-
Die
vorliegende Erfindung betrifft die Technologie gesicherter Berechnungen,
genauer ein Verfahren und eine Anwendung zum Verknüpfen zwischen Systemen
auf der Grundlage von Hardware-Sicherheits-Einheiten.
-
Eine
Hardware-Sicherheits-Einheit wie das Trusted-Platform-Module (TPM) hat
im Allgemeinen die Funktion, die Einzigartigkeit einer Benutzeridentität sowie
die Vollständigkeit
und den Datenschutz des Arbeitsraums eines Benutzers sicherzustellen; die
Vertraulichkeit/Vollständigkeit
von gespeicherten, verarbeiteten und übertragenen Informationen sicherzustellen;
und die Vollständigkeit
der Einstellungen der Hardwareumgebung, des Betriebssystemkerns,
der Dienst- und Anwendungsprogramme sicherzustellen. Als Grundlage
eines Sicherheitssystems sichert die Harware-Sicherheits-Einheit
das System, so dass es geschützt
ist und Angriffe von Viren und Schadsoftware abwehrt. Zusätzlich speichert die
Hardware-Sicherheits-Einheit als Hardware-Schlüssel-Modul
Schlüssel,
die für
die Verschlüsselung
innerhalb des Chips verwendet werden, oder verschlüsselt und
speichert die Schlüssel in
einem externen Raum, anstatt die Schlüssel auf einer Festplatte oder
einem anderen Medium wie gewöhnlich
in normalem Text zu speichern, und stellt einen verlässlichen
Verschlüsselungsdienst
für die Systemplattform
und Anwendungsprogramme zur Verfügung
durch eine Middleware zwischen Hardware-Sicherheits-Einheit und Software. In
diesem Verfahren haben die Schlüsselverwaltung,
die sichere Datenkapselung/-entkapselung und die Berechnung der
digitalen Signatur eine sehr hohe Sicherheit.
-
Ein
Gerät,
das mit einer Hardware-Sicherheits-Einheit ausgerüstet ist,
kann als gesichertes Computersystem bezeichnet werden. In früheren Beschreibungen
und Techniken sind die Funktionalitäten der Hardware-Sicherheits-Einheit
nur in dem Gerät
an seinem Ort wirksam. Es gibt keinen Ansatz zum Herstellen einer
gesicherten Beziehung zwischen verschiedenen Geräten, die mit entsprechenden
Hardware-Sicherheits-Einheiten ausgerüstet sind. Es besteht also
ein Bedarf, die gesicherten Computerfunktionen auf andere gesicherte
Computersysteme auszudehnen.
-
Beispielsweise
kann ein Anwender zwei elektronische Geräte besitzen, einen Personalcomputer
(PC) und ein Mobiltelefon, die beide mit Hardware-Sicherheits-Einheiten
ausgestattet sind. Der Anwender speichert vertrauliche Dateien auf
dem PC und verwendet einen Schlüssel
der Hardware-Sicherheits-Einheit des PCs für die Verschlüsselung und
Speicherung. Möchte
der Anwender diese Dateien für
die weitere Verarbeitung auf das Mobiltelefon übertragen, so muss ein Vorgang
durchgeführt
werden, in dem die Dateien zunächst
durch Eingeben eines Entschlüsselungs-Schlüssels auf
dem PC entschlüsselt
werden müssen.
Anschließend
werden die entschlüsselten
Dateien auf das Mobiltelefon übertragen.
Schließlich
verwendet das Mobiltelefon seine Hardware-Sicherheits-Einheit, um die empfangenen Dateien
für die
Speicherung zu verschlüsseln.
In dem obigen Ablauf gibt es keinen Mechanismus, der dafür zuständig ist,
ob das andere gesicherte Computersystem vertrauenswürdig ist
oder nicht; da die Übertragung
in normalem Text erfolgt, existiert in der Zwischenzeit ein potentielles
Sicherheitsrisiko. Ferner muss der Anwender die Schlüssel oder
Passwörter während der
Entschlüsselung
und Verschlüsselung eingeben,
so dass das Verfahren umständlich
ist.
-
Ein
Bedarf, den gesicherten Computerbereich auszudehnen, besteht an
vielen Stellen, beispielsweise zwischen einem Laptop-Computer und einem
PC, einem Mobiltelefon und einem PC, einem Mobiltelefon und einem
Laptop-Computer, einem PC und einem PC, Anordnungen von drahtlosen
Geräten usw.
Gleichwohl gibt es im Stand der Technik keinen Ansatz, die Vertraulichkeit
zwischen Systemen auf der Grundlage von Hardware-Sicherheits-Einheiten sicherzustellen.
-
Es
ist ein Ziel der vorliegenden Erfindung, ein Verfahren zur Verknüpfung zwischen
gesicherten Computersystemen auf der Grundlage von Hardware-Sicherheits-Einheiten
vorzustellen, das in der Lage ist, einen Ansatz zu bieten zum Sicherstellen von
Vertrauenswürdigkeit
zwischen gesicherten Computersystemen auf der Grundlage von Hardware-Sicherheits-Einheiten.
Die Aufgabe wird gelöst durch
die Merkmale des Anspruchs 1. Vorteilhafte Ausführungsformen finden sich in
den Unteransprüchen.
-
Nach
einem Aspekt der vorliegenden Erfindung wird ein Verfahren zum Verknüpfen zwischen gesicherten
Computersystemen auf der Basis von Hardware-Sicherheits-Einheiten
vorgestellt, welches umfasst:
- Schritt 11: Festlegen von
Verknüpfungsbedingungen für Hardware-Sicherheits-Einheiten
von gesicherten Computersystemen;
- Schritt 12: Austauschen von Hardware-Sicherheits-Einheits-Information zwischen
den Hardware-Sicherheits-Einheiten der zu verknüpfenden gesicherten Computersysteme; Überprüfen der
Gerätegültigkeiten
der gegenparteilichen Hardware-Sicherheits-Einheit; Fortfahren mit den nachfolgenden Schritten
nach einer positiven Gültigkeitsprüfung, anderenfalls
Beenden des Verknüpfungsvorgangs;
- Schritt 13: jeweiliges Verifizieren durch die Hardware-Sicherheits-Einheiten
der zu verknüpfenden gesicherten
Computersysteme, ob die Verknüpfung die
jeweiligen Verknüpfungsbedingungen
erfüllt; Fortfahren
mit den nachfolgenden Schritten bei einem positiven Ergebnis der
Verifizierung, anderenfalls Beenden des Verknüpfungsvorgangs; und
- Schritt 14: jeweiliges Speichern der gegenparteilichen Plattforminformation
und Verknüpfungsinformation
der Hardware-Sicherheits-Einheit
durch die Hardware-Sicherheits-Einheiten der gesicherten Computersysteme.
-
Vorzugsweise
umfasst das Verfahren vor Schritt 12, in dem die Hardware-Sicherheits-Einheit-Information
gegenseitig ausgetauscht wird, den weiteren Schritt:
Jeweiliges
Erzeugen eines Paares von asymmetrischen Schlüsseln als öffentliche Schlüssel und
Austauschen der erzeugten öffentlichen
Schlüssel
durch die Hardware-Sicherheits-Einheiten der zu verknüpfenden
gesicherten Computersysteme, so dass eine verschlüsselte Leitung
zwischen den zu verknüpfenden
gesicherten Computersystemen aufgebaut wird.
-
Vorzugsweise
umfasst das Verfahren zwischen den Schritten 13 und 14 den weiteren
Schritt:
Jeweiliges Erzeugen eines Schlüssels und Austauschen des Schlüssels durch
die Hardware-Sicherheits-Einheiten der zu verknüpfenden gesicherten Computersysteme,
so dass eine verschlüsselte
Leitung zwischen den zu verknüpfenden
gesicherten Computersystemen aufgebaut wird.
-
Gemäß der obigen
Beschreibung bietet die vorliegende Erfindung ein Verfahren zum
Verknüpfen zwischen
gesicherten Computersystemen auf der Grundlage von Hardware-Sicherheits-Einheiten,
gemäß dem, nachdem
die Überprüfung der
Gerätegültigkeit
und die Verifizierung der Verknüpfungsbedingungen
der Hardware-Sicherheits-Einheiten
zwischen den gesicherten Computersystemen positiv abgeschlossen
sind, die Hardware-Sicherheits-Einheits-Information und die Plattform-Information
der Gegenparteien jeweils gespeichert werden, so dass eine gesicherte
Beziehung zwischen den gesicherten Computersystemen aufgebaut wird.
Durch den Austausch der Schlüssel
und den Aufbau einer verschlüsselten
Leitung wird das potentielle Sicherheitsrisiko, das mit der Übertragung
von normalem Text entsteht, vermieden, so dass die Sicherheit der
Informationsübertragung
zwischen den gesicherten Computersystemen weiter verbessert wird.
-
Die
Erfindung wird nachfolgend unter Bezugnahme auf die beigefügten Zeichnungen
anhand einer vorteilhaften Ausführungsform
beispielhaft beschrieben. Es zeigen:
-
1 ein
Ablaufdiagramm eines Verfahrens zum Verknüpfen zwischen gesicherten Computersystemen
auf der Grundlage von Hardware-Sicherheits-Einheiten gemäß einer
Ausführungsform
der vorliegenden Erfindung;
-
2 die
Verwaltungstätigkeiten
der Hardware-Sicherheits-Einheit
gegenüber
den Verknüpfungen
zwischen gesicherten Computersystemen gemäß der Ausführungsform der vorliegenden
Erfindung; und
-
3 die
erweiterten Funktionalitäten,
die durch die verknüpften
Hardware-Sicherheits-Einheiten gemäß der Ausführungsform der vorliegenden Erfindung
erreicht werden.
-
Nach
dem erfindungsgemäßen Verfahren
legen die Besitzer der Hardware-Sicherheits-Einheiten zunächst die
Verknüpfungsbedinungen
fest. Dann werden eine Überprüfung der
Gerätegültigkeit
der Hardware-Sicherheits-Einheiten und eine Verifizierung der Verknüpfungsbedingungen
zwischen den zu verknüpfenden
gesicherten Computersystemen durchgeführt. Wenn die Prüfung der
Gültigkeit
und die Verifizierung der Verknüpfungsbedingungen
für beide
Gegenparteien jeweils erfolgreich sind, speichern die gesicherten
Computersysteme jeweils die gegenparteilichen Verknüpfungsinformation
und Plattforminformation in ihren eigenen Hardware-Sicherheits-Einheiten.
Nach dem Aufbau der Verknüpfungsbeziehung
behandeln die gesicherten Computersysteme jeweilige Gegenpartei
als vertrauenswürdig.
Auf der Grundlage derartigen Vertrauens können entsprechende Sicherheitsverwaltungen
und -dienste geboten werden.
-
Gemäß 1 umfasst
das Verfahren zum Verknüpfen
zwischen gesicherten Computersystemen auf der Grundlage von Hardware-Sicherheits-Einheiten
gemäß der vorliegenden
Erfindung die folgenden Schritte.
-
In
Schritt 11 legen die Besitzer der Hardware-Sicherheits-Einheiten gesicherter
Computersysteme die Verknüpfungsbedingungen
fest.
-
Die
Besitzer der Hardware-Sicherheits-Einheiten können die Verknüpfungsbedingungen
festlegen und verwalten, beispielsweise ob das Verknüpfen erlaubt
ist oder nicht, die Art von Hardware-Sicherheits-Einheit, mit der ein Verknüpfen erlaubt
ist, und andere Bedingungen, die zum Verknüpfen erfüllt sein müssen. Die anderen zum Verknüpfen zu
erfüllenden
Bedingungen können
Seriennummern der Hardware-Sicherheits-Einheiten sein, mit denen
eine Verknüpfung
erlaubt ist, oder Kennungen der Geräte, bei denen die Hardware-Sicherheits-Einheiten
angeordnet sind, mit denen ein Verknüpfen erlaubt ist. Die Verknüpfungsbedingungen
können
ferner umfassen erlaubte Verknüpfungsarten,
ob eine Verknüpfung aktiv
in die Wege geleitet werden kann oder nicht, ob es eine Verknüpfungsbedingung
annehmen kann oder nicht, auswählbare
Kryptographie-Algorithmen für
eine Verknüpfung,
konfigurierbare Software- und Hardwareresourcen und -dienste, usw.
-
In
Schritt 12 wird die Information über
die Hardware-Sicherheits-Einheit
zwischen den Hardware-Sicherheits-Einheiten der zu verknüpfenden gesicherten
Computersysteme ausgetauscht und die Gerätegültigkeiten der gegenparteilichen
Hardware-Sicherheits-Einheiten
werden überprüft.
-
Die
zu verknüpfenden
gesicherten Computersysteme werden verbunden durch Kommunikationsschnittstellen
wie serielle Ports, Mehrzweck-Eingabe-Ausgabe-Schnittstellen (GPIO),
universeller serieller Bus (USB), Infrarot, wireless usw. Die ausgetauschte
Information über
die Hardware-Sicherheits-Einheit umfasst eine Identifikation(ID)-Nummer, Bezeichnung
des Herstellers und eine Signatur der Hardware-Sicherheits-Einheit.
Die Hardware-Sicherheits-Einheit überprüft die Gerätegültigkeit
Hardware-Sicherheits-Einheit
der Gegenpartei mit Hilfe eines Algorithmus zum Überprüfen der Vollständigkeit.
Wenn die Überprüfung erfolgreich
ist, wird mit dem nächsten
Schritt fortgefahren, anderenfalls wird der Verknüpfungsvorgang
beendet.
-
In
Schritt 13 überprüfen die
Hardware-Sicherheits-Einheiten der zu verknüpfenden gesicherten Computersysteme,
ob die Verknüpfung
ihren jeweiligen Verknüpfungsbedingungen
entspricht.
-
Die
Hardware-Sicherheits-Einheiten der zu verknüpfenden gesicherten Computersysteme
tauschen Benutzerinformationen, Informationen über die Hardware-Sicherheits-Einheit
und Plattforminformationen aus. Die Benutzerinformation umfasst
eine Signatur, ein Passwort des Benutzers oder Besitzers usw. Die
Information über
die Hardware-Sicherheits-Einheit umfasst die Art der Schnittstelle,
eine Angabe des Herstellers und einen Verknüpfungs-Kryptographie-Algorithmus der Hardware-Sicherheits-Einheit.
Die Plattforminformation kann Hardwareinformationen und Softwareinformationen der
gesicherten Computersysteme umfassen. Für einen mit einer Hardware-Sicherheits-Einheit
ausgestatteten Computer kann die Hardwareinformation beispielsweise
umfassen Basic-Input-Output-System(BIOS)-Information,
CPU-Information, Hauptplatineninformation, Festplatteninformation
usw. Die Softwareinformation kann weiterhin umfassen die Boot-Sektor-Information,
Betriebssysteminformation usw. Für
ein mit einer Hardware-Sicherheits-Einheit ausgestattetes
Mobiltelefon hingegen bezieht sich die Hardwareinformation im Allgemeinen
auf die Information über
das Read-Only-Memory (ROM), CPU, Subscriber Identity Module (SIM)
und andere zugehörige
Einrichtungen, die in dem gesicherten Computersystem angeordnet
sind. Die Hardware-Sicherheits-Einheit überprüft gemäß der oben
ausgetauschten Information, ob die Verknüpfung die eigenen Verknüpfungsbedingungen
erfüllt.
Wenn die Bedingungen nicht erfüllt
sind, wird der Verknüpfungsvorgang
beendet; wenn die Verknüpfungsbedingungen
erfüllt
sind, wird mit dem nächsten
Schritt fortgefahren.
-
In
Schritt 14 wird die auf der Hardware-Sicherheits-Einheit basierende
Verknüpfung
zwischen den gesicherten Computersystemen bestätigt, die Plattforminformation,
die Verknüpfungsinformation der
Hardware-Sicherheits-Einheit der verknüpfenden Gegenpartei werden
gespeichert und die Rechte sowie ihre anwendbaren Reichweiten werden
zwischen den verknüpften
Hardware-Sicherheits-Einheiten festgesetzt.
-
Um
die Sicherheit der Datenübertragung während des
Verknüpfungsvorgangs
zu verbessern und um zu verhindern, dass die während des Verknüpfungsvorgangs übertragenen
Daten abgefangen werden, erzeugt jede der Hardware-Sicherheits-Einheiten
in den gegenseitig verknüpften
gesicherten Computersystemen zunächst
ein Paar von asymmetrischen Schlüsseln
als öffentliche
Schlüssel
und tauscht die erzeugten öffentlichen
Schlüssel
aus, so dass eine verschlüsselte
Leitung zwischen den zu verknüpfenden
gesicherten Computersystemen aufgebaut wird. Der nachfolgende Datenaustausch
geht vollständig über die
verschlüsselte
Leitung. Nach dem Austausch der öffentlichen
Schlüssel
verschlüsseln
die gesicherten Computersysteme die Daten durch die jeweiligen Hardware-Sicherheits-Einheiten unter
Verwendung der oben ausgetauschten öffentlichen Schlüssel vor
der Datenübertragung.
Die mit dem öffentlichen
Schlüssel
verschlüsselten
Daten können
nur mit dem zu dem öffentlichen
Schlüssel gehörigen privaten
Schlüssel
entschlüsselt
werden, so dass Dritte daran gehindert werden, auf die während des
Verknüpfungsvorgangs
ausgetauschten Daten zuzugreifen. Die Sicherheit des Verknüpfungsvorgangs
wird auf diese Weise erhöht.
-
In
den Verknüpfungsbedingungen
kann ferner festgelegt werden, ob die verknüpften Hardware-Sicherheits-Einheiten
in einer gleichrangigen (peer-to-peer-relationship) oder in einer
nicht gleichrangigen Beziehung (non-peer-to-peer-relationship) zueinander
stehen. Die gleichrangige Beziehung bildet eine kooperative gleichrangige
Beziehung zwischen den Hardware-Sicherheits-Einheiten, in dem nicht eine der Hardware-Sicherheits-Einheiten
ein Kontrollrecht oder ein Konfigurationsrecht über die andere Hardware-Sicherheits-Einheit
innehat. Die gleichrangig verknüpften
Hardware-Sicherheits-Einheiten können
Schlüssel-
und Dienstübernahmen durchführen. Die
nicht gleichrangigen Beziehungen bilden eine Über-/Unterordnungsbeziehung
zwischen den Hardware-Sicherheits-Einheiten und bestimmen eine der
Hardware-Sicherheits-Einheiten als übergeordnet
und eine andere der Hardware-Sicherheits-Einheiten als untergeordnet.
Die übergeordnete
Hardware-Sicherheits-Einheit kann die Funktion, Dienste, Merkma le,
verfügbare
Software- und Hardwareresourcen der untergeordneten Hardware-Sicherheits-Einheit
festlegen oder zwangsweise Operationen wie Freigabe, Kopieren und
Abschalten durchführen.
Die nicht gleichrangig verknüpften Hardware-Sicherheits-Einheiten
können
ebenfalls Schlüssel-
und Dienst-Übergaben
durchführen.
-
In
einer Verknüpfungsbedingung
kann eine maximale Anzahl von Verknüpfungsverbindungen vorgesehen
sein, um die Anzahl von Verknüpfungsververbindungen
anzugeben, die die Verknüpfungsbedingungen
erfüllen
und die von der Hardware-Sicherheits-Einheit angenommen werden können. Wenn
beispielsweise die maximale Anzahl von Verknüpfungsverbindungen auf 1 gesetzt
ist, so kann die Hardware-Sicherheits-Einheit eine Verknüpfungsverbindung
mit nur einer weiteren Hardware-Sicherheits-Einheit, die die Verknüpfungsbedingungen
erfüllt,
herstellen. Wenn die maximale Anzahl von Verknüpfungsverbindungen größer als
1 ist, so kann die Hardware-Sicherheits-Einheit Verknüpfungsverbindungen
mit einer Mehrzahl von anderen Hardware-Sicherheits-Einheiten, die
die Verknüpfungsbedingungen
erfüllen,
herstellen.
-
Ferner
kann in einer Verknüpfungsbedingung
die Verifizierung für
eine Verknüpfung
gesetzt werden. Die Verknüpfungsbeziehung
zwischen den gesicherten Computersystemen kann in dem Zeitraum überprüft werden,
in dem die Beziehung besteht. Die zu überprüfenden Inhalte umfassen Informationen über die
Gerätegültigkeits,
Informationen über
die Verknüpfungsbedingungen,
Verifikationszeit usw. Wenn die Verknüpfung nicht innerhalb einer
vorgegebenen Zeit verifiziert werden kann oder die Verifikation
fehlschlägt,
so wird der Verknüpfungsbetrieb beendet.
Das Zeitintervall für
die Verifikation, die Verifikationszeiten und die vollständige Dauer
der Verifikation können
von den verknüpften
Hardware-Sicherheits-Einheiten verhandelt und festgesetzt werden.
-
In
einer Verknüpfungsbedingung
kann eine Sicherheitsstufe für
eine Verknüpfung
gesetzt werden. Für
verschiedene Verknüpfungen,
die gemäß den Verknüpfungsbedingungen
verschiedener Sicherheitsstufen aufgebaut sind, sind die Bereiche,
innerhalb derer die Hardware-Sicherheits-Einheiten diese Funktionen,
Rechte und Dienste der gegenparteilichen Hardware-Sicherheits-Einheit
nutzen können,
ebenfalls unterschiedlich.
-
In
einer Verknüpfungsbedingung
kann festgesetzt sein, dass Signaturen, Zertifikate, Verknüpfungsinformation
und Plattforminformation, die von der gegenwärtigen Hardware-Sicherheits-Einheit gespeichert
wurden, nicht zu weiteren Hardware-Sicherheits-Einheiten verteilt werden
dürfen.
Alternativ kann in einer Verknüpfungsbedingung
festgelegt sein, dass ein Teil der relevanten Verknüpfungsinformation,
der von der gegenwärtigen
Hardware-Sicherheits-Einheit gespeichert wurde, zu anderen Hardware-Sicherheits-Einheiten
verteilt werden darf, die in einem Verknüpfungsverhältnis mit der gegenwärtigen Hardware-Sicherheits-Einheit
stehen. Beispielsweise kann der Besitzer hoffen, dass die auf einer Verknüpfungsbedingung
basierende Verknüpfungsbeziehung
transitiv ist, d.h. wenn unter einer und derselben Verknüpfungsbedingung
eine Hardware-Sicherheits-Einheit A mit einer Hardware-Sicherheits-Einheit
B verknüpft
ist und die Hardware-Sicherheits-Einheit B weiterhin mit einer Hardware-Sicherheits-Einheit
C verknüpft
ist, dass dann die Verknüpfungsbeziehung
auf der Grundlage derselben Verknüpfungsbedingung auch zwischen
der Hardware-Sicherheits-Einheit A und der Hardware-Sicherheits-Einheit
C gehalten wird. Wenn also die Hardware-Sicherheits-Einheiten A und C die Verknüpfung aufbauen,
kann die Hardware-Sicherheits-Einheit C die Signatur, das Zertifikat
oder die Verknüpfungsinformation
der Hardware-Sicherheits-Einheit B der Hardware-Sicherheits-Einheit
A für die
Verifizierung übermitteln.
Wenn die Verifizierung erfolgreich ist, können die gesicherten Computersysteme,
bei denen die Hardware-Sicherheits- Einheiten A und C jeweils angeordnet
sind, verknüpft werden,
so dass der Verifizierungsvorgang zwischen der Hardware-Sicherheits-Einheit
A und der Hardware-Sicherheits-Einheit C erleichtert wird.
-
Es
gibt eine Vielzahl von Arten, die Verknüpfungsbeziehung zwischen den
gesicherten Computersystemen zu beenden. Erstens ist es dem Besitzer der
Hardware-Sicherheits-Einheit gestattet, die Verknüpfungsbedingungen
zu verändern
oder zu löschen.
Wenn die Verknüpfungsbedingungen
einer Hardware-Sicherheits-Einheit verändert werden, werden die zuvor
aufgebauten Verknüpfungsverbindungen
anhand der neuen Verknüpfungsbedingungen überprüft und diejenigen,
die die neuen Verknüpfungsbedingungen
nicht erfüllen,
werden außer
Kraft gesetzt oder gelöscht.
Zweitens können
einige Einschränkungen,
die von den Verknüpfungen
erfüllt sein
müssen,
in den Verknüpfungsbedingungen
festgelegt werden wie beispielsweise Zeitdauer der Verknüpfung, Zeiten,
in denen die Verknüpfung
verfügbar
ist, sowie weitere Bedingungen, die für das Bestehen einer Verknüpfung erfüllt sein
müssen,
wie beispielsweise Schlüssel,
Variablen, angezeigte Anzahl von Bits, Plattforminformation oder
externe Informationen. In ein und derselben Verknüpfungsbedingung
können
eine oder mehrere der obigen Beschränkungen festgelegt werden.
Nur wenn alle vorgegebenen Beschränkungen erfüllt sind, kann die entsprechende
Verknüpfung
bestehen. Anderenfalls wird die Verknüpfung zwischen den gesicherten Computersystemen
beendet.
-
Wie 2 zeigt
umfassen die Verwaltungstätigkeiten
der Hardware-Sicherheits-Einheiten gegenüber den Verknüpfungen
zwischen gesicherten Computersystemen das Überprüfen der Verknüpfung, das
Erneuern der Verknüpfung,
das Erneuern der verschlüsselten
Leitung und das Aufheben der Verknüpfungen.
-
Überprüfen der
Verknüpfung
bedeutet, dass eine verknüpfte
Partei die andere Partei auffordert, aktuelle Informationen über die
Hardware-Sicherheits-Einheit und Verknüpfungsinformationen zu übermitteln,
und dass sie mit den gespeicherten Informationen über die
Hardware-Sicherheits-Einheit und Verknüpfungsinformationen der anderen
Partei verglichen werden. Besteht eine Abweichung, wird die Verknüpfung beendet
und die verbleibende Information gelöscht.
-
Erneuern
der Verknüpfung
bedeutet, dass ein Teil des Inhalts der Verknüpfungsbedingungen zwischen
den verknüpften
Hardware-Sicherheits-Einheiten
verändert
werden kann. Beispielsweise kann in dem nicht gleichrangigen Verhältnis die übergeordnete
Hardware-Sicherheits-Einheit die Verknüpfungsbedingungen der untergeordneten Hardware-Sicherheits-Einheit
verändern.
-
Erneuerung
der verschlüsselten
Leitung bedeutet, dass die verknüpften
Hardware-Sicherheits-Einheiten neue Schlüssel erzeugen und miteinander
austauschen können
und dass alle anschließend übertragenen
Daten mit den neuen Schlüsseln verschlüsselt werden,
so dass eine neue verschlüsselte
Leitung erzeugt wird. Zu diesem Zeitpunkt können die erzeugten Schlüssel symmetrische
oder asymmetrische Schlüssel
sein. Der Algorithmus für die
Schlüsselerzeugung
kann ebenfalls in den Verknüpfungsbedingungen
neu bestimmt werden.
-
Aufheben
der Verknüpfung
bedeutet, dass der Besitzer der Hardware-Sicherheits-Einheit die
Informationen über
Verknüpfungsaufzeichnungen
löschen
kann, so dass die Verknüpfung
zwischen den gesicherten Computersystemen aufgehoben wird.
-
Wie 3 zeigt
können
die erweiterten Funktionen, die durch die verknüpfte Hardware-Sicherheits-Einheit
erreicht werden, eine Verifizierung der Vollständigkeit der Plattform, Konfigurati onsverwaltung,
Protokoll-Verwaltung, Verwaltung der Schlüsselspeicherung, sowie die Übertragung
und Verwaltung von Kryptographiediensten wie Schlüsseln und
Zertifikaten umfassen. Das Verfahren zum Verknüpfen zwischen gesicherten Computersystemen
auf der Grundlage von Hardware-Sicherheits-Einheiten, das in der
vorliegenden Erfindung vorgeschlagen ist, bietet eine Vertrauensgrundlage zwischen
den verknüpften
gesicherten Computersystemen, so dass die Sicherheit für die Durchführung der
erweiterten Funktionen dieser Hardware-Sicherheits-Einheiten verbessert
ist.
-
Verifizierung
der Vollständigkeit
der Plattform bedeutet, dass die Hardware-Sicherheits-Einheit die Vollständigkeit
des Systems, bei dem die gegenparteiliche Hardware-Sicherheits-Einheit
angeordnet ist, verifiziert. In dem erwähnten Verknüpfungsvorgang nehmen die Hardware-Sicherheits-Einheiten
jeweils die Informationen über
das Feststellen der Vollständigkeit
der Plattform oder einen im Plattform-Kontroll-Register (PCR) der
gegenparteilichen Hardware-Sicherheits-Einheit gespeicherten Auszug
davon auf. Wird die Durchführung
einer Verifizierung der Vollständigkeit
der Plattform verlangt, sendet eine der Hardware-Sicherheits-Einheiten eine Anforderung
an eine andere der Hardware-Sicherheits-Einheiten. Die andere Hardware-Sicherheits-Einheit nimmt eine
Bestimmung der Vollständigkeit
der Plattform vor, nachdem sie die Verlässlichkeit der Verknüpfungsbeziehung
verifiziert hat und gibt das entsprechende Ergebnis oder einen Auszug davon
an die anfordernde Hardware-Sicherheits-Einheit zurück. Die
anfordernde Hardware-Sicherheits-Einheit vergleicht die empfangene
neue Plattforminformation mit seiner gespeicherten Information.
Bei Abweichungen wird die gegenparteiliche Plattform als regelwidrig
angesehen und entsprechende Maßnahmen
werden ergriffen.
-
Protokollverwaltung
bedeutet, dass eine der verknüpften
Hardware-Sicherheits-Einheiten die relevanten Protokolle der anderen speichert
oder erhält und
entsprechende Abläufe
durchführt.
Für ein
verknüpfungsbezogenes
Betriebsprotokoll beispielsweise können die Verknüpfungen
durch Analysieren des verknüpfungsbezogenen
Betriebsprotokolls verwaltet werden.
-
Management
der Schlüsselverwaltung
bedeutet, dass vor dem Speichern eines Schlüssels eine verknüpfte Hardware-Sicherheits-Einheit A zunächst den
Schlüssel
zu der anderen verknüpften Hardware-Sicherheits-Einheit
B zum Verschlüsseln überträgt und dann
den zurückerhaltenen
Schlüssel speichert,
der von der Hardware-Sicherheits-Einheit B verschlüsselt wurde.
Wenn die Hardware-Sicherheits-Einheit A den Schlüssel verwenden muss, führt die
Hardware-Sicherheits-Einheit B zunächst eine Schlüssel-Entschlüsselung
durch und dann wird der zurückerhaltene
Schlüssel,
der von der Hardware-Sicherheits-Einheit B entschlüsselt wurde,
für die
Entschlüsselung
verwendet. Da also der Schlüssel
von beiden Parteien verschlüsselt
wurde, muss er zur Benutzung von beiden Parteien entschlüsselt werden, so
dass die Sicherheit verbessert ist.
-
Konfigurationsverwaltung
bedeutet, dass in dem Falle, dass die Verknüpfung zwischen gesicherten
Computersystemen auf der Grundlage von Hardware-Sicherheits-Einheiten
ein nicht gleichrangiges Verhältnis
ist, der Besitzer der übergeordneten
Hardware-Sicherheits-Einheit
die Funktionen, Dienste, Merkmale und Software- und Hardwareressourcen der
untergeordneten Hardware-Sicherheits-Einheit konfigurieren
kann als ein Superbenutzer oder Administrator der untergeordneten
Hardware-Sicherheits-Einheit
und solche Vorgänge
steuern kann, wie Freigabe, Kopieren und Abschalten der untergeordneten
Hardware-Sicherheits-Einheit.
-
Die Übertragung
und die Verwaltung von Kryptographiediensten wie Schlüsseln und
Zertifikaten beziehen sich darauf, dass die Verschlüsselungsdienste
wie Schlüssel
und Zertifikate zwischen den Hardware-Sicherheits-Einheiten, die
eine Verknüpfungsbeziehung
aufgebaut haben, übergeben
werden können.
Die Hardware-Sicherheits-Einheit
zeichnet die Übergabe
von Schlüsseln
und Zertifikaten, einschließlich Übergabepfade, Übergabeort,
Besitzer, Erzeuger, Lebensdauer, Nutzungszeit, Rechte usw. auf und
verwaltet die Übergabe
von Schlüsseln und
Zertifikaten, so dass eine Übergabe
unter Verwaltung von Kryptographiediensten erreicht wird. Es kann
ferner bestimmt werden, ob die übergebenen Schlüssel und
Zertifikate zu anderen Hardware-Sicherheits-Einheiten weiterverteilt werden dürfen oder nicht.
-
Zusammenfassend
bietet die vorliegende Erfindung ein Verfahren zum Verknüpfen zwischen Systemen
auf der Grundlage von Hardware-Sicherheits-Einheiten,
so dass Vorgangsmechanismen auf der Grundlage von Hardware-Sicherheits-Einheiten zur
Verfügung
gestellt werden, um ein Vertrauen zwischen gesicherten Computersystemen
aufzubauen. In dem Verknüpfungsvorgang
verbessern die Verwendung von Schlüsseln, die Überprüfung der Gerätegültigkeit
der Hardware-Sicherheits-Einheiten und Verifizierung der Verknüpfungsbedingungen
die Sicherheit und Verlässlichkeit
des gesamten Verknüpfungsverfahrens
weiter. Durch Festsetzen der Verknüpfungsbedingungen können Verknüpfungsverhältnisse,
die verschiedene Anforderungen erfüllen, zwischen gesicherten
Computersystemen aufgebaut werden und eine Verwaltung der Verknüpfungsbeziehungen
kann erreicht werden. Gemäß dem erfindungsgemäßen Verknüpfungsverfahren
werden vertrauenswürdige
Beziehungen zwischen gesicherten Computersystemen aufgebaut, um
die Grundlage und Sicherheit für
die vielfachen erweiterten Funktionen der Hardware-Sicherheits-Einheit
zu bieten.
-
Übersetzung der Figuren
-
1
-
- Start = Start
- Configuring binding requirements by owners of hardware security
units = Festlegen von Verknüpfungsbedingungen
durch Besitzer von Hardware-Sicherheits-Einheiten
- Exchanging hardware security unit information between hardware
security units, and check device validities of counter-party hardware
security unit = Austauschen von Hardware-Sicherheits-Einheits-Informationen
zwischen Hardware-Sicherheits-Einheiten und Prüfen der Gerätegültigkeiten Hardware-Sicherheits-Einheit
der Gegenpartei
- Validation check successful? = Gültigkeitsprüfung erfolgreich?
- Yes = Ja
- No = Nein
- Exit binding procedure = Abbruch des Verknüpfungsvorgangs
- Verifying whether the binding meets their respective binding
requirements by hardware security units of trusted computing systems
to be bound = Verifizieren, ob die Verknüpfung ihre entsprechenden Verknüpfungsbedingungen
erfüllt,
durch die Hardware-Sicherheits-Einheiten von zu verknüpfenden gesicherten
Computersystemen
- Meet binding requirements? = Verknüpfungsbedingungen erfüllt?
- Yes = Ja
- No = Nein
- Respectively storing counter-parties platform information and
hardware security unit binding information by hardware security
units = Jeweiliges Speichern der gegenparteilichen Plattforminformation
und Hardware-Sicherheits-Einheits-Verknüpfungsinformation durch die
Hardware-Sicherheits-Einheiten
- End = Ende
-
2
-
- binding check = Verknüpfungsprüfung
- binding update = Verknüpfungserneuerung
- Encrypted pipe replacement = Ersetzung der verschlüsselten
Leitung
- binding deletion = Aufheben der Verknüpfung
- Bound hardware security unit = verknüpfte Hardware-Sicherheits-Einheit
-
3
-
- Hardware security unit A = Hardware-Sicherheits-Einheit
A
- Hardware security unit B = Hardware-Sicherheits-Einheit B
- Platform completeness verification = Verifizierung der Plattformvollständigkeit
- Key storage management = Verwaltung der Schlüsselspeicherung
- Log management = Protokollverwaltung
- Configuration management = Konfigurationsverwaltung
- Migration and management of cryptography services such as keys
and certificates = Übergabe
und Verwaltung von Kryptographiediensten wie Schlüsseln und
Zertifikaten