-
Die
Erfindung betrifft gemäß Patentanspruch
1 ein selbstzielsuchendes Datenübertragungssystem und
gemäß Patentanspruch
4 ein Verfahren hierzu.
-
Verfahren
zur Identifizierung, auch Authentisierung genannt, zur Verschlüsselung
von Nachrichten auf Telekommunikationsverbindungen, zur Verhinderung
von unbefugtem Zugriff und zur Sicherung relevanter Daten der Transaktionen
für den
Nachweis, dass eine Transaktion von einer bestimmten Person oder
einem informationstechnischen Gerät zu einer bestimmten Zeit
veranlasst wurde, sind seit langem bekannt. Um ein gesichertes Verfahren
zur Übertragung
von Nachrichten über
Telekommunikationsverbindungen, zu schaffen, bei dem sowohl missbräuchliche
Nutzung durch zur Täuschung übermittelter
Daten verhindert wird, als auch Beweissicherung durch Nachweis der übermittelten
Daten möglich
ist, ist aus der
DE
43 35 161 A1 ein Verfahren bekannt, bei dem zur Authentisierung
von über
eine Kommunikationsleitung, wie Telefonnetz; miteinander in Verbindung
tretenden Kommunikationspartnern, eine als Telesecurity Service
Center bezeichnete Steuer- und Überwachungseinheit über das
Telefonnetz zwischengeschaltet ist, welches zur flexibleren Anwendung
zusätzlich
an verschiedene Datennetze angeschlossen werden kann. Das Telesecurity
Service Center dient zunächst
zur Durchführung
der Authentisierung zu jedem Kommunikationspartner und zur Versicherung
der Authentisierung gegenüber
dem anderen Kommunikationspartner und anschließend zur Herstellung der Verbindung
zwischen den Kommunikationspartnern. Dabei ist für die Authentisierung sowohl
jeder Kommunikationspartner als auch das Telesecurity Service Center
je mit einem Private Key und einem Public Key ausgestattet, wovon
der Public Key jedes Kommunikationspartners dem Telesecurity Service
Center und umgekehrt auch der Public Key des Telesecurity Service
Center jedem Kommunikationspartner bekannt ist. Der Public Key wird bei
der Authentisierung dergestalt verwendet, dass der Kommunikationspartner
seine Nachrichten mit dem Public Key des Telesecurity Service Center
verschlüsselt
an das Telesecurity Service Center sendet und die vom Telesecurity
Service Center kommenden Nachrichten, die mit seinem eigenen Public
Key vom Telesecurity Service Center verschlüsselt wurden, mit seinem Private
Key und mit Hilfe einer Telesecurity Identity Card entschlüsselt bekommt.
Das Telesecurity Service Center ist ebenfalls mit einem Private
Key und einem Public Key ausgestattet und anwählbar und es werden die vom
Telesecurity Service Center empfangenen, vom aussendenden Kommunikationspartner
chiffrierten Informationen/Signale dechiffriert und für die Weitergabe
an den anzuwählenden/zu
verbindenden Kommunikationspartner chiffriert. Das Telesecurity
Service Center enthält ferner
eine Datei mit Identifikationsparametern der Kommunikationspartner,
einen Empfangs- und einen Sendemodul sowie einen Authentisierungsmodul
zum Steuern der Authentisierung mit Hilfe der Identifikationsparameter
der Datei. Im einzelnen ist jedem Kommunikationspartner ein Telekommunikationsgerät zugeordnet, das
in Verbindung mit einem Authentisierungs- und Chiffriergerät zum Herstellen
einer authentisierbaren Verbindung und Übermitteln chiffrierter Informationen
zwischen den Kommunikationspartnern und dem Telesecurity Service
Center benutzbar ist. Ferner ist jedem Kommunikationspartner die
Telesecurity Identity Card, enthaltend den Private Key des jeweiligen
Kommunikationspartners in einem Chip, zugeordnet, wobei das Authentisierungs-
und Chiffriergerät
des jeweiligen Kommunikationspartners mittels seiner zugehörigen Telesecurity
Identity Card aktivierbar und die Verbindung zwischen Kommunikationspartner
und Telesecurity Service Center mittels der Erkennungsprozedur zwischen
Telesecurity Service Center und dem Authentisierungs- und Chiffriergerät einschließlich der
Telesecurity Idendity Card des Kommunikationspartner herstellbar
ist. Die zu überprüfende Verbindung
ist mittels Telefonnetz und Telekommunikationsgerät zwischen
zwei Kommunikationspartnern nach Aktivierung sowohl des anwählenden
als auch des angewählten
Kommunikationspartners mittels der Telesecurity Idendity Card und
des Authentisierungs- und Chiffriergerätes über das Telesecurity Service
Center herstellbar. Das vorstehende beschriebene teilnehmerseitige
Endgerät
kann als akustisch gekoppeltes oder infrarotgekoppeltes Authentisierungs-
und Chiffriergerät
in Verbindung mit einem normalen Telefon, einem Komforttelefon,
einem Datenendgerät
oder als Personal Computer PC oder sonstiges informationstechnisches
Gerät,
ausgestattet mit einem Chipkarten-Lesegerät ausgestaltet werden. Das
Telesecurity Service Center kann in verschiedenen Subsysteme, insbesondere
Function Sharing oder Zuständigkeit
für bestimmte
Daten bzw. Anwendungen oder Anwender; aufgeteilt sein. Beispielsweise
können
regionale Telesecurity Service Center eingerichtet werden, die miteinander
kommunizieren, z. B. zum Austausch von Daten für die Authentisierung eines
Kunden, der sich außerhalb
seines "üblichen" Bereiches aufhält.
-
Wenn
eine Schlüsselinformation,
die an einer zentralen Stelle gespeichert ist, in einen Datenträger an einer
entfernten Stelle eingeschrieben werden soll, muss verhindert werden,
dass die Übertragung
der Schlüsselinformation
zur entfernten Stelle unberechtigt abgehört werden kann, da sonst ein
Betrüger
die unberechtigt abgehörte
Schlüsselinformation
in eigene Datenträger
einschreiben kann und damit sich beispielsweise unberechtigt Zugang
zu gesicherten Räumen
oder Bereichen verschaffen kann. Dies wird bei einem aus der
DE 196 33 802 A1 bekannten
Verfahren dadurch verhindert, dass der Schlüssel eine Ident-Information
gespeichert enthält,
die, von außerhalb
nicht auslesbar und somit geheim ist, und dass die Schlüsselinformation
in der zentralen Stelle mit dieser Ident-Information verschlüsselt und
die verschlüsselte
Information zum Datenträger
an der Ausgabestelle übertragen
wird. Im Datenträger
wird diese verschlüsselte
Schlüsselinformation
wieder entschlüsselt
und gespeichert. Dieses Verfahren hat den Vorteil, dass die Datenträger frei
versandt werden können,
da sie keine Schlüsselinformation
enthalten, so dass ein eventueller Dieb die Datenträger nicht
benutzen kann. Das unberechtigte Abhören einer übertragenen verschlüsselten
Schlüsselinformation
ist für
einen Betrüger
ebenfalls nicht von Nutzen, wenn er nicht einen Datenträger mit
der richtigen Ident-Information hat, in die er die verschlüsselte Schlüsselinformation
einschreiben könnte.
Weiterhin enthält
jeder Datenträger
eine weitere, offene Ident-Information, die auslesbar ist. Damit
ist es dann möglich,
dass jeder Datenträger
eine individuelle, von anderen Datenträgern unterschiedliche Ident-Information gespeichert
enthält,
indem die Zuordnung zwischen der weiteren, offenen Ident-Information
und der geheimen Ident-Information an der zentralen Stelle gespeichert
wird. Mit dieser Maßnahme
kann eine verschlüsselte Schlüsselinformation
ausschließlich nur
von einem, dem richtigen Datenträger
richtig entschlüsselt
werden. Um die Zuordnungen von geheimer Ident-Information und Schlüsselinformation
sowie der weiteren, offenen Ident-Information leichter organisieren zu
können,
ist es zweckmäßig, wenn
in den Datenträger
an einer weiteren Stelle die Ident-Information und die offene Ident-Information
eingeschrieben wird, bevor der Datenträger zur entfernten Stelle transportiert
wird. Diese weitere Stelle muss dann über eine geschützte Informationsübertragungsverbindung
mit der zentralen Stelle gekoppelt sein, damit dort die gleichen
Informationen eingeschrieben werden können. Die weitere Stelle kann
auch mit der zentralen Stelle identisch sein. Die zum Datenträger zu übertragende
Schlüsselinformation ist
wenigstens einem individuellen Objekt, beispielsweise einem Kraftfahrzeug,
eindeutig zugeordnet. Wenn ein Datenträger einem solchen individuellen
Objekt zugeordnet werden soll, muss die dieses Objekt kennzeichnende
Objekt-Information zur zentralen Stelle übertragen werden. Um auch diesen Übertragungsweg
zu sichern, ist es zweckmäßig, die
Objekt-Information vor der Übertragung
zur zentralen Stelle mit der weiteren, offenen Ident-Information
zu verschlüsseln.
Für die
Verschlüsselung
von Daten kann als einfache Verschlüsselung und Entschlüsselung
der Schlüsselinformation
und der Objekt-Information eine Exclusiv-Oder-Verknüpfung mit
der Ident-Information verwendet werden. Zusätzlich oder auch anstelle der
Verschlüsselung
mittels Exclusiv-Oder-Verknüpfung kann
für die
Verschlüsselung
der Objekt-Information vor der Übertragung
von der entfernten Stelle zur zentralen Stelle noch ein unsymmetrisches
Verschlüsselungsverfahren,
beispielsweise nach dem RSA-Verfahren
mit einem festen Schlüssel,
eingesetzt werden. Dadurch ist die Information auf der Leitung in
einer Weise verschlüsselt
ist, die eine Entschlüsselung
nur durch übertragene
Informationen nicht möglich
macht.
-
In
Weiterbildung hierzu ist aus der WO 99/35781 A2 ein Verfahren zur
Generierung asymmetrischer Kryptoschlüssel in Anwenderhand bekannt.
Der Anwender erhält
dabei von einer zentraler Stelle, als Trust Center bezeichnet, ein
bereits generiertes personalisiertes und zertifiziertes Signaturschlüsselpaar,
z. B. einen privaten Signaturschlüssel und einen öffentlichen
Signaturschlüssel,
sowie die Komponenten zur Erzeugung eines oder mehrerer Verschlüsselungsschlüsselpaare.
Der Anwender erzeugt nun irgendwann selbst ein Verschlüsselungsschlüsselpaar,
z. B. einen privaten Verschlüsselungsschlüssel, signiert
den öffentlichen
Teil dieses Paares, den öffentlichen
Verschlüsselungsschlüssel, mit
dem zuvor überlassenen
geheimen Signaturschlüssel
und übermittelt
das Ergebnis an das Trust Center. Dort ist das Ergebnis über eine
Prüfung
mit Hilfe des zertifizierten öffentlichen
Teiles des Signaturschlüsselpaares
des Anwenders zweifelsfrei und zuverlässig als dem Anwender gehörend zuzuordnen.
Das Trust Center erzeugt daraufhin ein neues Zertifikat, in dem
entweder sowohl der öffentliche
Teil des Signaturschlüsselpaares
als auch der des Verschlüsselungsschlüsselpaares,
oder nur der des Verschlüsselungsschlüsselpaares
des Anwenders enthalten sind. Dieses Zertifikat wird im nächsten Schritt
mit dem öffentlichen
Teil des Verschlüsselungsschlüsselpaares
des Anwenders verschlüsselt
und dann übermittelt.
Damit ist sichergestellt, dass nur der berechtigte Anwender das
Zertifikat entschlüsseln
und, bei hardwarebasierten Systemen, in seine korrespondierende
Hardware herunterladen kann. Will der Anwender zusätzlich auch
noch das Signaturschlüsselpaar
in seinem Verantwortungsbereich erzeugen, also auch den geheimen
Teil eines Signaturschlüsselpaares,
nämlich
einen zweiten privaten Signaturschlüssel, vor dem Zugriff des Trust
Center schützen,
so werden dem Anwender nur noch zusätzliche Komponenten zur Erzeugung
eines oder mehrerer Signaturschlüsselpaare überlassen.
Soweit der Anwender überhaupt
keine Kommunikation mehr mit einem Trust Center wünscht, kann
er auch dies mit dem beschriebenen Verfahren ohne Verlust an Zuverlässigkeit
tun, indem er bei jeder bilateralen Kommunikation mit einem anderen
Anwender, dem Kommunikationspartner zunächst den öffentlichen Teil seines selbst
generierten Schlüsselpaares
mit dem geheimen Teil des zuvor vom Trust Center überlassenen,
personalisierten und zertifizierten Schlüsselpaares signiert und zustellt.
Der empfangende Kommunikationspartner kann die korrekte Zuordnung dieser
Information hinsichtlich des öffentlichen
Teils des vom sendenden Anwenders selbst generierten Schlüsselpaares
durch eine Verifikation der Signatur zuverlässig prüfen und gegebenenfalls die
Echtheit und Gültigkeit
des dieser Signatur zugrunde liegenden Zertifikates im Trust Center überprüfen.
-
In
der Praxis ist der zunehmende Einsatz von so genannten EC-Karten
zu beobachten. Beispielsweise ist aus der
DE 196 41 776 C2 ein computerprogrammgesteuertes
Verfahren zum Aufbau einer Wähl-Leitungsverbindung
und zur Datenübertragung
zwischen einem Chipkarten-Terminal
und einer zentralen Datenverarbeitungsanlage bekannt, welches ein
hohes Maß für einen
gesicherten Aufbau der Leitungsverbindung und für eine gesicherte Datenübertragung
gewährleistet
und einen unbefugten ("Hacker")-Zugriff auf die Leitungsverbindung und
oder die Daten erschwert bzw. ausschließt. Nach dem bekannten Z-Modem-Übertragungsprotokoll
offenbart der durch eine telefonische Anwahl adressierte Empfänger seine
Bereitschaft zum Empfang einer Datei durch Aussenden eines bestimmten
Bereitschaftssignales. Dieses Signal kann eine Einstiegsmöglichkeit für den Hacker
in das System bieten. Zur Vermeidung dieser Möglichkeit wird nach Anwahl
der Datenverarbeitungsanlage kein Bereitschaftssignal zum Empfang
einer Datei ausgesandt, so dass einem Hacker somit die Empfangsbereitschaft
der Datenverarbeitungsanlage verborgen bleibt. Zur Herstellung eines gesicherten
Verbindungsaufbaues zwischen Terminal und Datenverarbeitungsanlage
dient eine gegenseitige Authentisierung mittels unverschlüsselter
und verschlüsselter
Zufallszahlen. Nach Festlegung auf den Verschlüsselungsalgorithmus wird das
dafür geeignete
elektronische Bauteil an dafür
vorhergesehener Stelle des (intelligenten) Terminals und/oder der
Datenverarbeitungsanlage eingesetzt. Sobald dieses Verschlüsselungsbauteil
programmgesteuert mit einer unverschlüsselten Information beaufschlagt
wird, wandelt es diese automatisch entsprechend dem Verschlüsselungsalgorithmus
in eine verschlüsselte
Information um. Weiterhin wird durch eine Abfrage sichergestellt,
ob das Terminal schon mit einem sogenannten Terminal-Identifikations-Code
versehen wurde, durch den das Terminal eineindeutig hinsichtlich
Gerätetyp
und Konfiguration gekennzeichnet ist. Zur Vermeidung des Aufwandes,
der erforderlich wäre,
wenn ein Wartungstechniker beim Fehlen des Terminal-Identifikations-Code
am Orte des Terminals erscheinen müsste, um dort in Abstimmung
mit der Datenverarbeitungsanlage einen neuen Terminal-Identifikations-Code
vorzugeben und ihn in das Terminal einzuspeichern, erfolgt die Vergabe
und das Einschreiben des neuen Terminal-Identifikations-Code in das Chipkarten-Terminal
automatisch programmgesteuert. Nach Empfang des gesendeten, beispielsweise
3×8 Bytes
langen Datensatzes durch die Datenverarbeitungsanlage wird geprüft, ob zwischen
dem Senden der Zufallszahl und dem Empfang der im 3×8 Byte
langen Datensatz enthaltenen verschlüsselten Zufallszahl durch die
Datenverarbeitungsanlage mehr als 3 sec vergangen sind. Diese kurze
Zeit bietet eine gewisse Sicherheit, um Hackern den Einstieg in
das System zu verwehren oder zu erschweren, da nicht damit zu rechnen
ist, dass ein Hacker in dieser kurzen Zeit den "richtigen" Weg findet. Sollten mehr als 3 sec
vergangen sein, erfolgt Abbruch, andernfalls wird das Verfahren
fortgeführt,
wobei die vorgeschriebene Satzlänge
geprüft
wird. Liegt diese nicht vor, erfolgt Abbruch, ansonsten wird der
Verfahrensablauf fortgesetzt, indem geprüft wird, ob die zwischengespeicherte
Zufallszahl A der im empfangenen Datensatz enthaltenen verschlüsselten
Zufallszahl entspricht. nachfolgend erfolgt die Abfrage, ob das
Kennzeichen für
ein Fehlen des Terminal-Identifikations-Codes vorliegt. Sollte dies
der Fall sein, erfolgt die Vergabe eines neuen Terminal-Identifikations-Codes aus einem Vorrat zulässiger Werte.
Bei Zulässigkeit
wird die vom Terminal mit dem 3×8
Byte langen Datensatz empfangene Zufallszahl verschlüsselt (dies
erfolgt in Analogie zu der Verschlüsselung der Zufallszahl auf
der Terminalseite). Der empfangene zulässige Terminal-Identifikations-Code bzw. der neu
vergebene Terminal-Identifikations-Code werden zwischengespeichert
und es erfolgt die Übertragung
des neu vergebenen Terminal-Identifikations-Code und der verschlüsselten
Zufallszahl an das Terminal. Dort wird geprüft, ob die zwischengespeicherte Zufallszahl
und die durch Übertragung
empfangene verschlüsselte
Zufallszahl auch einander entsprechen. Sofern im Terminal bisher
noch kein Terminal-Identifikations-Code eingespeichert war, wird der von
der Datenverarbeitungsanlage neu vergebenen Terminal-Identifikations-Codes
eingespeichert. Dieses Einspeichern (hier "Einbrennen" genannt) geschieht programmgesteuert
(automatisch), wobei als Speicher ein so genanntes EEPROM-Element
oder ein vergleichbares Bauteil vorgesehen ist, das auch spätere Änderungen
der eingespeicherten Information zulässt. Unter Bezugnahme auf terminalspezifische
Daten wird dann eine so genannte Bezahl-Datei erstellt und zwischengespeichert,
in der vom Terminal erfasste Bezahldaten mit chipkarten- und händlerspezifischen
Daten zusammengestellt werden. Diese Bezahl-Datei wird vom Terminal
an die Datenverarbeitungsanlage übertragen.
Dort wird die empfangene Bezahl-Datei zwischengespeichert und geprüft, ob diese
doppelt angeliefert wurde. Weiterhin werden die in der Bezahl-Datei
enthaltenen Daten zur Bankverbindung des Händlers mit denen in der Datenverarbeitungsanlage gespeicherten
Bankdaten des Händlers
verglichen. Bei Übereinstimmung
der Bankverbindungsdaten wird geprüft, ob die in der empfangenen
Bezahl-Datei enthaltenen Terminal-Identifikations-Code bzw. neu
vergebenen Terminal-Identifikations-Codes
mit den zwischengespeicherten Werten übereinstimmen. Danach wird
eine Quittung erstellt, in der die Ergebnisse der Prüfung der
Bezahl-Datei zusammengestellt sind, welche an das Terminal gesendet
wird. Dort erfolgt die Verarbeitung der Quittungsinformation, wobei
für den
Fall, dass die Bezahl-Datei für
eine Weiterverarbeitung durch die Datenverarbeitungsanlage akzeptiert
werden kann, eine Löschung
der zwischengespeicherten Bezahl-Datei erfolgt. Sollte sich bei
der Überprüfung herausstellen,
dass die Quittungsinformation eine Weiterverarbeitung der Bezahl-Datei
nicht zulässt,
erfolgt Abbruch, ggf. mit Fehlermeldung, oder einer Wiederholung
bestimmter Vorgänge.
Die zwischengespeicherte Bezahl-Datei wird deshalb zunächst nicht
gelöscht.
-
Eine
gleichartige Ausgestaltung ist aus der WO 00/72501 A1 bekannt. Die
Teilnehmer verfügen
wiederum über
eine persönliche
Kennung, einen symmetrischen Kryptoalgorithmus mit individuellem
Schlüssel und
einen asymmetrischen Kryptoalgorithmus mit öffentlichem Schlüssel. Zum
Verfahren gehören
weiter eine vertrauenswürdige
Instanz, die einen symmetrischen Kryptoalgorithmus mit Schlüssel besitzt,
und ein autonomes, automatisch funktionierendes Modul mit einer
Schlüsselbank
für Duplikate
der Teilnehmerschlüssel,
welcher der asymmetrische Kryptoalgorithmus mit dem zum öffentlichen
Schlüsel
gehörende
private Schlüssel und
zusätzlich
der symmetrische Kryptoalgorithmus mit dem Schlüssel vorgeschaltet sind. Zunächst wird
der Schlüssel
eines Teilnehmers, nachdem letzterer sich vor der vertrauenswürdigen Instanz
ausgewiesen hat (beispielsweise indem der Teilnehmer persönlich oder über einen
Bevollmächtigten
seine Identität gegenüber der
vertrauenswürdigen
Instanz, wie etwa Notare, unanfechtbar nachgewiesen hat), zusammen
mit seiner Kennung in verschlüsselter
Form in die Schlüsselbank
des Moduls eingebracht. Dabei besitzt jeder Teilnehmer seine eigene
individuelle Kennung K, wobei für
den Versand ihrer Texte die Teilnehmer außer ihrer eigenen Kennung diejenigen
ihrer Korrespondenten benötigen.
Hierzu kann jeder Teilnehmer allgemein zugängliche oder bereits vorhandene
spezifische Informationen über
die Korrespondenten (z.B. deren Namen, Geburtsort, Geburtstag, postalische
oder Email-Adressen, Telefonnummern) heranziehen, um aus ihnen mit
einem bestimmten Algorithmus die individuelle Kennung abzuleiten.
Danach kann jeder Teilnehmer über
das Modul verschlüsselte
Texte an jeden anderen Teilnehmer versenden und sich aus dem Modul
eine Signatur für
von ihm verfasste Texte besorgen, aus der seine Verfasserschaft
und die Unversehrtheit der Textes mit Hilfe des öffentlichen Schlüssels zweifelsfrei
nachweisbar ist. Durch Hintereinanderschalten zweier vertrauenswürdiger Instanzen,
einer dreifachen Verschlüsselung
außerhalb
des Moduls und der entsprechenden dreifachen Entschlüsselung
innerhalb von wird ausgeschlossen, dass ein Teilnehmer in betrügerischem
Einverständnis
mit einer Instanz ohne Identitätsnachweis
einen usurpierten Kennwert in die Schlüsselbank mit einem von ihm selbst
erzeugten Schlüssel
einschleust. Wenn ein zukünftiger
Teilnehmer den Nachweis seiner Identität und Kennung nicht persönlich oder über einen
Bevollmächtigten
bei der vertrauenswürdigen
Instanz führen
möchte,
kann er sich einen Einmalschlüssel
von der vertrauenswürdigen
Instanz, zusammen mit der Verschlüsselungssoftware auf sicherem
Weg zustellen lassen, mit dem öffentlichen
Schlüssel
seine Kennung und den öffentlichen
Schlüssel
verschlüsseln
und dann an die vertrauenswürdige
Instanz zum Entschlüsseln
und Einbringen in die Schlüsselbank
des Moduls zurücksenden.
Ein sicherer Weg wäre
beispielsweise ein an den zukünftigen
Teilnehmer gerichtetes postalisches Einschreiben von der vertrauenswürdigen Instanz
oder eine verschlüsselte
Sendung über
einen bereits am Verfahren teilnehmenden Vertrauten des zukünftigen
Teilnehmers. Die Textübermittlung
und das Besorgen der Signatur können
online und offline erfolgen, z.B. via das Telefonnetz oder im E-Mail-Betrieb.
Das autonome Modul lässt
sich vollautomatisch, das heißt,
ohne Personal betreiben. Unkorrektes Verhalten einer vertrauenswürdigen Instanz
lässt sich
durch Einschalten der zweiten unabhängigen Instanz mit Sicherheit
aufdecken.
-
Wie
die vorstehende Würdigung
des Standes der Technik aufzeigt, sind für unterschiedliche Anwendungsfälle entsprechend
ausgestaltete verfahren mit asymmetrischer Verschlüsselung
und mit Zertifizierung und Schlüsselverwaltung
durch eine zentrale Instanz oder symmetrischer Verschlüsselung
ohne Zertifizierungsinstanz und/oder Zwischenschaltung einer vertrauenswürdigen Instanz
bekannt. Die Kommunikation zwischen Anwender und zentraler Stelle
(Trust Center) erfolgt anhand von spezifizierten Protokollen, wobei
in der Regel spezielle Hard- und Softwarekomponenenten mit einer
Reihe, von teueren, für
die Kommunikation speziell ausgelegten Komponenten erforderlich
sind. Deshalb ist der Aufwand für
die zuverlässige
Zuordnung der eingesetzten Signatur- und Verschlüsselungsschlüssel zum
berechtigten Inhaber und die Bestätigung der Zuordnung sehr hoch.
Zuwenig Beachtung findet die Ausgestaltung einer sicheren Übertragung
einer großen Anzahl
Dateien von Absendestationen zu einer oder mehreren Empfangsstationen,
wobei die Bedienung der Absendestationen für den Benutzer sehr einfach
und ohne EDV-Kenntnisse durchführbar
ist. Deshalb fehlen in der Praxis Verfahren oder Datenübertragungssysteme
mit Authentisierung, bei welchen trotz einfacher Bedienung die Anwendungen
variabel gestaltbar sind und daher keine Beschränkungen hinsichtlich Einsatzmöglichkeit
und Benutzerkreis vorliegen und bei welchen eine individuelle, insbesondere
automatisch anpassbare, interaktive Kommunikation sicherstellt wird.
Besonders bedeutsam ist dies, weil die Datenverarbeitungsgeräte und Zubehör herstellende
Industrie, seit vielen Jahren als äußerst fortschrittliche, entwicklungsfreudige
Industrie anzusehen ist, die schnell Verbesserungen und Vereinfachungen
aufgreifen und in die Tat umsetzen.
-
Der
Erfindung liegt gegenüber
den bekannten Datenübertragungssystemen
und Verfahren hierzu die Aufgabe zugrunde, diese derart weiterzuentwickeln,
dass eine sichere Datenübertragung
auch einem ungeübten
Benutzer ermöglicht
und Benutzerfehler verhindert werden.
-
Diese
Aufgabe wird erfindungsgemäß bei einem
Datenübertragungssystem
zum sicheren Datenaustausch zwischen einer Vielzahl von Information-Clients
und mindestens einem Information-Server über ein heterogenes Datenübertragungsnetz
durch Versenden der Nutzdaten mit Zieladressdaten in einen verschlüsselten
Versandcontainer nach Patentanspruch 1 gelöst, welches aufweist:
- – ein
einziges mit dem Datenübertragungsnetz
verbundenes Adressinformationszentrum, welches Adressen von Empfängern der
von den Information-Clients gesendeten Daten, Zieladressen der Information-Server,
Datenschutz- und Archivstatusinformationen von Information-Clients
und Nutzern vergibt und/oder verwaltet,
so dass, wenn
die Zieladressdaten dem Information-Client nicht bekannt ist, dieser
dann das Adressinformationszentrum auffordert, die entsprechenden
Daten zu übergeben
und diese Daten zusammen mit den Legitimationsdaten des Nutzers
verschlüsselt
in einem Speicher des Information-Clients abgespeichert werden.
-
Das
erfindungsgemäße Datenübertragungssystem
weist den Vorteil auf, dass infolge der flexiblen Kommunikations-Mechanismen
der einfache Einsatz in vielen Anwendungsfällen und Systemarchitekturen
auf überraschend
einfache und kostengünstige
Art und Weise ermöglicht
wird. Hinzukommt, dass auch ein ungeübter Benutzer den Information-Client
bedienen kann, ohne dass die Gefahr eines unbefugten Datenzugriffs oder
eines Benutzerfehlers besteht.
-
Weiterhin
wird diese Aufgabe erfindungsgemäß bei einem
Verfahren zum sicheren Datenaustausch in einem Datenübertragungssystem
mit einer Vielzahl von Information-Clients, mindestens einem Information-Server
und einem Adressinformationszentrum, welche über ein heterogenes Datenübertragungsnetz
in Verbindung miteinander bringbar sind, nach Patentanspruch 4 gelöst, bei
dem:
- – das
Adressinformationszentrum die Adressen von Empfängern der von den Information-Clients
gesendeten Daten, Zieladressen der Information-Server, Datenschutz-
und Archivstatusinformationen von Information-Clients und Nutzern
vergibt und/oder verwaltet, und
- – wenn
die Zieladressdaten dem Information-Client nicht bekannt ist, dieser
dann das Adressinformationszentrum auffordert, die entsprechenden
Daten zu übergeben,
diese Daten zusammen mit den Legitimationsdaten des Nutzers verschlüsselt in
einem Speicher des Information-Clients abspeichert und diese zum Versenden
der Nutzdaten mit Zieladressdaten in einen verschlüsselten
Versandcontainer benutzt.
-
Das
erfindungsgemäße Verfahren
weist den Vorteil auf, dass die Sicherheitsbedingungen in jeder
Hinsicht eingehalten sind, so dass – unabhängig von einem speziellen Anwendungsfall – eine hochsichere,
selbstzielsuchende Datenübertragung
in heterogenen Netzen für
EDV-unerfahrene
Nutzer erfolgen kann.
-
In
Weiterbildung der Erfindung werden, gemäß Patentanspruch 2, die Daten
zusammen mit den Legitimationsdaten für eine vorgebbare Zeitdauer
verschlüsselt
im Speicher des Information-Clients abgespeichert.
-
Diese
Weiterbildung der Erfindung weist durch die permanente Verbindung
von Nutzdaten mit der Zieladresse den Vorteil auf, dass ein Nutzer
bei jeder Nutzdatenübertragung
die vorherige Zieladresse automatisch angeboten bekommt.
-
Vorzugsweise
ist, gemäß Patentanspruch
3, mindestens ein mit dem Datenübertragungsnetz
verbundener Havarierechner vorgesehen, welcher über dieses mit den Information-Clients,
dem Information-Server und dem Adressinformationszentrum verbindbar
ist.
-
Durch
den Havarierechner ist jederzeit eine hochsichere, selbstzielsuchende
Datenübertragung
möglich,
ohne dass der vorübergehende
Ausfall eines Information-Servers gleichzeitig eine erneute Datenübertragung
durch den Nutzer bedeutet.
-
Bei
einer bevorzugten Ausgestaltung der Erfindung mit mindestens einem
mit dem Datenübertragungsnetz
verbundenen Havarierechner werden, gemäß Patentanspruch 6, wenn der
Information-Client nach mehrmaliger Abfrage zur Versendung des verschlüsselten
Versandcontainers den Information-Server nicht erreichen kann, der
Information-Client den verschlüsselten
Versandcontainer an den Havarierechner sendet und diese Übertragung
in einem Log-Protokoll abspeichert, wobei der Havarierechner in
vorgebbaren Zeitabständen
den Information-Server auf Empfangsbereitschaft abfragt, wobei falls
in einem festlegbaren Zeitfenster immer noch kein Kontakt zum Information-Server
aufgebaut werden kann, der Havarierechner das Adressinformationszentrum
abfragt, ob eine neue Zieladresse des Information-Servers vorhanden
ist und für
diesen Fall der verschlüsselte
Versandcontainer dann an diese neue Zieladresse übermittelt und dies im Log-Protokoll vermerkt
wird und wobei falls keine neue Zieladresse des Information-Servers
vorhanden sein sollte; der verschlüsselte Versandcontainer in
einem Havariearchivierungsserver endarchiviert wird.
-
Diese
Ausgestaltung der Erfindung weist den Vorteil auf, dass das Havariemanagement
auf überraschend
einfache Art und Weise keine Änderung
der Dateninhalte, sondern nur einen Datenaustausch bzw. komplettes
Löschen
nach dem Herunterladen ermöglicht.
-
Vorzugsweise
nimmt, gemäß Patentanspruch
7, zu einem beliebigen oder vorgebbaren Zeitpunkt oder Intervall
der Information-Client automatisch Kontakt mit dem Information-Server
auf, überträgt den verschlüsselten
Versandcontainer, speichert die Übertragung
in einem Log-Protokoll und löscht
nach erfolgreicher Übertragung
den Versandcontainer und wobei der Information-Server die Versandcontainer
entgegennimmt, entschlüsselt
und dekomprimiert und diese anschließend in der angegebenen Zieldirectory
entsprechend der Zielkennung und/oder einer Firmenkennung abspeichert.
-
Durch
die Möglichkeit
der gleichzeitigen Benennung von zwei Information-Servern im Versandcontainer
können
auf überraschend
einfache und kostengünstige
Art und Weise die Bearbeitung und Archivierung an zwei unterschiedliche
Standorte gleichzeitig vorgenommen werden.
-
Bei
einer bevorzugten Weiterbildung der Erfindung mit einer Hotline,
gemäß Patentanspruch
8, informiert die Hotline nach mehrmaligem Auftreten eines Ausfalls
des Information-Servers den Eigentümer über den Ausfall seines Information-Servers.
-
Diese
Weiterbildung der Erfindung weist durch die Hotline den Vorteil
auf, dass eine ständige
Netzüberwachung
mit automatischer Information im Falle eines Netzfehlers gewährleistet
ist.
-
Weitere
Vorteile und Einzelheiten lassen sich der nachfolgenden Beschreibung
einer bevorzugten Ausführungsform
der Erfindung unter Bezugnahme auf die Zeichnung entnehmen. In der
Zeichnung zeigt:
-
1 das
Blockschaltbild einer bevorzugten Ausführungsform der Erfindung,
-
2 den
Ablaufplan für
den Information-Client IC,
-
3 den
Ablaufplan für
den Information-Server IS,
-
4 den
Ablaufplan für
das Adressinformationszentrum T und
-
5 den
Ablaufplan für
den Havarierechner H.
-
1 zeigt
eine bevorzugte Ausführungsform
des erfindungsgemäßen Datenübertragungssystems zum
sicheren Datenaustausch zwischen einer Vielzahl von Information-Clients
IC und mindestens einem Information-Server IS über ein heterogenes Datenübertragungsnetz.
Das Datenübertragungssystem
ermöglicht die
sichere Übertragung
einer großen
Anzahl Dateien von Information-Clients IC (Absendestationen) zu
einem oder mehreren Information-Server IS (Empfangsstationen). Die
Bedienung ist für
den Benutzer sehr einfach und ohne EDV-Kenntnisse durchführbar.
-
Erfindungsgemäß ist ein
Adressinformationszentrum T (Transportadressen Namen Informations
Center TaNIC) vorgesehen, welches Adressen von Empfängern der
Daten, Zieladressen (URL) des Empfangrechners und von mindestens
einem Havarierechner H (in 1 sind zwei
Havarierechner dargestellt), Datenschutz- und Archivstatusinformationen
vergibt und verwaltet. Das Adressinformationszentrum T (TaNIC-Server)
ist ein hochverfügbarer
netzverbundener Rechner, der an die Information-Clients IC die Zieladressdaten entsprechend
einer Ziel- oder Firmenkennung übermittelt.
Durch die sehr geringe Datenmenge können bei Bedarf auch viele
100.000 Adressdaten stündlich
bereitgestellt werden.
-
Ein
Nutzer meldet sich mit seiner Adresse, Firma/Behörde, Land, Postleitzahl, gewünschtes
Ziel-/Firmenkürzel,
Zieladresse (URL), Archivstatus und Administratorpasswort beim Adressinformationszentrum
T an. Beispielsweise werden im Block E1 die Firmenkennung mit Legitimations-
und Zieladressdaten in die temporäre Datenbank DB eingespeichert,
im Block E2 die Firmenkennung mit Firmen- und Zieladressen im Nutzdatencontainer
als Fileheader gespeichert und im Block E3 der Nutzdatencontainer
zur Ziel- und/oder
Archiv- oder Havarie-Server-Adresse (vorzugsweise URL bzw. entsprechend
dem jeweiligen Datenübertragungsprotokoll) übertragen
(siehe 1).
-
Nach
Prüfung
der Daten wird durch das Adressinformationszentrum T eine bestätigte Ziel-/Firmenkennung
mit folgendem Aufbau übergeben:
-
Die
Zeichen des Ziel-/Firmenkürzels
und der Prüfsumme
werden bei der Anzeige im Information-Client IC durch '*' ersetzt.
-
Neben
den obigen Daten werden dem Information-Client IC noch die Havarie-,
Log-, TaNIC-Neu-URL's
und das Archivstatus Flag übergeben.
-
Der
Information-Client IC (Absendestation) ist ein netzverbundener Rechner,
der die gemeinsame Speicherung der Legitimationsdaten des Absenders
mit den Ziel-adressdaten übernimmt.
Dies hat den Vorteil, dass ein Nutzer bei der nächsten Nutzdatenübertragung
die vorherige Zieladresse automatisch angeboten bekommt.
-
Er
braucht sich nur zu legitimieren (z.B. Geld- oder Fahrerkarte) und
es werden seine Nutzdaten im verschlüsselten Versandcontainer (Datencontainer)
nach Bestätigung
sofort mit der Zieladresse verbunden und in die Versanddirectory
gespeichert.
-
Die
Legitimationsdaten können über einen
Kartenleser oder durch Eingabe einer Legitimation mit PIN-Nummer
bereitgestellt werden. Die Nutzdaten können über USB-Stick, Download-Key,
Diskette, CD-ROM, DVD oder sonstige Datenträger bereitgestellt werden.
Die Absendestation IC (Information-Client) nimmt also die Legitimation
des Absenders (Legitimation-, Pass-, Geld-, Fahrerkarte oder Freischaltcode)
und die Zieladresskennung entgegen.
-
Wenn
die Zieladresskennung dem Information-Client IC nicht bekannt ist,
dann fordert er den TaNIC-Server T auf, die entsprechenden Daten
zu übergeben.
Diese Daten werden mit den Legitimationsdaten gemeinsam temporär (z.B.
6 Monate) verschlüsselt
auf dem Information-Client IC abgespeichert und es werden die zu
versendenden Nutzdaten mit den Zieladressdaten in dem verschlüsselten
Versandcontainer gemeinsam abgelegt. Damit sind die Nutzdaten permanent
mit der Zieladresse verbunden.
-
Der
Information-Client IC überträgt die Datencontainer
nach der Verschlüsselung
und Komprimierung zeitgesteuert automatisch. Insbesondere zu einem
beliebigen vorher festgelegtem Zeitpunkt oder Intervall nimmt der
Information-Client IC automatisch Kontakt mit dem Information-Server
IS auf und überträgt die Daten
mit einer generischen Übertragungsverschlüsselung
und verlustfreien Komprimierung. Generisch kann in diesem Zusammenhang
bedeuten, dass unterschiedliche Schlüssel in Hin- und Rückrichtung
verwendet werden und/oder dass von Datenübertragung zu Datenübertragung
ein neuer Schlüssel
benutzt wird. Nach erfolgreicher Übertragung und Eintragung in
das Log-Protokoll werden die Datencontainer automatisch gelöscht.
-
Der
Zielrechner IS (Information-Server) ist ein netzverbundener Rechner
und kann sich in einer Zentrale oder in Betriebsstätten befinden.
Es können
auch zwei Zielrechner gleichzeitig im Datencontainer benannt worden
sein. 1 zeigt als IS den Firmen-Archiv-Server, den Rechenzentrum-Archiv-Server
oder den Log-Server auf. Dies hat den Vorteil, dass Bewegungsdaten
(z.B. Geldüberweisungen
oder Fahrerkarten-downloads in die Bearbeitung und zur Archivierung
an zwei unterschiedliche Standorte gleichzeitig übergeben werden können.
-
Der
Information-Server IS nimmt die Datencontainer entgegen, entschlüsselt und
dekomprimiert sie, liest die Zieladresse aus und speichert sie anschließend in
der angegebenen Zieldirectory (Zielkennung, Firmenkennung).
-
Wenn
der Information-Client IC nach mehrmaliger Abfrage den Zielrechner
IS (Information-Server) nicht erreichen kann, so sendet er den Datencontainer
an einen der Havarierechner H. Die Übertragung wird im Log-Protokoll
gespeichert. Der Havarieserver H fragt in größeren Zeitabständen (z.B.
6 h oder 12 h) den Zielrechner IS auf Empfangsbereitschaft ab. Sollte
nach einem festgelegten Zeitfenster (z.B. 24 h) immer noch kein
Kontakt aufgebaut werden können,
fragt der Havarierechner H den TaNIC-Server T ab, ob eine neue Zieladresse
(URL) vorhanden ist.
-
Wenn
ja, dann wird der Datencontainer an diese Zieladresse übermittelt
und im Log-Protokoll vermerkt. Sollte keine neue Zieladresse vorhanden
sein, dann wird der Datencontainer in einem Havariearchivierungsserver
endarchiviert (siehe auch 1 Bearbeitungsarchiv
BA).
-
Die
Hotline informiert nach mehrmaligem Auftreten eines Ausfalls des
Zielrechners IS den Eigentümer über den
Ausfall seines Information-Servers IS. Dies kann beispielsweise
mittels eines E-Mail Servers E-S erfolgen
-
2 bis 5 zeigen
die Ablaufpläne
für den
Information-Client IC, für
den Information-Server IS, für
das Adressinformationszentrum T und für den Havarierechner H; dabei
bedeutet in den Programmablaufplänen
S Start und E Ende.
-
Der
Nutzer gibt am Information-Client IC im Block B1-IC die Firmenkennung
ein (siehe 2). Dann wird im Block B2-IC
geprüft,
ob die Firmenkennung und der Name als DB-Index vorhanden sind oder
nicht.
-
Falls
diese nicht Daten vorhanden sind, wird im Block B3-IC der Name von
der Legitimationscard gelesen. Im Block B4-IC werden dann Firmen-
und Zieladressen mit Firmenkennung vom TaNIC-Server T geholt und
anschließend
im Block B5-IC die Firmenkennung und der Name als DB-Index sowie
im Block B6-IC die Firmen- und Zieladressen zur Firmenkennung in
DB im Information-Client IC abgespeichert.
-
Im
Block B7-IC werden nun die Firmenkennung mit Firmen- und Zieladressen
im Nutzdatencontainer als Fileheader gespeichert und im Block B8-IC
werden dann der Nutzdatencontainer zur Ziel- und/oder Archiv- oder
Havarie-Server-Adresse
(URL) übertragen.
-
Im
Block B1-IS ist der Empfang des Datencontainers aus dem Web mit
Status und Firmenkennung im Information-Server IS dargestellt (siehe 3).
-
Danach
wird im Block B2-IS überprüft, ob die
Firmen- und Sicherheitskennung mit Zieladresse vorhanden ist oder
nicht.
-
Falls
diese nicht Daten vorhanden sind, wird im Block B3-IS der Firmenkennungs-/Sicherheitsstatus gesetzt.
Im Block B4-IS erfolgt die Ablage im Bearbeitungs-Archiv, das Versenden
der Empfänger
E-Mail und das Eintragen des Log-Status und im Block B5-IS werden
dann Status- und Log-Informationen
zum Information-Client IC übertragen.
-
Falls
diese Daten vorhanden sind, wird diese im Block B6-IS in der vorgeschriebenen
Archiv- oder Zieldirectory abgespeichert und Log-/Empfangsstatus gesetzt. Schließlich erfolgt
im Block B7-IS dann wieder die Rückübertragung
von Status- und Log-Informationen zum Information-Client IC.
-
4 zeigt
den Ablaufplan für
das Adressinformationszentrum T. Im Block B1-T erhält dieses
die Anfrage aus dem Web mit Firmenkennung. Im Block B2-T wird nun überprüft, ob die
Firmenkennung in der Server-DB vorhanden ist oder nicht.
-
Falls
diese nicht Daten vorhanden sind, wird im Block B3-T der Firmenkennungsstatus „Firma
nicht im DB" festgestellt.
im Block B4-T werden dann „Abfragestatus
Firma neu" mit Firmenkennung
in der TaNiC-Server-DB eingetragen. Schließlich erfolgt im Block B5-T
die Übertragung
von Status und Abfrage zum Information-Client IC.
-
Falls
dagegen diese Daten vorhanden sind, werden im Block B6-T Firmen-,
Ziel-, Archiv- und Havarie-Server-Adressen (URL) sowie Status zum
Information-Client IC übertragen.
-
Schließlich zeigt 5 den
Ablaufplan für
den Havarierechner H. Im Block B1-H erhält der Havarierechner H den
Datencontainer aus dem Web mit Status und Firmenkennung. Im Block
B2-H wird nun überprüft, ob die
Firmen- und Sicherheitskennung mit Zieladresse vorhanden ist oder
nicht.
-
Falls
diese nicht Daten vorhanden sind, werden im Block B3-H der Firmenkennungs-
und Sicherheitsstatus gesetzt. Im Block B4-H erfolgt die Ablage
im Bearbeitungs-Archiv, das Versenden der Empfänger E-Mail und das Eintragen
des Log-Status und im Block B5-H werden dann Status- und Log-Informationen an
den Log-Server/Information-Server IS übertragen.
-
Falls
dagegen diese Daten vorhanden sind, erfolgt im Block B6-H ein Abspeichern
in der vorgeschriebenen Havariedirectory und der Log-/Empfangsstatus
wird gesetzt. Danach werden im Block B7-H die Status-, Log- und Archivinformationen
an den Information-Client IC zurück übertragen.
-
Weiterhin
erfolgt, falls die Daten vorhanden sind, im Block B8-H eine Überprüfung, ob
Firmenkennung und Zieladress-Server vorhanden sind oder nicht. Falls
nicht, werden im Block B3-H der Firmenkennungs- und Sicherheitsstatus
gesetzt und falls vorhanden, erfolgt im Block B9-H eine zeit- oder Intervallgesteuerte Übertragung
des Datencontainers zur Zieladresse und der Log-/Empfangsstatus
wird gesetzt. Danach wird im Block B10-H überprüft, ob die Übertragung zum Zieladress-Server
IS erfolgreich war oder nicht.
-
Falls
die Übertragung
zum Zieladress-Server IS nicht erfolgreich war, wird die Überprüfung im
Block B8-H fortgesetzt im anderen Fall wird im Block B11-H der Datencontainer
aus der Havariedirectory gelöscht und
im Block B12-H erfolgt schließlich
die Übertragung
von Status-, Log- und Archivinformationen an den Log-Server.
-
Nachfolgend
werden einige Anwendungsbeispiele für das erfindungsgemäße Datenübertragungssystem
mit einem sicheren Datenaustausch zwischen einer Vielzahl von Information-Clients
IC und mindestens einem Information-Server IS näher beschrieben und erläutert.
-
Beim
Anwendungsfall Banken und Sparkassen befindet sich in den dezentralen
Filialen jeweils ein Information-Client IC mit angeschlossener Giro-Box.
Der Kunde legitimiert sich durch Einstecken seiner Geldkarte in
die Giro-Box, stempelt die Ruckseite seines Überweisungsauftrages und scannt
gleichzeitig die Vorder- und Rückseite
seines Überweisungsauftrages.
-
Da
alle Kunden des Kreditinstitutes mit der gleichen Adresse, nämlich dem
Information-Server IS in der Zahlungsverkehrszentrale verbunden
werden, braucht die Firmenkennung nicht eingegeben werden. Nach der
Kontrolle der Pflichtfelder hinsichtlich Vollständigkeit und richtiger Prüfkennziffern,
kann die Übertragung des Überweisungsauftrages
oder eines Checks sofort ausgelöst
werden.
-
Der
Beleg kann an den Kunden zurückgegeben
werden. Es entfallen das Einsammeln und der Transport der Belege
und die Überweisungen
kommen kontinuierlich in der Zentrale/Information-Server IS an.
-
Beim
Anwendungsfall Speditionen befinden sich die Information-Clients
IC in Tankstellen, Werkstätten,
Fuhrparks oder bei Dienstleistern (DEKRA, TÜF, ...). Der Fahrer liest aus
den digitalen Fahrzeugeinheiten (Tachographen) die Daten des Massenspeichers
als Download-Container in einen Downloadkey aus.
-
Mit
seiner Fahrercard legitimiert sich der Fahrer am Information-Client
IC und gibt mit der Eingabe seiner Firmenkennung die Zieladresse
für die
Datenübertragung
ein. Er legt fest, ob die Fahrercard- oder Tachographen-Daten übertragen
werden sollen. Die Zieladressdaten werden dem Download-Container als Fileheader
vorangestellt. Damit wird ein professionelles Datenmanagement mit
Herunterladen von Massenspeicherdaten und Fahrerkartendaten mit
einem Downloadkey (USB 2.0-Schnittstelle für schnellen Datentransfer),
Visualisierung von Fahreraktivitäten
im Diagrammscheibenlayout, Graphische Darstellung des Geschwindigkeitsverlaufs
und Tabellarische Darstellung der Stand- und Fahrzeiten des Fahrzeuges
ermöglicht.
Der Information-Client IC übermittelt
dann selbständig
die jeweiligen Daten zu beliebiger Zeit und/oder in einem beliebigen
Intervall als Container-Daten zu dem Information-Server IS mit seiner
Zieladresse.
-
Sollte
die Zieladresse nicht erreichbar sein, so werden die Container-Daten
in einem (der zwei) Havarie-Server H zwischengespeichert. Die Havarie-Server
H lesen in Intervallen. die Fileheader der Container-Daten aus und übertragen
die Container- Daten selbständig.
Sollte nach einer festgelegten Anzahl von Fehlversuchen die Zieladresse
des Information-Server IS nicht erreichbar sein, so wird der Download-Container
archiviert und die Firma per E-mail automatisch über die Fehlermeldungen benachrichtigt
(siehe 1 E-Mail Servers E-S).
-
In
ländlichen
Gegenden kann beim Anwendungsfall Kaufhallen oder Postfiliale ein
Information-Client IC auch mehrere Funktionen gleichzeitig übernehmen.
Es kann auf sichere Weise Geld überwiesen
werden, oder ein Fahrer kann beispielsweise alle 28 Tage seine Download-Container
an seine Spedition senden. Es können
vertrauliche Formulare durch ältere
Bürger
zu Hause ausgefüllt
und nach dem automatischen Einscannen an die Gemeinden oder Städte übermittelt
werden. Der Personalausweis mit ICAO-Kennung oder die Geldkarte
genügt
als Legitimation. Da die Daten beispielsweise 128 Bit verschlüsselt gespeichert
und übertragen
werden, ist ein Missbrauch ausgeschlossen. Nachdem die Daten zum
Zielrechner IS erfolgreich übertragen
wurden, werden sie automatisch auf dem Information-Client IC gelöscht.
-
Für den Anwendungsfall
Behörden
befindet sich beispielsweise in Fahrzeugen der Polizei oder der BAG
auf den Notebooks jeweils ein Information-Client IC mit UMTS- oder
GPRS-Anschluss. Die ausgelesene Download-Container und zugefügten Verstoßauswertungen
werden in die Sendedireetory kopiert. Der Information-Client IC überträgt die Daten
direkt zum Information-Server IS, nämlich in die Polizeidienststelle,
Bußgeldstelle
oder in die Zentrale der BAG nach Köln. Der Beamte braucht nur
die entsprechende Firmenkennung eingeben oder wenn bereits vorhanden
nur die Zieladresse bestätigen
und die Daten werden automatisch verschlüsselt an die Zieladresse versendet.
Die übertragenen
Daten haben nur ein Bruchteil der Datenmenge von einer E-mail.
-
Das
erfindungsgemäße Datenübertragungssystem
weist den Vorteil auf, dass keine Viren eingeschleust werden können und
dass Hackerangriffe ausgeschlossen sind, da die Information-Server
IS nur Daten von signierten Information-Clients IC abnehmen. Das Übertragungsverfahren
ist auch für
einen EDV-unerfahrenen Beamten wesentlich einfacher, sicherer und
schneller als alle bisher bekannten Übertragungstechnologien. Der
einfache Einsatz des erfindungsgemäßen Datenübertragungssystem/Verfahren
ist infolge der flexiblen Kommunikations-Mechanismen für viele
Anwendungen und Systemarchitekturen auf überraschend einfache und kostengünstige Art
und Weise möglich.
Insbesondere durch Nutzung standardisierter Funk/Netzwerkkomponenten
mit flächendeckender
Verfügbarkeit
für die
Datenkommunikation ist dieses unabhängig von anderen technischen
Gegebenheiten universell einsetzbar und kann für den jeweiligen Anwendungsfall
automatisch umkonfiguriert werden. Weitere Vorteile sind die einfache
Anpassung an die jeweiligen Gegebenheiten und Einbindung ohne Änderung
der Erfindung bzw. des Grundkonzepts, ein fließender Übergang zwischen stationärer Anwendung
und mobiler Anwendung und eine Mehrdienstfähigkeit. Information-Clients
IC können sich
somit in Bankfilialen, Firmen, Betriebshöfen, Behörden, Werkstätten, Dienstleister
oder auf mobilen Standorten (GPRS, UMTS, ...) befinden. Die Datenübermittlung
kann drahtgebunden (beispielsweise über ein Intranet, LAN-Verbindung,
Internet (Signalisierung z.B. TCP/IP-Protokolle oder WindowsNT-,
Linux-, Unix-Rechnernetzprotokolle)
und/oder eine Telefonverbindung) und via Funklösungen erfolgen, beispielsweise über eine
RS232-Schnittstelle, WLAN, Bluetooth, GSM oder ISM (z.B. SMS- oder
WAP-Handyprotokolle). Die Funktionen Autorisierung/Legitimation,
Echtheits-, Vollständigkeits-,
Korrektheitskontrolle, Dokumentierung und/oder Registrierung der
Datenübertragung
können
sowohl im Information-Client IC als auch im Information-Server IS
(oder auch nur in einem vom beiden) ausgeführt werden.
-
In
Weiterbildung der Erfindung kann zur Ver- und Entschlüsselung
der Daten ein dynamischer Schlüssel
und/oder ein „verschlüsselter
Versandcontainer" benutzt
werden. Vorzugsweise sind die Daten zu einer Data Unit gruppiert
(gemäß Ihrer
Bestimmung) und mehrere Data Units können wiederum zu einer Container Unit
gruppiert werden. Um die Sicherheit und Vertraulichkeit dieser Data
Units/Container Units zu gewährleisten,
werden diese verschlüsselt
abgelegt/übertragen.
Die Reichweite der Verschlüsselung
kann sich dabei auf Data Units oder ganze Container Units (enthält unterschiedliche
Datenbereiche mit unterschiedlicher Bedeutung) erstrecken. Dem zuletzt
genannten Verfahren steht dem Vorteil der schnellen Verschlüsselung
der Nachteil, dass die komplette Container Unit entschlüsselt werden
muss, auch wenn nur bestimmte Datenbereiche benötigt werden. Als Verschlüsselungsverfahren
können
Methoden mit „starren" Schlüsseln oder
Methoden mit „rollierenden" Schlüsseln zum
Einsatz kommen. Unter „rollierende" Schlüssel ist
zu verstehen, dass diese für
eine bestimmte Zeit gelten und dann wieder neu ausgehandelt werden,
wobei die Gegenseite immer einen Schritt langsamer sein muss. Weiterhin
können
in Weiterbildung der Erfindung die Information-Clients IC einen Wechsel
der Anwendung selbstständig
erkennen und nach Maßgabe
dieser sich „konfigurieren", ohne dass die Gefahr
eines unbefugten Datenzugriffs oder eines Benutzerfehlers besteht.
In Weiterbildung der Erfindung können
generische Schlüssel
durch Erfassung von Messdaten und/oder kombiniert mit Positionen
und Zeiten, insbesondere Verknüpfung
mit Zeitstempeln interne Zeit und/oder externe Zeit (GPS, DCF77
Empfang), durch Verknüpfung
mit biometrischen Daten der Person, durch Verknüpfung mit Bilddaten erzeugt
werden.
