DE102010052246A1 - Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums - Google Patents

Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums Download PDF

Info

Publication number
DE102010052246A1
DE102010052246A1 DE102010052246A DE102010052246A DE102010052246A1 DE 102010052246 A1 DE102010052246 A1 DE 102010052246A1 DE 102010052246 A DE102010052246 A DE 102010052246A DE 102010052246 A DE102010052246 A DE 102010052246A DE 102010052246 A1 DE102010052246 A1 DE 102010052246A1
Authority
DE
Germany
Prior art keywords
computer
operating system
storage medium
removable storage
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102010052246A
Other languages
English (en)
Inventor
Thorsten Höhnke
Susanne Pudlitz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to DE102010052246A priority Critical patent/DE102010052246A1/de
Priority to PCT/EP2011/066902 priority patent/WO2012069239A1/de
Priority to US13/884,992 priority patent/US9871887B2/en
Publication of DE102010052246A1 publication Critical patent/DE102010052246A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • G06F9/441Multiboot arrangements, i.e. selecting an operating system to be loaded
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Zugang zu einem Betriebssystem (17) in einer verteilten Rechneranordnung umfassend ein Laden eines Hilfsbetriebssystems (29) aus einem schreibgeschützten Speicherbereich (14) eines Wechselspeichermediums (13), ein Ausführen des geladenen Hilfsbetriebssystems (29) auf einem ersten Computer (1), ein Aufbauen einer Datenverbindung zwischen dem ersten Computer (1) und einem zweiten Computer (2) über ein Datennetzwerk (3, 4) unter Kontrolle des Hilfsbetriebssystems (29), ein Ausführen eines Hauptbetriebssystems (17) auf dem zweiten Computer (2) und eine fortlaufende Übertragung von Eingaben eines Benutzers von dem ersten Computer (1) an das Hauptbetriebssystem (17) sowie von Ausgaben des Hauptbetriebssystems (17) an den ersten Computer (1). Die Erfindung betrifft des Weiteren ein Wechselspeichermedium (13) und eine Verwendung eines Wechselspeichermediums (13) in einer Anordnung umfassend einen ersten Computer (1) und einen zweiten Computer (2).

Description

  • Die Erfindung betrifft ein Verfahren zum Zugang zu einem Betriebssystem in einer verteilten Rechneranordnung, ein Wechselspeichermedium mit einem schreibgeschützten Speicherbereich und eine Verwendung eines Wechselspeichermediums.
  • Aus dem Stand der Technik sind unterschiedliche Verfahren zum Zugang zu einem Betriebssystem in verteilten Rechneranordnungen bekannt.
  • Bei klassischen Client-Server-Systemen, teilweise auch als ”Fat-Client”-Systeme bezeichnet, wird eine spezielle Terminalclientsoftware auf Seiten eines Zugangscomputers eingesetzt, die im Wesentlichen eine Fernsteuerung eines Hostcomputers gestattet, auf den zugegriffen werden soll. Auf dem Hostcomputer läuft dabei eine Terminalserversoftware ab, die Fernzugriffsanfragen, wie beispielsweise Datei- oder Datenbankanfragen des Terminalclientsoftware auf Ressourcen des Hostcomputers beantwortet. Anfragen werden teilweise lokal auf dem Zugangscomputer und teilweise entfernt auf dem Hostcomputer bearbeitet.
  • Bei neueren, so genannten ”Thin Clients” oder Virtualisierungslösungen sind fast alle erforderlichen Hard- und Softwarekomponenten auf Seiten des Hostcomputers angeordnet. In diesem Fall weist der Zugangscomputer nur noch sehr vereinfachte Hardware auf, wie beispielsweise einen so genannten Zero-Client-Chip zum Anzeigen von über ein lokales Netzwerk übertragene Computerausgaben und zum Erfassen und Rückübertragen von Benutzereingaben, beispielsweise über das Remote Desktop Protocol (RDP). Die Ausführung einer gewünschten Anwendung wird dagegen auf Seiten des Hostcomputers durchgeführt, der auch die dafür benötigte Rechenleistung zur Verfügung gestellt.
  • Die bekannten Verfahren eignen sich auch für einen Zugriff auf Funktionen eines Betriebssystems des Hostcomputers von einem entfernten Zugangscomputer. Die Notwendigkeit spezieller Hard- oder Software zum Aufbauen einer Verbindung, wie beispielsweise die Terminalclientsoftware für klassische Client-Server-Lösungen oder die spezielle Zero-Client-Hardware zum Zugang zu Virtualisierungssystemen schränkt diese grundsätzliche Mobilität jedoch teilweise wieder ein. Insbesondere ist es nicht ohne weiteres möglich, von einem fremden Computer, wie beispielsweise einem Computer in einem Internetcafe oder einem privat genutzten Heimcomputer, auf ein Betriebssystem eines Computers am Arbeitsplatz in einem Firmennetzwerk zuzugreifen.
  • Ein bekannter Lösungsansatz besteht darin, Terminalclientsoftware oder andere Zugangssoftware zum Zugriff auf ein Betriebssystem eines Hostcomputers über ein Datennetz, insbesondere das Internet, zum Download zur Verfügung zu stellen und auf dem fremden Computer auszuführen. Dieser Ansatz weist jedoch eine Reihe von Nachteilen und Sicherheitslücken auf.
  • Zum einen muss der Anbieter der Zugangssoftware diese in der Regel in unterschiedlichen Versionen für unterschiedliche Betriebssysteme der möglichen Zugangscomputer bereithalten, beispielsweise einer Version für Mac-OS X, einer Version für Windows XP und einer weiteren Version für Windows 7. Dies führt sowohl zu erhöhtem Aufwand bei der Erstellung und Bereitstellung der Software als auch zu einer Zunahme möglicher Fehlerquellen bei deren Einsatz und Konfiguration.
  • Zum anderen kann seitens des Anbieters nicht sichergestellt werden, in welcher Umgebung die Zugangssoftware ausgeführt wird. Wird die Zugangssoftware beispielsweise unter einem mit Viren verseuchten Betriebssystem ausgeführt, besteht die Möglichkeit, dass Daten, die über die Zugangssoftware dargestellt oder übertragen werden, von einer bösartigen Schadsoftware abgefangen und an. Dritte weitergeleitet werden oder dass die Schadsoftware auf dem Hostcomputer Schäden verursacht. Dies bedeutet insbesondere bei sicherheitsrelevanten Daten aus Unternehmensnetzwerken ein oft erhebliches Sicherheitsrisiko, so dass solche Möglichkeiten zum Zugang zu einem Betriebssystem von einem fremden Computer nicht angeboten werden.
  • Aufgabe der vorliegenden Erfindung ist es, eine Möglichkeit zum sicheren Zugang zu einem Betriebssystem zu beschreiben, die die beschriebenen Probleme löst oder zumindest lindert. Insbesondere soll ein Verfahren und die zu seiner Implementierung notwendige Soft- und Hardwarearchitektur beschrieben werden, die einen derartigen Zugang vor Angriffen durch Viren oder sonstige Schadsoftware schützt.
  • Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Zugang zu einem Betriebssystem in einer verteilten Rechneranordnung mit den folgenden Schritten beschrieben:
    • – Laden eines Hilfsbetriebssystems aus einem schreibgeschützten Bereich eines Wechselspeichermediums,
    • – Ausführen des geladenen Hilfsbetriebssystem auf einem ersten Computer,
    • – Aufbauen einer Datenverbindung zwischen dem ersten Computer und einem zweiten Computer über ein Datennetzwerk unter Kontrolle des Hilfsbetriebssystems,
    • – Ausführen eines Hauptbetriebssystems auf dem zweiten Computer und
    • – fortlaufende Übertragung von Eingaben eines Benutzers von dem ersten Computer über die Datenverbindung an das Hauptbetriebssystem und von Ausgaben des Hauptbetriebssystems über die Datenverbindung an den ersten Computer.
  • Das oben beschriebene Verfahren macht sich zunutze, dass zum Aufbauen einer Datenverbindung zwischen dem ersten Computer, insbesondere einem dem Datennetzwerk unbekannten Zugangscomputer, und einem zweiten Computer, insbesondere einem Hostcomputer in einem geschlossenen Netzwerk, ein Hilfsbetriebssystem aus einem schreibgeschützten Bereich eines Wechselspeichermediums verwendet wird. Durch die Verwendung des Wechselspeichermediums kann ein Nutzer das Hilfsbetriebssystem stets mit sich führen, so dass der Einsatz an praktisch jedem beliebigen Zugangscomputer möglich ist. Dadurch dass das Hilfsbetriebssystem in einem schreibgeschützten Bereich des Wechselspeichermediums gespeichert ist, besteht nicht die Gefahr dass das Hilfsbetriebssystem durch den Zugangscomputer mit einem Virus oder ähnlicher Schadsoftware infiziert wird. Zudem ist es unerheblich, welches Betriebssystem auf dem Zugangscomputer installiert ist, da es zum Aufbauen der Datenverbindung nicht benötigt wird.
  • Gemäß einer vorteilhaften Ausgestaltung ist das Verfahren dadurch gekennzeichnet, dass auf dem zweiten Computer ein Virtualisierungssystem zum Bereitstellen virtueller Computerarbeitsplätze abläuft und das Hauptbetriebssystem auf einem bereitgestellten virtuellen Computerarbeitsplatz ausgeführt wird. Durch die Verwendung eines Virtualisierungssystem kann auch auf Seiten des zweiten Computers, also insbesondere eines Hostcomputers, eine sichere Abschottung des Betriebssystems eines Nutzers gegenüber Betriebssystemen anderer Nutzer oder dem Betriebssystem des Hostcomputers bewirkt werden. Zudem wird das Verfahren dadurch weitgehend unabhängig von der Rechenleistung eines zum Zugang verwendeten ersten Computers, da sämtliche benutzerrelevanten Prozesse auf dem virtuellen Computerarbeitsplatz des zweiten Computers ablaufen.
  • Vorteilhafterweise kann der Programmcode, der zum Aufbauen der Datenverbindung ausgeführt wird, ebenfalls in dem schreibgeschützten Bereich des Wechselspeichermediums gespeichert und unter Kontrolle des Hilfsbetriebssystems ausgeführt werden. In diesem Falle entfällt ein gegebenenfalls zeitaufwändiges und möglicherweise unsicheres Herunterladen von Programmcode zum Aufbauen der Datenverbindung.
  • Gemäß einer weiteren vorteilhaften Ausgestaltung wird eine eindeutige Kennung des Wechselspeichermediums oder eines Benutzers von dem ersten Computer an den zweiten Computer übertragen und die eindeutige Kennung durch den zweiten Computer anhand einer Menge gültiger Kennungen überprüft, wobei ein Zugang zu dem Hauptbetriebssystem verhindert wird, wenn die Überprüfung fehlschlägt. Durch die Übertragung und Überprüfung einer eindeutigen Kennung des Wechselspeichermediums oder eines Benutzers kann das Hauptbetriebssystem gegen unerlaubte Zugriffe geschützt werden.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein Wechselspeichermedium mit wenigstens einem schreibgeschützten Bereich und einem in dem schreibgeschützten Bereich gespeicherten Hilfsbetriebssystem beschrieben, wobei in dem schreibgeschützten Bereich Programmcode zum Ausführen der folgenden Schritte gespeichert ist:
    • – Ausführen des von dem Wechselspeichermedium geladenen Hilfsbetriebssystem auf einem ersten Computer,
    • – Aufbauen einer Datenverbindung zwischen dem ersten Computer und einem zweiten Computer über ein Datennetzwerk unter Kontrolle des Hilfsbetriebssystems,
    • – Übertragen von Eingaben eines Benutzers an den ersten Computer über die Datenverbindung an eine auf den zweiten Computer ausgeführtes Hauptbetriebssystem und
    • – Ausgeben von über die Datenverbindung übertragenen Ausgaben des Hauptbetriebssystem durch den ersten Computer.
  • Ein derartiges Wechselspeichermedium eignet sich zur Umsetzung des oben genannten Verfahrens. Alles was ein Nutzer zum sicheren Zugang zu einem Betriebssystem eines Hostcomputers benötigt, ist auf dem Wechselspeichermedium sicher und frei von Viren gespeichert.
  • Gemäß einer vorteilhaften Ausgestaltung umfasst das Wechselspeichermedium wenigstens einen nicht schreibgeschützten Bereich zum Speichern von Benutzerdaten und/oder temporären Daten des Hilfsbetriebssystems. Durch die Vorsehung eines zusätzlichen, nicht schreibgeschützten Bereichs können weitere Daten, die von dem Benutzer oder dem Hilfsbetriebssystem benötigt werden, außerhalb dem geschützten Speicherbereich des Wechselspeichermediums gespeichert werden.
  • Gemäß einer vorteilhaften Ausgestaltung ist das in dem schreibgeschützten Bereich gespeicherte Hilfsbetriebssystem unabhängig von einer Systemkonfiguration des ersten Computers. Ein derartiges Wechselspeichermedium ermöglicht die größtmögliche Flexibilität beim Zugang zu dem Hauptbetriebssystem des zweiten Computers.
  • Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den nachfolgend beschriebenen Ausführungsbeispielen sowie in den abhängigen Patentansprüchen beschrieben.
  • Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Bezugnahme auf die angehängten Figuren im Detail beschrieben. In den Figuren zeigen:
  • 1 eine verteilte Rechneranordnung umfassend einen ersten Computer und einen zweiten Computer,
  • 2 eine schematische Darstellung eines Wechselspeichermediums und
  • 3 ein Ablaufdiagramm eines Verfahrens zum sicheren Zugang zu einem Betriebssystem.
  • 1 zeigt schematisch eine Anordnung umfassend einen Zugangscomputer 1 und einen Hostcomputer 2. Der Zugangscomputer 1 und der Hostcomputer 2 sind im Ausführungsbeispiel über ein Datennetzwerk miteinander verbunden. Im Ausführungsbeispiel ist der Zugangscomputer 1 an das globale Internet 3 angeschlossen. Der Hostcomputer 2 ist über ein Firmennetzwerk 4 mittelbar ebenfalls mit dem Internet 3 verbunden.
  • Der Zugangscomputer 1 weist im Ausführungsbeispiel unter anderem einen Prozessor 5, eine Festplatte 6, eine Grafikkarte 7, einen USB-Schnittstellencontroller 8 sowie einen Netzwerkschnittstellencontroller 9 auf. An die Grafikkarte 7 ist eine Anzeigeeinheit 10, beispielsweise ein LCD-Bildschirm, angeschlossen. An den USB-Schnittstellencontroller 8 sind unter anderem eine Tastatur 11 sowie eine Computermaus 12 angeschlossen. Über den Netzwerkschnittstellencontroller 9 ist der Zugangscomputer 1 mit dem Internet 3 gekoppelt, beispielsweise über ein Modem oder einen Router eines Heimnetzwerkes.
  • Der Zugangscomputer 1 ist in dem dargestellten Szenario über den USB-Schnittstellencontroller 8 zusätzlich mit einem Wechselspeichermedium 13 in Form eines bootfähigen, so genannten USB Flash Devices (UFD) gekoppelt. Das Wechselspeichermedium 13 umfasst einen schreibgeschützten Bereich 14, in dem Software mit Programmcode zum Zugang zu dem Hostcomputer 2 gespeichert ist. Der Aufbau des Wechselspeichermediums 13 und der in dem schreibgeschützten Bereich 14 gespeicherte Computerprogrammcode werden später unter Bezugnahme auf die 2 und 3 näher beschrieben.
  • Im Ausführungsbeispiel läuft auf dem Hostcomputer 2 ein Virtualisierungssystem 15 ab. Bei dem Virtualisierungssystem 15 handelt es sich üblicherweise um eine Softwarelösung für besonders leistungsfähige Computersysteme, wie insbesondere leistungsfähige Servercomputer mit einer Vielzahl von Prozessoren, beispielsweise Bladesysteme oder Clustersysteme. Das Virtualisierungssystem 15 kann ein eigenständiges Betriebssystem zum Betrieb des Hostcomputers 2 umfassen oder auf bekannte Betriebssysteme, wie beispielsweise das Betriebssystem BS2000/OSD der Firma Fujitsu Technology Solutions aufsetzen.
  • Durch das Virtualisierungssystem 15 werden virtuelle Computerarbeitsplätze 16a bis 16c bereitgestellt, die sich für einen Nutzer des Virtualisierungssystems 15 wie gewöhnliche Einzelcomputer verhalten. Beispielsweise kann auf jedem virtuellen Computersystem 16a bis 16c ein gesondertes, vom oder für den Benutzer vorgegebenes Betriebssystem 17a bis 17c ausgeführt werden.
  • Das Virtualisierungssystem 15 umfasst eine optionale Zugangskontrolle 18, über die der Zugriff einzelner Nutzer zu den ihnen jeweils zugeordneten virtuellen Computerarbeitsplätze 16 kontrolliert wird. Kann ein Nutzer sich gegenüber der Zugangskontrolle 18 nicht in geeigneter Weise authentifizieren, wird entweder der Zugang zu einem bereits innerhalb des Virtualisierungssystem 15 ablaufenden virtuellen Computerarbeitsplatz 16 verhindert oder die Virtualisierung eines Computerarbeitsplatzes 16 erst gar nicht gestartet.
  • Um den Hostcomputer 2 selbst vor Angriffen aus dem Internet 3 so gut wie möglich zu schützen, wird im dargestellten Ausführungsbeispiel ein zweistufiges Sicherheitskonzept verfolgt. Der Hostcomputer 2 ist hinter einem ersten so genannten Firewall 19 angeordnet, der Zugriffe aus dem Internet 3 auf den Teil des Firmennetzwerks 4, in dem der Hostcomputer 2 angeordnet ist, überwacht und gegebenenfalls herausfiltert. Vor dem ersten Firewall 19 befindet sich eine so genannte demilitarisierte Zone 20 (DMZ). Innerhalb der demilitarisierten Zone 20 ist ein aus dem Internet 3 erreichbarer DMZ-Hostcomputer 21 angeordnet, der unter anderem zu einer vorgelagerten Überprüfung von Verbindungsanfragen durch den Zugangscomputer 1 dient. Der DMZ-Hostcomputer 21 ist selbst über eine zweite Firewall 22 mit einem öffentlich zugänglichen Teil des Internets 3 verbunden.
  • In der 2 ist der Aufbau des Wechselspeichermediums 13 schematisch dargestellt. Das Wechselspeichermedium 13 umfasst einen nicht-flüchtigen Speicher 23 sowie einen Mikrocontroller 24. Des Weiteren weist das Wechselspeichermedium 13 eine Datenschnittstelle 25 auf, beispielsweise eine USB-, Firewire- oder sonstige Massenspeicherschnittstelle. Über den Mikrocontroller 24 werden Zugriffe eines Zugangscomputers 1 über die Datenschnittstelle 25 auf den nicht-flüchtigen Speicher 23 gesteuert und gegebenenfalls unterbunden. Darüber hinaus kann der Mikrocontroller 24 weitere Aufgaben ausführen. Hierzu gehört insbesondere eine Verschlüsselung oder Authentifizierung von Daten mittels einer in den Mikrocontroller 24 integrierte Verschlüsselungseinheit 26. Die Verschlüsselungseinheit 26 kann als integrierte oder separate Hardwareeinheit ausgeführt sein oder als auf dem Mikrocontroller ablaufender Programmcode zur Ver- und Entschlüsselung.
  • Der nicht-flüchtige Speicher 23 umfasst im Ausführungsbereich den schreibgeschützten Bereich 14, einen nicht schreibgeschützten Speicherbereich 27 sowie einen Nur-Lesespeicher 28. Der Nur-Lesespeicher 28 kann auch als von dem nicht flüchtigen Speicherbereich 23 gesonderter Speicher in dem Wechselspeichermedium 13 ausgeführt sein.
  • In dem schreibgeschützten Speicherbereich 14 ist ein hardwareunabhängiges Hilfsbetriebssystem 29 gespeichert. Hierbei handelt es sich beispielsweise um die Windows Preinstallation Environment (Windows PE) oder Windows Embedded Standard Seven (Windows WES) der Firma Microsoft. Des Weiteren ist in dem schreibgeschützten Bereich 14 eine Zugangssoftware 30 gespeichert. Die Zugangssoftware 30 umfasst insbesondere Programmcode zum Zugriff auf einen virtuellen Computerarbeitsplatz 16 des Virtualisierungssystems 15. Insbesondere sorgt sie für einen Verbindungsaufbau und die Übermittlung von Ein- und Ausgaben zwischen dem Zugangscomputer 1 und den virtuellen Computerarbeitsplatz 16.
  • In dem optionalen, nicht-schreibgeschützten Speicherbereich 27 sind beispielsweise Arbeitsdaten eines Benutzers, Einstellungsdaten des Hilfsbetriebssystems 29 oder der Zugangssoftware 30 oder temporäre Daten abgespeichert. In dem ebenfalls optionalen Nur-Lesespeicher 28 können beispielsweise eine eindeutige Kennung des Wechselspeichermediums 13 oder ein zur Verschlüsselung durch die Verschlüsselungseinheit 26 verwendeter geheimer Schlüssel abgelegt sein.
  • In der 3 ist ein Ablaufdiagramm eines Verfahrens zum sicheren Zugang zu einem Betriebssystem dargestellt. Das nachfolgend beschriebene Verfahren eignet sich beispielsweise zum Zugang zu einem der Betriebssystem 17a bis 17c der virtuellen Computerarbeitsplätze 16a bis 16c.
  • In einem ersten Schritt 31 wird das Hilfsbetriebssystem 29 aus dem schreibgeschützten Bereich 14 des Wechselspeichermediums 13 auf den Zugangscomputer 1 geladen. Hierzu wird das Wechselspeichermedium 13 bereits vor Start des Zugangscomputers 1 an einer freien USB-Schnittstelle oder eine ähnliche geeignete Datenschnittstelle angeschlossen. Nachfolgend wird der Zugangscomputer 1 gestartet, wobei das Hilfsbetriebssystem 29 von dem Speichermedium 13 in dessen Hauptspeicher geladen wird. Ein gegebenenfalls auf der Festplatte 6 gespeichertes Betriebssystem, dessen Art und Sicherheitszustand gegebenenfalls unbekannt ist, wird dagegen nicht geladen.
  • In einem nachfolgenden Schritt 32 wird das geladene Hilfsbetriebssystem 29 durch den Zugangscomputer 1 ausgeführt. Hierzu wird insbesondere der in dem Hilfsbetriebssystem 29 enthaltene Programmcode durch den Prozessor 5 des Zugangscomputers 1 ausgeführt. Beispielsweise wird der Zugangscomputer mit einer Standardumgebung mit eingeschränkter Funktionalität gebootet. Optional kann das Hilfsbetriebssystem 29 selbst eine Zugangskontrolle enthalten, die einen Nutzer beispielsweise zur Eingabe eines gültigen Passworts vor der Ausführung weiterer Prozesse auffordert.
  • In einem weiteren Schritt 33 wird eine Datenverbindung zwischen dem Zugangscomputer 1 und dem Hostcomputer 2 aufgebaut. Der Schritt 32 umfasst im dargestellten Ausführungsbeispiel mehrere Unterschritte.
  • Gemäß einem ersten Unterschritt 34 wird die Zugangssoftware 30 aus dem schreibgeschützten Bereich 14 in den Zugangscomputer 1 geladen und dort von dem Prozessor 5 ausgeführt.
  • In einem nachfolgenden Unterschritt 35 werden zum Aufbau der Datenverbindung benötigte Zugangsdaten geladen. Beispielsweise können die Zugangsdaten aus dem schreibgeschützten Bereich 14 oder dem nicht schreibgeschützten Bereich 27 des Wechselspeichermediums 13 geladen werden. Ändern sich solche Zugangsdaten jedoch dynamisch, kann es vorteilhaft sein, die Zugangsdaten dynamisch über das Internet 3 zu laden. In der in der 1 dargestellten Sicherheitsarchitektur werden die Zugangsdaten beispielsweise von dem DMZ-Hostcomputer 21 bereitgestellt. Dazu baut die Zugangssoftware 30 zunächst eine erste Datenverbindung zu dem DMZ-Hostcomputer 21 auf, der in der demilitarisierten Zone 20 angeordnet ist und beispielsweise eine feste Zugangsadresse aufweist. Der DMZ-Hostcomputer 21 überprüft daraufhin beispielsweise eine Kennung des Wechselspeichermediums 13 oder eine von der Verschlüsselungseinheit 26 codierte Nachricht und überträgt die zum Zugang zu dem Hostcomputer 2 erforderlichen Daten erst nach erfolgreicher Authentifizierung des Wechselspeichermediums 13. Beispielsweise kann der DMZ-Hostcomputer 21 Daten zum Aufbau eines so genannten IP-Tunnels zwischen dem Hostcomputer 2 in den geschützten Bereich des Firmennetzwerks 4 hinter dem ersten Firewall 19 und dem Zugangscomputer 1 bereitstellen.
  • In einem nachfolgenden Unterschritt 36 kann die Zugangssoftware 30 unter Verwendung der geladenen Zugangsdaten dann eine Verbindung, beispielsweise über einen IP-Tunnel, zu dem Hostcomputer 2 und insbesondere zu dessen Virtualisierungssystem 15 aufbauen. Zum Aufbau der Datenverbindung zwischen dem Zugangscomputer 1 und dem Hostcomputer 2 ist gegebenenfalls eine erneute Authentifizierung, entweder mit derselben Kennung oder demselben Passwort oder einem zusätzlichen Passwort erforderlich. Beispielsweise kann die Zugangskontrolle 18 von dem Nutzer des Zugangscomputers 1 die Eingabe eines Benutzernamens und eines Passworts anfordern, die über eine lokale Benutzerdatenbank des Hostcomputers 2 oder des Virtualisierungssystems 15 abgeglichen wird.
  • Gemäß einer optionalen Ausgestaltung wird im Unterschritt 36 eine durch Verschlüsselung gesicherte Datenverbindung aufgebaut, wobei Parameter oder Schlüssel zur Verschlüsselung in den geladenen Zugangsdaten, in dem schreibgeschützten Bereich 27 oder in dem Nur-Lesespeicher 28 enthalten sind. Wird eine Ver- und Entschlüsselung durch die Verschlüsselungseinheit 26 des Wechselspeichermediums 13 ausgeführt, kann der Zugangscomputer 1 keine Kenntnis von dem verwendeten Schlüssel erlangen. Selbstverständlich kann eine Verschlüsselung alternativ oder zusätzlich auch mittels Software entweder durch den Mikrocontroller 24 oder durch einen Prozessor des Zugangscomputers 1 ausgeführt werden.
  • Ist die Verbindung aufgebaut und der Benutzer erfolgreich authentifiziert, wird im Schritt 37 das Betriebssystem 17 ausgeführt. Beispielsweise kann ein virtueller Computerarbeitsplatz 16 innerhalb des Virtualisierungssystem 15 eingerichtet werden und ein für den Benutzer vorgesehenes Betriebssystems 17a in den virtuellen Computerarbeitsplatz 16a geladen werden. Selbstverständlich ist es auch möglich, ein bereits auf dem Hostcomputer 2 ausgeführtes Betriebssystem lediglich für den Nutzer des Zugangscomputers 1 freizugeben.
  • Im nachfolgenden Schritt 38 werden Daten, die von dem Benutzer des Zugangscomputers 1 beispielsweise über die Tastatur 11 oder die Computermaus 12 eingegeben werden, über die Zugangssoftware 30 an den Hostcomputer 2 und das darin ablaufende Betriebssystem 17a übertragen. Hierfür eignet sich beispielsweise das Remote Desktop Protocol (RDP). Das Betriebssystem 17a reagiert auf die Benutzereingaben und erzeugt Ausgabedaten, beispielsweise komprimierte Videodaten, die im Schritt 39 zurück über die Datenverbindung an die Zugangssoftware 30 übertragen werden. Die Zugangssoftware 30 stellt die Ausgaben des Betriebssystems 17a über die Grafikkarte 7 und die Anzeigeeinheit 10 auf Seiten des Zugangscomputers 1 für den Benutzer an.
  • Die Schritte 38 und 39 werden parallel zueinander und fortlaufend so lange durchgeführt, bis die Verbindung durch den Nutzer des Zugangscomputers 1 oder eine Steuerkomponente des Hostsystems 2 bzw. des Virtualisierungssystems 15 abgebrochen wird.
  • Die beschriebene Anordnung, Vorrichtungen und Verfahren weisen den Vorteil auf, dass ein Zugang zu den virtuellen Computerarbeitsplätzen 16 beziehungsweise einem darin ablaufenden Betriebssystem 17 unabhängig von einer konkreten Konfiguration des Zugangscomputers 1 und insbesondere sicher vor darauf eventuelle vorhandenen Viren ausgeführt werden kann. Auf diese Weise ist es einem Nutzer möglich, von überall her auf seine bekannte Arbeitsumgebung, die Teil des virtuellen Computerarbeitsplatzes 16 bildet, zuzugreifen. Ein solcher Zugriff kann beispielsweise von einem Heimcomputer mit einer Internetanbindung oder auch von einem Internet-PC unterwegs erfolgen.
  • Bezugszeichenliste
    • 1
    Zugangscomputer
    2
    Hostcomputer
    3
    Internet
    4
    Firmennetzwerk
    5
    Prozessor
    6
    Festplatte
    7
    Grafikkarte
    8
    USB-Schnittstellencontroller
    9
    Netzwerkschnittstellencontroller
    10
    Anzeigeeinheit
    11
    Tastatur
    12
    Computermaus
    13
    Wechselspeichermedium
    14
    schreibgeschützter Speicherbereich
    15
    Virtualisierungssystem
    16
    virtueller Computerarbeitsplatz
    17
    Betriebssystem
    18
    Zugangskontrolle
    19
    erster Firewall
    20
    demilitarisierte Zone
    21
    DMZ-Host-Computer
    22
    zweiter Firewall
    23
    nicht-flüchtiger Speicher
    24
    Mikrocontroller
    25
    Datenschnittstelle
    26
    Verschlüsselungseinheit
    27
    nicht schreibgeschützter Speicherbereich
    28
    Nur-Lesespeicher
    29
    Hilfsbetriebssystem
    30
    Zugangssoftware
    31–39
    Verfahrensschritte

Claims (11)

  1. Verfahren zum Zugang zu einem Betriebssystem (17) in einer verteilten Rechneranordnung mit den Schritten: – Laden eines Hilfsbetriebssystems (29) aus einem schreibgeschützten Bereich (14) eines Wechselspeichermediums (13); – Ausführen des geladenen Hilfsbetriebssystems (29) auf einem ersten Computer (1); – Aufbauen einer Datenverbindung zwischen dem ersten Computer (1) und einem zweiten Computer (2) über ein Datennetzwerk (3, 4) unter Kontrolle des Hilfsbetriebssystems (29); – Ausführen eines Hauptbetriebssystems (17) auf dem zweiten Computer (2); und – fortlaufende Übertragung von Eingaben eines Benutzers von dem ersten Computer (1) über die Datenverbindung an das Hauptbetriebssystem (17) und von Ausgaben des Hauptbetriebssystems (17) über die Datenverbindung an den ersten Computer (1).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass auf dem zweiten Computer (2) ein Virtualisierungssystem (15) zum Bereitstellen virtueller Computerarbeitsplätze (16) abläuft und das Hauptbetriebssystem (17) auf einem bereitgestellten virtuellen Computerarbeitsplatz (16) ausgeführt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Schritt des Aufbauens der Datenverbindung die folgenden Schritte umfasst: – Laden von Programmcode aus dem schreibgeschützten Bereich (14) des Wechselspeichermediums (13); und – Ausführen des geladenen Programmcodes auf dem ersten Computer (1) unter Kontrolle des Hilfsbetriebssystems (29).
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Schritt des Aufbauens der Datenverbindung folgende Schritte umfasst: – Herstellen einer ersten Verbindung zu einem in einer demilitarisierten Zone (20) angeordneten dritten Computer (21) mit einer vorbestimmten, auf dem Wechselspeichermedium (13) gespeicherten Adresse; – Übertragen von Zugangsdaten von dem dritten Computer (21) an den ersten Computer (1); und – Herstellen einer gesicherten zweiten Verbindung zwischen dem ersten Computer (1) und dem zweiten Computer (2) unter Verwendung der übertragenen Zugangsdaten, wobei der zweite Computer (2) in einer geschützten Zone angeordnet ist.
  5. Verfahren nach Anspruch 4, gekennzeichnet durch die zusätzlichen Schritte: – Übertragen einer eindeutigen Kennung des Wechselspeichermediums (13) oder eines Benutzers von dem ersten Computer (1) an den dritten Computer (21); und – Überprüfen der eindeutigen Kennung durch den dritten Computer (21) anhand einer Menge gültiger Kennungen, wobei die Übertragung von Zugangsdaten von dem dritten Computer (21) an den ersten Computer (1) verhindert wird, wenn die Überprüfung fehlschlägt.
  6. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Schritt des Aufbauens der Datenverbindung folgende Schritte umfasst: – Laden von Zugangsdaten zum Aufbauen einer gesicherten Datenverbindung aus dem schreibgeschützten Bereich (14) des Speichermediums (13); und – Herstellen einer gesicherten Verbindung zwischen dem ersten Computer (1) und dem zweiten Computer (2) unter Verwendung der geladenen Zugangsdaten.
  7. Verfahren nach einem der Ansprüche 1 bis 6, gekennzeichnet durch die zusätzlichen Schritte: – Übertragen einer eindeutigen Kennung des Wechselspeichermediums (13) oder eines Benutzers von dem ersten Computer (1) an den zweiten Computer (2); und – Überprüfen der eindeutigen Kennung durch den zweiten Computer (2) anhand einer Menge gültiger Kennungen, wobei ein Zugang zu dem Hauptbetriebssystem (17) verhindert wird, wenn die Überprüfung fehlschlägt.
  8. Wechselspeichermedium (13) mit wenigstens einem schreibgeschützten Speicherbereich (14) und einem in dem schreibgeschützten Speicherbereich (14) gespeicherten Hilfsbetriebssystem (29), wobei in dem schreibgeschützten Speicherbereich (14) Programmcode zum Ausführen der folgenden Schritte gespeichert ist: – Ausführen des von dem Wechselspeichermediums (13) geladenen Hilfsbetriebssystems (29) auf einem ersten Computer (1); – Aufbauen einer Datenverbindung zwischen dem ersten Computer (1) und einem zweiten Computer (2) über ein Datennetzwerk (3, 4) unter Kontrolle des Hilfsbetriebssystems (29); – Übertragen von Eingaben eines Benutzers an dem ersten Computer (1) über die Datenverbindung an ein auf dem zweiten Computer (2) ausgeführtes Hauptbetriebssystem (17); und – Ausgeben von über die Datenverbindung übertragenen Ausgaben des Hauptbetriebssystems (17) durch den ersten Computer (1).
  9. Wechselspeichermedium (13) nach Anspruch 8, gekennzeichnet durch wenigstens einen nicht schreibgeschützten Speicherbereich (27) zum Speichern von Benutzerdaten und/oder temporären Daten des Hilfsbetriebssystems (29).
  10. Wechselspeichermedium (13) nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass das in dem schreibgeschützten Speicherbereich (14) gespeicherte Hilfsbetriebssystem (29) unabhängig von einer Systemkonfiguration des ersten Computers (1) ist.
  11. Verwendung eines Wechselspeichermediums (13) nach einem der Ansprüche 8 bis 10 in einer Anordnung umfassend: – einen ersten Computer (1) mit einer Schnittstelle zum Anschluss des Wechselspeichermediums (13) und einem Prozessor (5) zum Ausführen des auf dem Wechselspeichermedium (13) gespeicherten Hilfsbetriebssystems (29) sowie – einen zweiten Computer (2) mit wenigstens einen Prozessor zum Ausführen eines Hauptbetriebssystems (17), wobei der erste Computer (1) und der zweite Computer (2) über wenigstens ein Datennetzwerk (3, 4) miteinander verbunden sind.
DE102010052246A 2010-11-23 2010-11-23 Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums Withdrawn DE102010052246A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102010052246A DE102010052246A1 (de) 2010-11-23 2010-11-23 Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums
PCT/EP2011/066902 WO2012069239A1 (de) 2010-11-23 2011-09-28 Verfahren zum zugang zu einem betriebssystem, wechselspeichermedium und verwendung eines wechselspeichermediums
US13/884,992 US9871887B2 (en) 2010-11-23 2011-09-28 Method for access to an operating system, removable memory medium and use of a removable memory medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010052246A DE102010052246A1 (de) 2010-11-23 2010-11-23 Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums

Publications (1)

Publication Number Publication Date
DE102010052246A1 true DE102010052246A1 (de) 2012-05-24

Family

ID=44789441

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010052246A Withdrawn DE102010052246A1 (de) 2010-11-23 2010-11-23 Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums

Country Status (3)

Country Link
US (1) US9871887B2 (de)
DE (1) DE102010052246A1 (de)
WO (1) WO2012069239A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9268517B2 (en) * 2011-12-07 2016-02-23 Adobe Systems Incorporated Methods and systems for establishing, hosting and managing a screen sharing session involving a virtual environment
US9870462B2 (en) * 2014-09-22 2018-01-16 Intel Corporation Prevention of cable-swap security attack on storage devices

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090204964A1 (en) * 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003226128A1 (en) * 2002-03-27 2003-10-13 First Virtual Communications System and method for traversing firewalls with protocol communications
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US9525666B2 (en) * 2005-01-31 2016-12-20 Unisys Corporation Methods and systems for managing concurrent unsecured and cryptographically secure communications across unsecured networks
AU2006333118B2 (en) * 2005-12-15 2011-06-09 Barclays Capital Inc System and method for secure remote desktop access
WO2007127188A2 (en) * 2006-04-24 2007-11-08 Encryptakey, Inc. Portable device and methods for performing secure transactions
GB0706810D0 (en) * 2007-04-05 2007-05-16 Becrypt Ltd System for providing a secure computing environment
US20120150992A1 (en) * 2007-09-10 2012-06-14 Stephen Mark Mays System and method for providing computer services
US20120011354A1 (en) * 2010-07-02 2012-01-12 Encryptakey, Inc. Boot loading of secure operating system from external device
US20120110567A1 (en) * 2010-10-28 2012-05-03 Peter Lyons Operating system installation using build plans

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090204964A1 (en) * 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform

Also Published As

Publication number Publication date
WO2012069239A1 (de) 2012-05-31
US20130290396A1 (en) 2013-10-31
US9871887B2 (en) 2018-01-16

Similar Documents

Publication Publication Date Title
DE112015004555B4 (de) Verarbeiten eines Gast-Ereignisses in einem von einem Hypervisor gesteuerten System
DE102011103218B4 (de) Systeme, Verfahren und Vorrichtung zum Virtualisieren von TPM- Zugriffen
DE10393456B4 (de) Verkapselung einer TCPA-vertrauenswürdigen Plattformmodulfunktionalität innerhalb eines Server-Management-Coprozessor-Subsystems
EP3437012B1 (de) Verfahren, prozessor und gerät zur integritätsprüfung von nutzerdaten
DE112005003479B4 (de) Ein Verfahren zum Realisieren einer Netzzugriffsauthentifizierung
DE102008006759B4 (de) Prozessor-Anordnung und Verfahren zum Betreiben der Prozessor-Anordnung ohne Verringerung der Gesamtsicherheit
DE112014000965T5 (de) Verarbeiten eines Gastereignisses in einem hypervisorgesteuerten System
DE112015005024T5 (de) Öffnen lokaler Anwendungen von Browsern
DE112006001933B4 (de) Stillegen eines Prozessorbusagenten
DE102015118886A1 (de) Lizenzieren in der Cloud
DE112011105752T5 (de) Webbasierte Schnittstelle zum Zugriff auf eine Funktion eines Basic Input/Output-Systems
DE112011105745B4 (de) Bereitstellen einer Funktion eines Basisdatenaustauschsystems (BIOS) in einer privilegierten Domain
DE202014011092U1 (de) Sicherheitsarchitektur für virtuelle Maschinen
DE102011051498A1 (de) Gesicherter Zugriff auf Daten in einem Gerät
DE112018004465T5 (de) Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen
WO2020074354A1 (de) Verfahren und vorrichtung zur isolation von sensiblem nicht-vertrauenswürdigem programmcode auf mobilen endgeräten
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
WO2018114292A1 (de) Verfahren zum abgesicherten hochfahren eines computersystems, sowie anordnung, umfassend ein computersystem und ein an das computersystem angeschlossenes externes speichermedium
EP3152874B1 (de) Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt
EP1705592A2 (de) Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE102010052246A1 (de) Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums
EP3105899B1 (de) Verfahren zum hochfahren eines produktions-computersystems
DE102015223078A1 (de) Vorrichtung und Verfahren zum Anpassen von Berechtigungsinformationen eines Endgeräts
EP3595256A1 (de) Vorrichtung und verfahren zum betreiben einer durch software gestalteten verarbeitungseinheit für ein gerät

Legal Events

Date Code Title Description
R016 Response to examination communication
R084 Declaration of willingness to licence

Effective date: 20110413

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee