Browse Prior Art Database

Rotierende Sessiontoken

IP.com Disclosure Number: IPCOM000016642D
Published in the IP.com Journal: Volume 3 Issue 8 (2003-08-25)
Included in the Prior Art Database: 2003-Aug-25
Document File: 1 page(s) / 46K

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

Beim Arbeiten mit elektronisch gespeicherten Daten unter Einbeziehung des Internets ist die Sicherheit der Daten und/oder des Computersystems des Anwenders ein wichtiger Aspekt. Diesem wird versucht Rechnung zu tragen durch z.B. Authentifizierungsprozeduren und/oder Autorisierungsanforderungen. Ueblicherweise meldet sich der Benutzer zu Beginn eines Zugriffs auf Internet-Ressourcen an, indem er einen Benutzernamen (username) und ein zugehoeriges Kennwort (password) eingibt. Damit wird beispielsweise vom Server ein Cookie (eine durch eine Website auf einem Benutzerrechner abgelegte Informationsdatei) erzeugt, das den Client fuer alle weiteren Zugriffe auf diese Server-Ressource autorisiert. Dieser Cookie bleibt unveraendert und ist nur durch Ablauf seiner Gueltigkeit begrenzt. Es ist auch moeglich, dass in einem versteckten Feld innerhalb der dem Client gelieferten Daten Authentisierungsfelder abzulegen. Ziel der im Folgenden vorgestellten Idee ist, die Sicherheit bei der Autorisierung von Zugriffen auf Internet-Ressourcen oder auf allgemeine, auf beliebigen Servern liegende Ressourcen zu erhoehen. Dieses soll erreicht werden durch Einfuehrung eines sogenannten Sessiontoken (gleichbedeutend mit einem Gutschein fuer die aktuelle Nutzung oder Sitzung). Ein solches Sessiontoken wird bei jedem Zugriff auf eine dem System zugaengliche Ressource neu ausgestellt (gleichsam wechselnd, rotierend). Nach Erhalt des nur fuer eine einmalige Nutzung gueltigen Sessiontoken kann der Client damit die gewuenschte Ressource auf dem Server abfragen. Die Anfrage wird vom Server verarbeitet und der Gutschein wird ungueltig. Im selben Schritt erhaelt der Client vom Server ein neues Token. Nur damit kann der Client die naechste Abfrage durchfuehren.

This text was extracted from a PDF file.
This is the abbreviated version, containing approximately 67% of the total text.

Page 1 of 1

S

© SIEMENS AG 2003 file: 2003J04993.doc page: 1

Rotierende Sessiontoken

Idea: Markus Wagner, AT-Wien

Beim Arbeiten mit elektronisch gespeicherten Daten unter Einbeziehung des Internets ist die Sicherheit der Daten und/oder des Computersystems des Anwenders ein wichtiger Aspekt. Diesem wird versucht Rechnung zu tragen durch z.B. Authentifizierungsprozeduren und/oder Autorisierungsanforderungen. Ueblicherweise meldet sich der Benutzer zu Beginn eines Zugriffs auf Internet-Ressourcen an, indem er einen Benutzernamen (username) und ein zugehoeriges Kennwort (password) eingibt. Damit wird beispielsweise vom Server ein Cookie (eine durch eine Website auf einem Benutzerrechner abgelegte Informationsdatei) erzeugt, das den Client fuer alle weiteren Zugriffe auf diese Server-Ressource autorisiert. Dieser Cookie bleibt unveraendert und ist nur durch Ablauf seiner Gueltigkeit begrenzt. Es ist auch moeglich, dass in einem versteckten Feld innerhalb der dem Client gelieferten Daten Authentisierungsfelder abzulegen.

Ziel der im Folgenden vorgestellten Idee ist, die Sicherheit bei der Autorisierung von Zugriffen auf Internet-Ressourcen oder auf allgemeine, auf beliebigen Servern liegende Ressourcen zu erhoehen. Dieses soll erreicht werden durch Einfuehrung eines sogenannten Sessiontoken (gleichbedeutend mit einem Gutschein fuer die aktuelle Nutzung oder Sitzung). Ein solches Sessiontoken wird bei jedem Zugriff auf eine dem System zugaengliche Ressource neu ausgestellt (gleichs...