DE10020562C1 - Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers - Google Patents

Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers

Info

Publication number
DE10020562C1
DE10020562C1 DE10020562A DE10020562A DE10020562C1 DE 10020562 C1 DE10020562 C1 DE 10020562C1 DE 10020562 A DE10020562 A DE 10020562A DE 10020562 A DE10020562 A DE 10020562A DE 10020562 C1 DE10020562 C1 DE 10020562C1
Authority
DE
Germany
Prior art keywords
data processing
processing unit
security module
error
central
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10020562A
Other languages
English (en)
Inventor
Juergen Lang
Bernd Meyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Post AG
Original Assignee
Deutsche Post AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Post AG filed Critical Deutsche Post AG
Priority to DE10020562A priority Critical patent/DE10020562C1/de
Priority to EP01935985A priority patent/EP1279099A2/de
Priority to US10/258,229 priority patent/US20040078669A1/en
Priority to PCT/DE2001/001553 priority patent/WO2001082076A2/de
Priority to AU62044/01A priority patent/AU6204401A/en
Priority to CA002427175A priority patent/CA2427175A1/en
Application granted granted Critical
Publication of DE10020562C1 publication Critical patent/DE10020562C1/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0748Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a remote unit communicating with a single-box computer node experiencing an error/fault
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

Erfindungsgemäß zeichnet sich das Verfahren dadurch aus, dass die Datenverarbeitungseinheit den Fehler feststellt und anschließend eine erste verschlüsselte Nachricht an eine zentrale Datenverarbeitungsanlage sendet, dass die zentrale Verarbeitungsanlage das Signal entschlüsselt, dass die zentrale Datenverarbeitungsanlage in der ersten Nachricht enthaltene Informationen über den Fehler auswertet und in Abhängigkeit von dem Ergebnis dieser Auswertung eine Fehlerbehebungsroutine erzeugt und/oder auswählt und dass die zentrale Datenverarbeitungsanlage eine von der Datenverarbeitungseinheit ausführbare Programmanweisung erzeugt und dass die Programmanweisung anschließend von der Datenverarbeitungsanlage verschlüsselt und als Bestandteil einer zweiten Nachricht an das Datenverarbeitungselement gesendet wird.

Description

Die Erfindung betrifft ein Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers, wobei die Datenverarbeitungseinheit den Fehler feststellt und anschließend eine Nachricht an eine zentrale Datenverarbeitungsanlage sendet und die zentrale Datenverarbeitungsanlage Informationen über den Fehler auswertet und in Abhängigkeit von dem Ergebnis dieser Auswertung eine Fehlerbehandlungsroutine erzeugt und/oder auswählt, wobei die zentrale Datenverarbeitungsanlage eine von der Datenverarbeitungseinheit ausführbare Programmanweisung erzeugt.
Ein gattungsgemäßes Verfahren ist aus der Europäischen Patentanmeldung EP 0 844 563 A1 bekannt. Bei diesem Verfahren wird ein Schlüssel durch Kombination einer Benutzeridentifikationsnummer mit einem Passwort erzeugt. Dieses Verfahren erfordert eine Übermittlung des Schlüssels über einen von übrigen Kommunikationsvorgängen getrennten Datenübertragungskanal.
Zum Stand der Technik gehört ferner die Veröffentlichung FIPS PUB 140-1. Dieses Dokument wurde als "Federal Information Processing Standards Publication (FIPS PUB)" von dem "National Institute of Standards and Technology (NIST)", einer Regierungsbehörde der Vereinigten Staaten von Amerika am 11.01.1994 unter der Publikationsummer 140-1 veröffentlicht. In dieser Veröffentlichung sind Sicherheitsanforderungen für Datenverarbeitungsanlagen spezifiziert.
Der Erfindung liegt die Aufgabe zu Grunde, ein gattungsgemäßes Verfahren so weiter zu entwickeln, dass eine Manipulation der Datenverarbeitungseinheit durch Unbefugte auch dann ausgeschlossen wird, wenn die Datenkommunikation über ungesicherte Datenkommunikationswege erfolgt.
Erfindungsgemäß wird diese Aufgabe dadurch gelöst, dass die von der Datenverarbeitungseinheit an die zentrale Datenverarbeitungsanlage gesendete Nachricht zuvor von der Datenverarbeitungseinheit verschlüsselt wird, und dass die zentrale Datenverarbeitungsanlage die Nachricht entschlüsselt und in der ersten Nachricht enthaltene Informationen über den Fehler auswertet.
Der Begriff Datenverarbeitungseinheit ist im vorliegenden Fall in seiner weitesten Bedeutung gemeint. Er umfasst alle für eine Verarbeitung von Daten geeigneten Vorrichtungen, beispielsweise Computer oder elektronische Schaltungen. Die Datenverarbeitungseinheit kann gleichfalls Bestandteil einer anderen Vorrichtung, beispielsweise einer Frankiermaschine oder einer sonstigen Maschine, sein.
Eine weitere Erhöhung der Sicherheit des Verfahrens kann dadurch erzielt werden, dass die Datenverarbeitungseinheit durch eine Untersuchung der zweiten Nachricht überprüft, ob diese Nachricht von der zentralen Datenverarbeitungsanlage stammt.
Zur Beschleunigung des Verfahrens ist es zweckmäßig, dass die Datenverarbeitungseinheit die verschlüsselte zweite Nachricht empfängt und die darin enthaltene Programmanweisung ausführt.
Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele.
Bei der nachfolgenden Darstellung wird die Datenverarbeitungseinheit am Beispiel eines Sicherungsmoduls erläutert. Das Sicherungsmodul kann Bestandteil eines Computers sein, der bei Endanwendern steht oder auf den durch geeignete Datenleitungen zugegriffen werden kann.
FIPS PUB 140-1 und die abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographic Modules") beschreiben Anforderungen an insgesamt elf Bereiche, die in Abhängigkeit von der Höhe der geforderten Sicherheitsstufe im entsprechenden Umfang oder der entsprechenden Ausprägung erfüllt werden müssen. Hierbei handelt es sich um:
Design und Dokumentation des kryptographischen Moduls
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Schnittstellen des Moduls
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Nutzungsprofile ("roles") und Nutzungsmöglichkeiten ("services")
Insbesondere werden genau drei Nutzungsmöglichkeiten, beziehungsweise Nutzungsprofile unterstützt:
Benutzer des Kundensystems oder Kundensystem Wertbetrag-Operator
Der Wertbetrag-Operator kommuniziert mit dem Sicherungsmodul im Rahmen des Ladens eines Wertbetrages und bei der Deaktivierung des Sicherungsmoduls.
Kundensystem-Operator
Der Kundensystem-Operator ist ein vom Kundensystemhersteller legitimierter Benutzer und kommuniziert mit dem Sicherungsmodul zum Zwecke der Schlüsselverwaltung und aus Wartungsgründen.
Modell der finiten Zustände ("Finite State Machine Model")
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Physikalische Sicherheit
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Sicherheit der Software
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Sicherheit des Betriebssystems
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Verwaltung der kryptographischen Schlüssel
Insbesondere dürfen keine manuell verteilten, sondern ausschließlich elektronisch verteilte Schlüssel in das Sicherungsmodul eingegeben werden.
Kryptographische Algorithmen
In der ersten Version werden die asymmetrische Verschlüsselung nach RSA und die digitale Signatur nach DSS angewandt. In späteren Versionen können weitere kryptographische Verfahren folgen. Ansonsten existieren keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Es ergeben sich keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den abgeleiteten Testanforderungen ("Derived Test Requirements für FIPS PUB 140-1, Security Requirements for Cryptographical Modules").
Es ist besonders zweckmäßig, dass das System über FIPS PUB 140-1 hinausgehende Anforderungen erfüllt.
Um vom Kundensystem aus das Sicherungsmodul zu aktivieren, wird dieses aufgefordert, seine signierte Lizenz (inklusive seines öffentlichen Schlüssels PSB) sowie eine Zufallszahl Xauth mit einer Länge von beispielsweise 16 byte an das Kundensystem zu übergeben. (Die Zufallszahl dient insbesondere dann zur Absicherung von Replay-Attacken, wenn zwischen Tastatur des Kundensystems und Sicherungsmodul ein ungesicherter Übertragungswert liegt, etwa bei Internet- Lösungen mit zentralem Sicherungsmodul-Server im Internet und dezentralen PCs als Eingabeterminals für Login-Informationen wie zum Beispiel PIN).
Fehlerbehandlung
Werden signierte Lizenz und Zufallszahl mehrmals, beispielsweise dreimal hintereinander angefordert, ohne dass anschließend Login-Daten vom Kundensystem an das Sicherungsmodul übertragen werden, muss dies im Sicherungsmodul protokolliert werden. In diesem Status darf ausschließlich eine anschließende Verbindung mit der Bescheinigungsstelle zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von fälschungssicheren Dokumenten wie Eintrittskarten oder Freimachungsvermerken möglich sein. Die in diesem Status bei weiteren Anforderungen anfallenden Zufallszahlen müssen mit den bei der dritten Anfrage genannten Zahlen übereinstimmen (das heißt, keine Neugenerierung von Zufallszahlen nach dem 3. Versuch), um zu verhindern, dass durch einen Automatismus eines nicht legitimierten Kundensystems der Zufallsgenerator des Sicherungsmoduls mehrfach durchlaufen wird. Keine zwei der ersten drei in diesem Verfahren generierten Zufallszahlen dürfen mit den Zufallszahlen übereinstimmen, die bei den nächsten 100 gültigen Anmeldeversuchen ausgegeben werden.
Im Kundensystem werden aus den LoginWertbetrag-Informationen des Sicherungsmoduls (zum Beispiel PIN oder Benutzer/Kennwort; nach Belieben des Kundensystemherstellers), die theoretisch aufgrund ihrer Struktur 2128 Varianten aufweisen und der ausgegebenen Zufallszahl Xauth der Hash-Wert H(LoginWertbetrag, Xauth) gebildet. Dieser Hash-Wert wird mit dem öffentlichen Schlüssel des Sicherungsmoduls PSB zu HSB(LoginWertbetrag, Xauth) verschlüsselt, um zum Sicherungsmodul übertragen zu werden. (Durch die Verschlüsselung wird eine erschöpfende Suche (Brute Force Attack) nach den LoginWertbetrag-Daten durch wiederholte Hash-Wertbildung der bekannten Zufallszahl Xauth mit willkürlich gewählten Login-Daten bis zur Übereinstimmung erschwert.)
Das Kundensystem übermittelt außerdem in einem vom Kundensystemhersteller festzulegenden Format den zu ladenden Wertbetrag an das Sicherungsmodul. Der Wertbetrag wird mit dem vom Sicherungsmodul ausgegebenen öffentlichen Schlüssel PSB verschlüsselt, um im Sicherungsmodul mit dem zugehörigen privaten Schlüssel SSB entschlüsselt zu werden.
Im Sicherungsmodul werden der verschlüsselte Hash-Wert HSB(LoginWertbetrag, Xauth) sowie die weiteren verschlüsselten Daten mit dem privaten Schlüssel des Sicherungsmoduls entschlüsselt.
Eine Behandlung von auftretenden Fehlern erfolgt vorzugsweise wie folgt:
Das System ist so gestaltet, dass eine Entschlüsselung nur bei zeitlicher Nähe zur vorherigen Anforderung der Zufallszahl stattfinden kann. Ferner erfolgt eine Überprüfung der Übereinstimmung.
Im Sicherungsmodul wird aus den im Sicherungsmodul gespeicherten LoginWertbetrag-Daten und der zwischengespeicherten Zufallszahl Xauth ebenfalls nach demselben Verfahren ein Hash-Wert H'(LoginWertbetrag, Xauth) gebildet, der mit dem übertragenen und entschlüsselten Hash- Wert H(LoginWertbetrag, Xauth) auf Übereinstimmung geprüft wird. Bei Übereinstimmung und schlüssigen Angaben zur Wertbetraganforderung gilt das Sicherungsmodul als ordnungsgemäß aktiviert.
Bei fehlender Übereinstimmung muss das Kundensystem (beziehungsweise der Kunde) über die fehlgeschlagene Anmeldung informiert werden. Gescheiterte Anmeldeversuche müssen im Sicherheitsmodul protokolliert werden. Nach drei fehlgeschlagenen Anmeldeversuchen darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Nach drei fehlgeschlagenen Anmeldeversuchen muss das Sicherungsmodul eine 5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Datenverarbeitung im Sicherungsmodul
Im Sicherungsmodul wird geprüft, ob die von der zentralen Datenverarbeitungsanlage erstellte signierte Lizenz des Sicherungsmoduls PPB gültig ist. Hierzu wird das Zertifikat der zentralen Datenverarbeitungsanlage nach SigG bei der Zertifizierungsstelle unter Beachtung des Attributs, das die natürliche Person als verantwortliche Person zur Erstellung signierter Lizenzen für das Sicherungsmodul kennzeichnet, geprüft.
Fehlerbehandlung
Handelt es sich nicht um ein gültiges Zertifikat der zentralen Datenverarbeitungsanlage oder handelt es sich nicht um eine gültige signierte Lizenz des Sicherungsmoduls, so muss dies im Sicherungsmodul protokolliert werden (vorgetäuschte zentrale Datenverarbeitungsanlage o. a.). In diesem Status darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Das Kundensystem sollte den Benutzer über den Abbruch der Kommunikation mit dem Hinweis informieren, dass ein erneuter Kommunikationsversuch vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Die signierte Lizenz des Sicherungsmoduls (inklusive PPB) wird bis zur Beendigung oder zum Abbruch der Sitzung zwischengespeichert.
Im Sicherungsmodul wird die Signatur SigPB(SK1SB) des verschlüsselten Sitzungsschlüssels unter Verwendung des öffentlichen Schlüssels der zentralen Datenverarbeitungsanlage PPB geprüft.
Fehlerbehandlung
Schlägt die Signaturprüfung fehl, so muss dies im Sicherungsmodul protokolliert werden (möglich sind Änderungen der Inhalte auf dem Übertragungsweg). In diesem Status darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Das Kundensystem muss den Benutzer über den Abbruch der Kommunikation mit dem Hinweis informieren, dass ein erneuter Kommunikationsversuch vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Im Sicherungsmodul wird der verschlüsselte Sitzungsschlüssel SK1SB unter Verwendung des eigenen privaten Schlüssels SSB entschlüsselt.
Im Sicherungsmodul wird eine hochwertige Zufallszahl X mit einer Länge von 16 byte erzeugt.
Die Zufallszahl X wird im Sicherungsmodul gespeichert.
Im Sicherungsmodul wird eine hochwertige Zufallszahl als kundenseitiger Sitzungsschlüssel namens "Request-Key" RK mit einer Länge von 16 byte erzeugt.
Der Request-Key RK wird im Sicherungsmodul gespeichert.
Im Sicherungsmodul werden die Nutzdaten der Kommunikation (Höhe des gewünschten Wertbetrags; Restwert des aktuellen Wertbetrags, aufsteigendes Register aller Wertbeträge; letzte Identifikationsnummer des Ladevorgangs) zu einem Datensatz D1 zusammengeführt.
Zweite Übertragung vom Sicherungsmodul zur zentralen Datenverarbeitungsanlage:
Das Sicherungsmodul sendet den verschlüsselten Sitzungsschlüssel SK1PB, den verschlüsselten Request-Key RKPB, die verschlüsselte Zufallszahl XPB und den verschlüsselten Datensatz D1PB an eine Bescheinigungsstelle.
Außerdem sendet das Sicherungsmodul die digitale Signatur SigPB(SK1PB, RKPB, XPB, D1PB) des verschlüsselten Sitzungsschlüssels SK1PB, des verschlüsselten Request-Key RKPB, der verschlüsselten Zufallszahl XPB und des verschlüsselten Datensatzes D1PB an die Bescheinigungsstelle.
Außerdem überträgt das Kundensystem das angeforderte Nutzungsprotokoll oder Nutzungsprofil als nicht verschlüsselten und signierten Datensatz D2 an die Bescheinigungsstelle.
Fehlerbehandlung
Die Übermittlung der Daten kann im Kundensystem dem Kunden mit der Aufforderung bekanntgegeben werden, dass bei ausbleibender Rückmeldung ein erneuter Kommunikationsversuch vom Kunden zu einem späteren Zeitpunkt durchzuführen ist.
Datenverarbeitung im Sicherungsmodul
Im Sicherungsmodul wird unter Verwendung der dort zwischengespeicherten signierten Lizenz PPB des Sicherungsmoduls die digitale Signatur SigPB(XDPAG, VIDDPAG, VIDSB, RKSB und SK2SB) geprüft.
Fehlerbehandlung
Schlägt die Signaturprüfung fehl, so muss dies im Sicherungsmodul protokolliert werden (möglich sind Änderungen der Inhalte auf dem Übertragungsweg). In diesem Status darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Das Kundensystem sollte den Benutzer über den Abbruch der Kommunikation mit dem Hinweis informieren, dass ein erneuter Kommunikationsversuch vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Im Sicherungsmodul werden unter Verwendung des eigenen privaten Schlüssels SSB die Identifikationsnummer des Ladevorgangs VID, der Request-Key RK' und der zweite Sitzungsschlüssel SK2 entschlüsselt.
Der ausgesendete Request-Key RK wird mit dem empfangenen Request-Key RK' verglichen.
Fehlerbehandlung
Schlägt der Vergleich der Zufallszahlen fehl, so muss dies im Sicherungsmodul protokolliert werden. In diesem Status darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Das Kundensystem sollte den Benutzer über den Abbruch der Kommunikation mit dem Hinweis informieren, dass ein erneuter Kommunikationsversuch vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Im Sicherungsmodus wird gem. roles/services nach FIPS PUB 140 die Nutzungsmöglichkeit der Erhöhung der elektronischen Börse ("Wertbetrag-Operator") eröffnet. Die Eröffnung der Nutzungsmöglichkeit darf ausschließlich im Kontext dieser Kommunikationssitzung (zusammen mit dem aktuellen Request- Key, Sitzungsschlüssel und deren Signatur) stattfinden. Es ist insbesondere auszuschließen, dass der Benutzer lokal und ohne Netzverbindung die Nutzungsmöglichkeit des Wertbetrag- Operators erhält.
Fehlerbehandlung
Bei fehlgeschlagener Anmeldung des Wertbetrag-Operators kann das Kundensystem (beziehungsweise der Kunde) hierüber informiert werden. Gescheiterte Anmeldeversuche müssen im Sicherungsmodul protokolliert werden. Nach einem fehlgeschlagenen Anmeldeversuch darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Nach einem fehlgeschlagenen Anmeldeversuch muss das Sicherungsmodul eine 5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Der Wertbetrag-Operator speichert neben der Zufallszahl X die Identifikationsnummer des Ladevorgangs VID, die symmetrisch verschlüsselte Zufallszahl und die symmetrisch verschlüsselte Identifikationsnummer des Ladevorgangs derart im Sicherungsmodul, dass diese Informationen bis zum nächsten Laden eines Wertbetrags Bestand haben. Es werden jeweils die beiden letzten Generationen dieser Informationen im Sicherungsmodul gehalten.
Der Wertbetrag-Operator erhöht unter Verwendung der Identifikationsnummer des Ladevorgangs den Börsenwert auf den aktuellen Wertbetrag.
Der Wertbetrag-Operator setzt unter Verwendung der Identifikationsnummer des Ladevorgangs die Gültigkeit des Wertbetrags auf den aktuellen Wert.
Der Wertbetrag-Operator beendet seine Nutzungsmöglichkeit und überläßt die weitere Nutzung dem Kundensystem/Kunden.
Im Sicherungsmodul wird eine hochwertige Zufallszahl als kundenseitiger Sitzungsschlüssel namens "Confirm-Key" CK mit einer Länge von 16 byte erzeugt.
Der Request-Key CK wird im Sicherungsmodul gespeichert.
Das Sicherungsmodul verschlüsselt den zweiten Sitzungsschlüssel SK2, den Confirm-Key CK und die neue beziehungsweise aktuelle Identifikationsnummer des Ladevorgangs VID (zur Bestätigung ihres Erhalts) unter Verwendung des öffentlichen Schlüssels des Sicherungsmoduls PPB zu SK2PB, CKPB und VIPPB.
Das Sicherungsmodul erzeugt eine digitale Signatur SigSB(SK2PB, CKPB, VIDPB) des verschlüsselten Sitzungsschlüssels SK2PB, des verschlüsselten Confirm-Key CKPB und der verschlüsselten Identifikationsnummer des Ladevorgangs VIDPB unter Verwendung des eigenen privaten Schlüssels SPB.
Dritte Übertragung vom Sicherungsmodul zur zentralen Datenverarbeitungsanlage
Das Sicherungsmodul sendet den verschlüsselten zweiten Sitzungsschlüssel SZ2PB, den verschlüsselten Confirm-Key CKPB und die verschlüsselte Identifikationsnummer des Ladevorgangs VIPPB an die zentrale Datenverarbeitungsanlage.
Außerdem sendet das Sicherungsmodul die digitale Signatur SigSB(SK2PB, CKPB; VIDPB) des verschlüsselten zweiten Sitzungsschlüssels SZ2PB, des verschlüsselten Confirm-Key CKPB und der verschlüsselten Identifikationsnummer des Ladevorgangs VIDPB an die zentrale Datenverarbeitungsanlage.
Fehlerbehandlung
Die Übermittlung der Daten kann im Kundensystem dem Kunden mit der Aufforderung bekanntgegeben werden, dass bei ausbleibender Rückmeldung ein erneuter Kommunikationsversuch vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Statusabfrage
Die Statusabfrage ist eine vom Kunden oder vom Kundensystem zu veranlassende reine Abfrage des Wertes und der Gültigkeit des aktuellen Wertbetrags.
Aktivierung des Sicherungsmoduls durch das Kunden- /Basissystem
Um vom Kundensystem aus das Sicherungsmodul zu aktivieren, wird dieses aufgefordert, seinen öffentlichen Schlüssel PSB sowie eine Zufallszahl Xauth mit einer Länge von 16 byte an das Kundensystem zu übergeben. (Die Zufallszahl dient insbesondere dann zur Absicherung von Replay-Atacken, wenn zwischen Tastatur des Kundensystems und dem Sicherungsmodul ein ungesicherter Übertragungsweg liegt, etwa bei Internet Lösungen mit zentralem Sicherungsmodul-Server im Internet und dezentralen PCs als Eingabeterminals für Login-Informationen wie z. B. PIN).
Fehlerbehandlung
Werden signierte Lizenz und Zufallszahl dreimal hintereinander angefordert, ohne dass anschließend Login- Daten vom Kundensystem an das Sicherungsmodul übertragen werden, muss dies im Sicherungsmodul protokolliert werden. In diesem Status darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus, nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Die in diesem Status bei weiteren Anforderungen erzeugten Zufallszahlen müssen mit denen bei der dritten Anfrage übereinstimmen (das heißt, keine Neugenerierung von Zufallszahlen nach dem 3. Versuch), um zu verhindern, dass durch einen Automatismus eines nicht legitimierten Kundensystems der Zufallsgenerator des Sicherungsmoduls mehrfach durchlaufen wird. Keine zwei der ersten drei in diesem Verfahren generierten Zufallszahlen dürfen mit den Zufallszahlen übereinstimmen, die bei den nächsten 100 gültigen Anmeldeversuchen ausgegeben werden.
Im Kundensystem werden aus den Loginstatus-Informationen des Sicherungsmoduls (zum Beispiel PIN oder Benutzer/Kennwort; nach Belieben des Kundensystemherstellers), die theoretisch aufgrund ihrer Struktur 2128 Varianten aufweisen können, und der ausgegebenen Zufallszahl Xauth der Hash-Wert H(LoginStatus, Xauth) gebildet. Dieser Hash-Wert wird mit dem öffentlichen Schlüssel des Sicherungsmoduls PSB zu HSB(LoginStatus, Xauth) verschlüsselt, um zum Sicherungsmodul übertragen zu werden. (Durch die Verschlüsselung wird eine erschöpfende Suche (Brute Force Attack) nach den Loginstatus-Daten durch wiederholte Hash-Wertbildung der bekannten Zufallszahl Xauth mit willkürlich gewählten Login-Daten bis zur Übereinstimmung erschwert.)
Das Kundensystem übermittelt außerdem in einem vom Kundensystemanbieter zu wählenden Format die Anfrage, dass eine Statusabfrage des Wertbetrags erfolgen soll.
Datenverarbeitung im Sicherungsmodul
Im Sicherungsmodul werden der verschlüsselte Hash-Wert HSB(LoginStatus, Xauth) sowie die weiteren verschlüsselten Daten mit dem privaten Schlüssel des Sicherungsmoduls entschlüsselt.
Fehlerbehandlung
Eine Entschlüsselung darf nur bei zeitlicher Nähe zur vorherigen Anforderung der Zufallszahl stattfinden dürfen.
Im Sicherungsmodul wird aus den im Sicherungsmodul gespeicherten LoginStatus-Daten und der zwischengespeicherten Zufallszahl Xauth ebenfalls nach demselben Verfahren ein Hash- Wert H'(LoginStatus, Xauth) gebildet, der mit dem übertragenen und entschlüsselten Hash-Wert H(LoginStatus, Xauth) auf Übereinstimmung geprüft wird. Bei Übereinstimmung und schlüssigen Angaben zur Statusabfrage gilt das Sicherungsmodul als ordnungsgemäß aktiviert.
Fehlerbehandlung
Bei fehlender Übereinstimmung muss das Kundensystem (beziehungsweise der Kunde) über die fehlgeschlagene Anmeldung informiert werden. Gescheiterte Anmeldeversuche müssen im Sicherheitsmodul protokolliert werden. Nach drei fehlgeschlagenen Anmeldeversuchen darf ausschließlich eine anschließende Verbindung mit der zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung des Protokollstatus (Attribut TYPE = "help" im <ACTION<-Tag von POSTtalk), nicht jedoch die Herstellung von Freimachungsvermerken etc. möglich sein. Nach drei fehlgeschlagenen Anmeldeversuchen muss das Sicherungsmodul eine 5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Nach der Authentisierung des Kundensystems/Kunden liest das Sicherungsmodul die aktuelle Identifikationsnummer des Ladevorgangs, die vorhergehende Identifikationsnummer des Ladevorgangs, des aktuellen Wertbetrags und die Gültigkeit des Wertbetrags aus und übergibt sie an das Basissystem. Eine Veränderung dieser Werte darf durch diesen Benutzer (FIPS PUB 140: role) in dieser Nutzungsmöglichkeit (FIPS PUB 140: service) nicht bestehen.

Claims (4)

1. Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers, wobei die Datenverarbeitungseinheit den Fehler feststellt und anschließend eine erste Nachricht an eine zentrale Datenverarbeitungsanlage sendet, wobei die zentrale Datenverarbeitungsanlage Informationen über den Fehler auswertet und in Abhängigkeit von dem Ergebnis dieser Auswertung eine Fehlerbehandlungsroutine erzeugt und/oder auswählt, und wobei die zentrale Datenverarbeitungsanlage eine von der Datenverarbeitungseinheit ausführbare Programmanweisung erzeugt, dadurch gekennzeichnet, dass die von der Datenverarbeitungseinheit an die zentrale Datenverarbeitungsanlage gesendete erste Nachricht zuvor von der Datenverarbeitungseinheit verschlüsselt wird, und dass die zentrale Datenverarbeitungsanlage diese Nachricht entschlüsselt und in der ersten Nachricht enthaltene Informationen über den Fehler auswertet.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die von der zentralen Datenverarbeitungsanlage erzeugte ausführbare Programmanweisung verschlüsselt und als Bestandteil einer zweiten Nachricht an die Datenverarbeitungseinheit gesendet wird.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Datenverarbeitungseinheit durch eine Untersuchung der zweiten Nachricht überprüft, ob diese Nachricht von der zentralen Datenverarbeitungsanlage stammt.
4. Verfahren nach einem oder beiden der Ansprüche 2 oder 3, dadurch gekennzeichnet, dass die Datenverarbeitungseinheit die verschlüsselte zweite Nachricht empfängt und die darin enthaltene Programmanweisung ausführt.
DE10020562A 2000-04-27 2000-04-27 Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers Expired - Fee Related DE10020562C1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE10020562A DE10020562C1 (de) 2000-04-27 2000-04-27 Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers
EP01935985A EP1279099A2 (de) 2000-04-27 2001-04-24 Verfahren zum beheben eines in einer datenverarbeitungseinheit auftretenden fehlers
US10/258,229 US20040078669A1 (en) 2000-04-27 2001-04-24 Method for eliminating an error in a data processing unit
PCT/DE2001/001553 WO2001082076A2 (de) 2000-04-27 2001-04-24 Verfahren zum beheben eines in einer datenverarbeitungseinheit auftretenden fehlers
AU62044/01A AU6204401A (en) 2000-04-27 2001-04-24 Method for eliminating an error in a data processing unit
CA002427175A CA2427175A1 (en) 2000-04-27 2001-04-24 Method for eliminating an error in a data processing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10020562A DE10020562C1 (de) 2000-04-27 2000-04-27 Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers

Publications (1)

Publication Number Publication Date
DE10020562C1 true DE10020562C1 (de) 2001-07-26

Family

ID=7640060

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10020562A Expired - Fee Related DE10020562C1 (de) 2000-04-27 2000-04-27 Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers

Country Status (6)

Country Link
US (1) US20040078669A1 (de)
EP (1) EP1279099A2 (de)
AU (1) AU6204401A (de)
CA (1) CA2427175A1 (de)
DE (1) DE10020562C1 (de)
WO (1) WO2001082076A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2927436A1 (fr) * 2008-02-12 2009-08-14 Ingenico Sa Procede de securisation d'un programme informatique, dispositif, procede de mise a jour et serveur de mise a jour correspondants.

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8826397B2 (en) * 2009-01-15 2014-09-02 Visa International Service Association Secure remote authentication through an untrusted network
CN104252396B (zh) * 2013-06-28 2018-06-05 技嘉科技股份有限公司 多中央处理单元侦错切换的方法
US11507451B2 (en) * 2021-03-19 2022-11-22 Dell Products L.P. System and method for bug deduplication using classification models
US11847015B2 (en) * 2022-01-24 2023-12-19 Vmware, Inc. Mechanism for integrating I/O hypervisor with a combined DPU and server solution

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0844563A1 (de) * 1996-11-19 1998-05-27 R. Brent Johnson Kombiniertes Fernzugriffs- und Sicherheitssystem

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0644242B2 (ja) * 1988-03-17 1994-06-08 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・システムにおける問題解決方法
US5349674A (en) * 1990-08-17 1994-09-20 International Business Machines Corp. Automated enrollment of a computer system into a service network of computer systems
US5333308A (en) * 1991-03-06 1994-07-26 At&T Bell Laboratories Method and apparatus for operating a communication network monitor arrangement
US5495411A (en) * 1993-12-22 1996-02-27 Ananda; Mohan Secure software rental system using continuous asynchronous password verification
US5678002A (en) * 1995-07-18 1997-10-14 Microsoft Corporation System and method for providing automated customer support
US6175934B1 (en) * 1997-12-15 2001-01-16 General Electric Company Method and apparatus for enhanced service quality through remote diagnostics
US6266696B1 (en) * 1998-02-17 2001-07-24 International Business Machine Corporation Full time network auxiliary for a network connected PC
US6567929B1 (en) * 1999-07-13 2003-05-20 At&T Corp. Network-based service for recipient-initiated automatic repair of IP multicast sessions
US6886113B2 (en) * 2001-06-04 2005-04-26 Lucent Technologies Inc. System and method for determining and presenting network problems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0844563A1 (de) * 1996-11-19 1998-05-27 R. Brent Johnson Kombiniertes Fernzugriffs- und Sicherheitssystem

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2927436A1 (fr) * 2008-02-12 2009-08-14 Ingenico Sa Procede de securisation d'un programme informatique, dispositif, procede de mise a jour et serveur de mise a jour correspondants.
EP2090984A1 (de) * 2008-02-12 2009-08-19 Compagnie Industrielle et Financiere d'Ingenierie "Ingenico" Sicherungsverfahren eines Softwareprogramms sowie entsprechende Vorrichtung, entsprechendes Aktualisierungsverfahren und entsprechender Aktualisierungsserver

Also Published As

Publication number Publication date
WO2001082076A2 (de) 2001-11-01
EP1279099A2 (de) 2003-01-29
CA2427175A1 (en) 2003-04-28
US20040078669A1 (en) 2004-04-22
WO2001082076A3 (de) 2002-04-04
AU6204401A (en) 2001-11-07

Similar Documents

Publication Publication Date Title
EP1946481B1 (de) Verfahren zur erzeugung einer fortgeschrittenen elektronischen signatur eines elektronischen dokuments
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
DE60022320T2 (de) Verfahren zur überprüfung einer unterschrift von einer nachricht
DE112005001654T5 (de) Verfahren zum Übermitteln von Direct-Proof-Privatschlüsseln an Geräte mittels einer Verteilungs-CD
DE102004032057A1 (de) Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
DE60219706T2 (de) Verfahren und Vorrichtung zum Anfügen einer elektronischen Unterschrift an ein strukturiertes Dokument
DE60131373T2 (de) Verfahren zur zertifizierung und überprüfung von digitalem webinhalt unter verwendung einer öffentlichen verschlüsselung
DE19959764A1 (de) Verbesserte digitale Signatur
EP3412018B1 (de) Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen
DE602004012019T2 (de) Verfahren und Vorrichtung zur gesicherten Übertragung von Daten zwischen Teilnehmern
DE10028500A1 (de) Verfahren zur Installation von Software in einer Hardware
WO2015180867A1 (de) Erzeugen eines kryptographischen schlüssels
EP3422274A1 (de) Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber
DE10020562C1 (de) Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
EP1126655A1 (de) Verfahren zur Authentizitätssicherung von Hard- und Software in einem vernetzten System
EP1557027A2 (de) Verfahren und anordnung zum authentifizieren einer bedieneinheit sowie übertragen einer authentifizierungsinformation zu der bedieneinheit
EP2080144B1 (de) Verfahren zum freischalten einer chipkarte
DE60109537T2 (de) Vorrichtung, Verfahren und Programm zur Verwaltung eines Benutzerschlüssels, welcher bei der Unterschrift einer Nachricht in einem Datenverarbeitungsgerät benutzt wird
DE10242673B4 (de) Verfahren zur Identifikation eines Benutzers
WO2007003446A1 (de) Verfahren zur bereitstellung von elektronischen zertifikaten zur verwendung für elektronische signaturen
DE102019003673B3 (de) Seitenkanalsichere Implementierung
DE60205176T2 (de) Vorrichtung und Verfahren zur Benutzerauthentisierung
EP1241644A2 (de) Verfahren zum Transaktionsnachweis

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
D1 Grant (no unexamined application published) patent law 81
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20141101