DE10136384C2 - Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen - Google Patents
Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von DatensätzenInfo
- Publication number
- DE10136384C2 DE10136384C2 DE10136384A DE10136384A DE10136384C2 DE 10136384 C2 DE10136384 C2 DE 10136384C2 DE 10136384 A DE10136384 A DE 10136384A DE 10136384 A DE10136384 A DE 10136384A DE 10136384 C2 DE10136384 C2 DE 10136384C2
- Authority
- DE
- Germany
- Prior art keywords
- data
- chip modules
- chip
- data records
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Die Anmeldung betrifft eine Vorrichtung und ein Verfahren zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen, mit einer numerischen Einheit, welche die Vielzahl der Datensätze erzeugt, einer Zentraleinheit 9, welche Daten an die numerische Einheit sendet und die Datensätze von dieser empfängt, wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden, wobei die numerische Einheit eine Vielzahl von Chipmodulen 31, 32, 33 zum Erzeugen der Datensätze umfasst. In dem entsprechenden Verfahren empfängt die numerische Einheit Daten, erzeugt Datensätze abhängig von den empfangenen Daten und stellt die Datensätze bereit, wobei zum Erzeugen der Datensätze eine Vielzahl von Chipmodulen verwendet werden.
Description
Die Erfindung betrifft eine Vorrichtung zum Erzeugen von einer Vielzahl von Daten
sätzen gemäß dem Oberbegriff des Anspruchs 1.
Im Datenverkehr über das Internet, lokale Netze, Kommunikationsnetze oder Mas
senspeicher als Transportmedium besteht ein wachsendes Bedürfnis Daten nur
verschlüsselt zu übertragen, die Herkunft der Daten zu verifizieren und Übertra
gungs- oder Kommunikationspartner zu authentisieren. Übernommen werden kön
nen solche Verschlüsselungs-, Signatur- oder Authentisierungsfunktionen sowohl
von entsprechender Software als auch von einer spezialisierten Hardwareeinheit,
die im folgenden auch als kryptographische Einheit bezeichnet wird.
Insbesondere wenn eine Vielzahl von entsprechenden Vorgängen verarbeitet wer
den muss, wird aufgrund der höheren Geschwindigkeit häufig eine kryptographi
sche Einheit verwendet. Beispielsweise der Betreiber einer Internetseite, die nur für
Mitglieder zugänglich sein soll und deren Inhalte verschlüsselt an die Mitglieder
übertragen werden sollen, muss serverseitig eine leistungsstarke kryptographische
Einheit bereitstellen. Diese kann dann die Authentisierung der Mitglieder sowie die
Verschlüsselung der Daten für die Übertragung zentral vornehmen.
Fig. 1 zeigt eine vereinfachte Darstellung eines solchen Datenservers 1, der Daten
über das Internet 2 als Transportmedium für Endgeräte 3, 4 und 5 bereitstellt. In
dem Datenserver 1 ist neben einer Bereitstellungseinheit 7 eine Zentraleinheit 9 zur
Steuerung einer kryptographischen Einheit 8 und der Bereitstellungseinheit 7 an
geordnet. Bereitzustellende Daten, Kundendaten, sowie für die Verschlüsselung
bzw. Authentisierung notwendige Daten werden in einem Datenspeicher 6 abge
legt.
Für eine Authentisierung des Endgerätes 3 kann die Zentraleinheit 9 von der kryp
tographischen Einheit 8 durch entsprechende Eingangsdaten Vergleichsdaten an
fordern, die für eine erfolgreiche Authentisierung mit den vom Endgerät erhaltenen
Authentisierungsdaten übereinstimmen müssen. Sollen nach erfolgreicher Authentisierung
Daten an das Endgerät 3 übertragen werden, so werden diese aus dem
Datenspeicher 6 ausgelesen, und mittels der kryptographischen Einheit 8 ver
schlüsselt.
Wichtig ist in einem derartigen System die Absicherung der gespeicherten Daten in
dem Datenspeicher 6 gegen unbefugten Zugriff. Ein solcher Zugriffsversuch kann
beispielsweise erfolgen durch einen Hacker von seinem Endgerät 4 aus, oder
durch Personen die Zugang zu dem Datenserver 1 haben. Weiter verstärkt wird
dieses Problem, falls nicht nur ein Datenserver 1, sondern eine Vielzahl von Daten
servern mit den gleichen Daten arbeiten soll.
Eine Absicherung gegen unbefugten Zugriff wird üblicherweise durch in Software
implementierte Sicherheitsmaßnahmen, durch physikalische Abschirmung, organi
satorische Maßnahmen oder bauliche Maßnahmen am Aufstellort des Datenser
vers erreicht. Dadurch wird der Datenserver aber unflexibel, schwer wartbar oder
nicht mehr erweiterbar.
Ähnliche Probleme, insbesondere der Konflikt von hoher zu erzielender Leistung
und angestrebter Flexibilität treten auch allgemein bei der Verwendung numeri
scher Einheiten auf.
Die Veröffentlichung "IBM@Server zSeries 900 Overview" (http:/ /www.vm.ibm.
com:2003/pdfs/G11.pdf) zeigt einen Datenserver mit integrierten kryptographischen
Coprozessoren, der zusätzlich integrierte PCI-Steckkarten mit kryptographischen
Coprozessoren verwendet.
Ferner zeigt die Veröffentlichung "IBM 4758 PCI Cryptographic Coprocessor"
(http:/ /web.arcvhive.org.web/20010419075228/http:/ /www-3.ibm.com/security/
cryptocards/html/overhardware.html) eine PCI-Steckkarte, die mit einem gekap
selten kryptographischen Modul versehen ist.
In Chipkarten angeordnete Chipmodule werden, beispielsweise als Geldkarte oder
SIM-Karte eines Handys, als personalisierte Chipmodule zur sicheren Speicherung
von Daten oder zur Verschlüsselung von auszutauschenden Daten des Besitzers
der Chipkarte verwendet.
Aufgabe der vorliegenden Erfindung ist es, eine flexiblere Vorrichtung zum Erstel
len einer Vielzahl von Datensätzen bereit zu stellen.
Diese Aufgabe wird durch eine Vorrichtung mit den Merkmalen der unabhängigen
Ansprüche gelöst. Die Unteransprüche beschreiben bevorzugte Ausführungsfor
men der Erfindung.
Gemäß einem Aspekt der Erfindung umfasst eine Vorrichtung zum rechnergesteu
erten Erzeugen von einer Vielzahl von Datensätzen, eine numerische Einheit, wel
che die Vielzahl der Datensätze erzeugt, eine Zentraleinheit, welche Daten an die
numerische Einheit sendet und die erzeugten Datensätze von dieser empfängt,
wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden, und
die numerische Einheit eine Vielzahl von Chipmodulen zum Erzeugen der Daten
sätze umfasst. In einem entsprechenden Verfahren empfängt die numerische Ein
heit Daten, erzeugt
Datensätze abhängig von den empfangenen Daten und stellt die Datensätze bereit,
wobei zum Erzeugen der Datensätze eine Vielzahl von Chipmodulen verwendet
werden.
Durch die Verwendung einer Vielzahl von Chipmodulen wird die Vorrichtung und
das Verfahren in Ihrer Ausgestaltung flexibel und bei Fehlern leicht wartbar. Wei
terhin kann die Rechenleistung durch eine frei wählbare Anordnung, Verknüpfung
und Ansteuerung nahezu beliebig angepasst werden.
Vorzugsweise ist die numerische Einheit eine kryptographische Einheit. Insbeson
dere in diesem Fall ist es besonders vorteilhaft, dass durch die Verwendung der
Chipmodule zusätzlich die Sicherheit der verarbeiteten Daten, sowie der zur Verar
beitung verwendeten Informationen, wie beispielsweise Zufallszahlen oder Schlüs
seln, frei skalierbar erhöht werden kann.
Gemäß einer bevorzugten Ausgestaltung umfasst die Vorrichtung weiterhin eine
Vielzahl von Schnittstelleneinheiten, in welches jeweils eines der Chipmodule re
versibel einsetzbar ist. Somit sind die Chipmodule einfach austauschbar, wodurch
sowohl fehlerhafte Chipmodule leicht ersetzt werden können als auch Chipmodule
mit unterschiedlicher Funktionalität gegeneinander ausgetauscht werden können.
Gemäß einer weiteren bevorzugten Ausgestaltung der Vorrichtung sind die Chip
module so mit der Zentraleinheit verbunden, dass sie für eine parallele Erzeugung
der Datensätze einzeln ansteuerbar sind. Durch die parallele Verwendung der
Chipmodule zum Erstellen der Datensätze wird die Gesamtgeschwindigkeit der
Vorrichtung durch die Anzahl der angesteuerten oder eingesetzten Chipmodule
wählbar.
Besonders vorteilhaft ist es, wenn die Chipmodule in der Vorrichtung die Datensät
ze zumindest teilweise in verschlüsselter Form erzeugen. Dann können die ver
schlüsselt erzeugten Datensätze nicht unberechtigt gelesen werden.
Besonders vorteilhaft ist es weiterhin, wenn die verschlüsselt erzeugten Datensätze
auch in der Zentraleinheit nur teilweise entschlüsselbar sind. Damit kann erreicht
werden, dass die Datensätze nur von einem berechtigten Empfänger, der den ent
sprechenden Schlüssel besitzt, entschlüsselt werden kann.
Gemäß einer bevorzugten Ausführungsform der Vorrichtung gibt es in der Vielzahl
der Chipmodule einzelne Chipmodule oder Funktionsgruppen mit Chipmodulen,
die angepasst sind spezielle Funktionen in der numerischen Einheit zu überneh
men. Durch diese Aufgaben- oder Funktionsteilung können spezialisierte Chipmo
dule verwendet werden, die genau an Ihr Aufgabengebiet angepasst sind, also so
wohl schneller sein können, da sie nicht noch andere Funktionen beherrschen
müssen, als auch funktionsabhängig auf Eigenschaften, wie beispielsweise Copro
zessor oder großen Speicher verzichten können. Funktionsgruppen erlauben an
wendungsspezifische Lösungen beispielsweise aus einem Baukastensystem, aber
auch flexible Lösungen mit gleicher Grundstruktur und austauschbaren Kompo
nenten. Beispielsweise könnten bestimmte Chipmodule nur zur Schlüsselspeiche
rung, bei gesicherter Transfermöglichkeit zu den verarbeitenden Chipmodulen,
verwendet werden, um in der Vorrichtung auf einfachem aber sicherem Wege nur
die Schlüssel austauschbar zu machen.
Vorzugsweise ist ein in den Chipmodulen ausführbarer Code und zumindest ein
Teil der für Erzeugung der Datensätze verwendeten Informationen unveränderbar
in den Chipmodulen gespeichert. Mit dieser Ausführungsform kann eine besonders
sichere Vorrichtung realisiert werden.
Gemäß einer weiteren bevorzugten Ausführungsform ist zumindest ein Teil eines in
den Chipmodulen ausführbaren Codes in den Chipmodulen reversibel änderbar
gespeichert, wodurch die einzelnen Chipmodule in ihrer Funktionalität anpassbar
werden.
Vorzugsweise ist der ausführbare Code in den Chipmodulen geeignet, die Sicher
heit von darin gespeicherten oder in Ihnen verarbeiteten Informationen gegen un
befugte Benutzung zu gewährleisten. Somit kann aus dem einzelnen Chipmodul
oder der Vielzahl der Chipmodule außerhalb der Vorrichtung keine an sich zu
schützende Information gewonnen werden.
Eine besonders zweckmäßige Ausgestaltung der Vorrichtung ergibt sich, wenn
eine erste Gruppe der Chipmodule zum Empfang der Daten mit der Zentraleinheit
verbunden ist, und eine zweite Gruppe der Chipmodule zum Übertragen der Da
tensätze mit der Zentraleinheit verbunden ist. Durch eine entsprechende Anord
nung können numerische Einheiten in der Art eines neuronalen Netzes verwirklicht
werden. Dabei kann die Zuordnung eines der Chipmodule zu einer der Gruppen
dynamisch erfolgen.
Besonders zweckmäßig ist es dabei, wenn eine Verbindungseinheit die Chipmo
dule der ersten Gruppe mit den Chipmodulen der zweiten Gruppe verbindet. Somit
sind die Ausgangsdaten der ersten Gruppe als Eingangsdaten für die zweite Grup
pe verwendbar. Gleichzeitig kann die Übertragung somit durch die Verbindungs
einheit steuerbar sein.
Vorzugsweise werden Chipkarten mit Chipmodulen eingesetzt, die zur Verwendung
in einer der beschriebenen Vorrichtungen angepasst sind, da Chipkarten ver
gleichsweise günstig, leicht zu handhaben und zu verwalten sind.
Im Folgenden werden bevorzugte Ausführungsformen der Erfindung anhand der
beigefügten Figuren beschrieben. Die Figuren zeigen im einzelnen:
Fig. 1 ein System mit einer erfindungsgemäßen Vorrichtung, die eine Viel
zahl von Chipmodulen umfasst;
Fig. 2 eine numerische Einheit mit untereinander verbundenen Chipmodu
len; und
Fig. 3 ein System zur Bereitstellung von Daten über das Internet mit einer
Vorrichtung gemäß dem Stand der Technik.
Fig. 1 zeigt eine Zentraleinheit 9, die mit einer Bereitstellungseinheit 7 und einem
Datenspeicher 6 verbunden ist. Als numerische Einheit wird eine Vielzahl von
Chipmodulen 31, 32 und 33 verwendet, die hier in Chipkarten angeordnet sind.
Diese sind jeweils in Schnittstelleneinheiten 41, 42 und 43 reversibel einsetzbar
und damit mit der Zentraleinheit 9 verbindbar. Wie mit den weiteren Verbindungslinien
zur Zentraleinheit 9 angedeutet, können neben den Chipmodulen 31 bis 33
weitere Chipmodule über die gleiche oder weitere Schnittstellen mit der Zentralein
heit 9 verbunden sein.
Die Zentraleinheit 9 steuert die Chipmodule 31 bis 33 für eine Erzeugung von Da
tensätzen an, indem sie entsprechende Daten an die Chipmodule sendet.
Die Chipmodule 31 bis 33 sind so mit der Zentraleinheit verbunden, dass sie für
eine parallele Erzeugung von Datensätzen angesteuert werden können. Die Zent
raleinheit 9 empfängt dann die in den Chipmodulen 31 bis 33 erzeugten Datensät
ze.
Mit einem Computer als Zentraleinheit 9 können beispielsweise ein oder mehrere
USB-Anschlüsse verwendet werden, um den Computer mit der Vielzahl von
Schnittstelleneinheiten bzw. mit dem beschriebenen Netz oder Verbund der Viel
zahl von Chipmodulen zu verbinden. Dabei kann eine Umsetzung des Kommuni
kationsprotokolls des Netzes oder Verbund der Chipmodule 31 bis 33 auf das
Kommunikationsprotokoll des einzelnen Chipmoduls durch die Schnittstelleneinheit
41 bis 43 erfolgen oder dieses Netzprotokoll kann mit dem Kommunikationsproto
koll des Chipmoduls identisch sein, so dass eine Netzschnittstelle im Chipmodul
integriert ist. Je komplexer und zeitaufwendiger die Berechnung in den Chipmodu
len 31 bis 33 ist, desto höher ist die Einsparung durch diese Parallelisierung ge
genüber üblichen numerischen Einheiten.
Durch die Verwendung der Vielzahl von Chipmodulen werden die Nachteile der
zusätzlichen Kommunikationszeit mit den Chipmodulen und einer möglicherweise
langsameren Erzeugung der Datensätze in den Chipmodulen im Vergleich zu spe
zialisierter Hardware ausgleichbar.
Der Anwendungsbereich für eine erfindungsgemäße Vorrichtung ist vielfältig und
kann in einem System gemäß Fig. 3 beispielsweise auch die Funktionen einer
Zertifizierung von Schlüsseln, Zertifikatsprüfung, Schlüsselvergabe oder Authenti
sierung von Transaktionen übernehmen. Wie mit diesen Beispielen gezeigt, kann
die numerische Einheit also eine kryptographische Einheit sein. Andererseits kann
die erfindungsgemäße Vorrichtung mit einer numerischen Einheit auch allgemeiner
eingesetzt werden, beispielsweise für reine Berechnungen, Datenformatierungen
oder das noch zu Fig. 2 zu beschreibende Anwendungsbeispiel.
Die an Chipmodule von einer Schnittstelleneinheit übertragenen Daten enthalten
typischerweise Steuerdaten und optional zusätzlich Eingangsdaten. Die Chipmo
dule erkennen anhand der Steuerdaten die auszuführende Funktion, beispielswei
se "Verschlüsseln der Eingangsdaten mit temporärem Schlüssel", führen diese
Funktion aus und senden das Ergebnis oder zumindest eine Statusmeldung aus,
die anzeigt ob die Funktion erfolgreich ausgeführt werden konnte. Der erzeugte
Datensatz kann entweder gesendet oder für ein späteres Auslesen oder als Zwi
schenergebnis in dem Chipmodul gespeichert werden.
Ein Datensatz kann auch verschlüsselt erzeugt oder zumindest übertragen werden,
um beispielsweise in der Vorrichtung aus Fig. 1, die Daten für die Überragungs
strecke zwischen Chipmodul 31, Schnittstelleneinheit 41 und Zentraleinheit 9 für
einen Unbefugten unlesbar zu halten. Zusätzlich kann der verschlüsselt erzeugte
Datensatz auch für die Zentraleinheit nur teilweise entschlüsselbar sein, um bei
spielsweise zu gewährleisten, dass die in der sicheren Umgebung des Chipmoduls
31 erzeugten Informationen im erzeugten Datensatz nur von einer berechtigten
anderen sicheren Umgebung, beispielsweise intern in einer Chipkarte, entschlüs
selt werden kann. Analog zu diesem Vorgehen können auch die an die Chipmodule
übertragenen Daten verschlüsselt sein, um nur in den Chipmodulen entschlüsselt
oder ausgewertet werden zu können.
Die auf den Chipmodulen 31 bis 33 zur Erzeugung der Datensätze verwendeten
Informationen wie Schlüssel, Zwischenergebnisse oder Zufallswerte, werden in der
Regel auf den Chipmodulen gespeichert in denen sie auch verwendet werden.
Es ist aber möglich, einzelne fehlerhafte Chipmodule auszutauschen, oder aber
einzelne Chipmodule funktionsbezogen oder abhängig von den in ihr enthaltenen
Schlüsseln zu verwenden. Beispielsweise kann die Vielzahl, der in Fig. 1 nicht
dargestellten, aber angedeuteten Chipmodule eine Basisfunktionalität, wie "Ver-/
Entschlüsseln", "Komprimieren", "Verifizieren" und "Signieren" sichern, während die
Chipmodule 31 bis 33 kundenabhängig ausgetauscht werden, um für den Kunden
angepasste Datensätze zu erzeugen. Chipmodul 31 enthält in diesem Fall als
Schlüsselspeicher die Kundenschlüssel, die verschlüsselt temporär an eines der
Chipmodule einer entsprechenden Funktionsgruppe "Verschlüsseln" übertragen
wird. Chipmodule 32 und 33 enthalten besondere kundenspezifische Funktionen,
beispielsweise zur Erstellung von Datensätzen in einem besonderen Format oder
mit einem spezifischen Verschlüsselungsverfahren und möglicherweise ein Konfi
gurationsfile, das Informationen für die Steuerung der Chipmodule 31 bis 33, aber
auch der anderen Chipmodule enthält.
Eine Spezialisierung einzelner Chipmodule beispielsweise auf ein Kommando er
folgt, da somit die Übertragung von Steuerdaten vermieden werden kann. Weiter
hin ist die Bildung von Funktionsgruppen aus Chipmodulen, die angepasst sind
spezielle Funktionen in der numerischen Einheit zu übernehmen sinnvoll, um eine
effiziente Steuerung und Auslastung zu erreichen. Die Steuerung einer Funktions
gruppe kann zentral von der Zentraleinheit, aber auch von einer entsprechend
vermittelnden Zwischeneinheit erfolgen. Die Zuordnung eines Chipmoduls zu
Funktionsgruppen kann dynamisch erfolgen und von der Zentraleinheit gesteuert
werden, um Ressourcen zu sparen.
In einer kryptographischen Einheit kann für eine weitere Leistungssteigerung der
Vorrichtung eine einzelne kryptographische Operation, die möglicherweise auch
durch Erzeugung eines Datensatzes in einem Chipmodul ausgeführt werden
könnte, auf mehrere Chipmodule verteilt werden. Diese Möglichkeit ist besonders
wirkungsvoll für RSA-Operationen bei größeren Schlüssellängen.
Durch die relativ geringen Kosten pro Chipmodul und die freie Skalierbarkeit der
internen Sicherheit der Daten auf der Chipkarte, beispielsweise "nicht lesbar", "nur
verschlüsselt lesbar" "nicht veränderbar", "nur nach Authentisierung durch den Her
steller veränderbar" oder "nach Authentisierung durch den Betreiber des Datenser
vers veränderbar", wird die Vorrichtung besonders flexibel.
Zusätzlich besteht die Möglichkeit ausführbare Befehlssequenzen oder Code auf
die Chipkarte reversibel aufzubringen, um auch die Funktionalität eines einzelnen
Chipmoduls in seiner Ausgestaltung anzupassen.
Chipmodule können kontaktlos und/oder kontaktbehaftet mit den entsprechenden
Schnittstelleneinheiten kommunizieren. Eine Kommunikation von Chipmodul zu
Chipmodul ist zumindest ohne Zwischeneinheit unüblich, aber realisierbar.
Der erzeugte Datensatz wird, wie in Fig. 1 dargestellt, an die Zentraleinheit 9 ge
sandt. Möglich ist aber auch eine direkte weitere Verwendung dieser ersten er
zeugten Daten als Steuer- und/oder Eingangsdaten für einen weiteren Schritt zur
Erzeugung des gewünschten Datensatzes in anderen Chipmodulen. Dies ist auch
unter Beibehaltung der bestehenden Übertragungsprotokolle möglich, wenn bei
spielsweise wechselweise zwischen den Chipmodulen kontaktbehaftet in die eine
Richtung und kontaktlos in die andere Richtung kommuniziert wird. So könnten
beispielsweise die Chipmodule 31 und 32 untereinander kontaktlos kommunizieren,
also Daten oder Datensätze austauschen. Eine andere Möglichkeit ist, in den
Chipmodulen zwei Anwendungen mit jeweils einem logischen Kanal ablaufen zu
lassen, die für die Kommunikation mit jeweils einer Richtung, also einem anderen
Chipmodul, zuständig sind. Dabei werden zumindest Ausgangsdaten der einen
Anwendung, als zu dem nächsten Chipmodul zu übertragende Daten, an die zweite
Anwendung weitergegeben werden. Ein Anwendungsfall wird mit Bezug auf Fig. 2
näher beschrieben.
Fig. 2 zeigt eine Anordnung von Chipmodulen 21 bis 28 in einer numerischen Ein
heit 20, die Eingangsdaten 11 sowie Steuerdaten 12 empfängt und Datensätze 13
sendet. Eine Verbindungseinheit 29 verbindet eine erste Gruppe der Chipmodule
21 bis 24 mit einer zweiten Gruppe der Chipmodule 25 bis 28. Die Verbindungsein
heit 29 ist über ein Steuersignal 14 steuerbar, so dass auch die Ausgangsdaten 15
der Chipmodule 21 bis 24 auslesbar sind.
Eine derart ausgestaltete Vorrichtung verknüpft die Vorteile der Verwendung von
Chipmodulen in der numerischen Einheit mit einer Anordnung in der Art eines neu
ronalen Netzes. Dabei ist die Zahl der hintereinander angeordneten Gruppen und
beteiligten Chipmodule beliebig wählbar.
Die Eingangs- und Steuerdaten 11, 12 steuern die Chipmodule 21 bis 24 zur Er
zeugung von Ausgangsdaten 15 an, die ihrerseits über die Verbindungseinheit 29
an die Chipmodule 25 bis 28 übertragen werden, um dort wiederum die Erzeugung
von Datensätzen 13 zu bewirken. Dabei können zu Kontrollzwecken die Aus
gangsdaten der Chipmodule 21 bis 24 aus der Verbindungseinheit 29 ausgelesen
werden, sowie die Übertragung der Ausgangsdaten zu der zweiten Gruppe der
Chipmodule 25 bis 28 über das Steuersignal 14 gesteuert werden.
Die Zuordnung eines Chipmoduls zu einer der beiden Gruppen kann dynamisch
erfolgen, um Ressourcen zu sparen. Die Zuordnung muss nicht eindeutig sein und
kann zentral gesteuert werden.
Um den für neuronale Netze typischen Lerneffekt im Netz oder Verbund der Chip
module 21-28 zu erreichen, kann sowohl die Verbindungseinheit 29 frei program
mierbare Chipmodule entsprechend in Ihrer Programmierung anpassen, oder die in
den Chipmodulen in Form ausführbarer Befehlssequenzen enthaltene Programmie
rung eine Modifikation der internen Abläufe oder Parameter, abhängig von den be
reits empfangenen Daten steuern.
Ein weiterer Vorteil in der Verwendung von Chipmodulen in einer erfindungsgemä
ßen Vorrichtung liegt in der vergleichsweise großen Verbreitung, also hohen pro
duzierten Stückzahlen und einem entsprechend geringen Preis. Dabei können be
reits definierte Schnittstellen und vorhandene Schnittstelleneinheiten verwendet
werden. Mehrere Schnittstelleneinheiten können auch in einer Übereinheit zusam
mengefasst werden.
Chipmodule können sowohl durch ihre Software als auch durch Ihre Hardware an
gepasst sein, symmetrische und/oder asymmetrische Signatur- und Verschlüsse
lungsverfahren zu unterstützen, intern entsprechende Schlüssel zu generieren,
Hashwerte zu bilden (SHA-1, RIPEMD160), Zufallszahlen zu erzeugen und die
Sicherheit der Informationen in dem Chipmodul zu gewährleisten.
Die Chipmodule können weiterhin in ihren Hardwareeigenschaften, beispielsweise
Speicherplatz (ROM, EEPROM, RAM) und Coprozessoren für symmetrische oder
asymmetrische Verschlüsselungsverfahren anwendungsabhängig ausgewählt wer
den. Typische in Chipkarten verwendete Verschlüsselungsverfahren sind bei
spielsweise DES, Triple-DES, RSA oder elliptische Kurven. Bisher werden die
Chipmodule meist mit 3,5-15 MHz betrieben, wobei technisch ohne weiteres bis
zu 60 MHz möglich sind. Als kontaktbehaftete Übertragungsprotokolle zum Chip
modul werden unter anderem T = 0, T = 1 und T = 14 verwendet.
Die vorhandene Vielzahl von Betriebssystemen für Chipmodule und der mögliche
modulare Aufbau der enthaltenen Software bedingt eine hohe Flexibilität und eine
gute Auswahlmöglichkeit für die zu verwendenden Chipmodule in der Vorrichtung
je nach Anwendung und Funktion. Beispielsweise können in einem ersten Typ von
Chipmodul keine Änderungen an der Software in den Chipmodulen vorgenommen
werden. Sind auch die Datenstrukturen oder deren Inhalte auf dem Chipmodul
nicht mehr änderbar, so ist das Chipmodul zwar auf seine vorab definierte Funktion
begrenzt, kann aber andererseits vorab und unabhängig von dessen Einsatz in der
Vorrichtung als sicher eingestuft werden. Derartige Sicherheits-Evaluierungen oder
Zertifizierungen sind kostenintensiv und können eine weitere Motivation sein, um in
sicheren Vorrichtungen nur bereits evaluierte Chipmodule oder Modifikationen da
von zu verwenden.
Die Flexibilität der Chipmodule steigt von diesem ersten Typ über Typen mit An
passung der Dateninhalte, Datenstrukturen und Softwareergänzungen bis hin zu
einem frei programmierbaren Chipmodul, beispielsweise als JAVA-basiertes Chip
modul, das ein kontrolliertes Laden von Anwendungssoftware ermöglicht.
Claims (13)
1. Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von
Datensätzen, mit:
einer numerischen Einheit, welche die Vielzahl der Datensätze erzeugt und eine Vielzahl von Untereinheiten für die Erzeugung der Datensätze umfasst;
einer Zentraleinheit (9), welche Daten an die numerische Einheit sendet und die Datensätze von dieser empfängt, wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden,
dadurch gekennzeichnet, dass
jede Untereinheit als Chipmodul (31, 32, 33) in einer Chipkarte angeordnet ist,
die Chipkarten in Schnittstelleneinheiten (41, 42, 43) der Vorrichtung reversibel einsetzbar sind, und
die Schnittstelleneinheiten (41, 42, 43) mit USB-Anschlüssen der Zentraleinheit verbunden sind.
einer numerischen Einheit, welche die Vielzahl der Datensätze erzeugt und eine Vielzahl von Untereinheiten für die Erzeugung der Datensätze umfasst;
einer Zentraleinheit (9), welche Daten an die numerische Einheit sendet und die Datensätze von dieser empfängt, wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden,
dadurch gekennzeichnet, dass
jede Untereinheit als Chipmodul (31, 32, 33) in einer Chipkarte angeordnet ist,
die Chipkarten in Schnittstelleneinheiten (41, 42, 43) der Vorrichtung reversibel einsetzbar sind, und
die Schnittstelleneinheiten (41, 42, 43) mit USB-Anschlüssen der Zentraleinheit verbunden sind.
2. Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von
Datensätzen, mit:
einer numerischen Einheit, welche die Vielzahl der Datensätze erzeugt und eine Vielzahl von Untereinheiten für die Erzeugung der Datensätze umfasst;
einer Zentraleinheit (9), welche Daten an die numerische Einheit sendet und die Datensätze von dieser empfängt, wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden,
dadurch gekennzeichnet, dass
die Untereinheiten über USB-Anschlüsse der Zentraleinheit mit dieser verbunden sind, und
eine USB-Schnittstelle in einem Chipmodul der jeweiligen Untereinheit integriert ist.
einer numerischen Einheit, welche die Vielzahl der Datensätze erzeugt und eine Vielzahl von Untereinheiten für die Erzeugung der Datensätze umfasst;
einer Zentraleinheit (9), welche Daten an die numerische Einheit sendet und die Datensätze von dieser empfängt, wobei die Datensätze abhängig von den gesendeten Daten erzeugt werden,
dadurch gekennzeichnet, dass
die Untereinheiten über USB-Anschlüsse der Zentraleinheit mit dieser verbunden sind, und
eine USB-Schnittstelle in einem Chipmodul der jeweiligen Untereinheit integriert ist.
3. Vorrichtung nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass die
Chipmodule (31, 32, 33) so mit der Zentraleinheit (9) verbunden sind, dass
sie für eine parallele Erzeugung der Datensätze einzeln ansteuerbar sind.
4. Vorrichtung nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet,
dass die Chipmodule (31, 32, 33) die Datensätze zumindest teilweise in
verschlüsselter Form erzeugen.
5. Vorrichtung nach Anspruch 4 dadurch gekennzeichnet, dass die
verschlüsselt erzeugten Datensätze in der Zentraleinheit (9) nur teilweise
entschlüsselbar sind.
6. Vorrichtung nach einem der Ansprüche 1 bis 5 dadurch gekennzeichnet,
dass in der Vielzahl der Chipmodule (31, 32, 33) einzelne Chipmodule (31)
oder Funktionsgruppen mit Chipmodulen angepasst sind, spezielle
Funktionen in der numerischen Einheit zu übernehmen.
7. Vorrichtung nach einem der Ansprüche 1 bis 6 dadurch gekennzeichnet,
dass ein in den Chipmodulen (31, 32, 33) ausführbarer Code und
zumindest ein Teil der für die Erzeugung der Datensätze verwendeten
Informationen unveränderbar in den Chipmodulen (31, 32, 33) gespeichert
ist.
8. Vorrichtung nach einem der Ansprüche 1 bis 7 dadurch gekennzeichnet,
dass zumindest ein Teil eines in den Chipmodulen (31, 32, 33)
ausführbaren Codes in den Chipmodulen (31, 32, 33) reversibel änderbar
gespeichert ist.
9. Vorrichtung nach einem der Ansprüche 1 bis 8 dadurch gekennzeichnet,
dass eine erste Gruppe der Chipmodule (21-24) zum Empfangen der
Daten mit der Zentraleinheit verbunden ist, und eine zweite Gruppe der
Chipmodule (25-28) zum Übertragen der Datensätze mit der
Zentraleinheit (9) verbunden ist.
10. Vorrichtung nach Anspruch 9 gekennzeichnet durch eine
Verbindungseinheit (29), die Chipmodule der ersten Gruppe (21-24) mit
den Chipmodulen der zweiten Gruppe (25-28) verbindet.
11. Vorrichtung nach einem der Ansprüche 1 bis 10 dadurch
gekennzeichnet, dass die numerische Einheit eine kryptographische
Einheit ist.
12. Verfahren zur rechnergesteuerten Erzeugung einer Vielzahl von
Datensätzen in einer numerischen Einheit mit den Schritten:
Empfangen von Daten von einer zentralen Einheit;
Erzeugen der Datensätze abhängig von den empfangenen Daten;
Bereitstellen der Datensätze;
wobei zum Erzeugen der Datensätze eine Vielzahl von Untereinheiten verwendet werden
dadurch gekennzeichnet, dass
zum Erzeugen der Datensätze eine Vielzahl von Chipkarten mit darin angeordneten Chipmodulen verwendet wird, wobei ein Übertragen der Daten über USB-Schnittstellen der zentralen Einheit erfolgt.
Empfangen von Daten von einer zentralen Einheit;
Erzeugen der Datensätze abhängig von den empfangenen Daten;
Bereitstellen der Datensätze;
wobei zum Erzeugen der Datensätze eine Vielzahl von Untereinheiten verwendet werden
dadurch gekennzeichnet, dass
zum Erzeugen der Datensätze eine Vielzahl von Chipkarten mit darin angeordneten Chipmodulen verwendet wird, wobei ein Übertragen der Daten über USB-Schnittstellen der zentralen Einheit erfolgt.
13. Verfahren zur rechnergesteuerten Erzeugung einer Vielzahl von
Datensätzen, in einer numerischen Einheit, mit den Schritten:
Empfangen von Daten von einer zentralen Einheit;
Erzeugen der Datensätze abhängig von den empfangenen Daten;
Bereitstellen der Datensätze;
wobei zum Erzeugen der Datensätze eine Vielzahl von Untereinheiten verwendet werden;
dadurch gekennzeichnet, dass
zum Erzeugen der Datensätze eine Vielzahl von Chipmodulen mit integrierter USB-Schnittstelle verwendet wird, und Daten mit der zentralen Einheit über dessen USB-Anschlüsse ausgetauscht werden.
Empfangen von Daten von einer zentralen Einheit;
Erzeugen der Datensätze abhängig von den empfangenen Daten;
Bereitstellen der Datensätze;
wobei zum Erzeugen der Datensätze eine Vielzahl von Untereinheiten verwendet werden;
dadurch gekennzeichnet, dass
zum Erzeugen der Datensätze eine Vielzahl von Chipmodulen mit integrierter USB-Schnittstelle verwendet wird, und Daten mit der zentralen Einheit über dessen USB-Anschlüsse ausgetauscht werden.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10136384A DE10136384C2 (de) | 2001-07-26 | 2001-07-26 | Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10136384A DE10136384C2 (de) | 2001-07-26 | 2001-07-26 | Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10136384A1 DE10136384A1 (de) | 2003-02-13 |
DE10136384C2 true DE10136384C2 (de) | 2003-06-05 |
Family
ID=7693144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10136384A Expired - Fee Related DE10136384C2 (de) | 2001-07-26 | 2001-07-26 | Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10136384C2 (de) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070240B (zh) * | 2023-02-03 | 2024-03-08 | 广州万协通信息技术有限公司 | 多芯片调用机制的数据加密处理方法及装置 |
-
2001
- 2001-07-26 DE DE10136384A patent/DE10136384C2/de not_active Expired - Fee Related
Non-Patent Citations (4)
Title |
---|
EMERY, Harv: "IBM aserver zSeries 900 Overview" Session G11, zVM, VSE and Linux on IBM Enterprise Servers, Technical Conference, Jacksonville, Florida, May 7-10, 2001, im Internet unter http://www.vm.ibm.com:2003/pdfs/G11.pdf * |
IBM 4758 PCI Cryptographic Coprocessor: im Inter- net unter http://web.archive.org/web/20010419075228/http://www-3.ibm.com/security/crptocards/html/overhardware.shtml, veröffentlicht am 19.April 2001 * |
IBM Deutschland GmbH: Eine neue Welt des Enter- prise e-business, IBM aserver z-Series, Oktober 2000, im Internet unter http://www.alltelfinancial.com/afs/brochures/zseries german.pdf * |
RICHTER, L., Prof. Dr.: Vorlesung "Computer Archi-tektur" Wintersemester 1999, Universität Zürich, Irchel, Im Internet unter http://www.ifi.unizh.ch/groups/richter/Classes/CA WS99 * |
Also Published As
Publication number | Publication date |
---|---|
DE10136384A1 (de) | 2003-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60200081T2 (de) | Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk | |
DE69729356T2 (de) | Verfahren und gerät zur sicherung des zugangs einer station zu mindestens einem server | |
DE60200093T2 (de) | Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk | |
DE19947986A1 (de) | System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte | |
EP3245607B1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
EP1784756B1 (de) | Verfahren und sicherheitssystem zur sicheren und eindeutigen kodierung eines sicherheitsmoduls | |
EP3321832B1 (de) | Verteilen zum lesen von attributen aus einem id-token | |
DE10136384C2 (de) | Vorrichtung zum rechnergesteuerten Erzeugen einer Vielzahl von Datensätzen | |
EP2333624A1 (de) | Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung | |
DE102005061686A1 (de) | Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine | |
EP3271855B1 (de) | Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken | |
DE102020112811B3 (de) | Verfahren und Anlage zur Authentifizierung wenigstens eines Aggregats | |
EP3407242A1 (de) | Personalisieren eines halbleiterelements | |
EP3762845B1 (de) | Projektbezogenes zertifikatsmanagement | |
EP3367285B1 (de) | Terminal, id-token, computerprogramm und entsprechende verfahren zur authentisierung einer zugangsberechtigung | |
EP3244332B1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
DE102015209073A1 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
EP2740070B1 (de) | Mechanismus zur kommunikation zwischen zwei applikationen auf einem sicherheitsmodul | |
DE102022000857B3 (de) | Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz | |
AT522816B1 (de) | Verfahren zur performanten Durchführung von kryptographischen Einzeloperationen | |
EP3881486B1 (de) | Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar | |
DE102019005546B4 (de) | Verfahren zur Ersteinrichtung eines Maschinendatenkommunikationsnetzwerks, Verfahren zum Austauschen einer Hardwarekomponente | |
EP3323072B1 (de) | Verfahren zum lesen von attributen aus einem id-token, id-token, attribut-provider-computersystem und computersystem | |
WO2022069247A1 (de) | Gerät und verfahren zur einrichtung einer dienstbezogenen authentisierung | |
EP4115584A1 (de) | Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |