendungen berechtigt) . - Verteilte Transaktionen (mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen) .

- Autorisierungsdienste (die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Be ^¬ rechtigung überprüft) .

Diese Dienste sollen vor allem für Webservices angeboten werden. SAML umfasst sogenannte SAML-Assertions , ein SAML- Protokoll, SAML-Bindings und Profile.

Derartige SAML-Assertions werden von einem Identity-Provider zu einem Service-Provider übertragen. Bei den SAML-Assertions handelt es sich um Aussagen ("Statements") _/ die der Service- Provider nutzt, um zu entscheiden, ob ein Zugriff zugelassen werden soll. Die folgenden Typen von Aussagen werden von SAML genutzt :

- Authentifikations-Aussagen ( "Authentication Statements"): Zusicherung einer Authentifizierung für ein Subjekt S zu einer Zeit T mittels einer Methode M (für Single Sign-On) .

- Attribut-Aussagen ("Attribute Statements"): Zusiche ^¬ rung, dass ein Subjekt S über ein Attribut A mit ei ^¬ nem Wert a verfügt (für eine verteilte Transakti ^¬ on/Autorisierung) .

- Autorisierations-Entscheidungs-Aussagen ("Authoriza- tion Decision Statements"): Autorisierung bestimmter Ressourcen .

Details zu SAML sind z.B. Wikipedia unter

[http : //de . wikipedia .org/wiki/Security_Assertion_Markup_Langu age] entnehmbar.

Weiterhin ist ein Ansatz zu Beurteilung von Netzwerk- Endpunkten (NEA: "Network Endpoint Assessment" hier auch be- zeichnet als Netzwerk-Endpunkt-Beurteilung) gemäß RFC 5209 bekannt [http://tools.ietf.Org/html//rfc5209]. Demnach können Netzwerk-Endpunkte klassifiziert und beurteilt werden und es kann basierend auf einer derartigen Einschätzung ein Zugang zu Netzwerken auf OSI-Schicht 2 und 3 gesteuert werden.

In Firmennetzwerken (z.B. sogenannten Intranets) wird auf diese Art kontrolliert, welche Geräte Zugriff auf das Firmen ^¬ netzwerk erhalten bzw. zu welchem separaten Netzwerk innerhalb des Firmennetzwerks das Gerät verbunden wird.

Internetdienstanbieter (ISP = Internet Service Provider) ver- wenden die Netzwerk-Endpunkt-Beurteilung auf Client-Geräten für den Zugang zum Internet. Die Netzwerk-Endpunkt- Beurteilung erfolgt dabei nicht auf der Anwendungsschicht, z.B. wenn auf Dienste des Internets, z.B. mittels eines Netz ^¬ browsers, zugegriffen wird; dort (auf Anwendungsschicht) er- folgt die Zugriffskontrolle üblicherweise über eine Authenti- fikation mittels Benutzername und Kennwort.

Allerdings werden zunehmend Applikationen und Dienste über das Internet bzw. netzbasiert bereitgestellt, insbesondere anhand der eingangs erläuterten Cloud. Hierbei wird Software als ein Dienst z.B. über die Netzwerkschnittstelle des Inter ^¬ nets angeboten. Derartige Dienste werden vermehrt auch für sicherheitsrelevante, vertrauliche oder persönliche Daten verwendet, z.B. Online-Bankanwendungen.

Solche Dienste schützen sich gegen missbräuchliche Verwendung dadurch, dass die Benutzer sich (auf der Anwendungsebene) au- thentisieren müssen. Es besteht aber auch die Möglichkeit, dass ein Dienst durch auf einem Computer des Anwenders ablau- fende schädliche Software (sogenannte "Malware", umfassend z.B. Viren, Trojaner etc.) kompromittiert oder missbräuchlich verwendet wird, mit entsprechend negativen Auswirkungen auf Anwender und Betreiber. Ein Beispiel stellt derartige schäd ^¬ liche Software dar, die Passwörter oder PINs des Benutzers ausspäht, damit diese später missbräuchlich verwendet werden können. Andererseits könnte schädliche Software auf dem An ^¬ wenderrechner auch dazu geeignet sein, den Dienst selbst anzugreifen . Während zur Zeit die Authentisierung von Benutzern meist auf einer Eingabe von Benutzername und Passwort basiert, bietet SAML ein Rahmenwerk zum Austausch von Authentifizierungs- und Autorisierungsinformationen . Damit ist es möglich, die Authentifikation eines Benutzers von dem Dienstanbieter auf eine Organisation, der der Benutzer angehört (z.B. eine Firma, für die der Benutzer arbeitet oder bei der er angestellt ist) oder eine unabhängige dritte Partei, zu übertragen. Somit kann sich ein Benutzer durch eine einmalige Authentifikation bei mehreren Systemen und/oder Diensten anmeldet (Single- Sign-On) .

