DE102014111992B4 - Computer system and method for securing a computer system - Google Patents

Computer system and method for securing a computer system Download PDF

Info

Publication number
DE102014111992B4
DE102014111992B4 DE102014111992.4A DE102014111992A DE102014111992B4 DE 102014111992 B4 DE102014111992 B4 DE 102014111992B4 DE 102014111992 A DE102014111992 A DE 102014111992A DE 102014111992 B4 DE102014111992 B4 DE 102014111992B4
Authority
DE
Germany
Prior art keywords
computer system
authentication
rfid interface
rfid
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102014111992.4A
Other languages
German (de)
Other versions
DE102014111992A1 (en
Inventor
Michael Riebel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Client Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Client Computing Ltd filed Critical Fujitsu Client Computing Ltd
Priority to DE102014111992.4A priority Critical patent/DE102014111992B4/en
Priority to PCT/EP2015/069132 priority patent/WO2016026925A1/en
Publication of DE102014111992A1 publication Critical patent/DE102014111992A1/en
Application granted granted Critical
Publication of DE102014111992B4 publication Critical patent/DE102014111992B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules

Abstract

Computersystem (10) mit verschiedenen Sicherheitsebenen, wobei eine RFID-Erkennung über eine RFID-Schnittstelle (11) eine übergeordnete Sicherheitsebene darstellt und wobei das Computersystem (10) dazu eingerichtet ist, zusätzlich zu einem Erfassen eines Bootbefehls eine Authentifizierung über die RFID-Schnittstelle (11) anzufordern und das Computersystem (10) nur dann zu booten, wenn die Authentifizierung erfolgreich durchgeführt wurde, wobei das Computersystem (10) weiter dazu eingerichtet ist, zusätzlich zu der Authentifizierung wenigstens einen Schlüssel nach dem Booten als weitere Sicherheitsebene zu überprüfen und ein Laden eines Betriebssystems zu verweigern oder ein geladenes Betriebssystem zu sperren, wenn die Überprüfung einem vorbestimmten Ergebnis entspricht.

Figure DE102014111992B4_0000
Computer system (10) with different security levels, wherein an RFID detection via an RFID interface (11) represents a higher security level and wherein the computer system (10) is set up to, in addition to detecting a boot command, an authentication via the RFID interface ( 11) to request and boot the computer system (10) only if the authentication has been carried out successfully, the computer system (10) being further set up to check at least one key after booting as a further security level in addition to the authentication and loading to deny an operating system or to block a loaded operating system if the check corresponds to a predetermined result.
Figure DE102014111992B4_0000

Description

Die Erfindung betrifft ein Computersystem mit einer RFID-Schnittstelle sowie ein Verfahren zum Sichern eines Computersystems mit einer RFID-Schnittstelle.The invention relates to a computer system with an RFID interface and a method for securing a computer system with an RFID interface.

Die Sicherung von Computersystemen gegen unberechtigte Zugriffe spielt nicht nur im Büroalltag vieler Benutzer eine große Rolle, sondern ebenso auf Dienstreisen oder bei der Nutzung mobiler Geräte. Eine Authentifizierung eines Nutzers findet üblicherweise nur innerhalb des Betriebssystems statt. Damit besteht die Möglichkeit, dass unter gewissen Umständen unberechtigte Dritte auf Daten des Computersystems ungeschützt zugreifen können.Securing computer systems against unauthorized access not only plays a major role in the everyday office life of many users, but also on business trips or when using mobile devices. An authentication of a user usually only takes place within the operating system. This means that, under certain circumstances, unauthorized third parties may be able to access data on the computer system without protection.

Aus der US 2008 / 0 010 679 A1 ist ein Sicherheitsgerät für ein Computersystem bekannt. Das Sicherheitsgerät weist eine Erkennungseinheit zum Erkennen von Identifikationsinformationen eines Benutzers und eine Ausführeinheit auf. Die Ausführeinheit erzeugt einen Ergebniswert, indem die Identifikationsinformationen des Benutzers und einzigartige Identifikationsinformationen des Computersystems verarbeitet werden. Des Weiteren weist das Sicherheitsgerät eine Hauptsteuerung auf, die ein Booten des Computersystems ausführt, wenn ein vorbestimmtes Passwort mit dem erzeugten Ergebniswert übereinstimmt.From the U.S. 2008/0 010 679 A1 a security device for a computer system is known. The security device has a recognition unit for recognizing identification information of a user and an execution unit. The execution unit generates a result value by processing the user's identification information and the computer system's unique identification information. Furthermore, the security device has a main controller, which boots the computer system if a predetermined password matches the generated result value.

Die Veröffentlichung Kurkovsky S., Syta E., Casano B.: Continuous RFID-enabled Authentication and its Privacy Implications, IEEE International Symposium on Technology and Society (ISTAS), 2010 beschreibt eine kontinuierliche Authentifizierung von Benutzer von Desktop Computern. Hierbei loggt sich ein Benutzer erstmalig erfolgreich mit einem Passwort ein. Eine laufende Präsenz des Benutzers wird im Folgenden durch kontinuierliches Überprüfen ihres oder seines RFID-Tags durchgeführt.The publication Kurkovsky S., Syta E., Casano B.: Continuous RFID-enabled Authentication and its Privacy Implications, IEEE International Symposium on Technology and Society (ISTAS), 2010 describes continuous authentication of desktop computer users. Here, a user logs in successfully for the first time with a password. A continuous presence of the user is carried out in the following by continuously checking his or her RFID tag.

Es ist daher Aufgabe der Erfindung, ein Computersystem und ein Verfahren für ein Computersystem aufzuzeigen, die einen verbesserten Schutz des Computersystems ermöglichen.It is therefore the object of the invention to provide a computer system and a method for a computer system which enable improved protection of the computer system.

Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Computersystem mit verschiedenen Sicherheitsebenen geöst, wobei eine RFID-Erkennung über eine RFID-Schnittstelle eine übergeordnete Sicherheitsebene darstellt. Das Computersystem ist hierbei dazu eingerichtet, zusätzlich zu einem Erfassen eines Bootbefehls eine Authentifizierung über die RFID-Schnittstelle anzufordern. Des Weiteren ist das Computersystem dazu eingerichtet, das Computersystem nur dann zu booten, wenn die Authentifizierung erfolgreich durchgeführt wurde. Das Computersystem ist weiter dazu eingerichtet, zusätzlich zu der Authentifizierung wenigstens einen Schlüssel nach dem Booten als weitere Sicherheitsebene zu überprüfen. Das Computersystem ist weiter dazu eingerichtet, ein Laden eines Betriebssystems zu verweigern oder ein geladenes Betriebssystem zu sperren, wenn die Überprüfung nicht einem vorbestimmten Ergebnis entspricht.According to a first aspect of the invention, the object is achieved by a computer system with different security levels, with RFID recognition via an RFID interface representing a higher security level. In this case, the computer system is set up to request authentication via the RFID interface in addition to detecting a boot command. Furthermore, the computer system is set up to only boot the computer system if the authentication has been carried out successfully. The computer system is also set up to check at least one key after booting as a further security level in addition to the authentication. The computer system is further set up to refuse loading of an operating system or to block a loaded operating system if the check does not correspond to a predetermined result.

Dadurch, dass sich das Computersystem lediglich nach einer Authentifizierung über die RFID-Schnittstelle booten lässt, ist sichergestellt, dass ein authentifizierter Benutzer das Computersystem bootet und somit ein berechtigter Benutzer das Computersystem verwendet. Der berechtigte Benutzer benötigt hierzu lediglich einen RFID-Transponder, der zuvor im Computersystem registriert wurde. Der in diesem Kontext verwendete Begriff RFID-Transponder kann als ein aktives oder passives Gerät verstanden werden, das einen über eine RFID-Schnittstelle auslesbaren Speicher aufweist, beispielsweise eine Chipkarte, eine Schlüsselkarte oder ein RFID-Anhänger. Durch die Sicherung mit einem zusätzlichen Schlüssel, der eine einzelne Schutzmaßnahme, aber auch eine Kombination mehrerer Ereignisse (wie eine Unterbrechung einer primären Stromversorgung des Computersystems oder ein Unterbrechen der Erkennung eines WLAN-Netzes) und/oder Sicherungen (wie ein Passwortschutz oder ein Fingerabdruckscan) wird ein weiterer Schutz gewährleistet. Somit kann ein mehrstufiges Sichern des Computersystems (über verschiedene Schlüsselebenen) verwirklicht werden.Because the computer system can only be booted after authentication via the RFID interface, it is ensured that an authenticated user boots the computer system and thus an authorized user uses the computer system. The authorized user only needs an RFID transponder that has been previously registered in the computer system. The term RFID transponder used in this context can be understood as an active or passive device that has a memory that can be read out via an RFID interface, for example a chip card, a key card or an RFID tag. By securing with an additional key that provides a single protective measure, but also a combination of multiple events (such as an interruption in a primary power supply of the computer system or an interruption in the detection of a WLAN network) and/or safeguards (such as password protection or a fingerprint scan) further protection is guaranteed. Thus, a multi-level security of the computer system (over different key levels) can be realized.

Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist das Computersystem weiter dazu eingerichtet, nach dem Booten in vorbestimmten Zeitintervallen das Anfordern einer Authentifizierung über die RFID-Schnittstelle zu wiederholen. Das Computersystem ist weiter dazu eingerichtet, ein geladenes Betriebssystem zu sperren, wenn eine Authentifizierung mehrfach aufeinanderfolgend fehlschlägt.According to an advantageous embodiment of the invention, the computer system is further set up to repeat the request for authentication via the RFID interface at predetermined time intervals after booting. The computer system is also set up to block a loaded operating system if authentication fails several times in succession.

Schlägt eine Authentifizierung fehl, so wird mehrfach hintereinander erneut eine Authentifizierung angefordert, bis entweder die Authentifizierung erfolgreich war oder eine vorbestimmte Anzahl Wiederholungen erreicht wurde. Hierdurch kann das Computersystem automatisch überprüfen, ob der berechtigte Benutzer immer noch das Computersystem benutzt, beziehungsweise sich der RFID-Transponder im Erfassungsbereich der RFID-Schnittstelle befindet. Entfernt sich der RFID-Transponder (und somit der Benutzer) aus dem Erfassungsbereich der RFID-Schnittstelle, so wird das Betriebssystem automatisch gesperrt und somit gesichert.If authentication fails, authentication is requested again several times in succession until either the authentication was successful or a predetermined number of repetitions was reached. In this way, the computer system can automatically check whether the authorized user is still using the computer system or whether the RFID transponder is in the detection range of the RFID interface. If the RFID transponder (and thus the user) moves out of the detection range of the RFID interface, the operating system is automatically blocked and thus secured.

Gemäß einer alternativen Ausgestaltung ist das Computersystem dazu eingerichtet, nach dem Booten in vorbestimmten Zeitintervallen das Anfordern einer Authentifizierung über die RFID-Schnittstelle zu wiederholen und sich herunterzufahren, wenn eine Authentifizierung mehrfach aufeinanderfolgend fehlschlägt.According to an alternative embodiment, the computer system is set up to request authentication via the RFID interface after booting at predetermined time intervals Set to retry and shut down if authentication fails multiple times in a row.

Diese Ausgestaltung stellt eine weitere Erhöhung der Sicherheit des Computersystems dar. Entfernt sich der Benutzer mit dem registrierten RFID-Transponder aus dem Erfassungsbereich der RFID-Schnittstelle, so fährt sich das Computersystem automatisch herunter und schaltet sich so ab. Ein Zugriff auf das Computersystem ist diesem Fall lediglich durch ein erneutes Booten (mit erneuter Authentifizierung über die RFID-Schnittstelle) möglich.This refinement represents a further increase in the security of the computer system. If the user with the registered RFID transponder moves away from the detection area of the RFID interface, the computer system shuts down automatically and thus switches itself off. In this case, access to the computer system is only possible by rebooting (with renewed authentication via the RFID interface).

Gemäß einer weiteren vorteilhaften Ausgestaltung ist der wenigstens eine Schlüssel eine einzelne oder eine Kombination folgender Schutzmaßnahmen und/oder Ereignisse:

  • - Überprüfen eines Passworts;
  • - Entfernen des Computersystems aus einem bekanntem WLAN-Netz;
  • - Trennen eines LAN-Steckers von einem LAN-Anschluss des Computersystems;
  • - Überprüfen eines Präsenzsensors;
  • - Überprüfen eines Fingerabdrucks;
  • - Erkennen einer Unterbrechung einer primären Stromversorgung;
  • - Erkennen eines Entfernens aus einer Dockingstation;
  • - Verstreichen einer vorbestimmten Zeit nach einer bestimmten Authentifizierung über die RFID-Schnittstelle;
  • - Verstreichen einer vorbestimmten Zeit, ohne Benutzereingabe.
According to a further advantageous embodiment, the at least one key is an individual or a combination of the following protective measures and/or events:
  • - Checking a password;
  • - Removing the computer system from a known WLAN network;
  • - Disconnecting a LAN connector from a LAN port of the computer system;
  • - checking a presence sensor;
  • - Checking a fingerprint;
  • - detecting an interruption of a primary power supply;
  • - detecting a removal from a docking station;
  • - expiry of a predetermined time after a certain authentication via the RFID interface;
  • - Elapse of a predetermined time without user input.

Dadurch, dass verschiedene Schutzmaßnahmen und/oder Ereignisse kombiniert werden können, kann die Sicherheit für das Computersystem optimiert werden. Beispielsweise sind zum Starten eines Betriebssystems ein Passwort und/oder eine Erkennung eines WLAN-Netzes notwendig. Wird nun der Computer trotz korrekter Passworteingabe aus dem WLAN-Netz entfernt, so ist es möglich, das Betriebssystem zu sperren beziehungsweise nicht zu laden. Ebenso wie die Kombination aus Passwort und Erkennung des WLAN-Netzes sind selbstverständlich auch Kombinationen von Ereignissen denkbar, die über die oben aufgeführte Liste hinausgehen.Because different protective measures and/or events can be combined, the security for the computer system can be optimized. For example, a password and/or recognition of a WLAN network are required to start an operating system. If the computer is now removed from the WLAN network despite entering the correct password, it is possible to lock the operating system or not to load it. Just like the combination of password and recognition of the WLAN network, combinations of events that go beyond the list above are of course also conceivable.

Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zum Sichern eines Computersystems mit einer RFID-Schnittstelle gelöst. Das Verfahren umfasst hierbei die Schritte:

  • - Erfassen eines Bootbefehls;
  • - Durchführen einer Authentifizierung über die RFID-Schnittstelle, wenn der Bootbefehl erfasst wurde;
  • - Booten des Computersystems, wenn die Authentifizierung erfolgreich war;
  • - Prüfen eines Schlüssels, wenn das Computersystem gebootet wurde; und
  • - Laden eines Betriebssystems, wenn die Prüfung des Schlüssels positiv war.
According to a second aspect of the invention, the object is achieved by a method for securing a computer system with an RFID interface. The procedure includes the following steps:
  • - Capture a boot command;
  • - performing an authentication via the RFID interface when the boot command has been detected;
  • - Boot the computer system if authentication was successful;
  • - checking a key when the computer system has booted; and
  • - Loading an operating system if the key check was positive.

Dadurch, dass nach dem Erfassen eines Bootbefehls eine Authentifizierung über die RFID-Schnittstelle erfolgt und das Computersystem nur dann gebootet wird, wenn die Authentifizierung erfolgreich war, ist eine Sicherheit für das Computersystem bereits beim Booten gewährleistet.Because after a boot command has been detected, authentication takes place via the RFID interface and the computer system is only booted if the authentication was successful, security for the computer system is already guaranteed when booting.

Die Sicherheit des Computersystems wird durch die letzten beiden Schritte weiter über die Authentifizierung hinaus erhöht. Das Prüfen des Schlüssels kann hierbei auf niedrigeren Sicherheitsebenen als die Authentifizierung ablaufen.The last two steps further increase the security of the computer system beyond authentication. The checking of the key can take place at lower security levels than the authentication.

Gemäß einer vorteilhaften Ausgestaltung umfasst das Verfahren weiter die Schritte:

  • - Wiederholtes Authentifizieren über die RFID-Schnittstelle, wenn das Computersystem gebootet ist; und
  • - Auslösen eines vorbestimmten Ereignisses, wenn eine Authentifizierung im Schritt des wiederholten Authentifizierens fehlschlägt.
According to an advantageous embodiment, the method further comprises the steps:
  • - Repeated authentication via the RFID interface when the computer system is booted; and
  • - Raising a predetermined event if authentication fails in the step of re-authenticating.

Durch diese beiden Schritte wird sichergestellt, dass die Authentifizierung weiterhin während der Benutzung des Computersystems erfolgt. Entfernt sich beispielsweise der Benutzer aus dem Erfassungsbereich der RFID-Schnittstelle, so ist eine Authentifizierung nicht mehr möglich und ein vorbestimmtes Ereignis wird ausgelöst.These two steps ensure that authentication continues while the computer system is being used. For example, if the user leaves the detection area of the RFID interface, authentication is no longer possible and a predetermined event is triggered.

Gemäß einer vorteilhaften Ausgestaltung ist das vorbestimmte Ereignis entweder das Herunterfahren des Computersystems oder das Sperren eines Bildschirms und/oder eines Betriebssystems. Dadurch, dass verschiedene Bedingungen kombinierbar sind, wird es einem Benutzer ermöglicht, die Sicherheit des Computersystems an sein Umfeld anzupassen. Beispielsweise ist während eines normalen Arbeitstages in der Firma ein Sperren eines Bildschirms ausreichend und einfacher aufzuheben als das Herunterfahren des Computersystems. Dagegen ist es beispielsweise auf einer Dienstreise zu einer anderen Firma wünschenswert, dass das Computersystem nicht bootbar ist und sich herunterfährt, sobald sich der Benutzer aus dem Erfassungsbereich der RFID-Schnittstelle entfernt, um ein Maximum an Sicherheit zu gewährleisten.According to an advantageous embodiment, the predetermined event is either the shutdown of the computer system or the locking of a screen and/or an operating system. The fact that different conditions can be combined enables a user to adapt the security of the computer system to his environment. For example, during a typical workday at work, locking a screen is sufficient and easier to unlock than shutting down the computer system. On the other hand, on a business trip to another company, for example, it is desirable for the computer system not to be bootable and to shut down as soon as the user leaves the detection range of the RFID interface, in order to ensure maximum security.

Die Erfindung wird im Folgenden anhand von Figuren und Ausführungsbeispielen näher erläutert. Es zeigen:

  • 1 ein Computersystem gemäß einer Ausgestaltung der Erfindung; und
  • 2 ein Flussdiagramm eines Verfahrens gemäß einer Ausgestaltung der Erfindung.
The invention is explained in more detail below with reference to figures and exemplary embodiments. Show it:
  • 1 a computer system according to an embodiment of the invention; and
  • 2 a flowchart of a method according to an embodiment of the invention.

1 zeigt ein Computersystem 10. In der beschriebenen Ausgestaltung ist das Computersystem 10 ein Desktop-PC. In alternativen Ausgestaltungen kann es sich bei dem Computersystem 10 ebenso um ein Handy, ein Smartphone oder einen Tablet-PC handeln. Im Allgemeinen handelt es sich bei dem Computersystem 10 um ein zu schützendes elektronisches Gerät. Das Computersystem 10 weist eine RFID-Schnittstelle 11 auf. Die RFID-Schnittstelle 11 ist im Ausführungsbeispiel ein in das Computersystem 10 integriertes RFID-Lesegerät. In einer anderen Ausgestaltung ist die RFID-Schnittstelle 11 ein Anschluss für ein externes RFID-Lesegerät zusammen mit einem externen RFID-Lesegerät. Weiter weist das Computersystem 10 einen Taster 12 auf, über den das Computersystem 10 einen Bootbefehl von einem Nutzer bekommt. Wird das Computersystem 10 über den Taster 12 eingeschaltet, so wird ein Bootbefehl von einem Mikrocontroller 13 des Computersystems 10 erfasst. Der Mikrocontroller 13 sendet nun eine Authentifizierungsabfrage über die RFID-Schnittstelle 11. Wird über die RFID-Schnittstelle 11 ein gültiger RFID-Transponder 14 erfasst, so erkennt dies der Mikrocontroller 13, der dann das Computersystem 10 bootet, beziehungsweise einen Bootbefehl an eine entsprechende Steuereinheit des Computersystems 10 sendet. Der Mikrocontroller 13 führt hierzu einen Vergleich einer ausgelesenen Kennung von dem RFID-Transponder 14 mit einer in einem Speicherbaustein hinterlegten Liste mit gültigen Kennungen durch. Wird von der RFID-Schnittstelle kein RFID-Transponder 14 erfasst, so kann eine Authentifizierung nicht erfolgen. Befindet sich ein RFID-Transponder 14 im Erfassungsbereich der RFID-Schnittstelle 11, der nicht zur Authentifizierung geeignet ist, so ist eine erfolgreiche Authentifizierung ebenfalls nicht möglich. 1 1 shows a computer system 10. In the described embodiment, the computer system 10 is a desktop PC. In alternative configurations, the computer system 10 can also be a mobile phone, a smartphone or a tablet PC. In general, the computer system 10 is an electronic device to be protected. The computer system 10 has an RFID interface 11 . In the exemplary embodiment, the RFID interface 11 is an RFID reader integrated into the computer system 10 . In another embodiment, the RFID interface 11 is a connection for an external RFID reader together with an external RFID reader. Computer system 10 also has a button 12, via which computer system 10 receives a boot command from a user. If the computer system 10 is switched on via the button 12, a boot command is recorded by a microcontroller 13 of the computer system 10. The microcontroller 13 now sends an authentication query via the RFID interface 11. If a valid RFID transponder 14 is detected via the RFID interface 11, this is recognized by the microcontroller 13, which then boots the computer system 10, or sends a boot command to a corresponding control unit of the computer system 10 sends. For this purpose, the microcontroller 13 carries out a comparison of an identifier read from the RFID transponder 14 with a list of valid identifiers stored in a memory chip. If no RFID transponder 14 is detected by the RFID interface, authentication cannot take place. If there is an RFID transponder 14 in the detection range of the RFID interface 11 that is not suitable for authentication, successful authentication is also not possible.

