DE102006037493A1 - Tragbarer Datenträger - Google Patents
Tragbarer Datenträger Download PDFInfo
- Publication number
- DE102006037493A1 DE102006037493A1 DE200610037493 DE102006037493A DE102006037493A1 DE 102006037493 A1 DE102006037493 A1 DE 102006037493A1 DE 200610037493 DE200610037493 DE 200610037493 DE 102006037493 A DE102006037493 A DE 102006037493A DE 102006037493 A1 DE102006037493 A1 DE 102006037493A1
- Authority
- DE
- Germany
- Prior art keywords
- data carrier
- portable data
- execution
- operating system
- authentication status
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
Die
Erfindung betrifft einen tragbaren Datenträger (1), der eine Prozessoreinheit
(2) zur Ausführung
von Programmcode und ein Betriebssystem zur quasi-parallelen Ausführung mehrerer
Prozesse oder Ausführungspfade
(8) mit Hilfe der Prozessoreinheit (2) aufweist. Das Betriebssystem
weist einen Betriebssystem-Kern (12) auf, der den Zugriff auf Ressourcen
(11) des tragbaren Datenträgers
(1) steuert. Jedem Prozess oder Ausführungspfad (8) ist ein Authentisierungsstatus
(9) zugeordnet, der auf einen Authentisierungsvorgang zurückgeht und
an den während
der Ausführung
des Prozesses oder Ausführungspfads
(8) verfügbare
Berechtigungen (10) für
den Zugriff auf die Ressourcen (11) geknüpft sind. Die zum jeweiligen
Authentisierungsstatus (9) gehörigen Berechtigungen
(10) werden vom Betriebssystem-Kern (12) verwaltet.
Description
- Die Erfindung betrifft einen tragbaren Datenträger. Weiterhin betrifft die Erfindung ein Betriebssystem für einen tragbaren Datenträger und ein Verfahren zum Betreiben eines tragbaren Datenträgers.
- Tragbare Datenträger, die insbesondere als Chipkarten ausgebildet sein können, werden beispielsweise im Bereich des Zahlungsverkehrs, im Mobilfunkbereich, als Ausweisdokumente, als sonstige Sicherheitsdatenträger usw. eingesetzt. Je nach Anwendungsfall können tragbare Datenträger sehr einfach ausgebildet sein und lediglich über einen Speicher verfügen oder als ein vergleichsweise komplexes System mit einem Mikroprozessor, der ein Betriebssystem aufweist. In vielen Fällen ist das Betriebssystem so ausgebildet, dass gleichzeitig nur ein einziger Prozess aktiv sein kann. Derartige Betriebssysteme werden als „single-threaded" bezeichnet. Darüber hinaus ist es auch bekannt, mehrere logische Kanäle vorzusehen, die eine quasi-parallele Ausführung mehrerer Prozesse ermöglichen. Insbesondere bei sicherheitsrelevanten Anwendungen besteht dabei das Problem, dass gewährleistet sein muss, dass es bei einer Ausführung der Prozesse nicht zu einer Überschreitung der jeweiligen Berechtigungen kommt.
- Aus der
EP 1 528 451 A1 ist ein Verfahren zur Erzwingung einer Benutzer-Validierung bei einer Smart Card bekannt, bei dem ein Applet für die Durchführung einer Benutzer-Authentisierung vorgesehen ist, welche zur Ausführung eines sicherheitsrelevanten Applets benötigt wird. - Aus der
WO 2004/109754 A2 ist eine Multi-Modus-Architektur für einen Halbleiter-Schaltkreis bekannt, wobei der Zugang zu Ressourcen wie beispielsweise Speicher abhängig vom jeweiligen Modus begrenzt wird. Im Falle eines unberechtigten Zugriffsversuchs wird ein Interrupt generiert. Ebenso ist es auch möglich einen Interrupt zu generieren, falls es erforderlich ist, eine Ressource zu nutzen, die im derzeitigen Modus nicht verfügbar ist, insbesondere wenn in einem Benutzer-Modus auf eine Ressource eines Kernel-Modus zugegriffen werden soll. - Es ist Aufgabe der Erfindung, bei einem tragbaren Datenträger die quasi-parallele Ausführung von Prozessen oder Ausführungspfaden unter Beachtung der jeweiligen Berechtigung auf möglichst optimale Weise zu ermöglichen.
- Diese Aufgabe wird durch einen tragbaren Datenträger gemäß Anspruch 1, ein Betriebssystem gemäß Anspruch 14 und ein Verfahren zum Betreiben eines tragbaren Datenträgers gemäß Anspruch 15 gelöst.
- Der erfindungsgemäße tragbare Datenträger weist eine Prozessoreinheit zur Ausführung von Programmcode und ein Betriebssystem zur quasi-parallelen Ausführung mehrerer Prozesse oder Ausführungspfade mit Hilfe der Prozessoreinheit auf. Das Betriebssystem weist einen Betriebssystem-Kern auf, der den Zugriff auf Ressourcen des tragbaren Datenträgers steuert. Jedem Prozess oder Ausführungspfad ist ein Authentisierungsstatus zugeordnet, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausführungspfads verfügbare Berechtigungen für den Zugriff auf die Ressourcen geknüpft sind. Die zum jeweiligen Authentisierungsstatus gehörigen Berechtigungen werden vom Betriebssystem-Kern verwaltet.
- Die Erfindung hat den Vorteil, dass sie einen quasi-parallelen Betrieb des tragbaren Datenträgers ermöglicht und somit zu einer hohen Leistungsfähigkeit des tragbaren Datenträgers beiträgt. Dabei ist es besonders vorteilhaft, dass bei der quasi-parallelen Ausführung von Prozessen oder Ausfüh rungspfaden unberechtigte Zugriffe zuverlässig unterbunden werden können. Da lediglich der Authentisierungsstatus geprüft werden muss, kann sehr schnell festgestellt werden, ob ein Zugriff auf eine Ressource zulässig ist.
- Wenigstens einem der Prozesse oder Ausführungspfade kann nach erfolgreicher Durchführung einer Authentisierung ein Authentisierungsstatus zugeordnet werden. Dies bedeutet, dass ein hoher Sicherheitsstandard realisiert werden kann und verhindert werden kann, dass ein Authentisierungsstatus einem Prozess oder Ausführungspfad unberechtigter Weise zugeordnet wird.
- Weiterhin kann der erfindungsgemäße tragbare Datenträger so ausgebildet sein, dass wenigstens einem der Prozesse oder Ausführungspfade der Authentisierungsstatus eines anderen Prozesses oder Ausführungspfads übertragen wird. Dies ermöglicht eine sehr flexible Handhabung des Authentisierungsstatus. Insbesondere kann bei der Erzeugung eines neuen Prozesses oder Ausführungspfads der Authentisierungsstatus des erzeugenden Prozesses oder Ausführungspfads übertragen werden. Somit weist der neue Prozess oder Ausführungspfad den gleichen Authentisierungsstatus wie der erzeugende Prozess oder Ausführungspfad auf. Eine nochmalige Durchführung der Authentisierung ist nicht erforderlich. Dies vereinfacht die Vorgehensweise und spart Zeit.
- Vorzugsweise sind wenigstens einige der Prozesse oder Ausführungspfade verschiedenen Benutzern zugeordnet. Dies bedeutet, dass mehrere Benutzer gleichzeitig auf dem tragbaren Datenträger angemeldet sein können. Dabei können wenigstens zeitweise Prozesse oder Ausführungspfade, die verschiedenen Benutzern zugeordnet sind, gleichzeitig aktiv sein.
- Besonders vorteilhaft ist es, wenn wenigstens einem der Prozesse oder Ausführungspfade mehr als ein Authentisierungsstatus zugeordnet ist. Dies ermöglicht eine sehr flexible Vergabe von Berechtigungen.
- Die Zuordnung zwischen einem Prozess oder Ausführungspfad und einem Authentisierungsstatus wird vorzugsweise vom Betriebssystem-Kern verwaltet. Dies trägt zur Erzielung eines hohen Sicherheitsstandards bei. Insbesondere kann vorgesehen sein, dass vor der Freigabe eines Zugriffs auf eine Ressource der Authentisierungsstatus des Prozesses oder Ausführungspfads geprüft wird. Die Freigabe des Zugriffs auf die Ressource kann dann erfolgen, wenn an den Authentisierungsstatus des Prozesses oder Ausführungspfads die für den Zugriff auf die Ressource benötigte Berechtigung geknüpft ist.
- Der erfindungsgemäße tragbare Datenträger kann beispielsweise als ein Netz-Server betreibbar sein. Ebenso ist es auch möglich, dass der erfindungsgemäße tragbare Datenträger als ein Anwendungs-Server betreibbar ist. Vorzugsweise ist der erfindungsgemäße tragbare Datenträger als eine Chipkarte ausgebildet.
- Die Erfindung bezieht sich weiterhin auf ein Betriebssystem eines tragbaren Datenträgers, der eine Prozessoreinheit zur Ausführung von Programmcode aufweist. Das erfindungsgemäße Betriebssystem ist für eine quasi-parallele Ausführung mehrerer Prozesse oder Ausführungspfade ausgelegt und weist einen Betriebssystem-Kern auf, der den Zugriff auf Ressourcen des tragbaren Datenträgers steuert. Jedem Prozess oder Ausführungspfad ist ein Authentisierungsstatus zugeordnet, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausfüh rungspfads verfügbare Berechtigungen für den Zugriff auf die Ressourcen geknüpft sind. Die zum jeweiligen Authentisierungsstatus gehörigen Berechtigungen werden vom Betriebssystem-Kern verwaltet.
- Außerdem bezieht sich die Erfindung auf ein Verfahren zum Betreiben eines tragbaren Datenträgers, der eine Prozessoreinheit zur Ausführung von Programmcode aufweist. Beim erfindungsgemäßen Verfahren werden mehrere Prozesse oder Ausführungspfade von einem Betriebssystem des tragbaren Datenträgers quasi-parallel ausgeführt und der Zugriff auf Ressourcen des tragbaren Datenträgers von einem Betriebssystem-Kern gesteuert. Jedem Prozess oder Ausführungspfad wird ein Authentisierungsstatus zugeordnet, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausführungspfads verfügbare Berechtigungen für den Zugriff auf die Ressourcen geknüpft sind. Die zum jeweiligen Authentisierungsstatus gehörigen Berechtigungen werden vom Betriebssystem-Kern verwaltet.
- Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausführungsbeispiele erläutert.
- Es zeigen:
-
1 ein stark vereinfachtes Blockschaltbild für ein Ausführungsbeispiel eines tragbaren Datenträgers, -
2 ein Ausführungsbeispiel für die erfindungsgemäße Realisierung einer Zugriffskontrolle, -
3 eine Prinzipdarstellung für eine mögliche Architektur des tragbaren Datenträgers und -
4 ein Flussdiagramm für eine mögliche Vorgehensweise bei der Auswertung des Authentisierungsstatus. -
1 zeigt ein stark vereinfachtes Blockschaltbild für ein Ausführungsbeispiel eines tragbaren Datenträgers1 . Dabei ist als ein tragbarer Datenträger1 im Sinn der Erfindung ein Rechnersystem anzusehen, bei dem die Ressourcen, d. h. Speicherressourcen und/oder Rechenkapazität (Rechenleistung) begrenzt sind, z. B. eine Chipkarte (Smart Card, Mikroprozessor-Chipkarte) oder ein Token oder ein Chipmodul zum Einbau in eine Chipkarte oder in ein Token. Der tragbare Datenträger1 kann eine beliebige standardisierte oder nicht standardisierte Gestalt haben, beispielsweise die Gestalt einer flachen Chipkarte ohne Norm oder nach einer Norm wie z.B. ISO 7810 (z.B. ID-1, ID-00, ID-000) oder die eines volumigen Tokens. - Der tragbare Datenträger
1 weist eine Prozessoreinheit2 auf, welche die Funktionsabläufe des tragbaren Datenträgers1 steuert und auch als Central Processing Unit, abgekürzt CPU, bezeichnet wird. Weiterhin weist der tragbare Datenträger1 eine Schnittstelle3 zur Ein- und Ausgabe von Daten und einen Speicher4 auf. Beim dargestellten Ausführungsbeispiel besteht der Speicher4 aus einem Permanentspeicher5 , einem nichtflüchtigen Speicher6 und einem flüchtigen Speicher7 . Alternativ dazu ist auch ein anderer Aufbau des Speichers4 möglich. Die Prozessoreinheit2 ist mit der Schnittstelle3 , dem Permanentspeicher5 , dem nichtflüchtigen Speicher6 und dem flüchtigen Speicher7 verbunden. Die Schnittstelle3 dient der Kommunikation mit externen Geräten, die durch eine berührende Kontaktierung des tragbaren Datenträgers1 und/oder kontaktlos abgewickelt werden kann. - Im Permanentspeicher
5 sind Daten abgelegt, die während der gesamten Lebensdauer des tragbaren Datenträgers1 unverändert erhalten bleiben, beispielsweise Programme, Parameter, personenbezogene Angaben, Schlüssel usw. Insbesondere ist im Permanentspeicher5 das Betriebssystem des tragbaren Datenträgers1 gespeichert. - Der flüchtige Speicher
7 dient als Arbeitsspeicher für die Prozessoreinheit2 , so dass geheime Daten beispielsweise bei der Durchführung von Berechnungen im flüchtigen Speicher7 zwischengespeichert werden. Im flüchtigen Speicher7 bleibt der Speicherinhalt nur solange erhalten, wie der tragbare Datenträger1 mit einer Betriebsspannung versorgt wird. - Der nichtflüchtige Speicher
6 kann während der Lebensdauer des tragbaren Datenträgers1 immer wieder neu beschrieben werden. Der jeweilige Speicherinhalt bleibt auch dann erhalten, wenn der tragbare Datenträger1 nicht mit der Betriebsspannung versorgt wird. Im nichtflüchtigen Speicher6 sind beispielsweise Ergänzungen zum Betriebssystem, Anwendungssoftware, Schlüssel, personenbezogene Daten usw. abgelegt. - Der in
1 dargestellte tragbare Datenträger1 ist in der Lage, mehrere Aktionen quasi-parallel auszuführen. Dies kann im Rahmen eines Multitasking oder eines Multithreading erfolgen. Beim Multitasking sind mehrere Prozesse vorgesehen, die quasi-gleichzeitig ablaufen. Beim Multithreading wird nur ein einziger Prozess ausgeführt, der mehrere Ausführungspfade aufweist, welche quasi-parallel ausgeführt werden können. Die einzelnen Ausführungspfade werden auch als Threads bezeichnet. Auf die im folgenden beschriebene Weise wird jeweils sichergestellt, dass von den einzelnen Prozessen bzw. in den einzelnen Ausführungspfaden keine unberechtigten Zugriffe durchgeführt werden. Die folgenden Erläuterungen beziehen sich jeweils auf ein Multithreading-Betriebssystem, gelten jedoch in analoger Weise für ein Multitasking-Betriebssystem. -
2 zeigt ein Ausführungsbeispiel für die erfindungsgemäße Realisierung einer Zugriffskontrolle. - In
2 sind mehrere Ausführungspfade8 dargestellt, die von der Prozessoreinheit2 quasi-parallel ausgeführt werden können. Die folgenden Erläuterungen zu den Ausführungspfaden8 gelten in analoger Weise für verschiedene Prozesse eines Multitasking-Betriebssystems. - Jedem Ausführungspfad
8 ist je ein Authentisierungsstatus9 zugeordnet. Im einzelnen ist einem mit I bezeichneten Ausführungspfad8 ein mit x bezeichneter Authentisierungsstatus9 , einem mit II bezeichneten Ausführungspfad8 ein mit y bezeichneter Authentisierungsstatus9 und einem mit III bezeichneten Ausführungspfad8 ein mit z bezeichneter Authentisierungsstatus9 zugeordnet. Die Informationen, welchen Authentisierungsstatus9 die Ausführungspfade8 aufweisen, können beispielsweise in einem Steuerblock eines jeden Ausführungspfads8 abgelegt sein. - Der Authentisierungsstatus
9 gibt jeweils an, über welche Berechtigungen10 der Ausführungspfad8 verfügt. Gemäß der Darstellung der2 sind dem mit x bezeichneten Authentisierungsstatus9 mit A und C bezeichnete Berechtigungen10 , dem mit y bezeichneten Authentisierungsstatus9 mit F und A bezeichnete Berechtigungen10 und dem mit z bezeichneten Authentisierungsstatus9 mit H und D bezeichnete Berechtigungen10 zugeordnet. Konkrete Beispiele für einen Authentisierungsstatus9 können sein: - – Betriebssystemmanager
mit der Berechtigung
10 , Treiber im Betriebssystem des tragbaren Datenträgers1 zu laden. - – Security
Domain Manager mit der Berechtigung
10 , Rechte für das Laden von Applikationen zu vergeben. - – Load
Manager mit der Berechtigung
10 , Applikationen zu laden. - – Standard-Benutzer
mit der Berechtigung
10 , auf benutzerbezogene Daten zuzugreifen, wie beispielsweise auf ein Telefonbuch bei einem tragbaren Datenträger1 , der als ein Sicherheitsmodul für ein Mobilfunktelefon ausgebildet ist oder auf Informationen über eine Person bei einem tragbaren Datenträger1 , der als ein Ausweisdokument ausgebildet ist. - Ein Authentisierungsstatus
9 kann dadurch erlangt werden, dass eine Authentisierung durchgeführt wird. Hierzu kann beispielsweise eine persönliche Identifikationsnummer (PIN) von einem Benutzer eingegeben werden oder es kann eine Authentisierung mittels eines biometrischen Merkmals erfolgen. Ebenso ist es auch möglich, für die Authentisierung einen kryptographischen Schlüssel heranzuziehen. Der so erzeugte Authentisierungsstatus9 bleibt erhalten und kann insbesondere auch an andere Ausführungspfade8 weitergegeben werden. Insbesondere können bei einer Anwendung, die sich auf mehrere Ausführungspfade8 verteilt, alle Prozesse den Authentisierungsstatus9 des Ausführungspfads8 aufweisen, mit dem die Anwendung gestartet wurde. - Die Information über den Authentisierungsstatus
9 wird ausgewertet, wenn ein Ausführungspfad8 versucht, eine Aktion durchzuführen, für die eine Berechtigung10 benötigt wird. Eine derartige Aktion kann eine logische Operation, wie beispielsweise eine Verwendung eines kryptographischen Schlüssels, eine Installation einer Applikation oder eines Treibers oder einen Zugriff auf eine Datei, beinhalten. Ebenso kann die Aktion einen Zugriff auf Betriebsmittel, wie beispielsweise den Speicher4 , einer Kryptographie-Einrichtung, Schnittstellen3 usw. beinhalten. - Die Auswertung der Information über den Authentisierungsstatus
9 kann mittels eines Interpreters, beispielsweise einer Java Virtual Machine oder in einer nativen Laufzeitumgebung, beispielsweise einem Betriebssystem-Kern, durchgeführt werden. Die diesbezügliche Vorgehensweise wird anhand der3 und4 erläutert. -
3 zeigt eine Prinzipdarstellung für eine mögliche Architektur des tragbaren Datenträgers1 . Die als eine zentrale Scheibe dargestellte Prozessoreinheit2 ist von einer Reihe von Ressourcen11 umgeben, die als Ringsegmente dargestellt sind, welche in Umfangsrichtung nebeneinander angeordnet sind und insgesamt die Prozessoreinheit2 umschließen. Bei den Ressourcen11 kann es sich beispielsweise um verschiedene Speicherarten, um I/O- und Interrupt-Prozesse, um eine Kryptographieeinheit usw. handeln. Die Ressourcen11 sind radial nach außen durch einen Ring, der einen Betriebssystem-Kern (Operating System Kernel)12 darstellt, vollständig umschlossen. Radial außerhalb des Betriebssystem-Kerns12 sind Ringsegmente in Umfangsrichtung nebeneinander angeordnet, die Ausführungspfade8 darstellen, bei denen ein Zugriff auf eine oder mehrere der Ressourcen11 erforderlich ist. Ein solcher Zugriff ist durch einen Pfeil dargestellt, der sich von einem Ausführungspfad8 bis zu einer Ressource11 erstreckt. Jeder Ausführungspfad8 kann einem anderen Benutzer des tragbaren Datenträgers1 zugeordnet sein. - Wie aus
3 unmittelbar hervorgeht, sind die Ausführungspfade8 durch den Betriebssystem-Kern12 von den Ressourcen11 getrennt. Dies bedeutet, dass den Ausführungspfaden8 jeweils nur dann ein Zugriff auf die Ressourcen11 möglich ist, wenn der Zugriff vom Betriebssystem-Kern12 nach Auswertung des Authentisierungsstatus9 freigegeben wird. Die diesbezügliche Vorgehensweise wird anhand von4 erläutert. -
4 zeigt ein Flussdiagramm für eine mögliche Vorgehensweise bei der Auswertung des Authentisierungsstatus9 . - Der Durchlauf des Flussdiagramms beginnt mit einem Schritt S1, bei dem der Ausführungspfad
8 versucht, eine Aktion durchzuführen, für die eine Berechtigung10 benötigt wird. An Schritt S1 schließt sich ein Schritt S2 an, bei dem vom Betriebssystem-Kern12 ermittelt wird, welcher Authentisierungsstatus9 für die Durchführung der Aktion benötigt wird. Danach wird in einem Schritt S3 abgefragt, ob der Ausführungspfad8 über den in Schritt S2 ermittelten Authentisierungsstatus9 verfügt. Falls die Abfrage zu einem positiven Ergebnis führt, d. h. falls der Ausführungspfad8 über den erforderlichen Authentisierungsstatus9 verfügt, wird im Anschluss an Schritt S3 ein Schritt S4 ausgeführt. Im Schritt S4 wird die gewünschte Aktion durchgeführt. Mit der Ausführung des Schritts S4 ist der Durchlauf des Flussdiagramms beendet. - Falls die Abfrage des Schritts S3 zu einem negativen Ergebnis führt, d. h. falls der Ausführungspfad
8 nicht über den erforderlichen Authentisierungsstatus9 verfügt, wird im Anschluss an Schritt S3 ein Schritt S5 ausgeführt. Im Schritt S5 wird eine Verzeigung in eine Fehlerbehandlung (Exeption Handling) der Laufzeitumgebung oder virtuellen Maschine durchgeführt. Mit Schritt S5 ist der Durchlauf des Flussdiagramms beendet. - Die vorstehend beschriebene Vorgehensweise kann beispielsweise bei einem internetfähigen tragbaren Datenträger
1 angewendet werden, in dem ein Netz-Server (Web Server) implementiert ist. Verschiedene Clients können zum Beispiel über das HTTP-Protokoll Anfragen an den Netz-Server senden. Dabei können sich einzelne Clients mit Hilfe des SSL/TLS-Protokolls beim Netz-Server authentisieren (SSL-Client-Authentisierung). Durch die Authentisierung erlangen die den Clients zugeordneten Prozesse bzw. Ausführungspfade8 des Netz-Servers jeweils einen Authentisierungsstatus9 . Vom Authentisierungsstatus9 hängt es ab, auf welche Daten ein Zugriff erfolgen kann. Dies bedeutet, dass jeder Client nur Zugriff auf die Daten hat, für die er gemäß dem erlangten Authentisierungsstatus9 über eine Berechtigung10 verfügt. Somit können mehrere Clients auf einen Netz-Server zugreifen, der auf einem einzigen tragbaren Datenträger1 implementiert ist ohne Gefahr zu laufen, dass unberechtigte Datenzugriffe erfolgen, d. h. dass beispielsweise ein Client auf die Daten eines anderen Clients zugreift. - Weiterhin kann die Erfindung auch für den Betrieb eines Applikations-Servers genutzt werden. Anders als bei einem Netz-Server kann bei einem Applikation-Server ein Client auch die Ausführung von Programmen starten. Dies kann beispielsweise über eine CGI-Schnittstelle (Common Gateway Interface) erfolgen. Die von einem Client gestarteten Ausführungspfade
8 eines Programms verfügen jeweils über einen bestimmten Authentisierungsstatus9 . Vom jeweiligen Authentisierungsstatus9 hängt es ab, welche Aktionen die einzelnen Ausführungspfade8 im Betriebssystem oder in der Laufzeitumgebung ausführen dürfen. - Ein Applikation-Server kann auch so eingesetzt werden, dass von den Clients keine Programme gestartet, sondern Prozeduren oder Funktionen aufgerufen werden. Der Aufruf der Prozeduren erfolgt mittels RPCs (Remote Procedure Calls). Beispielsweise können Netz-Dienste (Web Services) aufgerufen werden. Die Berechtigung
10 zum Aufruf der Prozeduren oder Funktionen kann wiederum über einen Authentisierungsstatus9 erlangt werden, der dem Client aufgrund seiner Authentisierung zugewiesen wird. Beispielsweise kann eine in XML definierte Struktur für digitale Signaturen oder verschlüsselte Inhalte für die Erlangung eines Authentisierungsstatus9 verwendet werden, der zum Aufrufen von Netz-Diensten berechtigt.
Claims (15)
- Tragbarer Datenträger, mit – einer Prozessoreinheit (
2 ) zur Ausführung von Programmcode, – einem Betriebssystem zur quasi-parallelen Ausführung mehrerer Prozesse oder Ausführungspfade (8 ) mit Hilfe der Prozessoreinheit (2 ), wobei – das Betriebssystem einen Betriebssystem-Kern (12 ) aufweist, der den Zugriff auf Ressourcen (11 ) des tragbaren Datenträgers (1 ) steuert, – jedem Prozess oder Ausführungspfad (8 ) ein Authentisierungsstatus (9 ) zugeordnet ist, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausführungspfads (8 ) verfügbare Berechtigungen (10 ) für den Zugriff auf die Ressourcen (11 ) geknüpft sind und – die zum jeweiligen Authentisierungsstatus (9 ) gehörigen Berechtigungen (10 ) vom Betriebssystem-Kern (12 ) verwaltet werden. - Tragbarer Datenträger nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens einem der Prozesse oder Ausführungspfade (
8 ) nach erfolgreicher Durchführung einer Authentisierung ein Authentisierungsstatus (9 ) zugeordnet wird. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens einem der Prozesse oder Ausführungspfade (
8 ) der Authentisierungsstatus (9 ) eines anderen Prozesses oder Ausführungspfads (8 ) übertragen wird. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Erzeugung eines neuen Prozes ses oder Ausführungspfads (
8 ) der Authentisierungsstatus (9 ) des erzeugenden Prozesses oder Ausführungspfads (8 ) übertragen wird. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens einige der Prozesse oder Ausführungspfade (
8 ) verschiedenen Benutzern zugeordnet sind. - Tragbarer Datenträger nach Anspruch 5, dadurch gekennzeichnet, dass wenigstens zeitweise Prozesse oder Ausführungspfade (
8 ), die verschiedenen Benutzern zugeordnet sind, gleichzeitig aktiv sind. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens einem der Prozesse oder Ausführungspfade (
8 ) mehr als ein Authentisierungsstatus (9 ) zugeordnet ist. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zuordnung zwischen einem Prozess oder Ausführungspfad (
8 ) und einem Authentisierungsstatus (9 ) vom Betriebssystem-Kern (12 ) verwaltet wird. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass vor der Freigabe eines Zugriffs auf eine Ressource (
11 ) der Authentisierungsstatus (9 ) des Prozesses oder Ausführungspfads (8 ) geprüft wird. - Tragbarer Datenträger nach Anspruch 9, dadurch gekennzeichnet, dass der Zugriffs auf die Ressource (
11 ) freigegeben wird, wenn an den Authentisierungsstatus (9 ) des Prozesses oder Ausführungspfads (8 ) die für den Zugriff auf die Ressource (11 ) benötigte Berechtigung (10 ) geknüpft ist. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der tragbare Datenträger (
1 ) als ein Netz-Server betreibbar ist. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der tragbare Datenträger (
1 ) als ein Anwendungs-Server betreibbar ist. - Tragbarer Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der tragbare Datenträger (
1 ) als eine Chipkarte ausgebildet ist. - Betriebssystem eines tragbaren Datenträgers (
1 ), der eine Prozessoreinheit (2 ) zur Ausführung von Programmcode aufweist, wobei – das Betriebssystem für eine quasi-parallele Ausführung mehrerer Prozesse oder Ausführungspfade (8 ) ausgelegt ist, – das Betriebssystem einen Betriebssystem-Kern (12 ) aufweist, der den Zugriff auf Ressourcen (11 ) des tragbaren Datenträgers (1 ) steuert, – jedem Prozess oder Ausführungspfad (8 ) ein Authentisierungsstatus (9 ) zugeordnet ist, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausführungspfads (8 ) verfügbare Berechtigungen (10 ) für den Zugriff auf die Ressourcen (11 ) geknüpft sind und – die zum jeweiligen Authentisierungsstatus (9 ) gehörigen Berechtigungen (10 ) vom Betriebssystem-Kern (12 ) verwaltet werden. - Verfahren zum Betreiben eines tragbaren Datenträgers (
1 ), der eine Prozessoreinheit (2 ) zur Ausführung von Programmcode aufweist, wobei – mehrere Prozesse oder Ausführungspfade (8 ) von einem Betriebssystem des tragbaren Datenträgers (1 ) quasi-parallel ausgeführt werden, – der Zugriff auf Ressourcen (11 ) des tragbaren Datenträgers (1 ) von einen Betriebssystem-Kern (12 ) gesteuert wird, – jedem Prozess oder Ausführungspfad (8 ) ein Authentisierungsstatus (9 ) zugeordnet wird, der auf einen Authentisierungsvorgang zurückgeht und an den während der Ausführung des Prozesses oder Ausführungspfads (8 ) verfügbare Berechtigungen (10 ) für den Zugriff auf die Ressourcen (11 ) geknüpft sind und – die zum jeweiligen Authentisierungsstatus (9 ) gehörigen Berechtigungen (10 ) vom Betriebssystem-Kern (12 ) verwaltet werden.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610037493 DE102006037493A1 (de) | 2006-08-10 | 2006-08-10 | Tragbarer Datenträger |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610037493 DE102006037493A1 (de) | 2006-08-10 | 2006-08-10 | Tragbarer Datenträger |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102006037493A1 true DE102006037493A1 (de) | 2008-02-14 |