Das bekannte SAML-Rahmenwerk funktioniert wie folgt:

(a) Der Benutzer authentifiziert sich bei einer Instanz, die einen Berechtigungsnachweis bzw. ein Token (z.B. eine elektronische Marke für einen Zugriff oder Zugang) bereitstellt. Diese Instanz wird auch als Token-Provider bezeichnet. Bei dem Token-Provider kann es sich z.B. um die Firma des Benutzers (oder um eine unabhängige dritte Partei) handeln. Der Benutzer erhält ein zeitlich begrenztes Token (d.h. eine SAML-Assertion) das eine Identitätsinformation, sonstige Attribute und den Typ des verwendeten Authentifikationsmechanismus enthält. Das Token hat beispielsweise das Format einer XML-Datei.

(b) Der Benutzer fügt das Token einer Anfrage bei (z.B. einer http-Anfrage) , um auf den gewünschten Dienst zugrei ^¬ fen zu können.

(c) Ein Server überprüft das Token des Benutzers und gewährt den Zugriff, falls das Token verifiziert werden konnte.

Eine Infrastruktur für eine bekannte Netzwerk-Endpunkt- Beurteilung (NEA) umfasst:

(a) einen NEA-Client, der auf dem Gerät des Benutzers vorge- sehen ist und Eigenschaften des Geräts ermittelt, z.B. einen Aktualisierungsstatus (Patch-Level) oder einen Vi- renschutzstatus (z.B. ob ein Virenschutzprogramm installiert ist und ggf. in welcher Version dieses Viren- Schutzprogramm installiert bzw. ob das richtige Viren- schutzprogramm installiert ist) ;

(b) einen NEA-Server in dem Netzwerk (z.B. einen RADIUS-

Server) , der die von dem NEA-Client ermittelten Eigen- schaften erhält, verarbeitet und entscheidet, ob und ggf. welche Art des Zugangs gewährt werden soll.

Hierbei ist es von Nachteil, dass man Dienste im Internet nicht in analoger Weise durch eine Netwerk-Endpunkt- Beurteilung schützen kann.

Die Aufgabe der Erfindung besteht darin, den vorstehend ge ^¬ nannten Nachteil zu vermeiden und insbesondere eine Lösung zu schaffen, um die Sicherheit von in einem Netzwerk, insbeson- dere einer Cloud, laufenden Diensten und der dort gespeicherten Daten zu erhöhen.

Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesonde- re den abhängigen Ansprüchen entnehmbar.

Zur Lösung der Aufgabe wird ein Verfahren angegeben zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks ,

- bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und

- bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang an ^¬ hand der Endpunkt-Klasse geregelt wird.

Bei der Berechtigungs-Information kann es sich beispielsweise um eine Authentisierungsinformation eines Benutzers (an dem Endgerät) oder des Endgeräts handeln. Ein Vorteil des vorliegenden Ansatzes besteht darin, es einem Dienstebetreiber zu ermöglichen, nicht nur den Benutzer zu authentisieren, sondern auch ausschließen zu können, dass Be- nutzer mit kompromittierten Geräten auf den Dienst zugreifen und dadurch sich oder den Dienst gefährden.

Bei dem Endpunkt-Status handelt es sich vorzugsweise um den Status des Endgeräts.

Grundsätzlich kann eine solche Regelung des Zugangs für unterschiedliche Daten oder Applikationen (z.B. Programme) erfolgen, die zumindest teilweise in dem Netzwerk gespeichert sind oder dort ablaufen. Bei dem Netzwerk kann es sich um das Internet oder um eine beliebige Cloud handeln. Der Zugriff erfolgt z.B. von einem Benutzerendgerät (z.B. einem Computer oder einem Telefon) . Als Computer kommen eine Vielzahl von Geräten in Frage, z.B. ein Arbeitsplatzrechner, ein Notebook, ein portables Gerät, ein Gerät mit einer Funkschnittstelle

(z.B. zu einem Mobilfunknetzwerk und/oder zu einem drahtlosen Netzwerk (WLAN) ) , ein Smartphone, ein Tablet-PC, ein Server, etc . Die Regelung des Zugangs kann dabei in Abhängigkeit von der Endpunkt-Klasse auf unterschiedliche Arten erfolgen: Bei ^¬ spielsweise kann kein Zugang, limitierter Zugang oder voller Zugang auf die Ressourcen des Netzwerks erfolgen. Der Zugang umfasst hierbei beispielhaft auch einen Zugriff auf derartige Ressourcen des Netzwerks. Bei dem limitierten Zugang kann z.B. abhängig von dem Endpunkt-Status und einem ggf. damit verbundenen Benutzerstatus (sofern sich der Benutzer an dem Endpunkt authentifiziert hat) der Zugang geregelt werden. Insbesondere ist es möglich, dass nur auf einen bestimmten Teil des Netzwerks, z.B. bestimmte vorgegebene Daten und/oder Applikationen ein Zugriff in Abhängigkeit von der Endpunkt- Klasse und/oder dem Endpunkt-Status erfolgt.

Hierbei sei ausdrücklich darauf hingewiesen, dass die obigen Merkmale keine zeitliche Abfolge festlegen: So kann z.B. die Berechtigungs-Information überprüft und dann die Endpunkt- Klasse bestimmt werden oder umgekehrt kann zuerst die End- punkt-Klasse bestimmt werden und dann die Berechtigungs- Information überprüft werden.

Der vorliegende Ansatz ermöglicht es Dienstanbietern nicht nur die Identität des Benutzers bzw. des Endgeräts, sondern auch eine Netzwerk-Endpunkt-Beurteilung, also eine Endpunktbeurteilung des Benutzergeräts für die Entscheidung, ob ein Zugang erfolgen soll oder nicht, zu berücksichtigen. Damit kann der Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten.

Dienste und Anwendungsprogramme, die derzeit über das Inter ^¬ net angeboten werden, verfügen über keinerlei Netzwerk- Endpunkt-Beurteilung, sondern verwenden lediglich eine Benut- zer-Authentifikation als Zugangs- bzw. Zugriffskontrolle.

Eine Weiterbildung ist es, dass der Endpunkt-Status die Be ^¬ rechtigungs-Information aufweist .

Eine andere Weiterbildung ist es, dass

- das Endgerät bei einer Berechtigungs- Bereitstellungsinstanz authentifiziert wird und

- von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird .

Bei der Berechtigungsinformation kann es sich z.B. um ein To- ken handeln, das für eine vorgegebene Zeitdauer gültig ist. Die Berechtigungs-Bereitstellungsinstanz kann die beispielhaft im nachfolgenden Ausführungsbeispiel als Credential Pro ^¬ vider bezeichnete Komponente sein.

Insbesondere ist es eine Weiterbildung, dass

- von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitge ^¬ stellt wird, - von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,

- die Endpunkt-Klasse der Berechtigungs- Bereitstellungsinstanz bereitgestellt wird,

- dem Endgerät von der Berechtigungs-

Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden,

- von dem Endgerät die Endpunkt-Klasse und die Berech ^¬ tigungs-Information an eine Zugangskontrolle übermit- telt werden und

- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.

Auch ist es eine Weiterbildung, dass

- von dem Endgerät der Endpunkt-Status und die Berech ^¬ tigungs-Information an eine Zugangskontrolle übermit ^¬ telt werden,

- von der Zugangskontrolle einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,

- von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,

- von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird,

- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.

Bei dem Beurteilungs-Server handelt es sich vorzugsweise um einen Endpunkt-Beurteilungs-Server. Der Beurteilungs-Server führt eine Netzwerk-Endpunkt-Beurteilung entsprechend eines Klassifikations-Schemas durch und bestimmt eine Endpunkt- Klasse basierend auf dem Klassifikations-Schema. Beispiels ^¬ weise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch". Die Endpunkt-Klasse wird bei ^¬ spielsweise in XML gespeichert. Ferner ist es eine Weiterbildung, dass mittels einer Klassi ^¬ fikations-Vereinbarung die Endpunkt-Klasse basierend auf dem Endpunkt-Status ermittelt wird. Eine Zuordnung eines Endpunkt-Status zu der Endpunkt-Klasse wird beispielsweise mittels einer Klassifikations- Vereinbarung festgelegt.

Im Rahmen einer zusätzlichen Weiterbildung wird der Endpunkt- Status anhand einer Status-Vereinbarung bestimmt.

So kann eine Struktur des Endpunktstatus in einem XML-Schema festgelegt sein und als eine Status-Vereinbarung bezeichnet werden. Eine Endpunkt-Beurteilungs-Vereinbarung kann verwen- det werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung .

Eine nächste Weiterbildung besteht darin, dass auf dem Endge- rät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt.

Insbesondere kann der Endgerät-Beurteilungs-Client die hier beschriebenen Kommunikationen mit dem Endgerät, der Berechti- gungs-Bereitstellungsinstanz und/oder der Zugangskontrolle veranlassen, übernehmen oder koordinieren.

Eine Ausgestaltung ist es, dass der Endpunkt-Status mindes ^¬ tens eine der folgenden Informationen umfasst:

- Status und/oder Version einer Software,

- Status und/oder Version eines Virenschutzprogramms ,

- Zustand und/oder Version eines Betriebssystems

- Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.

Die vorstehende Aufgabe wird auch gelöst mittels einer Vor ^¬ richtung zur Regelung eines Zugangs auf Daten oder Applikati- onen eines Netzwerks umfassend eine Verarbeitungseinheit, die derart eingerichtet ist, dass

- eine Berechtigungs-Information eines Endgeräts überprüfbar ist und

- anhand eines Endpunkt-Status des Endgeräts eine End ^¬ punkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.

Die Verarbeitungseinheit kann insbesondere eine Prozessorein- heit und/oder eine zumindest teilweise fest verdrahtete oder logische Schaltungsanordnung sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben durchführbar ist. Besagte Verarbeitungseinheit kann jede Art von Prozessor oder Rechner oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output- Schnittstellen, Ein-Ausgabe-Geräte, etc.) sein oder umfassen.

Die vorstehenden Erläuterungen betreffend das Verfahren gelten für die Vorrichtung entsprechend. Die Vorrichtung kann in einer Komponente oder verteilt in mehreren Komponenten ausgeführt sein. Insbesondere kann auch ein Teil der Vorrichtung über eine Netzwerkschnittstelle (z.B. das Internet) angebun ^¬ den sein. Weiterhin wird zur Lösung der Aufgabe ein System oder ein

Computernetzwerk vorgeschlagen umfassend mindestens eine der hier beschriebenen Vorrichtungen.

Die hierin vorgestellte Lösung umfasst ferner ein Computer- programmprodukt , das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile die dazu geeignet sind, Schritte des hier beschriebenen Verfahrens durchzuführen . Weiterhin wird das oben genannte Problem gelöst mittels eines computerlesbaren Speichermediums, z.B. eines beliebigen Speichers, umfassend von einem Computer ausführbare Anweisungen (z.B. in Form von Programmcode) die dazu geeignet sind, dass der Computer Schritte des hier beschriebenen Verfahrens durchführt .

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleich wirkende Elemente mit gleichen Bezugszei ^¬ chen versehen sein.

Es zeigen: Fig.l ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider bereitgestellten Netzwerk-Endpunkt-Beurteilung;

Fig.2 ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer bzw. das Endgerät des Benutzers zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) . Der vorliegende Vorschlag nutzt insbesondere die folgenden (funktionalen) Komponenten:

(A) Einen Endpunkt-Beurteilungs-Client: Hierbei handelt es sich beispielsweise um ein Programm, das auf dem Gerät des Benutzers abläuft und dieses beur ^¬ teilt. Dabei können beispielsweise unterschiedliche In ^¬ formationen oder Zustände festgestellt und gespeichert werden :

- Status und/oder Version einer Software (auch bezeichnet als "Patch-Level"),

- Status und/oder Version eines Virenschutzprogramms ,

- Zustand und/oder Version eines Betriebssystems - Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.

Diese Information entspricht einem Status des Endpunkts (hier des Geräts des Benutzers) und wird beispielsweise in ein Dokument oder in einer Datei abgespeichert. Vor ^¬ teilhaft kann hierfür ein XML-Dokument (XML: Extensible Markup Language, zu Deutsch: "erweiterbare Auszeich ^¬ nungssprache") verwendet werden.

So kann eine Struktur des Endpunktstatus in einem XML- Schema festgelegt sein und als eine Status-Vereinbarung (auch bezeichnet als eine Status-Policy) bezeichnet wer ^¬ den .

Eine Endpunkt-Beurteilungs-Vereinbarung (auch bezeichnet als eine Endpunkt-Beurteilungs-Policy) kann verwendet werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung .

(B) Einen Endpunkt-Beurteilungs-Server:

Der Endpunkt-Beurteilungs-Server führt eine Netzwerk- Endpunkt-Beurteilung entsprechend eines Klassifikations- Schemas durch und bestimmt eine Endpunkt-Klasse basie ^¬ rend auf dem Klassifikations-Schema. Beispielsweise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch".

Die Endpunkt-Klasse wird beispielsweise in XML gespei ^¬ chert. Eine Zuordnung eines Endpunkt-Status zu der End ^¬ punkt-Klasse wird durch eine Klassifikations- Vereinbarung (auch bezeichnet als eine Klassifikations- Policy) festgelegt.

(C) Eine Instanz zur Bereitstellung einer Berechtigung

und/oder eines Token ( "Berechtigungs- Bereitstellungsinstanz", fortan der Einfachheit halber bezeichnet als "Credential-Provider" ) :

Es wird vorgeschlagen, einen gemäß des SAML-Rahmenwerks bekannten Token-Provider (siehe Einleitung) zu erweitern, so dass dieser eine Berechtigung bzw. ein Token bereitstellt betreffend die Identität und die Authenti- fikation eines Benutzers, wie sie z.B. für einen Single- Sign-On-Mechanismus benötigt wird. Hierzu werden für den Credential-Provider insbesondere die folgenden Aufgaben vorgesehen :

- Der Credential Provider erhält den Endpunkt-Status von dem Endpunkt-Beurteilungs-Client, der auf dem Ge- rät ausgeführt wird. Der Credential Provider kann auch dazu eingesetzt werden, die aktuelle Version der Endpunkt-Beurteilungs-Vereinbarung von dem Endpunkt- Beurteilungs-Server zu beziehen und zu dem Endpunkt- Beurteilungs-Client zu übermitteln.

- Der Credential Provider fordert eine Klassifikation des Endpunkt-Status von dem Endpunkt-Beurteilungs- Server an. - Der Credential Provider stellt eine Information über den Endpunkt z.B. mittels eines von ihm generierten Token bereit. Hierbei bezeichnet das Token stellver ^¬ tretend jedwede Art einer Berechtigung, die in diesem Beispiel von dem Credential Provider zur Verfügung gestellt wird. Es können insbesondere zwei Optionen unterschieden werden:

^■ Einerseits kann der Credential Provider die

Endpunkt-Klasse wie er sie von dem Endpunkt- Beurteilungs-Server erhalten hat, in Form eines XML-Eintrags in dem Token bereitstellen.

^■ Andererseits kann der vollständige Endpunkt- Status, wie er von dem Endpunkt-Beurteilungs- Client erhalten wurde, als XML-Eintrag in dem Token bereitgestellt werden.

Eine Zugangskontrollkomponente:

Die Zugangskontrollkomponente des Dienstes erhält das Token und überprüft dessen Signatur. Ist die Signatur erfolgreich verifiziert, entscheidet die Zugangskon ^¬ trollkomponente ob und ggf. in welchem Umfang ein Zugang gewährt werden soll (bei dem Zugang kann es sich auch um einen Zugriff z.B. auf Daten oder Applikationen handeln) .

Insbesondere kann der Zugang mit Einschränkungen belegt werden. Beispielsweise kann der Zugang auf bestimmte Komponenten oder Daten beschränkt werden bzw. kann vorgegeben werden, dass nur bestimmte Aktionen erlaubt sind. Die Entscheidung über den Umfang des Zugangs basiert auf den in der Berechtigung enthaltenen Informationen, z.B. der Identität, dem Authentifizierungsstatus und/oder der Endpunkt-Klasse.

Beispielsweise kann eine Endpunkt-Klasse "einfach" an ^¬ zeigen, dass der Zugang auf einen lesenden Zugriff beschränkt werden soll und nur auf solche Komponenten oder Daten erfolgen darf, die für einen allgemeinen öffentlichen Zugriff bestimmt sind. Andererseits können Admi ^¬ nistratoren mittels einer Endpunkt-Klasse "hoch" vollen Zugriff zu einer Vielzahl von oder zu allen Komponenten oder Daten erhalten.

Falls das Token einen Endpunkt-Status anstelle einer Endpunkt-Klasse enthält, übermittelt die Zugangskon ^¬ trollkomponente beispielsweise den Endpunkt-Status an den Endpunkt-Beurteilungs-Server um die entsprechende Endpunkt-Klasse für diesen Endpunkt zu erhalten. Fig.l zeigt ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider 103 bereitgestellten Netzwerk-Endpunkt-Beurteilung .

Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.1.

(1) Ein Benutzer authentifiziert sich über ein Benutzerend ^¬ gerät 101 bei dem Credential-Provider 103.

(2) Ein auf dem Benutzerendgerät 101 ablaufender Endpunkt- Beurteilungs-Client 102 sammelt Informationen über den Status des Betriebssystems und der Anwendungsprogramme entsprechend einer Vorgabe einer Status-Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103.

Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version einer Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von einem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.

(3) Der Credential-Provider 103 stellt einen Endpunkt-Status (z.B. als XML-Eintrag) in einem Token dem Benutzerendge ^¬ rät 101 bereit.

(4) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an eine Zugangskontrollkomponente 105.

(5) Die Zugangskontrollkomponente 105 überprüft das Token, extrahiert den Endpunkt-Status und übermittelt diesen an den Endpunkt-Beurteilungs-Server 104. Der Endpunkt-Beurteilungs-Server 104 ordnet den Endpunkt-Status einer Endpunkt-Klasse zu und übermittelt diese Endpunkt-Klasse an die Zugangskontrollkomponente 105.

(6) Die Zugangskontrollkomponente 105 trifft die Entschei ^¬ dung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations- Status und der Endpunkt-Klasse.

Die Zugangskontrollkomponente 105 ist hierfür vorzugs ^¬ weise mit einer Zugangs-Kontroll-Vereinbarung (auch bezeichnet als Zugangs-Kontroll-Policy) konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104.

Der Endpunkt-Beurteilungs-Server 104 wird beispielsweise von dem Dienstanbieter betrieben, der das Klassifikations-Schema und die Zugangs-Kontroll-Vereinbarung entsprechend seinen Anforderungen vorgegeben kann, d.h. in Abhängigkeit von Faktoren, die für die Entscheidung über den Zugang (und die Art des Zugangs) entscheidend sind.

Fig.2 zeigt ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) .

Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.2.

(1) Ein Benutzer authentifiziert sich über ein Benutzerend ^¬ gerät 101 bei dem Credential-Provider 103.

(2) Der Endpunkt-Beurteilungs-Client 101 sammelt Informatio ^¬ nen über den Status des Betriebssystems und der Anwen- dungsprogramme entsprechend einer Vorgabe der Status- Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103.

Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version der Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von dem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.

(3) Der Credential-Provider 103 übermittelt einen Endpunkt- Status an den Endpunkt-Beurteilungs-Server und erhält die zugehörige Endpunkt-Klasse.

(4) Der Credential-Provider 103 stellt die Endpunkt-Klasse (z.B. als XML-Eintrag) in dem Token dem Benutzerendgerät 101 bereit.

(5) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an die Zugangskontrollkomponente 105.

(6) Die Zugangskontrollkomponente 105 überprüft das Token und trifft die Entscheidung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations-Status und der Endpunkt-Klasse.

Die Zugangskontrollkomponente 105 ist hierfür vorzugs ^¬ weise mit der Zugangs-Kontroll-Vereinbarung konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104.

Um eine Zugangs-Kontroll-Vereinbarung, die eine Information "Endpunkt-Klasse" verwendet, erstellen zu können, kennt der Credential-Provider 103 vorzugsweise die Klas ^¬ sifikations-Vereinbarung, d.h. die Zuordnung zwischen dem Endpunkt-Status und der Endpunkt-Klasse. Somit besteht vorzugsweise eine Form des Informations ^¬ austausches oder einer Vereinbarung zwischen der Organisation (der der Benutzer zugeordnet ist) und dem Anbieter .

Ein Vorteil dieser Option besteht darin, dass die Organisati ^¬ on vorgeben kann, welche Aspekte des Geräts für die Zugangs ^¬ kontrolle berücksichtigt werden sollen. Damit erhält die Or ^¬ ganisation zusätzliche Kontrolle über die Sicherheitsmecha- nismen, was insbesondere für sicherheitsrelevante Dienste und Daten der Organisation von Vorteil ist.

Hier werden beispielhaft zwei Optionen zur Beurteilung von Endpunkten, die auf über das Internet bereitgestellte Dienste zugreifen, beschrieben. Eine weitere Möglichkeit besteht dar ^¬ in, dass der Provider den Endpunkt-Beurteilungs-Server betreibt und die Organisation das Klassifikations-Schema und die Klassifikations-Vereinbarung bestimmt, die von dem Endpunkt-Beurteilungs-Server umgesetzt werden soll.

Obwohl die Erfindung im Detail durch das mindestens eine ge ^¬ zeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.