DE10020562C1 - Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers - Google Patents
Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden FehlersInfo
- Publication number
- DE10020562C1 DE10020562C1 DE10020562A DE10020562A DE10020562C1 DE 10020562 C1 DE10020562 C1 DE 10020562C1 DE 10020562 A DE10020562 A DE 10020562A DE 10020562 A DE10020562 A DE 10020562A DE 10020562 C1 DE10020562 C1 DE 10020562C1
- Authority
- DE
- Germany
- Prior art keywords
- data processing
- processing unit
- security module
- error
- central
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0748—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a remote unit communicating with a single-box computer node experiencing an error/fault
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
Abstract
Erfindungsgemäß zeichnet sich das Verfahren dadurch aus, dass die Datenverarbeitungseinheit den Fehler feststellt und anschließend eine erste verschlüsselte Nachricht an eine zentrale Datenverarbeitungsanlage sendet, dass die zentrale Verarbeitungsanlage das Signal entschlüsselt, dass die zentrale Datenverarbeitungsanlage in der ersten Nachricht enthaltene Informationen über den Fehler auswertet und in Abhängigkeit von dem Ergebnis dieser Auswertung eine Fehlerbehebungsroutine erzeugt und/oder auswählt und dass die zentrale Datenverarbeitungsanlage eine von der Datenverarbeitungseinheit ausführbare Programmanweisung erzeugt und dass die Programmanweisung anschließend von der Datenverarbeitungsanlage verschlüsselt und als Bestandteil einer zweiten Nachricht an das Datenverarbeitungselement gesendet wird.
Description
Die Erfindung betrifft ein Verfahren zum Beheben eines in
einer Datenverarbeitungseinheit auftretenden Fehlers, wobei
die Datenverarbeitungseinheit den Fehler feststellt und
anschließend eine Nachricht an eine zentrale
Datenverarbeitungsanlage sendet und die zentrale
Datenverarbeitungsanlage Informationen über den Fehler
auswertet und in Abhängigkeit von dem Ergebnis dieser
Auswertung eine Fehlerbehandlungsroutine erzeugt und/oder
auswählt, wobei die zentrale Datenverarbeitungsanlage eine
von der Datenverarbeitungseinheit ausführbare
Programmanweisung erzeugt.
Ein gattungsgemäßes Verfahren ist aus der Europäischen
Patentanmeldung EP 0 844 563 A1 bekannt. Bei diesem Verfahren
wird ein Schlüssel durch Kombination einer
Benutzeridentifikationsnummer mit einem Passwort erzeugt.
Dieses Verfahren erfordert eine Übermittlung des Schlüssels
über einen von übrigen Kommunikationsvorgängen getrennten
Datenübertragungskanal.
Zum Stand der Technik gehört ferner die Veröffentlichung FIPS
PUB 140-1. Dieses Dokument wurde als "Federal Information
Processing Standards Publication (FIPS PUB)" von dem
"National Institute of Standards and Technology (NIST)",
einer Regierungsbehörde der Vereinigten Staaten von Amerika
am 11.01.1994 unter der Publikationsummer 140-1
veröffentlicht. In dieser Veröffentlichung sind
Sicherheitsanforderungen für Datenverarbeitungsanlagen
spezifiziert.
Der Erfindung liegt die Aufgabe zu Grunde, ein
gattungsgemäßes Verfahren so weiter zu entwickeln, dass eine
Manipulation der Datenverarbeitungseinheit durch Unbefugte
auch dann ausgeschlossen wird, wenn die Datenkommunikation
über ungesicherte Datenkommunikationswege erfolgt.
Erfindungsgemäß wird diese Aufgabe dadurch gelöst, dass die
von der Datenverarbeitungseinheit an die zentrale
Datenverarbeitungsanlage gesendete Nachricht zuvor von der
Datenverarbeitungseinheit verschlüsselt wird, und dass die
zentrale Datenverarbeitungsanlage die Nachricht entschlüsselt
und in der ersten Nachricht enthaltene Informationen über den
Fehler auswertet.
Der Begriff Datenverarbeitungseinheit ist im vorliegenden
Fall in seiner weitesten Bedeutung gemeint. Er umfasst alle
für eine Verarbeitung von Daten geeigneten Vorrichtungen,
beispielsweise Computer oder elektronische Schaltungen. Die
Datenverarbeitungseinheit kann gleichfalls Bestandteil einer
anderen Vorrichtung, beispielsweise einer Frankiermaschine
oder einer sonstigen Maschine, sein.
Eine weitere Erhöhung der Sicherheit des Verfahrens kann
dadurch erzielt werden, dass die Datenverarbeitungseinheit
durch eine Untersuchung der zweiten Nachricht überprüft, ob
diese Nachricht von der zentralen
Datenverarbeitungsanlage stammt.
Zur Beschleunigung des Verfahrens ist es zweckmäßig, dass die
Datenverarbeitungseinheit die verschlüsselte zweite Nachricht
empfängt und die darin enthaltene Programmanweisung ausführt.
Weitere Vorteile, Besonderheiten und zweckmäßige
Weiterbildungen der Erfindung ergeben sich aus den
Unteransprüchen und der nachfolgenden Darstellung bevorzugter
Ausführungsbeispiele.
Bei der nachfolgenden Darstellung wird die
Datenverarbeitungseinheit am Beispiel eines Sicherungsmoduls
erläutert. Das Sicherungsmodul kann Bestandteil eines
Computers sein, der bei Endanwendern steht oder auf den durch
geeignete Datenleitungen zugegriffen werden kann.
FIPS PUB 140-1 und die abgeleiteten Testanforderungen
("Derived Test Requirements für FIPS PUB 140-1, Security
Requirements for Cryptographic Modules") beschreiben
Anforderungen an insgesamt elf Bereiche, die in Abhängigkeit
von der Höhe der geforderten Sicherheitsstufe im
entsprechenden Umfang oder der entsprechenden Ausprägung
erfüllt werden müssen. Hierbei handelt es sich um:
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Insbesondere werden genau drei Nutzungsmöglichkeiten,
beziehungsweise Nutzungsprofile unterstützt:
Der Wertbetrag-Operator kommuniziert mit dem Sicherungsmodul
im Rahmen des Ladens eines Wertbetrages und bei der
Deaktivierung des Sicherungsmoduls.
Der Kundensystem-Operator ist ein vom Kundensystemhersteller
legitimierter Benutzer und kommuniziert mit dem
Sicherungsmodul zum Zwecke der Schlüsselverwaltung und aus
Wartungsgründen.
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Keine Abweichungen zu den Anforderungen nach FIPS PUB 140-1
und den abgeleiteten Testanforderungen ("Derived Test
Requirements für FIPS PUB 140-1, Security Requirements for
Cryptographical Modules").
Insbesondere dürfen keine manuell verteilten, sondern
ausschließlich elektronisch verteilte Schlüssel in das
Sicherungsmodul eingegeben werden.
In der ersten Version werden die asymmetrische
Verschlüsselung nach RSA und die digitale Signatur nach DSS
angewandt. In späteren Versionen können weitere
kryptographische Verfahren folgen. Ansonsten existieren keine
Abweichungen zu den Anforderungen nach FIPS PUB 140-1 und den
abgeleiteten Testanforderungen ("Derived Test Requirements
für FIPS PUB 140-1, Security Requirements for Cryptographical
Modules").
Es ergeben sich keine Abweichungen zu den Anforderungen nach
FIPS PUB 140-1 und den abgeleiteten Testanforderungen
("Derived Test Requirements für FIPS PUB 140-1, Security
Requirements for Cryptographical Modules").
Es ist besonders zweckmäßig, dass das System über FIPS PUB
140-1 hinausgehende Anforderungen erfüllt.
Um vom Kundensystem aus das Sicherungsmodul zu aktivieren,
wird dieses aufgefordert, seine signierte Lizenz (inklusive
seines öffentlichen Schlüssels PSB) sowie eine Zufallszahl
Xauth mit einer Länge von beispielsweise 16 byte an das
Kundensystem zu übergeben. (Die Zufallszahl dient
insbesondere dann zur Absicherung von Replay-Attacken, wenn
zwischen Tastatur des Kundensystems und Sicherungsmodul ein
ungesicherter Übertragungswert liegt, etwa bei Internet-
Lösungen mit zentralem Sicherungsmodul-Server im Internet und
dezentralen PCs als Eingabeterminals für Login-Informationen
wie zum Beispiel PIN).
Werden signierte Lizenz und Zufallszahl mehrmals,
beispielsweise dreimal hintereinander angefordert, ohne dass
anschließend Login-Daten vom Kundensystem an das
Sicherungsmodul übertragen werden, muss dies im
Sicherungsmodul protokolliert werden. In diesem Status darf
ausschließlich eine anschließende Verbindung mit der
Bescheinigungsstelle zur Fehlerbehebung mit Übertragung des
Protokollstatus, nicht jedoch die Herstellung von
fälschungssicheren Dokumenten wie Eintrittskarten oder
Freimachungsvermerken möglich sein. Die in diesem Status bei
weiteren Anforderungen anfallenden Zufallszahlen müssen mit
den bei der dritten Anfrage genannten Zahlen übereinstimmen
(das heißt, keine Neugenerierung von Zufallszahlen nach dem
3. Versuch), um zu verhindern, dass durch einen Automatismus
eines nicht legitimierten Kundensystems der Zufallsgenerator
des Sicherungsmoduls mehrfach durchlaufen wird. Keine zwei
der ersten drei in diesem Verfahren generierten Zufallszahlen
dürfen mit den Zufallszahlen übereinstimmen, die bei den
nächsten 100 gültigen Anmeldeversuchen ausgegeben werden.
Im Kundensystem werden aus den LoginWertbetrag-Informationen des
Sicherungsmoduls (zum Beispiel PIN oder Benutzer/Kennwort;
nach Belieben des Kundensystemherstellers), die theoretisch
aufgrund ihrer Struktur 2128 Varianten aufweisen und der
ausgegebenen Zufallszahl Xauth der Hash-Wert H(LoginWertbetrag,
Xauth) gebildet. Dieser Hash-Wert wird mit dem öffentlichen
Schlüssel des Sicherungsmoduls PSB zu HSB(LoginWertbetrag, Xauth)
verschlüsselt, um zum Sicherungsmodul übertragen zu werden.
(Durch die Verschlüsselung wird eine erschöpfende Suche
(Brute Force Attack) nach den LoginWertbetrag-Daten durch
wiederholte Hash-Wertbildung der bekannten Zufallszahl Xauth
mit willkürlich gewählten Login-Daten bis zur Übereinstimmung
erschwert.)
Das Kundensystem übermittelt außerdem in einem vom
Kundensystemhersteller festzulegenden Format den zu ladenden
Wertbetrag an das Sicherungsmodul. Der Wertbetrag wird mit
dem vom Sicherungsmodul ausgegebenen öffentlichen Schlüssel
PSB verschlüsselt, um im Sicherungsmodul mit dem zugehörigen
privaten Schlüssel SSB entschlüsselt zu werden.
Im Sicherungsmodul werden der verschlüsselte Hash-Wert
HSB(LoginWertbetrag, Xauth) sowie die weiteren verschlüsselten
Daten mit dem privaten Schlüssel des Sicherungsmoduls
entschlüsselt.
Eine Behandlung von auftretenden Fehlern erfolgt vorzugsweise
wie folgt:
Das System ist so gestaltet, dass eine Entschlüsselung nur
bei zeitlicher Nähe zur vorherigen Anforderung der
Zufallszahl stattfinden kann. Ferner erfolgt eine Überprüfung
der Übereinstimmung.
Im Sicherungsmodul wird aus den im Sicherungsmodul
gespeicherten LoginWertbetrag-Daten und der
zwischengespeicherten Zufallszahl Xauth ebenfalls nach
demselben Verfahren ein Hash-Wert H'(LoginWertbetrag, Xauth)
gebildet, der mit dem übertragenen und entschlüsselten Hash-
Wert H(LoginWertbetrag, Xauth) auf Übereinstimmung geprüft wird.
Bei Übereinstimmung und schlüssigen Angaben zur
Wertbetraganforderung gilt das Sicherungsmodul als
ordnungsgemäß aktiviert.
Bei fehlender Übereinstimmung muss das Kundensystem
(beziehungsweise der Kunde) über die fehlgeschlagene
Anmeldung informiert werden. Gescheiterte Anmeldeversuche
müssen im Sicherheitsmodul protokolliert werden. Nach drei
fehlgeschlagenen Anmeldeversuchen darf ausschließlich eine
anschließende Verbindung mit der zentralen
Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung
des Protokollstatus, nicht jedoch die Herstellung von
Freimachungsvermerken etc. möglich sein. Nach drei
fehlgeschlagenen Anmeldeversuchen muss das Sicherungsmodul
eine 5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Im Sicherungsmodul wird geprüft, ob die von der zentralen
Datenverarbeitungsanlage erstellte signierte Lizenz des
Sicherungsmoduls PPB gültig ist. Hierzu wird das Zertifikat
der zentralen Datenverarbeitungsanlage nach SigG bei der
Zertifizierungsstelle unter Beachtung des Attributs, das die
natürliche Person als verantwortliche Person zur Erstellung
signierter Lizenzen für das Sicherungsmodul kennzeichnet,
geprüft.
Handelt es sich nicht um ein gültiges Zertifikat der
zentralen Datenverarbeitungsanlage oder handelt es sich nicht
um eine gültige signierte Lizenz des Sicherungsmoduls, so
muss dies im Sicherungsmodul protokolliert werden
(vorgetäuschte zentrale Datenverarbeitungsanlage o. a.). In
diesem Status darf ausschließlich eine anschließende
Verbindung mit der zentralen Datenverarbeitungsanlage zur
Fehlerbehebung mit Übertragung des Protokollstatus, nicht
jedoch die Herstellung von Freimachungsvermerken etc. möglich
sein. Das Kundensystem sollte den Benutzer über den Abbruch
der Kommunikation mit dem Hinweis informieren, dass ein
erneuter Kommunikationsversuch vom Kunden aus zu einem
späteren Zeitpunkt durchzuführen ist.
Die signierte Lizenz des Sicherungsmoduls (inklusive PPB)
wird bis zur Beendigung oder zum Abbruch der Sitzung
zwischengespeichert.
Im Sicherungsmodul wird die Signatur SigPB(SK1SB) des
verschlüsselten Sitzungsschlüssels unter Verwendung des
öffentlichen Schlüssels der zentralen
Datenverarbeitungsanlage PPB geprüft.
Schlägt die Signaturprüfung fehl, so muss dies im
Sicherungsmodul protokolliert werden (möglich sind Änderungen
der Inhalte auf dem Übertragungsweg). In diesem Status darf
ausschließlich eine anschließende Verbindung mit der
zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit
Übertragung des Protokollstatus, nicht jedoch die Herstellung
von Freimachungsvermerken etc. möglich sein. Das Kundensystem
muss den Benutzer über den Abbruch der Kommunikation mit dem
Hinweis informieren, dass ein erneuter Kommunikationsversuch
vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Im Sicherungsmodul wird der verschlüsselte Sitzungsschlüssel
SK1SB unter Verwendung des eigenen privaten Schlüssels SSB
entschlüsselt.
Im Sicherungsmodul wird eine hochwertige Zufallszahl X mit
einer Länge von 16 byte erzeugt.
Die Zufallszahl X wird im Sicherungsmodul gespeichert.
Im Sicherungsmodul wird eine hochwertige Zufallszahl als
kundenseitiger Sitzungsschlüssel namens "Request-Key" RK mit
einer Länge von 16 byte erzeugt.
Der Request-Key RK wird im Sicherungsmodul gespeichert.
Im Sicherungsmodul werden die Nutzdaten der Kommunikation
(Höhe des gewünschten Wertbetrags; Restwert des aktuellen
Wertbetrags, aufsteigendes Register aller Wertbeträge; letzte
Identifikationsnummer des Ladevorgangs) zu einem Datensatz D1
zusammengeführt.
Zweite Übertragung vom Sicherungsmodul zur zentralen
Datenverarbeitungsanlage:
Das Sicherungsmodul sendet den verschlüsselten
Sitzungsschlüssel SK1PB, den verschlüsselten Request-Key RKPB,
die verschlüsselte Zufallszahl XPB und den verschlüsselten
Datensatz D1PB an eine Bescheinigungsstelle.
Außerdem sendet das Sicherungsmodul die digitale Signatur
SigPB(SK1PB, RKPB, XPB, D1PB) des verschlüsselten
Sitzungsschlüssels SK1PB, des verschlüsselten Request-Key
RKPB, der verschlüsselten Zufallszahl XPB und des
verschlüsselten Datensatzes D1PB an die Bescheinigungsstelle.
Außerdem überträgt das Kundensystem das angeforderte
Nutzungsprotokoll oder Nutzungsprofil als nicht
verschlüsselten und signierten Datensatz D2 an die
Bescheinigungsstelle.
Die Übermittlung der Daten kann im Kundensystem dem Kunden
mit der Aufforderung bekanntgegeben werden, dass bei
ausbleibender Rückmeldung ein erneuter Kommunikationsversuch
vom Kunden zu einem späteren Zeitpunkt durchzuführen ist.
Im Sicherungsmodul wird unter Verwendung der dort
zwischengespeicherten signierten Lizenz PPB des
Sicherungsmoduls die digitale Signatur SigPB(XDPAG, VIDDPAG,
VIDSB, RKSB und SK2SB) geprüft.
Schlägt die Signaturprüfung fehl, so muss dies im
Sicherungsmodul protokolliert werden (möglich sind Änderungen
der Inhalte auf dem Übertragungsweg). In diesem Status darf
ausschließlich eine anschließende Verbindung mit der
zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit
Übertragung des Protokollstatus, nicht jedoch die Herstellung
von Freimachungsvermerken etc. möglich sein. Das Kundensystem
sollte den Benutzer über den Abbruch der Kommunikation mit
dem Hinweis informieren, dass ein erneuter
Kommunikationsversuch vom Kunden aus zu einem späteren
Zeitpunkt durchzuführen ist.
Im Sicherungsmodul werden unter Verwendung des eigenen
privaten Schlüssels SSB die Identifikationsnummer des
Ladevorgangs VID, der Request-Key RK' und der zweite
Sitzungsschlüssel SK2 entschlüsselt.
Der ausgesendete Request-Key RK wird mit dem empfangenen
Request-Key RK' verglichen.
Schlägt der Vergleich der Zufallszahlen fehl, so muss dies im
Sicherungsmodul protokolliert werden. In diesem Status darf
ausschließlich eine anschließende Verbindung mit der
zentralen Datenverarbeitungsanlage zur Fehlerbehebung mit
Übertragung des Protokollstatus, nicht jedoch die Herstellung
von Freimachungsvermerken etc. möglich sein. Das Kundensystem
sollte den Benutzer über den Abbruch der Kommunikation mit
dem Hinweis informieren, dass ein erneuter
Kommunikationsversuch vom Kunden aus zu einem späteren
Zeitpunkt durchzuführen ist.
Im Sicherungsmodus wird gem. roles/services nach FIPS PUB 140
die Nutzungsmöglichkeit der Erhöhung der elektronischen Börse
("Wertbetrag-Operator") eröffnet. Die Eröffnung der
Nutzungsmöglichkeit darf ausschließlich im Kontext dieser
Kommunikationssitzung (zusammen mit dem aktuellen Request-
Key, Sitzungsschlüssel und deren Signatur) stattfinden. Es
ist insbesondere auszuschließen, dass der Benutzer lokal und
ohne Netzverbindung die Nutzungsmöglichkeit des Wertbetrag-
Operators erhält.
Bei fehlgeschlagener Anmeldung des Wertbetrag-Operators kann
das Kundensystem (beziehungsweise der Kunde) hierüber
informiert werden. Gescheiterte Anmeldeversuche müssen im
Sicherungsmodul protokolliert werden. Nach einem
fehlgeschlagenen Anmeldeversuch darf ausschließlich eine
anschließende Verbindung mit der zentralen
Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung
des Protokollstatus, nicht jedoch die Herstellung von
Freimachungsvermerken etc. möglich sein. Nach einem
fehlgeschlagenen Anmeldeversuch muss das Sicherungsmodul eine
5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Der Wertbetrag-Operator speichert neben der Zufallszahl X die
Identifikationsnummer des Ladevorgangs VID, die symmetrisch
verschlüsselte Zufallszahl und die symmetrisch verschlüsselte
Identifikationsnummer des Ladevorgangs derart im
Sicherungsmodul, dass diese Informationen bis zum nächsten
Laden eines Wertbetrags Bestand haben. Es werden jeweils die
beiden letzten Generationen dieser Informationen im
Sicherungsmodul gehalten.
Der Wertbetrag-Operator erhöht unter Verwendung der
Identifikationsnummer des Ladevorgangs den Börsenwert auf den
aktuellen Wertbetrag.
Der Wertbetrag-Operator setzt unter Verwendung der
Identifikationsnummer des Ladevorgangs die Gültigkeit des
Wertbetrags auf den aktuellen Wert.
Der Wertbetrag-Operator beendet seine Nutzungsmöglichkeit und
überläßt die weitere Nutzung dem Kundensystem/Kunden.
Im Sicherungsmodul wird eine hochwertige Zufallszahl als
kundenseitiger Sitzungsschlüssel namens "Confirm-Key" CK mit
einer Länge von 16 byte erzeugt.
Der Request-Key CK wird im Sicherungsmodul gespeichert.
Das Sicherungsmodul verschlüsselt den zweiten
Sitzungsschlüssel SK2, den Confirm-Key CK und die neue
beziehungsweise aktuelle Identifikationsnummer des
Ladevorgangs VID (zur Bestätigung ihres Erhalts) unter
Verwendung des öffentlichen Schlüssels des Sicherungsmoduls
PPB zu SK2PB, CKPB und VIPPB.
Das Sicherungsmodul erzeugt eine digitale Signatur
SigSB(SK2PB, CKPB, VIDPB) des verschlüsselten
Sitzungsschlüssels SK2PB, des verschlüsselten Confirm-Key CKPB
und der verschlüsselten Identifikationsnummer des
Ladevorgangs VIDPB unter Verwendung des eigenen privaten
Schlüssels SPB.
Das Sicherungsmodul sendet den verschlüsselten zweiten
Sitzungsschlüssel SZ2PB, den verschlüsselten Confirm-Key CKPB
und die verschlüsselte Identifikationsnummer des Ladevorgangs
VIPPB an die zentrale Datenverarbeitungsanlage.
Außerdem sendet das Sicherungsmodul die digitale Signatur
SigSB(SK2PB, CKPB; VIDPB) des verschlüsselten zweiten
Sitzungsschlüssels SZ2PB, des verschlüsselten Confirm-Key CKPB
und der verschlüsselten Identifikationsnummer des
Ladevorgangs VIDPB an die zentrale Datenverarbeitungsanlage.
Die Übermittlung der Daten kann im Kundensystem dem Kunden
mit der Aufforderung bekanntgegeben werden, dass bei
ausbleibender Rückmeldung ein erneuter Kommunikationsversuch
vom Kunden aus zu einem späteren Zeitpunkt durchzuführen ist.
Die Statusabfrage ist eine vom Kunden oder vom Kundensystem
zu veranlassende reine Abfrage des Wertes und der Gültigkeit
des aktuellen Wertbetrags.
Um vom Kundensystem aus das Sicherungsmodul zu aktivieren,
wird dieses aufgefordert, seinen öffentlichen Schlüssel PSB
sowie eine Zufallszahl Xauth mit einer Länge von 16 byte an
das Kundensystem zu übergeben. (Die Zufallszahl dient
insbesondere dann zur Absicherung von Replay-Atacken, wenn
zwischen Tastatur des Kundensystems und dem Sicherungsmodul
ein ungesicherter Übertragungsweg liegt, etwa bei Internet
Lösungen mit zentralem Sicherungsmodul-Server im Internet und
dezentralen PCs als Eingabeterminals für Login-Informationen
wie z. B. PIN).
Werden signierte Lizenz und Zufallszahl dreimal
hintereinander angefordert, ohne dass anschließend Login-
Daten vom Kundensystem an das Sicherungsmodul übertragen
werden, muss dies im Sicherungsmodul protokolliert werden. In
diesem Status darf ausschließlich eine anschließende
Verbindung mit der zentralen Datenverarbeitungsanlage zur
Fehlerbehebung mit Übertragung des Protokollstatus, nicht
jedoch die Herstellung von Freimachungsvermerken etc. möglich
sein. Die in diesem Status bei weiteren Anforderungen
erzeugten Zufallszahlen müssen mit denen bei der dritten
Anfrage übereinstimmen (das heißt, keine Neugenerierung von
Zufallszahlen nach dem 3. Versuch), um zu verhindern, dass
durch einen Automatismus eines nicht legitimierten
Kundensystems der Zufallsgenerator des Sicherungsmoduls
mehrfach durchlaufen wird. Keine zwei der ersten drei in
diesem Verfahren generierten Zufallszahlen dürfen mit den
Zufallszahlen übereinstimmen, die bei den nächsten 100
gültigen Anmeldeversuchen ausgegeben werden.
Im Kundensystem werden aus den Loginstatus-Informationen des
Sicherungsmoduls (zum Beispiel PIN oder Benutzer/Kennwort;
nach Belieben des Kundensystemherstellers), die theoretisch
aufgrund ihrer Struktur 2128 Varianten aufweisen können, und
der ausgegebenen Zufallszahl Xauth der Hash-Wert H(LoginStatus,
Xauth) gebildet. Dieser Hash-Wert wird mit dem öffentlichen
Schlüssel des Sicherungsmoduls PSB zu HSB(LoginStatus, Xauth)
verschlüsselt, um zum Sicherungsmodul übertragen zu werden.
(Durch die Verschlüsselung wird eine erschöpfende Suche
(Brute Force Attack) nach den Loginstatus-Daten durch
wiederholte Hash-Wertbildung der bekannten Zufallszahl Xauth
mit willkürlich gewählten Login-Daten bis zur Übereinstimmung
erschwert.)
Das Kundensystem übermittelt außerdem in einem vom
Kundensystemanbieter zu wählenden Format die Anfrage, dass
eine Statusabfrage des Wertbetrags erfolgen soll.
Im Sicherungsmodul werden der verschlüsselte Hash-Wert
HSB(LoginStatus, Xauth) sowie die weiteren verschlüsselten Daten
mit dem privaten Schlüssel des Sicherungsmoduls
entschlüsselt.
Eine Entschlüsselung darf nur bei zeitlicher Nähe zur
vorherigen Anforderung der Zufallszahl stattfinden dürfen.
Im Sicherungsmodul wird aus den im Sicherungsmodul
gespeicherten LoginStatus-Daten und der zwischengespeicherten
Zufallszahl Xauth ebenfalls nach demselben Verfahren ein Hash-
Wert H'(LoginStatus, Xauth) gebildet, der mit dem übertragenen
und entschlüsselten Hash-Wert H(LoginStatus, Xauth) auf
Übereinstimmung geprüft wird. Bei Übereinstimmung und
schlüssigen Angaben zur Statusabfrage gilt das
Sicherungsmodul als ordnungsgemäß aktiviert.
Bei fehlender Übereinstimmung muss das Kundensystem
(beziehungsweise der Kunde) über die fehlgeschlagene
Anmeldung informiert werden. Gescheiterte Anmeldeversuche
müssen im Sicherheitsmodul protokolliert werden. Nach drei
fehlgeschlagenen Anmeldeversuchen darf ausschließlich eine
anschließende Verbindung mit der zentralen
Datenverarbeitungsanlage zur Fehlerbehebung mit Übertragung
des Protokollstatus (Attribut TYPE = "help" im <ACTION<-Tag
von POSTtalk), nicht jedoch die Herstellung von
Freimachungsvermerken etc. möglich sein. Nach drei
fehlgeschlagenen Anmeldeversuchen muss das Sicherungsmodul
eine 5-minütige Pause vor weiteren Anmeldeversuchen fordern.
Nach der Authentisierung des Kundensystems/Kunden liest das
Sicherungsmodul die aktuelle Identifikationsnummer des
Ladevorgangs, die vorhergehende Identifikationsnummer des
Ladevorgangs, des aktuellen Wertbetrags und die Gültigkeit
des Wertbetrags aus und übergibt sie an das Basissystem. Eine
Veränderung dieser Werte darf durch diesen Benutzer (FIPS PUB
140: role) in dieser Nutzungsmöglichkeit (FIPS PUB 140:
service) nicht bestehen.
Claims (4)
1. Verfahren zum Beheben eines in einer
Datenverarbeitungseinheit auftretenden Fehlers, wobei
die Datenverarbeitungseinheit den Fehler feststellt und
anschließend eine erste Nachricht an eine zentrale
Datenverarbeitungsanlage sendet, wobei die zentrale
Datenverarbeitungsanlage Informationen über den Fehler
auswertet und in Abhängigkeit von dem Ergebnis dieser
Auswertung eine Fehlerbehandlungsroutine erzeugt
und/oder auswählt, und wobei die zentrale
Datenverarbeitungsanlage eine von der
Datenverarbeitungseinheit ausführbare Programmanweisung
erzeugt, dadurch gekennzeichnet,
dass die von der Datenverarbeitungseinheit an die
zentrale Datenverarbeitungsanlage gesendete erste
Nachricht zuvor von der Datenverarbeitungseinheit
verschlüsselt wird, und dass die zentrale
Datenverarbeitungsanlage diese Nachricht entschlüsselt
und in der ersten Nachricht enthaltene Informationen
über den Fehler auswertet.
2. Verfahren nach Anspruch 1, dadurch
gekennzeichnet, dass die von der zentralen
Datenverarbeitungsanlage erzeugte ausführbare
Programmanweisung verschlüsselt und als Bestandteil
einer zweiten Nachricht an die Datenverarbeitungseinheit
gesendet wird.
3. Verfahren nach Anspruch 2, dadurch
gekennzeichnet, dass die
Datenverarbeitungseinheit durch eine Untersuchung der
zweiten Nachricht überprüft, ob diese Nachricht von der
zentralen Datenverarbeitungsanlage stammt.
4. Verfahren nach einem oder beiden der Ansprüche 2 oder 3,
dadurch gekennzeichnet, dass die
Datenverarbeitungseinheit die verschlüsselte zweite
Nachricht empfängt und die darin enthaltene
Programmanweisung ausführt.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10020562A DE10020562C1 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers |
EP01935985A EP1279099A2 (de) | 2000-04-27 | 2001-04-24 | Verfahren zum beheben eines in einer datenverarbeitungseinheit auftretenden fehlers |
US10/258,229 US20040078669A1 (en) | 2000-04-27 | 2001-04-24 | Method for eliminating an error in a data processing unit |
PCT/DE2001/001553 WO2001082076A2 (de) | 2000-04-27 | 2001-04-24 | Verfahren zum beheben eines in einer datenverarbeitungseinheit auftretenden fehlers |
AU62044/01A AU6204401A (en) | 2000-04-27 | 2001-04-24 | Method for eliminating an error in a data processing unit |
CA002427175A CA2427175A1 (en) | 2000-04-27 | 2001-04-24 | Method for eliminating an error in a data processing unit |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10020562A DE10020562C1 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10020562C1 true DE10020562C1 (de) | 2001-07-26 |
Family
ID=7640060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10020562A Expired - Fee Related DE10020562C1 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers |
Country Status (6)
Country | Link |
---|---|
US (1) | US20040078669A1 (de) |
EP (1) | EP1279099A2 (de) |
AU (1) | AU6204401A (de) |
CA (1) | CA2427175A1 (de) |
DE (1) | DE10020562C1 (de) |
WO (1) | WO2001082076A2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2927436A1 (fr) * | 2008-02-12 | 2009-08-14 | Ingenico Sa | Procede de securisation d'un programme informatique, dispositif, procede de mise a jour et serveur de mise a jour correspondants. |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8826397B2 (en) * | 2009-01-15 | 2014-09-02 | Visa International Service Association | Secure remote authentication through an untrusted network |
CN104252396B (zh) * | 2013-06-28 | 2018-06-05 | 技嘉科技股份有限公司 | 多中央处理单元侦错切换的方法 |
US11507451B2 (en) * | 2021-03-19 | 2022-11-22 | Dell Products L.P. | System and method for bug deduplication using classification models |
US11847015B2 (en) * | 2022-01-24 | 2023-12-19 | Vmware, Inc. | Mechanism for integrating I/O hypervisor with a combined DPU and server solution |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0844563A1 (de) * | 1996-11-19 | 1998-05-27 | R. Brent Johnson | Kombiniertes Fernzugriffs- und Sicherheitssystem |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0644242B2 (ja) * | 1988-03-17 | 1994-06-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータ・システムにおける問題解決方法 |
US5349674A (en) * | 1990-08-17 | 1994-09-20 | International Business Machines Corp. | Automated enrollment of a computer system into a service network of computer systems |
US5333308A (en) * | 1991-03-06 | 1994-07-26 | At&T Bell Laboratories | Method and apparatus for operating a communication network monitor arrangement |
US5495411A (en) * | 1993-12-22 | 1996-02-27 | Ananda; Mohan | Secure software rental system using continuous asynchronous password verification |
US5678002A (en) * | 1995-07-18 | 1997-10-14 | Microsoft Corporation | System and method for providing automated customer support |
US6175934B1 (en) * | 1997-12-15 | 2001-01-16 | General Electric Company | Method and apparatus for enhanced service quality through remote diagnostics |
US6266696B1 (en) * | 1998-02-17 | 2001-07-24 | International Business Machine Corporation | Full time network auxiliary for a network connected PC |
US6567929B1 (en) * | 1999-07-13 | 2003-05-20 | At&T Corp. | Network-based service for recipient-initiated automatic repair of IP multicast sessions |
US6886113B2 (en) * | 2001-06-04 | 2005-04-26 | Lucent Technologies Inc. | System and method for determining and presenting network problems |
-
2000
- 2000-04-27 DE DE10020562A patent/DE10020562C1/de not_active Expired - Fee Related
-
2001
- 2001-04-24 US US10/258,229 patent/US20040078669A1/en not_active Abandoned
- 2001-04-24 CA CA002427175A patent/CA2427175A1/en not_active Abandoned
- 2001-04-24 AU AU62044/01A patent/AU6204401A/en not_active Abandoned
- 2001-04-24 EP EP01935985A patent/EP1279099A2/de not_active Ceased
- 2001-04-24 WO PCT/DE2001/001553 patent/WO2001082076A2/de not_active Application Discontinuation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0844563A1 (de) * | 1996-11-19 | 1998-05-27 | R. Brent Johnson | Kombiniertes Fernzugriffs- und Sicherheitssystem |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2927436A1 (fr) * | 2008-02-12 | 2009-08-14 | Ingenico Sa | Procede de securisation d'un programme informatique, dispositif, procede de mise a jour et serveur de mise a jour correspondants. |
EP2090984A1 (de) * | 2008-02-12 | 2009-08-19 | Compagnie Industrielle et Financiere d'Ingenierie "Ingenico" | Sicherungsverfahren eines Softwareprogramms sowie entsprechende Vorrichtung, entsprechendes Aktualisierungsverfahren und entsprechender Aktualisierungsserver |
Also Published As
Publication number | Publication date |
---|---|
WO2001082076A2 (de) | 2001-11-01 |
EP1279099A2 (de) | 2003-01-29 |
CA2427175A1 (en) | 2003-04-28 |
US20040078669A1 (en) | 2004-04-22 |
WO2001082076A3 (de) | 2002-04-04 |
AU6204401A (en) | 2001-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1946481B1 (de) | Verfahren zur erzeugung einer fortgeschrittenen elektronischen signatur eines elektronischen dokuments | |
DE112011100182B4 (de) | Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung | |
DE60119857T2 (de) | Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen | |
DE60022320T2 (de) | Verfahren zur überprüfung einer unterschrift von einer nachricht | |
DE112005001654T5 (de) | Verfahren zum Übermitteln von Direct-Proof-Privatschlüsseln an Geräte mittels einer Verteilungs-CD | |
DE102004032057A1 (de) | Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels | |
DE60219706T2 (de) | Verfahren und Vorrichtung zum Anfügen einer elektronischen Unterschrift an ein strukturiertes Dokument | |
DE60131373T2 (de) | Verfahren zur zertifizierung und überprüfung von digitalem webinhalt unter verwendung einer öffentlichen verschlüsselung | |
DE19959764A1 (de) | Verbesserte digitale Signatur | |
EP3412018B1 (de) | Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen | |
DE602004012019T2 (de) | Verfahren und Vorrichtung zur gesicherten Übertragung von Daten zwischen Teilnehmern | |
DE10028500A1 (de) | Verfahren zur Installation von Software in einer Hardware | |
WO2015180867A1 (de) | Erzeugen eines kryptographischen schlüssels | |
EP3422274A1 (de) | Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber | |
DE10020562C1 (de) | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers | |
EP3767513B1 (de) | Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem | |
EP1126655A1 (de) | Verfahren zur Authentizitätssicherung von Hard- und Software in einem vernetzten System | |
EP1557027A2 (de) | Verfahren und anordnung zum authentifizieren einer bedieneinheit sowie übertragen einer authentifizierungsinformation zu der bedieneinheit | |
EP2080144B1 (de) | Verfahren zum freischalten einer chipkarte | |
DE60109537T2 (de) | Vorrichtung, Verfahren und Programm zur Verwaltung eines Benutzerschlüssels, welcher bei der Unterschrift einer Nachricht in einem Datenverarbeitungsgerät benutzt wird | |
DE10242673B4 (de) | Verfahren zur Identifikation eines Benutzers | |
WO2007003446A1 (de) | Verfahren zur bereitstellung von elektronischen zertifikaten zur verwendung für elektronische signaturen | |
DE102019003673B3 (de) | Seitenkanalsichere Implementierung | |
DE60205176T2 (de) | Vorrichtung und Verfahren zur Benutzerauthentisierung | |
EP1241644A2 (de) | Verfahren zum Transaktionsnachweis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8100 | Publication of the examined application without publication of unexamined application | ||
D1 | Grant (no unexamined application published) patent law 81 | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20141101 |