-
Technisches
Gebiet
-
Die
Erfindung betrifft ein Verfahren zum Zugang zur Firmware in einem
Computer, welcher eine Schnittstelleneinrichtung zur leitungsungebundenen Datenübertragung
mit einem mobilen, informationstragenden und -verarbeitenden Gerät aufweist.
-
Die
Firmware, hier genauer als „BIOS" (BASIC Input Output
System) bezeichnet, ist ein Initialisierungsprogramm, das in einem
nichtflüchtigen Speicher
des Computers gespeichert ist und unmittelbar nach dem Einschalten
verschiedene Funktionseinheiten des Computers in einen definierten Ausgangszustand
bringt. Diese Firmware fordert den Nutzer beim Hochfahren des Systems
auf, ein Passwort einzugeben. Stimmt dieses eingegebene BIOS-Passwort
mit einem vorab im System (zum Beispiel in einem CMOS-RAM) gespeicherten
Zugangspasswort überein,
so wird der Vorgang der Initialisierung fortgeführt und das Betriebssystem
in den Arbeitsspeicher des Computers geladen. Eine Fehleingabe hat
zur Folge, dass das Hochfahren des Computers unterbrochen wird.
Das Betriebssystem wird in diesem Fall nicht geladen und der Nutzer
hat somit keinen Zugang zu den Ressourcen im Computer.
-
Die
Eingabe eines Zugangscode ist aber nicht nur bei einem Computer
sondern auch bei anderen mobilen, informationstragenden und -verarbeitenden
Geräten,
wie beispielsweise Mobiltelefone oder PDA's (Personal Digital Assistant) erforderlich. Viele
dieser tragbaren Geräte,
insbesondere Mobiltelefone, sind heutzutage weit verbreitet. Moderne Ausführungen
dieser kleinformatigen Geräte
besitzen häufig
eine Schnitt stellenvorrichtung zur drahtlosen Datenübertragung
mit anderen mobilen oder fest installierten Geräten.
-
Eine
international standardisierte Schnittstelleneinrichtung im Kurzstreckendatenfunk
(bis zu 100 m) ist Bluetooth, bei der die Daten per Funk im ISM-Band
(Industrial Scientific Medical Band) übertragen werden.
-
Vor
diesem Hintergrund wird von vielen Nutzern, die sich beispielsweise
bereits gegenüber
ihrem Mobiltelefon authentifiziert haben und im Begriff sind ihren
Computer in Betrieb zu nehmen, es als umständlich empfunden, wenn sie
von der Firmware des Computers erneut zur Eingabe eines Passwortes aufgefordert
werden.
-
Darstellung
der Erfindung
-
Der
vorliegenden Erfindung liegt die Aufgabe zu Grunde, ein Verfahren
und eine Einrichtung zu schaffen, so dass der Vorgang zur Authentifizierung eines
Nutzers gegenüber
einem Computer einfacher möglich
ist.
-
Diese
Aufgabe wird für
ein Verfahren durch die Merkmale des Patentanspruchs 1 und für eine Einrichtung
durch die Merkmale des Patentanspruchs 11 gelöst. Vorteilhafte Ausgestaltungen,
Aspekte und Einzelheiten der Erfindung ergeben sich aus den abhängigen Ansprüchen, der
Beschreibung und der beigefügten
Zeichnung.
-
Die
Erfindung geht davon aus, den Informationsträger eines mobilen, informationstragenden
und -verarbeitenden Gerätes
auch bei der Authentifizierung eines Nutzers gegenüber einem
Computer zu verwenden. Hierzu wird im Speicher dieses Informationsträgers auch
die Zugangsinformation zum Computer gespeichert. Während des
Authentifizierungsvorgangs wird diese Zugangsinformation drahtlos vom
mobilen, informationstragen den und -verarbeitenden Gerät zum Computer übermittelt.
Ein Nutzer, der sich beispielsweise bereits gegenüber seinem Mobiltelefon
authentifiziert hat, muss sich Dank der Erfindung nicht mehr das
Passwort für
den Computer merken. Das BIOS-Passwort
wird automatisch von seinem Mobiltelefon über einen drahtlosen Kommunikationskanal
an den Computer übermittelt.
-
Die Übertragung
kann über
Kurzstreckendatenfunk oder optoelektronisch erfolgen. Das erfindungsgemäße Verfahren
ist durch folgende Verfahrensschritte gekennzeichnet:
- a) Bereithalten von Daten, die einen Nutzer gegenüber dem
mobilen, informationstragenden und -verarbeitenden Gerät und gegenüber dem Computer
authentifizieren, auf einem Informationsträger des mobilen, informationstragenden und
-verarbeitenden Gerätes;
- b) Einbringen des mobilen, informationstragenden und -verarbeitenden
Gerätes
in den Erfassungsbereich der Schnittstelleneinrichtung;
- c) Herstellen eines Kommunikationskanals zwischen dem mobilen,
informationstragenden und -verarbeitenden Gerät und dem Computer;
- d) Übermitteln
der Daten zur Authentifizierung eines Nutzers vom mobilen, informationstragenden und
-verarbeitenden Gerät
an den Computer über den
Kommunikationskanal;
- e) Auswerten der vom Computer empfangenen Daten zur Authentifizierung
eines Nutzers durch die Firmware des Computers, so dass anhand dieser
Daten entschieden wird, ob ein Betriebssystem in den Computer geladen,
oder das Hochfahren des Computers unterbrochen wird.
-
Mit
Vorteil wird als mobiles, informationstragendes und -verarbeitendes
Gerät ein
Mobiltelefon verwendet, in dessen Subscriber Identity Modul (SIM)
die Daten zur Authentifizierung des Nutzers gegenüber dem
Computer bereit gehalten werden.
-
Als
Schnittstelleneinrichtung wird bevorzugt eine Funkschnittstelle
verwendet. Diese kann z.B. als im Computer fest eingebaute Bluetooth
Schnittstelle realisiert sein, oder als Zusatzgerät in Form
eines Adapters der an die USB-Schnittstelle
des Computers angeschlossen ist. Bluetooth ist ein Quasi-Standard nicht
nur für
Mobiltelefone, sondern auch für
PDAs und Organizer. Mit einer Bluetooth-Schnittstelle ist ein Kurzstrecken-Datenfunk,
je nach Leistungsklasse, von etwa 10 cm, etwa 10 Meter, oder mit
speziellen Varianten bis zu etwa 100 m möglich.
-
Da
bei einer Bluetooth Schnittstelle ein Abhören und eine Manipulation des
Datenstroms, wenn überhaupt,
insbesondere bei den zwei unteren Leistungsklassen nur aus unmittelbarer
Nähe möglich ist, kann
diese Form der drahtlosen Übermittlung
der Authentifizierungsdaten als beschränkt sicher eingestuft werden.
Um die Sicherheit zu erhöhen
ist in einer bevorzugten Ausführungsform
der Erfindung eine verschlüsselte
Datenübertragung
vorgesehen. Günstig ist
hierbei, dass bei einer Bluetooth-Funkübertragung die Authentifizierungsdaten
z.B. mit einem bis zu 128 Bit langen Schlüssel chiffriert werden können. Zudem kann
ein asymmetrisches Schlüsselverfahren
eingesetzt werden. Dadurch ist eine Manipulation des Datenstroms
weitgehend ausgeschlossen, zumal die Reichweite ohnedies auf eine
vorgegebene Grenze festgelegt ist.
-
Um
die Sicherheit bei der Übertragung
des Passwortes noch weiter zu erhöhen ist vorgesehen, dass in
Abhängigkeit
einer, dem Computer zugeordneten Sicherheitsklasse der Nutzer vor
der Übermittlung
des Passwortes zur Eingabe eines PIN gefordert wird. Die Sicherheitsklasse
ergibt sich aus der Bluetooth Kommunikation. Bevorzugt wird hierbei
ein PIN verwendet, der den Nutzer aus der Verwendung des mobilen,
informationsverarbeitenden Gerätes
bereits vertraut ist. Dadurch braucht sich der Nutzer nicht eine
Vielzahl von unterschiedlichen Zugangsberechtigungen merken.
-
Eine
spezielle Ausführungsvariante
des erfindungsgemäßen Verfahrens
zeichnet sich dadurch aus, dass der Computer durch den Empfang eines Passwortes
an der Bluetooth-Schnittstelle aus einem Sleep-Modus, in welchem
die Energieaufnahme des Computers auf einen minimalen Wert eingestellt
ist, in einen normalen Betriebszustand hochgefahren wird. Dadurch
entfällt
das Einschalten des Gerätes.
-
In
einer weiteren Ausgestaltung der Erfindung enthält der Informationsträger des
mobilen, informationstragenden und -verarbeitenden Gerätes neben
den enthaltenen Daten zur Authentifizierung des Nutzers gegenüber dem
Computer nicht nur das für
die Firmware erforderliche BIOS-Passwort, sondern auch die in weiterer
Folge beim Hochfahren des Betriebssystems erforderliche Eingabe
der Benutzerkennung (User Account) sowie das persönliche Passwort
für das
Betriebssystem. Dadurch ist ein komfortabler Zugang auch zum Betriebssystem
und somit auch zu weiteren Sicherheitseinrichtungen, wie beispielsweise
Bildschirmschonern gewährleistet.
-
In
einer Variante der Erfindung ist der Computer mit einem Chipkartenlesegerät verbunden
und die Firmware so eingerichtet, dass das Passwort alternativ über die
Bloetooth-Schnittstelle
oder über das
Einlegen einer Chipkarte in das Lesegerät eingegeben werden kann.
-
Kurzbeschreibung
der Zeichnung
-
Zur
weiteren Erläuterung
der Erfindung wird auf die Zeichnungen Bezug genommen, in denen
an Hand eines Ausführungsbeispiels
weitere vorteilhafte Ausgestaltungen und Einzelheiten der Erfindung
zu entnehmen sind. Es zeigen:
-
1 eine
schematische Darstellung eines Ausführungsbeispiels der Erfindung,
bei dem Daten, die einen Nut zer gegenüber einem Computer identifizieren,
und die in einer modifizierten SIM-Karte eines Mobiltelefons gespeichert
sind, über
eine leitungsungebundene Übertragungsstrecke
an einen Computer übermittelt
werden;
-
2 ein
Blockschaltbild der erfindungsgemäß modifizierten SIM-Karte des
Mobiltelefons, mit einem ersten Speicherbereich, in welchem Daten
zur Authentifizierung des Nutzers gegenüber dem Mobiltelefon gespeichert
sind und mit einem zweiten Speicherbereich, in welchem Daten zur
Authentifizierung des Nutzers gegenüber dem Computer gespeichert
sind.
-
Ausführung der
Erfindung
-
In 1 ist
ein Computer 1 mit üblichen
Bedieneinrichtungen wie Tastatur 9, Bildschirm 10 und einer
Zeigevorrichtung, ausgeführt
als Trackball 11, zu sehen.
-
Der
Computer 1 verfügt über eine
Universial Serial Bus (USB) -Schnittstelle 8. Die USB-Schnittstelle 8 dient
zum Anschluss eines Adapters 2, im Ausführungsbeispiel eine Bluetooth-Funkschnittstelle.
Die Bluetooth-Funkschnittstelle weist einen Erfassungsbereich E
auf, in welchem sich ein Mobiltelefon 4, das ebenfalls
mit einer entsprechenden Bluetooth-Funkschnittstelle 7 ausgerüstet ist,
befindet. Die Bluetooth-Adresse
des Computers 1 ist am Handy 4 als bekanntes Bluetooth-
Gerät konfiguriert.
Der Erfassungsbereich einer Bluetooth Schnittstelle beträgt üblicherweise
etwa 10 m. Je nach Leistungsklasse kann auch eine Reichweite von
etwa 10 cm bzw. etwa 100 m erreicht werden.
-
Das
Mobiltelefon 4 besitzt ein Identifikations Modul, die SIM-Karte 5 (SIM-Subscriber
Identity Modul). Auf der SIM-Karte
sind – wie
bislang auch – die nutzerspezifischen
Daten, wie die Kundennummer des Nutzers gespeichert, wodurch sich der
Nutzer des Mobiltelefons 4 gegenüber dem Netz identifiziert. Ebenso
ist auf der SIM-Karte der kryptographische Algorithmus für die Authentisierung
und Nutzdatenverschlüsselung
implementiert.
-
Gemäß der Erfindung
ist die SIM-Karte nun so ausgebildet, dass sie auch als Informationsträger für den Zugangscode
zu einem Computer verwendet wird. Das heißt, im Speicher 10 (2)
der SIM-Karte 5 sind neben den oben genannten Zugangsinformationen
und Funktionalitäten
für das
Mobilfunknetz auch Authentifizierungsdaten, wie das Boot- Passwort
für den
Zugang zur Firmware zu einem Computer abgelegt. Diese modifizierte
SIM-Karte wird in Verbindung mit am Handy 4 vorhandenen
der Funktionalität
der leitungsungebundenen, kryptographischen Datenübertragung
beim Hochfahren des Computers verwendet.
-
Im
Einzelnen erfolgt der Zugang zur Firmware des Computers nun so,
dass nach dem Einschalten des Computers 1 zunächst das
Boot-Programm in üblicher
Weise startet, an einer definierten Stelle stoppt und auf die korrekte
Eingabe des Boot-Passwortes
wartet. Im Unterschied zum Stand der Technik ist aber die Firmware
des Computers 1 so eingerichtet, dass diese Eingabe nicht
von der Tastatur 9 erwartet wird, sondern es wird zusätzlich die
Schnittstelleneinrichtung (Adapter 2 in USB-Port 8)
abgefragt. Damit ist die umständliche
Eingabe des Passwortes über
die Tastatur 9 des Computers 1 durch ein drahtloses Übertragungsverfahren
ersetzt.
-
Stimmt
das BIOS-Passwort an der Schnittstelleneinrichtung mit dem vom BIOS
erwarteten Zugangscode überein,
dann lädt
die Firmware das auf dem Computer installierte Betriebssystem in
den Arbeitsspeicher und startet es.
-
Unterscheidet
sich das an der Schnittstelleneinrichtung bereitgestellte BIOS-Passwort
vom Zugangscode der Boot-Software,
so stockt der Hochlauf an dieser Stelle und der Zugang zu Ressourcen auf
den Computer ist gesperrt.
-
Die
Bluetooth-Schnittstelle kann vorteilhaft so eingerichtet sein, dass
nach dem Herstellen des Übertragungskanals
die an der Kommunikation beteiligten Geräte identifiziert und einer
Sicherheitsklasse zugeordnet werden. In Abhängigkeit dieser Sicherheitsklasse,
entscheidet die Funkschnittstelle, ob das BIOS-Passwort automatisch übermittelt
wird, oder von der Eingabe eines PIN an der Tastatur 6 am Mobiltelefon 4 abhängig gemacht
wird.
-
Bei
Systemen mit geringeren sicherheitstechnischen Anforderungen wird
das BIOS-Passwort automatisch vom Mobiltelefon 4 an den
Computer 1 übermittelt
und von der Schnittstelle 8 eingelesen, so dass die bislang
erforderliche manuelle Eingabe des BIOS-Passwortes vollständig wegfällt. Der
Zugang zur Firmware des Computers setzt also die bloße Anwesenheit
des Nutzermobiltelefons voraus. Für einen Computer, der zu Hause
benutzt wird, ist dieser Zugang besonders komfortabel.
-
Wenn
eine höhere
Sicherheit gefordert wird, wird der Benutzer zur Eingabe eines PIN
aufgefordert, den er entweder an der Tastatur 6 des Mobiltelefons 4 oder
an der Tastatur 9 des Computers eingibt. Der PIN ist vorteilhaft
der PIN für
den Zugang zum Mobiltelefon 4. Dies bedeutet, dass auch
im vorliegenden Fall erhöhter
Sicherheitsanforderungen der Nutzer nicht das BIOS-Passwort auswendig
wissen muss, sondern nur den Zugangscode zu seinem Mobiltelefon,
der ihm aus der Nutzung des Mobiltelefons vertraut ist.
-
Das
Boot-Programm ist üblicherweise
auf einem Flash-ROM auf dem Motherboard des Computers untergebracht.
Das Boot-Programm
ist nicht Teil des Betriebssystems, kann mit Betriebssystemen unterschiedlicher
Hersteller zusammenarbeiten und unterschiedlich konfiguriert werden.
So kann beispielsweise in den sogenannten Powermanagement-Einstellungen
die Art und Weise justiert werden, wie sich der PC bei längerer Wartezeit
verhält.
Der Computer kann bis zum völligen
Still stand deaktiviert werden. Festplatten können heruntergefahren und der
Monitor ausgestalten werden. So lässt sich in einer BIOS-Konfiguration
ein eingeschalteter Computer vor der Eingabe eines BIOS-Passwortes
in einen so-genannten Sleep-Modus -bringen, in welchem er nur geringe
Leistung aufnimmt. In diesem Betriebszustand verharrt der Computer
bis er durch ein entsprechendes Signal aufgeweckt wird. Dieses Aufwecken
kann so erfolgen, dass das Mobiltelefon 4 in den Erfassungsbereich
der Schnittstelleneinrichtung gebracht und das BIOS-Passwort übertragen
wird. Der Adapter 2 der Bluetooth-Schnittstelle am USB-Port 8 ist
gemäß der Erfindung
so eingerichtet, dass er ein Interrupt-Signal erzeugt. Die Firmware
(BIOS) erfasst dieses Interrupt-Signal und setzt den Hochlaufvorgang
fort. In der Folge wird der Computer aus dem Ruhezustand aufgeweckt
und das System erwartet in üblicher
Weise an einer bestimmten Stelle des Boot-Programms ein BIOS-Passwort.
Dieses wird in der oben beschriebenen Weise über Bluetooth übermittelt
und von der Firmware ausgewertet. Da das BIOS-Programm nicht Teil
des Betriebssystems ist, erfordert die Implementierung der Erfindung
keine Anpassung des Betriebssystems.
-
In 2 ist
die erfindungsgemäß modifizierte
SIM-Karte 5 als Blockschaltbild näher gezeigt. Die SIM-Karte 5 weist
einen Systembus 14 auf, der einen Prozessor 12,
eine Ein-Ausgabeeinheit 11,
einen Controller 13 und den Speicher 10 verbindet.
Der Speicher 10 beinhaltet verschiedene flüchtige (RAM) und
nichtflüchtige
Speicher (ROM, EPROM, EPROM) und ist im zweiten Speicherbereich 8 und 9 gegliedert.
Im ersten Speicherbereich 8 werden – wie bisher auch – jene Daten
gespeichert und verwaltet, durch die sich der Nutzer gegenüber dem
Mobiltelefon 4 und dem Netzbetreiber des Mobilfunknetzes
als berechtigt ausweist. In einem zweiten Speicherbereich 9 sind
jene Authentifizierungsdaten abgelegt, die den Nutzer gegenüber dem
Computer als berechtigten Nutzer ausweisen.
-
Selbstverständlich kann
die leitungsungebundene Schnittstelleneinrichtung auch als Infrarot-Schnittstelle
ausgebildet sein.
-
Der
Begriff Computer steht synonym für
einen PC, einen Laptop oder eine andere stationäre datenverarbeitende Einrichtung.
Das erfindungsgemäße Zugangskontrollsystem
kann auch für
andere Zugangssysteme, wie beispielsweise Parkplatzschranken oder
Türöffner eingesetzt
werden. In diesem Fall kann das mobile Gerät ein entsprechend ausgestattetes
Fahrzeug sein.
-
Wie
bereits eingangs dargestellt, erfasst der Begriff "mobiles, informationstragendes
und -verarbeitendes Gerät" Geräte unterschiedlicher
Ausführung,
wie beispielsweise PDAs und Organizer, aber auch Fahrzeuge verschiedenster
Art. Entscheidend im Sinne der Erfindung ist lediglich, dass der
Informationsträger
eines derartigen Gerätes
sowohl zum Speichern und Verwalten von Daten verwendet wird, durch
die sich ein Nutzer gegenüber
diesem Gerät als
berechtigt ausweist, als auch zum Speichern und Verwalten einer
Zugangsinformation, durch die sich der Nutzer gegenüber der
Firmware bzw. dem Betriebssystem eines Computers authentifiziert.