In einer alternativen Ausgestaltung wird durch die RFID-Schnittstelle 11 in bestimmten Abständen, insbesondere technisch sinnvollen Zeitabständen, beispielsweise 100 ms oder 1 s, ein Authentifizierungsversuch durchgeführt, ohne dass ein Bootbefehl erfolgte. Hierbei liegt am Mikrocontroller 13 ein Freigabesignal an, sobald die Authentifizierung erfolgreich war. Wird nun der Taster 12 betätigt, während ein Freigabesignal am Mikrocontroller 13 anliegt, so bootet das Computersystem 10 über die RFID-Schnittstelle 11.In an alternative embodiment, an authentication attempt is carried out by the RFID interface 11 at specific intervals, in particular technically reasonable time intervals, for example 100 ms or 1 s, without a boot command being given. In this case, a release signal is present at the microcontroller 13 as soon as the authentication was successful. If the button 12 is now pressed while an enable signal is present at the microcontroller 13, the computer system 10 boots via the RFID interface 11.

Ist das Computersystem 10 gebootet, so wird in vorbestimmten Zeiträumen, insbesondere technisch sinnvollen Zeiträumen, zum Beispiel Intervallen von 10ms oder 100ms, über die RFID-Schnittstelle 11 eine Authentifizierung des RFID-Transponders 14 vorgenommen. Sollte es der RFID-Schnittstelle 11 mehrfach hintereinander nicht möglich sein, den gültigen RFID-Transponder 14 zu erfassen, so wird ein entsprechendes Fehlersignal an den Mikrocontroller 13 gesendet. Auf dieses Fehlersignal hin wird eine von einem Benutzer voreingestellte Operation ausgeführt. In der beschriebenen Ausgestaltung wird eine Sperre des Computersystems 10 vorgenommen. Ebenso kann das Computersystem 10 in einen energiesparenden Betriebszustand versetzt werden. Erkennt die RFID-Schnittstelle 11 im Anschluss wieder den RFID-Transponder 14, so wird das Computersystem automatisch wieder entsperrt. In einer alternativen Ausgestaltung wird das Computersystem 10 heruntergefahren.If the computer system 10 is booted, the RFID transponder 14 is authenticated via the RFID interface 11 in predetermined time periods, in particular technically reasonable time periods, for example intervals of 10 ms or 100 ms. If the RFID interface 11 is repeatedly unable to detect the valid RFID transponder 14 , a corresponding error signal is sent to the microcontroller 13 . In response to this error signal, an operation preset by a user is performed. In the embodiment described, the computer system 10 is locked. Likewise, the computer system 10 can be put into an energy-saving operating state. If the RFID interface 11 then recognizes the RFID transponder 14 again, the computer system is automatically unlocked again. In an alternative embodiment, the computer system 10 is shut down.

Das Computersystem 10 verfügt weiter über ein WLAN-Modul 15, einen LAN-Anschluss 16, eine Tastatur 17 und einen Bildschirm 18. Eine automatische Sperrung des Computersystems 10 kann über Ereignisse ausgelöst werden, wie beispielsweise ein Fehlen eines WLAN-Signals, das von dem WLAN-Modul 15 zuvor detektiert wurde. Ebenso kann es ein Entfernen eines Steckers aus dem LAN-Anschluss 16 sein. In weiteren Ausgestaltungen sind zusätzlich und alternativ verschiedene Schutzmaßnahmen und Ereignisse möglich. Beispielsweise kann eine Sperrung des Computersystems 10 und/oder des Bildschirms 18 über eine Unterbrechung einer primären Stromversorgung, ein Entfernen aus einer Dockingstation, ein Verstreichen einer vorbestimmten Zeit ohne Benutzereingabe oder ohne Erkennung von vorbestimmten Parametern wie RFID-Stationen ein Sperren auslösen.The computer system 10 also has a WLAN module 15, a LAN connection 16, a keyboard 17 and a screen 18. An automatic locking of the computer system 10 can be triggered by events, such as a lack of a WLAN signal from the WLAN module 15 was previously detected. It can also be removing a plug from the LAN connection 16 . In further refinements, various protective measures and events are additionally and alternatively possible. For example, locking of the computer system 10 and/or the display 18 via a primary power interruption, removal from a docking station, elapse of a predetermined time without user input, or without detection of predetermined parameters such as RFID stations may trigger a lock.

Die Schutzmaßnahmen und Ereignisse können somit in verschiedene Sicherheitsebenen eingeteilt werden: Die RFID-Erkennung über die RFID-Schnittstelle 11 mit Hilfe eines RFID-Transponders 14 entspricht hierbei einer übergeordneten Ebene mit höchster Sicherheit. Ohne eine Authentifizierung in dieser Ebene ist ein Booten nicht möglich.The protective measures and events can thus be divided into different security levels: The RFID detection via the RFID interface 11 using an RFID transponder 14 corresponds to a higher level with maximum security. Booting is not possible without authentication at this level.

Eine weitere Sicherheitsebene stellen die Ereignisse dar, wie beispielsweise die Erkennung eines WLAN-Netzes, eines LAN-Steckers, einer Dockingstation oder das Erkennen einer Unterbrechung der primären Stromversorgung. Derartige Ereignisse können als Raumschlüssel betrachtet werden, da sie das Computersystem 10 an einen Ort oder eine Umgebung binden.Another level of security is represented by the events, such as the detection of a WLAN network, a LAN connector, a docking station or the detection of an interruption in the primary power supply. Such events can be viewed as space keys since they tie computer system 10 to a location or environment.

Wurde das Computersystem 10 aufgrund einer fehlerhaften Authentifizierung über die RFID-Schnittstelle 11 gesperrt, so kann eine Sperre des Bildschirms 18 oder des Computersystems 10 über eine Eingabe eines Passworts über die Tastatur 17 aufgehoben werden.If the computer system 10 was blocked due to incorrect authentication via the RFID interface 11, a blocking of the Screen 18 or the computer system 10 can be canceled by entering a password on the keyboard 17.

Ebenso ist es möglich, eine Entsperrung durch Einbringen eines zur Authentifizierung geeigneten RFID-Transponders 14 in den Erfassungsbereich der RFID-Schnittstelle 11 zu erreichen.It is also possible to unlock by introducing an RFID transponder 14 suitable for authentication into the detection range of the RFID interface 11 .

Eine weitere Sicherheitsebene bieten benutzerabhängige Schutzmaßnahmen, wie ein Passwortschutz oder ein Fingerabdruckscan. Diese reichen zum Booten nicht aus, können jedoch alleine, oder alternativ nur in Verbindung mit dem RFID-Transponder 14, zum Entsperren ausreichen.Another level of security is provided by user-dependent protective measures such as password protection or a fingerprint scan. These are not sufficient for booting, but can be sufficient for unlocking on their own, or alternatively only in connection with the RFID transponder 14 .

Hier dient ebenfalls nicht nur das Wiedererkennen des entsprechenden Schlüssels, sondern auch das Wiedererkennen des RFID-Transponders 14 durch die RFID-Schnittstelle 11 (alleine oder in Kombination mit dem Schlüssel) zur Aufhebung einer Sperrung.Here, too, not only the recognition of the corresponding key, but also the recognition of the RFID transponder 14 by the RFID interface 11 (alone or in combination with the key) serves to cancel a blocking.

2 zeigt ein Flussdiagramm eines Verfahrens. Das Flussdiagramm beschreibt hierbei einen Ablauf eines Verfahrens für eine Anordnung gemäß 1, in der eine Authentifizierung über die RFID-Schnittstelle 11 erst nach einem Erfassen eines Bootbefehls über den Taster 12 erfolgt. 2 shows a flowchart of a method. The flowchart here describes a sequence of a method for an arrangement according to FIG 1 , In which authentication takes place via the RFID interface 11 only after a boot command has been detected via the button 12 .

In Schritt 21 wird über den Taster 12 ein Bootbefehl erfasst. Hierbei betätigt ein Benutzer den Taster 12 und das entsprechende Signal wird an den Mikrocontroller 13 gesendet.In step 21, a boot command is recorded via the button 12. In this case, a user presses the button 12 and the corresponding signal is sent to the microcontroller 13 .

In Schritt 22 findet eine Authentifizierungsabfrage statt. Der Mikrocontroller 13 sendet über die RFID-Schnittstelle 11 eine Authentifizierungsabfrage und erfasst somit sich im Erfassungsbereich der RFID-Schnittstelle 11 befindliche RFID-Transponder 14. Die Kennungen der erfassten RFID-Transponder 14 vergleicht der Mikrocontroller 13 mit der in dem Speicherbaustein gespeicherten Liste gültiger Kennungen. Stimmt eine der erfassten Kennungen mit einer der Kennungen der Liste überein, so ist die Authentifizierung erfolgreich. Stimmt keine der Kennungen überein, ist die Authentifizierung fehlgeschlagen.In step 22 an authentication query takes place. The microcontroller 13 sends an authentication query via the RFID interface 11 and thus detects RFID transponders 14 located in the detection range of the RFID interface 11. The microcontroller 13 compares the identifiers of the detected RFID transponders 14 with the list of valid identifiers stored in the memory module . If one of the identifiers recorded matches one of the identifiers in the list, the authentication is successful. If none of the identifiers match, the authentication has failed.

Schlägt die Authentifizierung fehl, so wird ein Zähler in Schritt 23 erhöht. Befindet sich der Wert des Zählers unterhalb eines vorbestimmten Wertes, so wird die Authentifizierung automatisch wiederholt. Dies wird in Schritt 24 überprüft. Befindet sich der Zähler jedoch auf oder oberhalb des vorbestimmten Werts, so wird die Authentifizierung abgebrochen und das Computersystem 10 bootet nicht. Wünscht ein Benutzer dennoch das Computersystem zu Booten, so muss er erneut eine Bootanfrage über den Taster 12 an das Computersystem 10 senden und somit das Verfahren in Schritt 21 neu starten.If the authentication fails, a counter is increased in step 23. If the value of the counter is below a predetermined value, the authentication is automatically repeated. This is checked in step 24. However, if the counter is at or above the predetermined value, the authentication is aborted and the computer system 10 does not boot. If a user nevertheless wishes to boot the computer system, he must again send a boot request to the computer system 10 via the button 12 and thus restart the method in step 21 .

Ist die Authentifizierung in Schritt 22 erfolgreich, so bootet das Computersystem 10 in Schritt 25 in an sich bekannter Weise. Hierbei werden ein Bootloader eines BIOS (bzw. eines UEFI) ausgeführt und ein Betriebssystem geladen.If the authentication in step 22 is successful, the computer system 10 boots in step 25 in a manner known per se. Here, a boot loader of a BIOS (or a UEFI) is executed and an operating system is loaded.

Anschließend an Schritt 25 wird eine Serie an Authentifizierungen durchgeführt. Solange das Computersystem 10 in Betrieb ist, findet eine Authentifizierung über die RFID-Schnittstelle 11 in Schritt 26 statt. Gelingt die Authentifizierung in Schritt 26, so wird nach einer vorbestimmten Zeit Schritt 26 wiederholt. Schlägt die Authentifizierung in Schritt 26 fehl, so wird ein Zähler in Schritt 27 erhöht. Dieser Zähler wird in Schritt 28 überprüft. Befindet sich der Wert des Zählers unterhalb eines vorbestimmten Wertes, so wird die Authentifizierung in Schritt 26 erneut wiederholt.
Wird für eine vorbestimmte Anzahl Wiederholungen kein RFID-Transponder 14 erkannt, der eine Authentifizierung begründet, so tritt ein vorher bestimmtes Ereignis in Schritt 29 ein. Wie oben zu 1 beschrieben, kann es sich bei diesem Ereignis um Sperrereignisse oder das Einnehmen eines Schlafmodus, aber auch das Herunterfahren des Computersystems 10 handeln.Following step 25, a series of authentications is performed. As long as the computer system 10 is in operation, authentication takes place via the RFID interface 11 in step 26 . If the authentication in step 26 is successful, step 26 is repeated after a predetermined time. If the authentication fails in step 26, a counter is incremented in step 27. This counter is checked in step 28. If the value of the counter is below a predetermined value, the authentication in step 26 is repeated again.
If no RFID transponder 14, which justifies an authentication, is recognized for a predetermined number of repetitions, a predetermined event occurs in step 29. As above to 1 described, this event can be locking events or entering a sleep mode, but also the shutdown of the computer system 10.

Bezugszeichenlistereference list

1010
Computersystemcomputer system
1111
RFID-SchnittstelleRFID interface
1212
Tasterbutton
1313
Mikrocontrollermicrocontroller
1414
RFID-TransponderRFID transponder
1515
WLAN-ModulWiFi module
1616
LAN-AnschlussLAN port
1717
Tastaturkeyboard
1818
Bildschirmscreen
21 bis 2921 to 29
Verfahrensschritteprocess steps

Claims (7)

Computersystem (10) mit verschiedenen Sicherheitsebenen, wobei eine RFID-Erkennung über eine RFID-Schnittstelle (11) eine übergeordnete Sicherheitsebene darstellt und wobei das Computersystem (10) dazu eingerichtet ist, zusätzlich zu einem Erfassen eines Bootbefehls eine Authentifizierung über die RFID-Schnittstelle (11) anzufordern und das Computersystem (10) nur dann zu booten, wenn die Authentifizierung erfolgreich durchgeführt wurde, wobei das Computersystem (10) weiter dazu eingerichtet ist, zusätzlich zu der Authentifizierung wenigstens einen Schlüssel nach dem Booten als weitere Sicherheitsebene zu überprüfen und ein Laden eines Betriebssystems zu verweigern oder ein geladenes Betriebssystem zu sperren, wenn die Überprüfung einem vorbestimmten Ergebnis entspricht.Computer system (10) with different security levels, wherein an RFID detection via an RFID interface (11) represents a higher security level and wherein the computer system (10) is set up to, in addition to detecting a boot command, an authentication via the RFID interface ( 11) to request and boot the computer system (10) only if the authentication has been successfully performed, the computer system (10) being further set up to do so, in addition to the authentication tion to check at least one key after booting as a further level of security and to refuse loading of an operating system or to lock a loaded operating system if the check corresponds to a predetermined result. Computersystem (10) nach Anspruch 1, wobei das Computersystem (10) weiter dazu eingerichtet ist, nach dem Booten in vorbestimmten Zeitintervallen das Anfordern einer Authentifizierung über die RFID-Schnittstelle (11) zu wiederholen und ein geladenes Betriebssystem zu sperren, wenn eine Authentifizierung mehrfach aufeinanderfolgend fehlschlägt.Computer system (10) according to claim 1 , wherein the computer system (10) is further set up to repeat the request for authentication via the RFID interface (11) after booting at predetermined time intervals and to block a loaded operating system if authentication fails several times in succession. Computersystem (10) nach Anspruch 1, wobei das Computersystem (10) weiter dazu eingerichtet ist, nach dem Booten in vorbestimmten Zeitintervallen das Anfordern einer Authentifizierung über die RFID-Schnittstelle (11) zu wiederholen und sich herunterzufahren, wenn eine Authentifizierung mehrfach aufeinanderfolgend fehlschlägt.Computer system (10) according to claim 1 , wherein the computer system (10) is further set up to repeat the request for authentication via the RFID interface (11) after booting at predetermined time intervals and to shut down if authentication fails several times in succession. Computersystem (10) nach einem der Ansprüche 1 bis 3, wobei der wenigstens eine Schlüssel eine einzelne oder eine Kombination folgender Schutzmaßnahmen und/oder Ereignisse ist: - Überprüfen eines Passworts; - Entfernen des Computersystems (10) aus einem bekanntem WLAN-Netz; - Abziehen eines LAN-Steckers von einem LAN-Anschluss (16) des Computersystems (10); - Überprüfen eines Präsenzsensors; - Überprüfen eines Fingerabdrucks; - Erkennen einer Unterbrechung einer primären Stromversorgung; - Erkennen eines Entfernens aus einer Dockingstation; - Verstreichen einer vorbestimmten Zeit nach einer bestimmten Authentifizierung über die RFID-Schnittstelle (11) ; - Verstreichen einer vorbestimmten Zeit, ohne Benutzereingabe.Computer system (10) according to one of Claims 1 until 3 , wherein the at least one key is an individual or a combination of the following protective measures and/or events: - checking a password; - Removing the computer system (10) from a known WLAN network; - Disconnecting a LAN connector from a LAN port (16) of the computer system (10); - checking a presence sensor; - Checking a fingerprint; - detecting an interruption of a primary power supply; - detecting a removal from a docking station; - Elapse of a predetermined time after a specific authentication via the RFID interface (11); - Elapse of a predetermined time without user input. Verfahren zum Sichern eines Computersystems (10) mit einer RFID-Schnittstelle (11), umfassend die Schritte: - Erfassen eines Bootbefehls; - Durchführen einer Authentifizierung über die RFID-Schnittstelle (11), wenn der Bootbefehl erfasst wurde; und - Booten des Computersystems(10), wenn die Authentifizierung erfolgreich war; - Prüfen eines Schlüssels, wenn das Computersystem (10) gebootet wurde; - Laden eines Betriebssystems, wenn die Prüfung des Schlüssels positiv war.Method for securing a computer system (10) with an RFID interface (11), comprising the steps: - Capture a boot command; - performing an authentication via the RFID interface (11) when the boot command was detected; and - booting the computer system (10) if the authentication was successful; - checking a key when the computer system (10) has been booted; - Loading an operating system if the key check was positive. Verfahren nach Anspruch 5, weiter umfassend die Schritte: - Wiederholtes Authentifizieren über die RFID-Schnittstelle (11), wenn das Computersystem (10) gebootet ist; und - Auslösen eines vorbestimmten Ereignisses, wenn eine Authentifizierung im Schritt des wiederholten Authentifizierens fehlschlägt.procedure after claim 5 , further comprising the steps: - Repeated authentication via the RFID interface (11) when the computer system (10) is booted; and - triggering a predetermined event if authentication fails in the step of re-authenticating. Verfahren nach Anspruch 6, wobei das vorbestimmte Ereignis eines der folgenden Ereignisse ist: - Herunterfahren des Computersystems(10); - Sperren eines Bildschirms und/oder eines Betriebssystems.procedure after claim 6 , wherein the predetermined event is one of the following events: - shutting down the computer system (10); - Locking a screen and/or an operating system.
DE102014111992.4A 2014-08-21 2014-08-21 Computer system and method for securing a computer system Active DE102014111992B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102014111992.4A DE102014111992B4 (en) 2014-08-21 2014-08-21 Computer system and method for securing a computer system
PCT/EP2015/069132 WO2016026925A1 (en) 2014-08-21 2015-08-20 Computer system and method for protecting a computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014111992.4A DE102014111992B4 (en) 2014-08-21 2014-08-21 Computer system and method for securing a computer system

Publications (2)

Publication Number Publication Date
DE102014111992A1 DE102014111992A1 (en) 2016-02-25
DE102014111992B4 true DE102014111992B4 (en) 2022-02-24

Family

ID=54105765

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014111992.4A Active DE102014111992B4 (en) 2014-08-21 2014-08-21 Computer system and method for securing a computer system

Country Status (2)

Country Link
DE (1) DE102014111992B4 (en)
WO (1) WO2016026925A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010679A1 (en) 2006-07-05 2008-01-10 Samsung Electronics Co., Ltd. Security apparatus for computer system and method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6842106B2 (en) * 2002-10-04 2005-01-11 Battelle Memorial Institute Challenged-based tag authentication model
US7330118B2 (en) * 2004-10-28 2008-02-12 Intel Corporation Apparatus and method capable of secure wireless configuration and provisioning
US20070223685A1 (en) * 2006-02-06 2007-09-27 David Boubion Secure system and method of providing same
US8561138B2 (en) * 2008-12-31 2013-10-15 Intel Corporation System and method to provide added security to a platform using locality-based data

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010679A1 (en) 2006-07-05 2008-01-10 Samsung Electronics Co., Ltd. Security apparatus for computer system and method thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Kurkovsky, S.; Syta, E.; Casano, B.: Continuous RFID-enabled Authentication and its Privacy Implications. IEEE International Symposium on Technology and Society (ISTAS), 2010.URL: http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=5514648

Also Published As

Publication number Publication date
DE102014111992A1 (en) 2016-02-25
WO2016026925A1 (en) 2016-02-25

Similar Documents

Publication Publication Date Title
DE69833121T2 (en) ACCESS CONTROL FOR COMPUTER SYSTEM
CN104715178B (en) Unlocking system and method of electronic device
DE60129967T2 (en) BIOMETRY BASED CERTIFICATION IN A NON-VOLATILE MEMORY DEVICE
EP2820587B1 (en) Method for controlling access to a computer using a mobile terminal
DE112015003902T5 (en) Enforce service policies in embedded UICC cards
DE102009044576A1 (en) Management of hardware passwords
DE102013225808B4 (en) Method for detecting a smart key in the vicinity of a vehicle
DE112009004762T5 (en) SYSTEM AND METHOD FOR PERFORMING A MANAGEMENT SOLUTION
DE112008003862T5 (en) A system and method for providing a system management command
DE102008035103A1 (en) An interface monitor, computer system, and method for monitoring a differential interface port
CN107145772A (en) Terminal device security control method, device and terminal device
EP2732398B1 (en) Method for operating a network device
DE112008001833B4 (en) Fingerprint reader reset system and method
DE102018107361A1 (en) Robotic system with biometric authentication function
DE102014111992B4 (en) Computer system and method for securing a computer system
CN112214756A (en) Authority management system, method and storage medium of consumption machine
CN106548052A (en) A kind of mobile terminal unlocking method and system
EP2652665B1 (en) Portable data storage medium with control error counter
US20150020165A1 (en) System of executing application and method thereof
EP2237121A1 (en) Operating device and method for an industrial automation assembly
CN105468953A (en) Android system electronic terminal and ROOT permission acquisition method and system for same
CN106210341A (en) Terminal unlocking method and terminal unit
DE102012104228B4 (en) Electronic access protection system, method for operating a computer system, chip card and firmware component
EP3792794B1 (en) Fingerprint detection device
DE102005025447B4 (en) Access Method for Wireless Authentication Login System

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: FUJITSU CLIENT COMPUTING LIMITED, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

Owner name: FUJITSU CLIENT COMPUTING LIMITED, KAWASAKI-SHI, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

R018 Grant decision by examination section/examining division
R020 Patent grant now final