Family
ID=38922049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200610037493 Withdrawn DE102006037493A1 (de) | 2006-08-10 | 2006-08-10 | Tragbarer Datenträger |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102006037493A1 (de) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2820847A1 (fr) * | 2001-02-12 | 2002-08-16 | Gemplus Card Int | Controle d'acces de sujets a des objets notamment dans une carte a microcontroleur |
US20050005079A1 (en) * | 2001-12-12 | 2005-01-06 | Alain Boudou | Access control method and device in an embedded system |
-
2006
- 2006-08-10 DE DE200610037493 patent/DE102006037493A1/de not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2820847A1 (fr) * | 2001-02-12 | 2002-08-16 | Gemplus Card Int | Controle d'acces de sujets a des objets notamment dans une carte a microcontroleur |
US20050005079A1 (en) * | 2001-12-12 | 2005-01-06 | Alain Boudou | Access control method and device in an embedded system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60006217T2 (de) | Techniken zum gewähren des zugriffs durch eine kontextsperre in einem gerät mit kleinem platzbedarf unter verwendung von einem eingangspunktobjekt | |
DE69827405T2 (de) | System und verfahren für eine mehrzweckchipkarte die eine nachträgliche speicherung einer anwendung auf dieser karte ermöglicht | |
DE102009013384B4 (de) | System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung | |
EP2678796B1 (de) | Verfahren zum datenaustausch in einer gesicherten laufzeitumgebung | |
DE60002687T2 (de) | Techniken zum gewähren des zugriffs durch eine kontextsperre in einem gerät mit kleinem platzbedarf unter verwendung von laufzeitumgebungsprivilegien | |
DE102006008248A1 (de) | Betriebssystem für eine Chipkarte mit einem Multi-Tasking Kernel | |
EP2718848A2 (de) | Zugriffskontrolle auf in einer cloud gespeicherte daten | |
EP2795934B1 (de) | Verfahren zur kommunikation mit einer applikation auf einem portablen datenträger sowie ein solcher portabler datenträger | |
WO2017102295A1 (de) | Verfahren und sicherheitsmodul zum bereitstellen einer sicherheitsfunktion für ein gerät | |
DE102016210788A1 (de) | Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente | |
EP2885907B1 (de) | Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät | |
EP2987078B1 (de) | Verfahren zum bereitstellen einer applikation auf einem sicherheitsmodul sowie ein solches sicherheitsmodul | |
EP2524333B1 (de) | Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät | |
EP2169579B1 (de) | Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument | |
EP1801696B1 (de) | Multithreading - fähige virtuelle Maschine | |
DE102006037493A1 (de) | Tragbarer Datenträger | |
EP2923264B1 (de) | Verfahren und system zur applikationsinstallation in einem sicherheitselement | |
EP1722336A2 (de) | Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern | |
EP3159821A1 (de) | Prozessor-system mit applet security settings | |
EP2278515B1 (de) | Verfahren zum Aktivieren einer Laufzeitumgebung einer Mikroprozessoreinheit | |
EP3186740B1 (de) | Verfahren zur installation einer zusätzlichen applikation in einem nicht-flüchtigen speicher einer chipkarte | |
EP3329415B1 (de) | Chipkarte mit hauptapplikation und persistenzapplikation erlaubt hauptapplikationupdate ohne die benutzerdaten im persistenzapplikation zu ändern | |
EP1460510B1 (de) | Verfahren zur sicheren Kommunikation zwischen einer Datenverarbeitungsanlage und einer Sicherheitseinrichtung | |
DE102015207004A1 (de) | Verfahren zum geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems | |
DE10345468B4 (de) | Verfahren zur sicheren Ausführung von Programmen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021220000 Ipc: G06F0021100000 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021220000 Ipc: G06F0021100000 Effective date: 20121211 |
|
R012 | Request for examination validly filed |
Effective date: 20130417 |
|
R081 | Change of applicant/patentee |
Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |