EP1709764A1 - Circuit arrangement and method for securing communication within communication networks - Google Patents

Circuit arrangement and method for securing communication within communication networks

Info

Publication number
EP1709764A1
EP1709764A1 EP05707876A EP05707876A EP1709764A1 EP 1709764 A1 EP1709764 A1 EP 1709764A1 EP 05707876 A EP05707876 A EP 05707876A EP 05707876 A EP05707876 A EP 05707876A EP 1709764 A1 EP1709764 A1 EP 1709764A1
Authority
EP
European Patent Office
Prior art keywords
network
peer
certificate
communication
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05707876A
Other languages
German (de)
French (fr)
Inventor
Jens Uwe Busser
Gerald Volkmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Nokia Siemens Networks GmbH and Co KG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Nokia Siemens Networks GmbH and Co KG, Siemens Corp filed Critical Siemens AG
Publication of EP1709764A1 publication Critical patent/EP1709764A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1087Peer-to-peer [P2P] networks using cross-functional networking aspects
    • H04L67/1091Interfacing with client-server systems or between P2P systems

Definitions

  • Communication security is becoming increasingly important in modern communication networks. Important aspects of communication security are the authenticity of the participants and the confidentiality of messages. Authorization may also be required to participate in communication within networks. This communication security is usually achieved with pre-administered shared secrets such as shared secrets. Furthermore, communication security can also be guaranteed with digital signatures / certificates. Every network subscriber authorized for secure communication receives their own digital certificate from a trustworthy central entity. These certificates bind a public key to the identity of its owner. These certificates can be checked with “the public key of the central instance, which is contained in the so-called root certificate of the central instance, which must be distributed to all network participants in an unadulterated manner.
  • a network subscriber can now use his secret private key to generate a signed message, the authenticity of which can be checked by any recipient using the public key from the certificate of the network subscriber.
  • the recipient of the network subscriber receives the certificate either from the network subscriber himself or from a central server. For the confidential transmission of messages, they are encrypted with the public key from the recipient's certificate, so that only the recipient can decrypt the message.
  • Security functions such as authentication, authorization and encryption / decryption are also used in a peer-to-peer network, hereinafter abbreviated to P2P network.
  • P2P network peer-to-peer network
  • the invention has for its object to provide a circuit arrangement and an associated method for securing the communication of network participants.
  • the invention has the advantage that an authenticity check can also be carried out when the network subscriber is operating offline.
  • the invention has the advantage that an authorization check can be carried out using the certificate of the network subscriber even when the network subscriber is operating offline.
  • the invention has the advantage that confidential information can also be stored in an offline mode of the network subscriber in the P2P network.
  • the invention has the advantage that servers for the provision of created and stored certificates ten are not required during operation.
  • FIG. 1 shows a P2P network within an IP network
  • FIG. 2 shows an allocation of a certificate for a new network subscriber and its distribution in the P2P network
  • FIG. 3 shows a schematic illustration of the authentication of the message from a network subscriber
  • Figure 4 shows a structure of circuit modules within a
  • Figure 5 is a flow diagram of a certificate distribution
  • Figure 6 is a flowchart of an authenticity check and Figure 7 is a flowchart of an encrypted deposit.
  • a digital certificate is stored as a resource in the P2P network. This has the advantage that data can be made available to the other network participants even if the network participant or the network participant cannot be reached offline or for other reasons in the operating mode. Furthermore, it is also possible to encrypt data intended for network units and thus protect them in the P2P network.
  • Figure 1 shows a P2P network within a network designated IP.
  • the data transfer to the transport layer takes place via common protocols, for example the Internet protocol.
  • the layer of is located as an additional layer P2P protocol, which assigns identification ID to other subscribers and data recorders, regulates storage, extraction and replication of data records, etc.
  • P2P protocol assigns identification ID to other subscribers and data recorders, regulates storage, extraction and replication of data records, etc.
  • the elements called peer A, peer B, ..., peer N of the P2P network are, for example independent computers that are connected to each other, for example, both via IP protocol and via P2P protocol.
  • the technology of a P2P network required here is, for example, from a thesis by Thomas Friese on the
  • a server or certificate server for example of a service provider, can also be arranged within the IP network.
  • a network element denoted by Peer X should, for example, have access to network subscribers of a network denoted P2P.
  • the network subscriber Peer X which can be a computer, for example, requests or applies for a certificate ZX from a provider FIRM.
  • the provider FIRM sends the applicant Peer X the assigned certificate, which is also stored in the certificate server CA.
  • This certificate ZX created by the certificate server for the network subscriber Peer X consists, for example, of various categories such as the name of the provider, the company or the trust center that issues the certificate, a serial number of the certificate, a public key of Peer X, a validity period, a name, who the key (Peer X) belongs and a signature that is generated by the provider or trust center.
  • this certificate ZX is sent to the new network subscriber Peer X of the P2P network.
  • the certificate server CA which looks at the P2P network as a whole, also sends the certificate ZX to the P2P network.
  • the certificate server CA sends the certificate ZX to peer A.
  • peer A can assume a gateway function.
  • the certificate ZX is then stored as a resource within the P2P network, for example in the peer M.
  • the information of the digital certificate is also available to the network subscribers of the P2P network if the network unit Peer X is not accessible in offline mode or for other reasons.
  • the validity period of this resource corresponds to the validity period of the certificate. It is thus possible to access a public key, which is stored in the certificate, in order to check the authenticity of the information stored and signed in a network unit in the P2P network.
  • the authorization of the certificate user results from the possession of a valid certificate, which was issued by the provider FIRM.
  • FIG. 3 schematically shows how the network subscriber Peer C receives a message from network subscriber Peer X, the authenticity of which is to be checked by Peer C.
  • Peer C requires the ZX certificate from Peer X.
  • This certificate ZX extracts Peer C from the P2P network and loads it into its memory:
  • Peer C determines the identification ID of the ZX certificate, using the method defined in the P2P algorithm used, and searches then with the im P2P algorithm used method according to a peer, the identification of which matches the ID of the certificate as closely as possible, and in whose memory the certificate ZX was therefore stored. After the certificate ZX has been found in the resource of the network subscriber Peer M, the certificate ZX is sent to the searching network subscriber Peer C.
  • the latter now first checks the validity of the ZX certificate using the public key QCA from the root certificate ZCA; he then checks the authenticity of the message using the public key QX, which is contained in the certificate ZX. If the authenticity is confirmed, the message is processed; otherwise it will be ignored.
  • FIG. 1 The structure of a network subscriber is shown schematically in FIG.
  • a network module NWM a network module NWM, a first memory module SMPA, SMCA, SMA, .. and a second memory module SMX, SMY, ..., a crypto module KRM and a processor P connected to these modules are included in the illustration .
  • the network module NWM with network card and associated software etc. regulates communication with all external devices, eg between peers in the P2P network and on the Internet protocol-based IP level.
  • a private key PA from peer A is stored in the memory module SMPA; this must be kept secret by peer A.
  • SMA memory module there is a certificate from Peer A with a public key QA and in the memory module SMCA there is a certificate from Server CA with a public key QCA.
  • the crypto module KRW which is designed for software and / or hardware, has functions such as: Generation of a digital signature using the private key PA. Authenticity check of the digital signature of any peer X using its public key QX, which is included in the certificate kat of X is included. Validity check of a digital certificate via the authenticity check of its digital signature, created by the server CA using its public key QCA, which is contained in the (root) certificate of CA. Encryption of a confidential message to Peer X using the public key QX from Peer X's certificate. Decryption of a confidential message from Peer X to Peer A using the private key PA from Peer A.
  • FIG. 5 shows a program flow of a certificate distribution as shown schematically in FIG.
  • a preliminary remark should be made that all network participants in the P2P network have a self-signed certificate of the certificate generation server CA firmly integrated.
  • Each network subscriber thus has a public key QCA of the certificate product server CA.
  • All peers A, B, ... N also have an identification ID, this identification ID is, for example, the network address in the P2P network mentioned.
  • the certificate generation server CA has generated the certificate ZX for the network subscriber Peer X of the P2P network, i.e. signed with the server's private key PCA. This certificate binds a public key QX to its identity X.
  • the certificate is then distributed according to the following procedural steps:
  • the server sends a certificate to a specific peer.
  • this is peer A in the P2P network.
  • the signature of the certificate ZX can be checked in peer A using the public key QCA known to it. If the signature is found to be invalid, the certificate is not forwarded but deleted. It is also possible that the certificate server itself is such a network participant in the P2P network.
  • the identification ID which determines on which peers a resource is stored in the P2P network
  • the Certificates ZX determined according to a method common in P2P networks, which depends on the P2P algorithm / protocol used.
  • P2P algorithms / protocols see for example Petar Maymounkov, David Mazieres, New York University, Kademia: A Peer to Peer Information System Based on XOR Metric, 2001 or Stoica, Morris, Karger, Kaashoek, Balakrishnan, MIT Laboratory for Computer Science: Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications, August 2001.
  • the peer A calculates this ID of the certificate in such a way that it emerges from a unique identification by the peer X, so that the certificate is only known when this identification is known in the P2P network can be found and extracted.
  • Peer looks for peer M within the P2P network, whose identification ID best matches the ID of the certificate. The match relates to a metric of the P2P network system.
  • Peer A sends the ZX certificate to Peer M.
  • the signature of the certificate can also be checked using the public key QCA. If this is ok, he saves the certificate, otherwise the certificate is deleted.
  • the Peer X certificate is available as a resource in the P2P network as described above, i.e. it can be searched and extracted by any peer A, B, ... N who needs it in the P2P network.
  • the invention thus has the advantage that the ZX certificate is still available even when the server and Peer X are not available.
  • a flowchart of an authenticity check is shown schematically in FIG.
  • All peers in the P2P network have firmly integrated self-signed certificates of the certificate generation server CA.
  • Each peer A, B, ... N thus has a public key QCA of the certificate generation server CA.
  • All peers A, B, ..., N have an identification ID that serves as the network address in the P2P network.
  • the certificate for Peer X is a resource in the P2P network.
  • a data record such as a data file, service request or message ..., signed by the peer X with its private key PX and sent to peer C or in the P2P network in another computer Peer M, ..., Peer N, are filed.
  • Peer C receives this data record from Peer X or from a third computer Peer M.
  • Peer C determines e.g. from a unique identification of Peer X the identification ID of the certificate of Peer X.
  • Peer C uses this ID to search for a network subscriber on which the certificate is stored and receives Peer M as the destination.
  • the computer Peer C causes Peer M to send it the certificate.
  • Peer C now checks the validity of the ZX certificate and then checks the authenticity of the data record received from Peer X. If the certificate and authenticity are ok.
  • Peer C processes the data record that was sent by Peer X. This also enables access control of the P2P network: only participants who have received a certificate from the certificate generation server CA are authorized to generate data records for processing by other participants.
  • each peer A, B, ..N can now check the authenticity of data records in the network in the P2P network. The check can still be carried out even if the server and the Peer X subscriber are not available.
  • the sequence of an encrypted deposit is shown schematically in FIG.
  • the subsequent process of an encrypted deposit is similar to the authenticity check described above.
  • peer C Based on peer C, an encrypted message to peer X is to be stored in the network.
  • the computer peer C determines e.g. from a unique identification of Peer X the ID of the certificate of Peer X.
  • the computer Peer C searches with this ID for a peer on which the certificate is stored and receives Peer M as the destination.
  • the computer Peer C causes Peer M to send it the certificate.
  • Peer C checks the validity of the Peer X certificate.
  • the message is encrypted with the public key QX from the Peer X certificate.
  • the peer C can now store the encrypted message in the P2P network.
  • Peer X When Peer X receives the encrypted message, only Peer X can decrypt the Peer C message addressed to it with its private key PX.
  • each peer A, B, .. Peer N can send or store encrypted messages to other participants in the P2P network.
  • This sending or storing of messages to other participants in the P2P network can take place independently of a server or the accessibility of the target peer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a circuit arrangement and associated method for the authentication of a network subscriber. A digital certificate is stored as a resource in the P2P network. The advantage thereof is that data can be also be provided for the other network subscribers, when the network subscriber(s) are offline or can not be reached for other reasons. It is also possible to encode data which is specific for other network units and file said data in a protective manner for the P2P network.

Description

Beschreibung description

Schaltungsanordnung und Verfahren zur KommunikationsSicherheit innerhalb von KommunikationsnetzenCircuit arrangement and method for communication security within communication networks

In modernen Kommunikationsnetzen gewinnt die Kommunikations- sicherheit zunehmend an Bedeutung. Dabei sind wichtige Aspekte der Kommunikationssicherheit die Authentizität der Teilnehmer und die Vertraulichkeit von Nachrichten. Zur Teilnahme an einer Kommunikation innerhalb von Netzwerken kann außerdem eine Autorisierung erforderlich sein. Diese Kommunikationssicherheit wird üblicherweise mit voradministrierten, gemeinsamen Geheimnissen wie beispielsweise shared secrets verwirklicht. Des weiteren kann auch mit digitalen Signatu- ren/Zertifikaten die Kommunikationssicherheit gewährleistet werden. Dabei erhält jeder zur sicheren Kommunikation autorisierte Netzteilnehmer ein eigenes digitales Zertifikat von einer vertrauenswürdigen zentralen Instanz. Diese Zertifikate binden einen öffentlichen Schlüssel an die Identität seines Eigentümers. Diese Zertifikate können überprüft werden mit dem öffentlichen Schlüssel der zentralen Instanz, der im sogenannten Root-Zertifikat der zentralen Instanz enthalten ist, welches unverfälscht an alle Netzwerkteilnehmer verteilt werden muss. Ein Netzteilnehmer kann nun mit seinem geheimen privaten Schlüssel eine signierte Nachricht erzeugen, deren Authentizität von jedem Empfänger mittels des öffentlichen Schlüssel aus dem Zertifikat des Netzteilnehmers geprüft werden kann. Das Zertifikat eines Netzteilnehmers erhält der Empfänger entweder von Netzteilnehmer selbst oder von einem zentralen Server. Zur vertraulichen Übermittlung von Nachrichten werden diese mit dem öffentlichen Schlüssel aus dem Zertifikat des Empfängers verschlüsselt, so dass nur dieser die Nachricht wieder entschlüsseln kann. In einem Peer-to-Peer Netzwerk, nachfolgend mit P2P Netzwerk abgekürzt, finden Sicherheitsfunktionen wie Authentisierung, Autorisierung und Ver-/Entschlüsselung ebenso Anwendung. Wer- den danach Informationen aus dem Zertifikat eines Netzteilnehmers benötigt, so kann das Zertifikat von dieser Netzeinheit selbst oder falls vorhanden von einer externen Speichereinheit angefordert werden.Communication security is becoming increasingly important in modern communication networks. Important aspects of communication security are the authenticity of the participants and the confidentiality of messages. Authorization may also be required to participate in communication within networks. This communication security is usually achieved with pre-administered shared secrets such as shared secrets. Furthermore, communication security can also be guaranteed with digital signatures / certificates. Every network subscriber authorized for secure communication receives their own digital certificate from a trustworthy central entity. These certificates bind a public key to the identity of its owner. These certificates can be checked with the public key of the central instance, which is contained in the so-called root certificate of the central instance, which must be distributed to all network participants in an unadulterated manner. A network subscriber can now use his secret private key to generate a signed message, the authenticity of which can be checked by any recipient using the public key from the certificate of the network subscriber. The recipient of the network subscriber receives the certificate either from the network subscriber himself or from a central server. For the confidential transmission of messages, they are encrypted with the public key from the recipient's certificate, so that only the recipient can decrypt the message. Security functions such as authentication, authorization and encryption / decryption are also used in a peer-to-peer network, hereinafter abbreviated to P2P network. Who- who then needs information from the certificate of a network subscriber, the certificate can be requested from this network unit itself or, if available, from an external storage unit.

Die bisher beschriebene Authentisierung von Daten oder Nachrichten einer Netzeinheit in einem P2P Netzwerk bringt jedoch den Nachteil mit sich, das ein Zertifikatsserver für die Teilnehmer des P2P Netzwerks zur Verfügung stehen muss und/oder die Netzteilnehmer ständig im Online-Betrieb sich befinden müssen. Darüber hinaus können auch keine vertraulichen Nachrichten für Netzteilnehmer allgemein noch für bestimmte Netzteilnehmer hinterlegt werden, wenn oben genannte Netz- und Netzteilnehmerbedingungen vorliegen.However, the previously described authentication of data or messages from a network unit in a P2P network has the disadvantage that a certificate server must be available for the participants in the P2P network and / or the network participants must be constantly online. In addition, no confidential messages for network subscribers in general or for certain network subscribers can be stored if the above-mentioned network and network subscriber conditions exist.

Der Erfindung liegt die Aufgabe zugrunde, eine Schaltungsanordnung und ein dazugehöriges Verfahren zur Absicherung der Kommunikation von Netzteilnehmern anzugeben.The invention has for its object to provide a circuit arrangement and an associated method for securing the communication of network participants.

Die Aufgabe wird durch die Merkmale der Ansprüche 1 und 4 gelöst.The object is solved by the features of claims 1 and 4.

Die Erfindung bringt den Vorteil mit sich, dass eine Authentizitätsprüfung auch bei einem Offline-Betrieb des Netzteil- nehmers durchgeführt werden kann.The invention has the advantage that an authenticity check can also be carried out when the network subscriber is operating offline.

Die Erfindung bringt den Vorteil mit sich, dass eine Autori- sierungsprüfung über das Zertifikat des Netzteilnehmers auch bei einem Offline-Betrieb des Netzteilnehmers durchge- führt werden kann.The invention has the advantage that an authorization check can be carried out using the certificate of the network subscriber even when the network subscriber is operating offline.

Die Erfindung bringt den Vorteil mit sich, dass eine vertrauliche Informationshinterlegung auch in einem Offline-Betrieb des Netzteilnehmers im P2P Netzwerk durchgeführt werden kann.The invention has the advantage that confidential information can also be stored in an offline mode of the network subscriber in the P2P network.

Die Erfindung bringt den Vorteil mit sich, dass Server zur Bereitstellung von erstellten und abgespeicherten Zertifika- ten im laufenden Betrieb nicht erforderlich sind.The invention has the advantage that servers for the provision of created and stored certificates ten are not required during operation.

Weitere Besonderheiten der Erfindung werden aus den nachfolgenden näheren Erläuterungen zu den Figuren eines Ausfüh- rungsbeispiels ersichtlich.Further special features of the invention can be seen from the following detailed explanations of the figures of an exemplary embodiment.

Es zeigen:Show it:

Figur 1 ein P2P-Netzwerk innerhalb eines IP-Netzwerkes,FIG. 1 shows a P2P network within an IP network,

Figur 2 eine Zuteilung eines Zertifikates für einen neuen Netzteilnehmer und deren Verteilung im P2P-Netzwerk,FIG. 2 shows an allocation of a certificate for a new network subscriber and its distribution in the P2P network,

Figur 3 eine schematische Darstellung der Authentisierung der Nachricht eines Netzteilnehmers,FIG. 3 shows a schematic illustration of the authentication of the message from a network subscriber,

Figur 4 einen Aufbau von Schaltungsmodulen innerhalb einesFigure 4 shows a structure of circuit modules within a

Peers, Figur 5 ein Ablaufdiagramm einer Zertifikatsverteilung,Peers, Figure 5 is a flow diagram of a certificate distribution,

Figur 6 ein Ablaufdiagramm einer Authentizitätsprüfung und Figur 7 ein Ablaufdiagramm einer verschlüsselten Hinterlegung.Figure 6 is a flowchart of an authenticity check and Figure 7 is a flowchart of an encrypted deposit.

Anhand einer Schaltungsanordnung und dem dazugehörigen Verfahren zur Authentisierung eines Netzteilnehmers wird ein digitales Zertifikat als Ressource im P2P-Netzwerk abgespeichert. Dies bringt den Vorteil mit sich, dass Daten auch dann den weiteren Netzteilnehmern zur Verfügung gestellt werden können, wenn die oder der Netzteilnehmer im Betriebsmodus Offline oder aus anderen Gründen nicht erreichbar ist. Des weiteren ist es auch möglich, für Netzeinheiten bestimmte Daten verschlüsselt und somit geschützt im P2P-Netzwerk abzule- gen.Using a circuit arrangement and the associated method for authenticating a network subscriber, a digital certificate is stored as a resource in the P2P network. This has the advantage that data can be made available to the other network participants even if the network participant or the network participant cannot be reached offline or for other reasons in the operating mode. Furthermore, it is also possible to encrypt data intended for network units and thus protect them in the P2P network.

Figur 1 zeigt ein P2P-Netzwerk innerhalb eines mit IP bezeichneten Netzwerkes.Figure 1 shows a P2P network within a network designated IP.

Der Datentransfer bis zur Transportschicht findet über ge- bräuchliche Protokolle, beispielsweise das Internetprotokoll, statt. Zwischen dieser Transportschicht und der Anwendungsschicht befindet sich als zusätzliche Schicht die Schicht des P2P Protokolls, welche die Zuordnung von Identifikation ID zu anderen Teilnehmern und Datensätzern vornimmt, das Abspeichern, Extrahieren sowie die Replikation von Datensätzen regelt etc. Die mit Peer bezeichneten Elemente Peer A, Peer B, ... , Peer N des P2P Netzwerkes sind beispielsweise selbständige Rechner, die untereinander beispielsweise sowohl über IP-Protokoll als auch über P2P Protokoll miteinander verbunden sind. Die hier vorausgesetzte Technologie eines P2P Netzwerkes ist bei- spielsweise aus einer Diplomarbeit von Thomas Friese an derThe data transfer to the transport layer takes place via common protocols, for example the Internet protocol. Between this transport layer and the application layer, the layer of is located as an additional layer P2P protocol, which assigns identification ID to other subscribers and data recorders, regulates storage, extraction and replication of data records, etc. The elements called peer A, peer B, ..., peer N of the P2P network are, for example independent computers that are connected to each other, for example, both via IP protocol and via P2P protocol. The technology of a P2P network required here is, for example, from a thesis by Thomas Friese on the

Philipps-Universität Marburg zum Thema - Selbstorganisiertende Peer-to-Peer Netzwerke vom März 2002 bekannt. Innerhalb des IP-Netzes kann ebenso ein Server bzw. Zertifikatsserver beispielsweise eines Diensteanbieters angeordnet sein.Philipps University of Marburg on the topic - Self-Organizing Peer-to-Peer Networks from March 2002 known. A server or certificate server, for example of a service provider, can also be arranged within the IP network.

Der Gegenstand der Erfindungen wird anhand der nachfolgenden Figurenbeschreibung verdeutlicht. Ein mit Peer X bezeichnetes Netzelement soll dabei beispielsweise Zugang zu Netzteilneh- mern eines mit P2P bezeichneten Netzwerkes erhalten.The subject matter of the inventions is illustrated by the following description of the figures. A network element denoted by Peer X should, for example, have access to network subscribers of a network denoted P2P.

In Figur 2 wird schematisch der Zugang des Netzteilnehmers Peer X zum P2P Netzwerk erläutert. In einem ersten Verfahrensschritt wird vom Netzteilnehmer Peer X, der beispielswei- se ein Rechner sein kann, ein Zertifikat ZX von einem Anbieter FIRM angefordert bzw. beantragt. Der Anbieter FIRM sendet dem Antragsteller Peer X das zugeteilte und ebenfalls im Zertifikatsserver CA hinterlegte Zertifikat. Dieses vom Zertifikatserver angelegte Zertifikat ZX für den Netzteilnehmer Peer X besteht beispielsweise aus verschiedenen Rubriken wie Name des Anbieters, der Firma oder des Trustcenters der das Zertifikat vergibt, einer Seriennummer des Zertifikates, einen öffentlichen Schlüssel von Peer X, einem Gültigkeitszeitraum, einem Namen, wem der Schlüssel (Peer X) gehört und eine Sig- natur, die von dem Anbieter oder Trustcenter erzeugt wird.The access of the network subscriber Peer X to the P2P network is explained schematically in FIG. In a first method step, the network subscriber Peer X, which can be a computer, for example, requests or applies for a certificate ZX from a provider FIRM. The provider FIRM sends the applicant Peer X the assigned certificate, which is also stored in the certificate server CA. This certificate ZX created by the certificate server for the network subscriber Peer X consists, for example, of various categories such as the name of the provider, the company or the trust center that issues the certificate, a serial number of the certificate, a public key of Peer X, a validity period, a name, who the key (Peer X) belongs and a signature that is generated by the provider or trust center.

Mit der Signatur wird sichergestellt, dass die in dem Zertifikat hinterlegten Daten nur von dem Trustcenter bzw. der Firma oder dem Anbieter vergeben wurden. Dieses Zertifikat ZX wird in einem zweiten Schritt an den neuen Netzteilnehmer Peer X des P2P-Netzwerkes gesendet. Ebenso wird vom Zertifikatsserver CA, der das P2P-Netzwerk als Ganzes betrachtet, das Zertifikat ZX auch an das P2P-Netzwerk gesendet. Beispielsweise sendet der Zertifikatsserver CA das Zertifikat ZX dazu an den Peer A. Das Peer A kann hierbei eine Gatewayfunktion übernehmen. Das Zertifikat ZX wird dann innerhalb des P2P Netzwerkes als Ressource beispielsweise im Peer M abge- speichert.The signature ensures that the data stored in the certificate is only from the trust center or the Company or provider. In a second step, this certificate ZX is sent to the new network subscriber Peer X of the P2P network. The certificate server CA, which looks at the P2P network as a whole, also sends the certificate ZX to the P2P network. For example, the certificate server CA sends the certificate ZX to peer A. For this purpose, peer A can assume a gateway function. The certificate ZX is then stored as a resource within the P2P network, for example in the peer M.

Mit der Abspeicherung des digitalen Zertifikats als Ressource im P2P-Netzwerk stehen die Informationen des digitalen Zertifikates auch dann den Netzteilnehmern des P2P Netzwerkes zur Verfügung, wenn die Netzeinheit Peer X im Betriebsmodus Offline oder aus anderen Gründen nicht erreichbar ist. Die Gültigkeitsdauer dieser Ressource entspricht dabei der Gültigkeitsdauer des Zertifikates. Somit ist es möglich, auf einen öffentlichen Schlüssel, der im Zertifikat hinterlegt ist, zuzugreifen, um die in einer Netzeinheit im P2P Netzwerk hinterlegte und signierte Informationen auf deren Authentizität hin zu überprüfen. Die Autorisierung des Zertifikatsverwenders ergibt sich aus dem Besitz eines gültigen Zertifikates, welches vom Anbieter FIRM ausgegeben wurde. Des weiteren ist es auch möglich, für einen Netzteilnehmer bestimmte Information verschlüsselt und somit geschützt im P2P-Netz abzulegen. Damit könnte beispielsweise eine vertrauliche Anruferbeant- worterfunktion realisiert werden.With the storage of the digital certificate as a resource in the P2P network, the information of the digital certificate is also available to the network subscribers of the P2P network if the network unit Peer X is not accessible in offline mode or for other reasons. The validity period of this resource corresponds to the validity period of the certificate. It is thus possible to access a public key, which is stored in the certificate, in order to check the authenticity of the information stored and signed in a network unit in the P2P network. The authorization of the certificate user results from the possession of a valid certificate, which was issued by the provider FIRM. Furthermore, it is also possible to encrypt certain information for a network subscriber and thus store it in the P2P network in a protected manner. This could be used to implement a confidential answering machine function, for example.

In Figur 3 ist schematisch wiedergegeben, wie der Netzteilnehmer Peer C eine Nachricht von Netzteilnehmer Peer X erhält, deren Authentizität von Peer C geprüft werden soll. Dazu benötigt Peer C das Zertifikat ZX von Peer X. Dieses Zertifikat ZX extrahiert Peer C aus dem P2P Netzwerk und lad es in seinen Speicher: Dazu bestimmt Peer C die Identifikation ID des Zertifikats ZX, nach der im verwendeten P2P Algorithmus festgelegten Methode, und sucht anschließend mit der im verwendeten P2P Algorithmus festgelegten Methode nach einem Peer, dessen Identifikation mit der ID des Zertifikates möglichst gut übereinstimmt, und in dessen Speicher das Zertifikat ZX daher abgelegt wurde. Nachdem das Zertifikat ZX in der Ressource des Netzteilnehmers Peer M gefunden wurde, wird das Zertifikat ZX an den suchenden Netzteilnehmer Peer C gesendet. Dieser überprüft nun zuerst die Gültigkeit des Zertifikates ZX mittels des öffentlichen Schl sseis QCA aus dem Rootzertifikat ZCA; anschlie- ßend prüft er die Authentizität der Nachricht mittels des öffentlichen Schlüssels QX, welcher im Zertifikat ZX enthalten ist. Ist die Authentizität bestätigt, wird die Nachricht bearbeitet; ansonsten wird sie ignoriert.FIG. 3 schematically shows how the network subscriber Peer C receives a message from network subscriber Peer X, the authenticity of which is to be checked by Peer C. For this, Peer C requires the ZX certificate from Peer X. This certificate ZX extracts Peer C from the P2P network and loads it into its memory: For this purpose, Peer C determines the identification ID of the ZX certificate, using the method defined in the P2P algorithm used, and searches then with the im P2P algorithm used method according to a peer, the identification of which matches the ID of the certificate as closely as possible, and in whose memory the certificate ZX was therefore stored. After the certificate ZX has been found in the resource of the network subscriber Peer M, the certificate ZX is sent to the searching network subscriber Peer C. The latter now first checks the validity of the ZX certificate using the public key QCA from the root certificate ZCA; he then checks the authenticity of the message using the public key QX, which is contained in the certificate ZX. If the authenticity is confirmed, the message is processed; otherwise it will be ignored.

In Figur 4 ist schematisch der Aufbau eines NetzteilnehmersThe structure of a network subscriber is shown schematically in FIG

Peer A beschrieben. Für das Verständnis der Erfindung sind in die Darstellung ein Netzwerkmodul NWM, ein erstes Speichermodul SMPA, SMCA, SMA, .. und ein zweites Speichermodul SMX, SMY, ... , ein Kryptomodul KRM sowie ein mit diesen Modulen in Verbindung stehender Prozessor P aufgenommen. Das Netzwerkmodul NWM mit Netzwerkkarte und dazugehöriger Software etc. regelt die Kommunikation mit allen externen Geraten, z.B. zwischen Peers im P2P-Netzwerk sowie auf der Internetprotokoll- basierten IP-Ebene. In dem Speichermodul SMPA ist ein priva- ter Schlüssel PA von Peer A abgespeichert; dieser muss vom Peer A geheim gehalten werden. Im Speichermodul SMA ist das Zertifikat von Peer A mit öffentlichem Schlüssel QA sowie im Speichermodul SMCA ist ein Zertifikat von Server CA mit öffentlichem Schlüssel QCA. Diese ersten 3 Datensatze sind in jedem Peer immer vorhanden. In einem zweites Speichermodul sind Zertifikate von anderen Peers X,Y, ... abgelegt; diese werden bei Bedarf aus dem P2P-Netzwerk geholt. Das Kryptomodul KRW, das Software- und/oder Hardwaremaßig ausgebildet ist, verfugt dabei über Funktionen wie: Erzeugung einer digi- talen Signatur mit Hilfe des privaten Schlusseis PA. Authen- tizitatsprufung der digitalen Signatur von beliebigem Peer X mittels dessen öffentlichen Schlüssel QX, welcher im Zertifi- kat von X enthalten ist. Gültigkeitsprüfung eines digitalen Zertifikates über die Authentizitätsprüfung seiner digitalen Signatur, erstellt vom Server CA mittels dessen öffentlichen Schlüssel QCA, welcher im (Root-) Zertifikat von CA enthalten ist. Verschlüsselung einer vertraulichen Nachricht an Peer X mittels des öffentlichen Schlüssels QX aus dem Zertifikat von Peer X. Entschlüsselung einer vertraulichen Nachricht von Peer X an Peer A mittels des privaten Schlüssels PA von Peer A.Peer A described. To understand the invention, a network module NWM, a first memory module SMPA, SMCA, SMA, .. and a second memory module SMX, SMY, ..., a crypto module KRM and a processor P connected to these modules are included in the illustration , The network module NWM with network card and associated software etc. regulates communication with all external devices, eg between peers in the P2P network and on the Internet protocol-based IP level. A private key PA from peer A is stored in the memory module SMPA; this must be kept secret by peer A. In the SMA memory module there is a certificate from Peer A with a public key QA and in the memory module SMCA there is a certificate from Server CA with a public key QCA. These first 3 records are always present in every peer. Certificates from other peers X, Y, ... are stored in a second memory module; these are fetched from the P2P network if required. The crypto module KRW, which is designed for software and / or hardware, has functions such as: Generation of a digital signature using the private key PA. Authenticity check of the digital signature of any peer X using its public key QX, which is included in the certificate kat of X is included. Validity check of a digital certificate via the authenticity check of its digital signature, created by the server CA using its public key QCA, which is contained in the (root) certificate of CA. Encryption of a confidential message to Peer X using the public key QX from Peer X's certificate. Decryption of a confidential message from Peer X to Peer A using the private key PA from Peer A.

In Figur 5 ist ein Programmablauf einer Zertifikatsverteilung wie in Fig.2 schematisch dargestellt wiedergegeben. Zur Zertifikatsverteilung sei in einer Vorbemerkung angegeben, dass alle Netzteilnehmer im P2P-Netzwerk ein selbstsigniertes Zer- tifikat des Zertifikatserzeugungsservers CA fest integriert haben. Damit hat jeder Netzteilnehmer einen öffentlichen Schlüssel QCA des Zertifikatserzeugnisservers CA. Alle Peers A, B, ...N haben weiterhin eine Identifikation ID, diese Identifikation ID ist beispielsweise die Netzwerk-Adresse in dem genannten P2P-Netzwerk. Der Zertifikatserzeugungsserver CA hat das Zertifikat ZX für den Netzteilnehmer Peer X des P2P Netzwerkes erzeugt, d.h. mit seinem privaten Schlüssel PCA des Servers signiert. Dieses Zertifikat bindet einen öffentlichen Schlüssel QX an dessen Identität X.FIG. 5 shows a program flow of a certificate distribution as shown schematically in FIG. With regard to the distribution of certificates, a preliminary remark should be made that all network participants in the P2P network have a self-signed certificate of the certificate generation server CA firmly integrated. Each network subscriber thus has a public key QCA of the certificate product server CA. All peers A, B, ... N also have an identification ID, this identification ID is, for example, the network address in the P2P network mentioned. The certificate generation server CA has generated the certificate ZX for the network subscriber Peer X of the P2P network, i.e. signed with the server's private key PCA. This certificate binds a public key QX to its identity X.

Eine Zertifikatsverteilung erfolgt danach nach folgenden Verfahrensschritten: Der Server sendet ein Zertifikat an einen bestimmten Peer. Im vorliegenden Beispiel ist dieser der Peer A im P2P Netzwerk. Im Peer A kann die Signatur des Zertifi- kats ZX mittels des ihm bekannten öffentlichen Schlüssels QCA geprüft werden. Falls die Signatur als ungültig festgestellt wird, wird das Zertifikat nicht weitergeleitet, sondern gelöscht. Auch ist es möglich, dass der Zertifikats-Server selbst ein solcher Netzteilnehmer im P2P-Netzwerk ist.The certificate is then distributed according to the following procedural steps: The server sends a certificate to a specific peer. In the present example, this is peer A in the P2P network. The signature of the certificate ZX can be checked in peer A using the public key QCA known to it. If the signature is found to be invalid, the certificate is not forwarded but deleted. It is also possible that the certificate server itself is such a network participant in the P2P network.

In Peer A wird die Identifikation ID, die bestimmt auf welchen Peers eine Ressource im P2P Netzwerk abgelegt wird, des Zertifikates ZX nach einer in P2P Netzwerken üblichen Methode festgelegt, die vom verwendeten P2P Algorithmus/Protokoll abhängt. Zu P2P Algorithmen/Protokollen siehe beispielsweise Petar Maymounkov, David Mazieres, New York University, Kadem- lia: A Peer to Peer Information System Based on XOR Metric, 2001 oder Stoica, Morris, Karger, Kaashoek, Balakrishnan, MIT Laboratory for Computer Science: Chord: A Scalable Peer-to- peer Lookup Service for Internet Applications, August 2001. Beispielsweise berechnet der Peer A diese ID des Zertifikates derart, dass sie aus einer eindeutigen Kennzeichnung vom Peer X hervorgeht, so dass das Zertifikat allein unter Kenntnis dieser Kennzeichnung im P2P Netz gefunden und extrahiert werden kann.In peer A the identification ID, which determines on which peers a resource is stored in the P2P network, is the Certificates ZX determined according to a method common in P2P networks, which depends on the P2P algorithm / protocol used. For P2P algorithms / protocols see for example Petar Maymounkov, David Mazieres, New York University, Kademia: A Peer to Peer Information System Based on XOR Metric, 2001 or Stoica, Morris, Karger, Kaashoek, Balakrishnan, MIT Laboratory for Computer Science: Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications, August 2001. For example, the peer A calculates this ID of the certificate in such a way that it emerges from a unique identification by the peer X, so that the certificate is only known when this identification is known in the P2P network can be found and extracted.

Peer, A sucht sich innerhalb des P2P-Netzwerkes den Peer M, dessen Identifikation ID mit der ID des Zertifikates am besten übereinstimmt. Die Übereinstimmung bezieht sich auf eine Metrik des P2P-Netzwerksystems .Peer, A looks for peer M within the P2P network, whose identification ID best matches the ID of the certificate. The match relates to a metric of the P2P network system.

Der Peer A sendet das Zertifikat ZX an Peer M.Peer A sends the ZX certificate to Peer M.

Im Rechner Peer M kann die Signatur des Zertifikates mittels des öffentlichen Schlüssels QCA auch überprüft werden. Ist diese o.k., speichert er das Zertifikat ab, ansonsten wird das Zertifikat gelöscht.In the Peer M computer, the signature of the certificate can also be checked using the public key QCA. If this is ok, he saves the certificate, otherwise the certificate is deleted.

Das Zertifikat von Peer X ist im P2P-Netzwerk wie oben beschrieben als Ressource verfügbar, d.h. es kann von jedem Peer A,B, ...N, der es benötigt, im P2P-Netzwerk gesucht und extrahiert werden. Die Erfindung bringt somit den Vorteil mit sich, dass das Zertifikat ZX auch dann noch verfügbar ist, wenn der Server und Peer X nicht verfügbar sind.The Peer X certificate is available as a resource in the P2P network as described above, i.e. it can be searched and extracted by any peer A, B, ... N who needs it in the P2P network. The invention thus has the advantage that the ZX certificate is still available even when the server and Peer X are not available.

In Figur 6 ist schematisch ein Ablaufdiagramm einer Authentizitätsprüfung wiedergegeben. Zur Authentizitätsprüfung sei angemerkt, dass alle Peers im P2P-Netzwerk selbstsignierte Zertifikate des Zertifikatserzeugungsservers CA fest integriert haben. Damit hat jeder Peer A,B, ... N, einen öffentlichen Schlüssel QCA des Zertifikatserzeugungsservers CA. Alle Peers A,B, ...,N, haben eine Identifikation ID, die als Netzwerkadresse im P2P-Netzwerk dient. Das Zertifikat für Peer X liegt als Ressource im P2P-Netz. So kann beispielsweise ein Datensatz wie beispielsweise ein Datenfile, Serviceanfrage oder Nachricht..., von dem Peer X mit seinem privaten Schlüs- sei PX signiert und an Peer C gesendet oder im P2P-Netzwerk in einem anderen Rechner Peer M, ... , Peer N, abgelegt werden. Der Peer C erhält diesen Datensatz vom Peer X oder von einem dritten Rechner Peer M.A flowchart of an authenticity check is shown schematically in FIG. For authenticity check noted that all peers in the P2P network have firmly integrated self-signed certificates of the certificate generation server CA. Each peer A, B, ... N, thus has a public key QCA of the certificate generation server CA. All peers A, B, ..., N, have an identification ID that serves as the network address in the P2P network. The certificate for Peer X is a resource in the P2P network. For example, a data record such as a data file, service request or message ..., signed by the peer X with its private key PX and sent to peer C or in the P2P network in another computer Peer M, ..., Peer N, are filed. Peer C receives this data record from Peer X or from a third computer Peer M.

Peer C benötigt jetzt zur Authentizitätsprüfung, also zurPeer C now needs to authenticate, that is

Prüfung, dass der Datensatz also wirklich von Peer X stammt, dessen Zertifikat ZX.Check that the data record really comes from Peer X, whose certificate is ZX.

Peer C bestimmt z.B. aus einer eindeutigen Kennzeichnung von Peer X die Identifikation ID des Zertifikates von Peer X.Peer C determines e.g. from a unique identification of Peer X the identification ID of the certificate of Peer X.

In einem nachfolgenden Verfahrenabschnitt sucht Peer C mit dieser ID einen Netzteilnehmer, auf dem das Zertifikat gespeichert ist, und erhält Peer M als Ziel.In a subsequent process section, Peer C uses this ID to search for a network subscriber on which the certificate is stored and receives Peer M as the destination.

Der Rechner Peer C veranlasst Peer M, ihm das Zertifikat zu schicken. In Peer C wird nun die Gültigkeit des Zertifikates ZX überprüft und anschließend die Authentizität des von Peer X erhaltenen Datensatzes geprüft. Falls das Zertifikat und die Authentizität o.k. sind, bearbeitet Peer C den Datensatz, der von Peer X gesendet wurde. Damit ist auch eine Zugangskontrolle des P2P Netzes möglich: Nur Teilnehmer , die ein Zertifikat, vom Zertifikatserzeugungsserver CA erhalten haben, sind autorisiert, Datensätze zur Bearbeitung durch ande- re Teilnehmer zu erzeugen.The computer Peer C causes Peer M to send it the certificate. Peer C now checks the validity of the ZX certificate and then checks the authenticity of the data record received from Peer X. If the certificate and authenticity are ok. Peer C processes the data record that was sent by Peer X. This also enables access control of the P2P network: only participants who have received a certificate from the certificate generation server CA are authorized to generate data records for processing by other participants.

Aufgrund der Hinterlegung des Zertifikates in den Ressourcen des P2P-Netzes kann jeder Peer A,B, ..N, nun die Authentizität von Datensätzen im Netz im P2P-Netzwerk überprüfen. Die Überprüfung kann auch dann noch abgewickelt werden, wenn der Server und der Netzteilnehmer Peer X nicht verfügbar sind.Due to the deposit of the certificate in the resources of the P2P network, each peer A, B, ..N can now check the authenticity of data records in the network in the P2P network. The check can still be carried out even if the server and the Peer X subscriber are not available.

In Figur 7 ist schematisch der Ablauf einer verschlüsselten Hinterlegung wiedergegeben. Der nachfolgende Ablauf einer verschlüsselten Hinterlegung erfolgt ähnlich der wie zuvor beschriebenen Authentizitätsprüfung. Ausgehend von Peer C soll eine verschlüsselte Nachricht an Peer X im Netzwerk hinterlegt werden. Der Rechner Peer C bestimmt z.B. aus einer eindeutigen Kennzeichnung von Peer X die ID des Zertifikates von Peer X. Der Rechner Peer C sucht mit dieser ID einen Peer auf dem das Zertifikat gespeichert ist, und erhält Peer M als Ziel. Der Rechner Peer C veranlasst Peer M, ihm das Zertifikat zu schicken. Peer C überprüft die Gültigkeit des Zertifikates von Peer X. In Peer C wird die Nachricht mit dem öffentlichen Schlüssel QX aus dem Zertifikat von Peer X verschlüsselt. Der Peer C kann nun die verschlüsselte Nachricht im P2P-Netz hinterlegen.The sequence of an encrypted deposit is shown schematically in FIG. The subsequent process of an encrypted deposit is similar to the authenticity check described above. Based on peer C, an encrypted message to peer X is to be stored in the network. The computer peer C determines e.g. from a unique identification of Peer X the ID of the certificate of Peer X. The computer Peer C searches with this ID for a peer on which the certificate is stored and receives Peer M as the destination. The computer Peer C causes Peer M to send it the certificate. Peer C checks the validity of the Peer X certificate. In Peer C the message is encrypted with the public key QX from the Peer X certificate. The peer C can now store the encrypted message in the P2P network.

Wenn Peer X die verschlüsselte Nachricht erhält, kann nur Peer X mit seinem privaten Schlüssel PX die an ihn gerichtete Nachricht von Peer C entschlüsseln.When Peer X receives the encrypted message, only Peer X can decrypt the Peer C message addressed to it with its private key PX.

Mit diesem Ablauf einer verschlüsselten Hinterlegung kann jeder Peer A,B, ..Peer N, verschlüsselte Nachrichten an andere Teilnehmer des P2P-Netzwerkes senden bzw. hinterlegen. Dieses Senden bzw. Hinterlegen von Nachrichten an andere Teilnehmer des P2P-Netzwerkes kann unabhängig von einem Server oder der Erreichbarkeit des Ziel-Peers erfolgen.With this process of encrypted storage, each peer A, B, .. Peer N, can send or store encrypted messages to other participants in the P2P network. This sending or storing of messages to other participants in the P2P network can take place independently of a server or the accessibility of the target peer.

Verfahren zur sicheren Kommunikation von Geräten bzw. Netzteilnehmern in P2P-Netzen. In diesen Netzen werden Zertifika- tionsinformationen über Geräte und Anwender benötigt, um von diesen signierte Informationen auf deren Authentizität hin zu überprüfen, sowie um vertrauliche Informationen an sie ver- schlüsselt zu übertragen. Wer diese Zertifikationsinformationen benötigt, kann sie vom Netzteilnehmer selbst oder von externen Servern anfordern. Gemäß der Erfindung wird diese Information zusätzlich als Ressource im P2P-Netzwerk abgelegt. Dies bringt den Vorteil mit sich, dass die Informationen auch dann verfügbar sind, wenn das Gerät- der Anwender nicht erreichbar sind und kein Server zur Verfügung steht. Dies bringt ebenso den weiteren Vorteil mit sich, dass die Authentizitätsprüfung dauerhaft gewährleistet ist und außerdem In- formationen auch dann vertraulich hinterlegt werden, wenn Gerät und Anwender temporär nicht erreichbar sind. Process for the safe communication of devices or network participants in P2P networks. In these networks, certification information about devices and users is required in order to check the authenticity of information signed by them and to send confidential information to them. keys to transfer. Anyone who needs this certification information can request it from the network participant himself or from external servers. According to the invention, this information is additionally stored as a resource in the P2P network. This has the advantage that the information is also available when the device or the user cannot be reached and no server is available. This also has the further advantage that the authenticity check is permanently guaranteed and information is also stored confidentially even when the device and user are temporarily unavailable.

Claims

Patentansprüche claims 1. Schaltungsanordnung zur Kommunikationssicherheit zwischen zu einem Peer-to-Peer Netzwerk gehörenden Netzteilnehmern, mit einem Netzwerkmodul zur Kommunikation mit den weiteren Netzteilnehmern und externen nicht zum Peer-to-Peer Netzwerk gehörenden Kommunikationseinrichtungen (Server) , einem Kryptomodul zur Abwicklung von kryptographisehen Aufga- ben, einem ersten Teilspeichermodule aufweisenden Speichermodul (SM1) in denen zu einem ersten Netzteilnehmer Zugehörigkeitsmerkmale (PA, ZA, ZCA) abgespeichert sind, dadurch gekennzeichnet, dass ein zweites Speichermodul (SM2) vorgesehen ist, wobei das zweite Speichermodul (SM2) Teilspeichermodule (SMX,1. Circuit arrangement for communication security between network subscribers belonging to a peer-to-peer network, with a network module for communication with the other network subscribers and external communication devices (servers) not belonging to the peer-to-peer network, a crypto module for handling cryptographic tasks. ben, a first partial memory modules having memory module (SM1) in which membership characteristics (PA, ZA, ZCA) are stored to a first network subscriber, characterized in that a second memory module (SM2) is provided, the second memory module (SM2) partial memory modules (SMX . SMY, ... ) zur Zwischenspeicherung von Zertifikaten (ZX, ZY, .. ) weiterer Netzteilnehmer (Peer X, Peer Y, ) aufweist und die Zertifikate dieser weiteren Netzteilnehmer jeweils von allen anderen Netzteilnehmern (Peer N, Peer M, .... ) angefor- dert werden können.SMY, ...) for the intermediate storage of certificates (ZX, ZY, ..) of further network participants (Peer X, Peer Y,) and the certificates of these further network participants from all other network participants (Peer N, Peer M, ... .) can be requested. 2. Schaltungsanordnung nach Anspruch 1 dadurch gekennzeichnet, dass die externe Kommunikationseinrichtung derart ausgeprägt ist, dass digitale Zertifikate hergestellt und im zweiten Speichermodul (SM2) abgelegt werden können.2. Circuit arrangement according to claim 1, characterized in that the external communication device is designed in such a way that digital certificates can be produced and stored in the second memory module (SM2). 3. Schaltungsanordnung nach einem der vorhergehenden Ansprü- ehe, dadurch gekennzeichnet, dass diese im ersten Netzteilnehmer angeordnet ist.3. Circuit arrangement according to one of the preceding claims, characterized in that it is arranged in the first network subscriber. 4. Verfahren zur Kommunikationssicherheit zwischen zu einem Peer-to-Peer Netzwerk gehörenden Netzteilnehmern, mit einem Netzwerkmodul zur Kommunikation mit den weiteren Netzteilnehmern und externen nicht zum Peer-to-Peer Netzwerk ge- hörenden Kommunikationseinrichtungen (Server) , einem Kryptomodul zur Abwicklung von kryptographischen Aufgaben, einem ersten Teilspeichermodule aufweisenden Speichermodul (SMl) in denen zu einem ersten Netzteilnehmer Zugehörig- keitsmerkmale abgespeichert werden, dadurch gekennzeichnet, dass ein zweites Speichermodul (SM2) in Teilspeichermodule (SMX, SMY, ... ) zur Zwischenspeicherung von Zertifikaten (ZX,4. Method for communication security between network subscribers belonging to a peer-to-peer network, with a network module for communication with the other network subscribers and external networks that are not part of the peer-to-peer network. listening communication devices (servers), a crypto module for handling cryptographic tasks, a memory module (SM1) having first partial memory modules, in which features belonging to a first network subscriber are stored, characterized in that a second memory module (SM2) in partial memory modules (SMX, SMY , ...) for the temporary storage of certificates (ZX, ZY, .. ) weitere.r Netzteilnehmer (Peer X, Peer Y, ) aufge- teilt wird und die Zertifikate dieser weiteren Netzteilnehmer von allen anderen Netzteilnehmern (Peer N, Peer M, .... ) angefordert werden können.ZY, ..) others . r network participants (Peer X, Peer Y,) is divided and the certificates of these other network participants can be requested from all other network participants (Peer N, Peer M, ....). 5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass digitale Zertifikate in der externen Kommunikationseinrichtung erstellt werden und im zweiten Speichermodul (SM2) abgelegt werden können. 5. The method according to claim 4, characterized in that digital certificates are created in the external communication device and can be stored in the second memory module (SM2).
EP05707876A 2004-01-29 2005-01-28 Circuit arrangement and method for securing communication within communication networks Withdrawn EP1709764A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004004606A DE102004004606A1 (en) 2004-01-29 2004-01-29 Circuit arrangement and method for communication security within communication networks
PCT/EP2005/050360 WO2005074189A1 (en) 2004-01-29 2005-01-28 Circuit arrangement and method for securing communication within communication networks

Publications (1)

Publication Number Publication Date
EP1709764A1 true EP1709764A1 (en) 2006-10-11

Family

ID=34801230

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05707876A Withdrawn EP1709764A1 (en) 2004-01-29 2005-01-28 Circuit arrangement and method for securing communication within communication networks

Country Status (4)

Country Link
US (1) US20070266251A1 (en)
EP (1) EP1709764A1 (en)
DE (1) DE102004004606A1 (en)
WO (1) WO2005074189A1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8041942B2 (en) * 2006-09-05 2011-10-18 Panasonic Corporation Robust peer-to-peer networks and methods of use thereof
EP1898330A1 (en) * 2006-09-06 2008-03-12 Nokia Siemens Networks Gmbh & Co. Kg Method for single sign-on in terms of peer-to-peer applications
US10764748B2 (en) 2009-03-26 2020-09-01 Qualcomm Incorporated Apparatus and method for user identity authentication in peer-to-peer overlay networks
US8874769B2 (en) 2011-06-30 2014-10-28 Qualcomm Incorporated Facilitating group access control to data objects in peer-to-peer overlay networks
WO2015108845A1 (en) * 2014-01-14 2015-07-23 Biohitech America Network connected weight tracking system for a waste disposal machine

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002234258A1 (en) * 2001-01-22 2002-07-30 Sun Microsystems, Inc. Peer-to-peer network computing platform
US7383433B2 (en) * 2001-07-31 2008-06-03 Sun Microsystems, Inc. Trust spectrum for certificate distribution in distributed peer-to-peer networks
US7222187B2 (en) * 2001-07-31 2007-05-22 Sun Microsystems, Inc. Distributed trust mechanism for decentralized networks
US7068789B2 (en) * 2001-09-19 2006-06-27 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005074189A1 *

Also Published As

Publication number Publication date
US20070266251A1 (en) 2007-11-15
WO2005074189A1 (en) 2005-08-11
DE102004004606A1 (en) 2005-08-25

Similar Documents

Publication Publication Date Title
EP3732605B1 (en) Secure storage of and access to files through a web application
DE60312659T2 (en) LIGHT WEIGHT IDENTIFICATION OF INFORMATION
EP4254234B1 (en) Digital credential issuing for an entity
EP1793525B1 (en) Method for changing the group key in a group of network elements in a network
DE102016224537B4 (en) Master Block Chain
DE10025626A1 (en) Encrypt data to be stored in an IV system
EP0903027B1 (en) Process for group-based cryptographic code management between a first computer unit and group computer units
DE102016115193A1 (en) Method for secure data storage in a computer network
DE102018002466A1 (en) Method and device for establishing a secure data transmission connection
EP3785416A1 (en) Method for linking a terminal into an interconnectable computer infrastructure
EP1709764A1 (en) Circuit arrangement and method for securing communication within communication networks
DE60218554T2 (en) Method and system for transferring a certificate between a security module and a server
EP3618348B1 (en) Distributed database system, industry automation system and method for operating a distributed database system
DE102009031143B3 (en) Apparatus and method for creating and validating a digital certificate
EP3955511B1 (en) Secure data transmission within a qkd network node
DE102019106667A1 (en) Method for authenticating a computer system
WO2019115580A1 (en) Method for operating a decentralized storage system
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
DE102023115048B4 (en) METHOD FOR CONSTRUCTING A DECENTRALIZED DATA COMMUNICATION STRUCTURE WITHIN A SYSTEM WITH A MULTIPLE NUMBER OF COMPONENTS
EP1626551A1 (en) Method for ensuring authenticity and confidentiality in a p2p network
EP1936859B1 (en) Method, network node and central server configuration for protecting a communication
DE10325816B4 (en) Public key infrastructure for network management
EP4243342A1 (en) Method, apparatus and computer program product for secure communication over the internet
DE102015001817B4 (en) Methods, devices and system for online data backup
DE10202456A1 (en) Method for electronic transmission of electronic data in decentral network, electronic group-specific information is generated for each user group and made available for each group member

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20060711

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): DE ES FR GB

17Q First examination report despatched

Effective date: 20070209

DAX Request for extension of the european patent (deleted)
RBV Designated contracting states (corrected)

Designated state(s): DE ES FR GB

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS S.P.A.

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20080626