DE102014210434A1 - Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung - Google Patents

Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung Download PDF

Info

Publication number
DE102014210434A1
DE102014210434A1 DE102014210434.3A DE102014210434A DE102014210434A1 DE 102014210434 A1 DE102014210434 A1 DE 102014210434A1 DE 102014210434 A DE102014210434 A DE 102014210434A DE 102014210434 A1 DE102014210434 A1 DE 102014210434A1
Authority
DE
Germany
Prior art keywords
communication connection
identification feature
secure
case
secured
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102014210434.3A
Other languages
English (en)
Other versions
DE102014210434B4 (de
Inventor
Bernd Kultermann
Torsten Grawunder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rohde and Schwarz SIT GmbH
Original Assignee
Rohde and Schwarz SIT GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rohde and Schwarz SIT GmbH filed Critical Rohde and Schwarz SIT GmbH
Priority to DE102014210434.3A priority Critical patent/DE102014210434B4/de
Publication of DE102014210434A1 publication Critical patent/DE102014210434A1/de
Application granted granted Critical
Publication of DE102014210434B4 publication Critical patent/DE102014210434B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein System zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen einer ersten Vorrichtung (11, 12, ..., 1N) und einer zweiten Vorrichtung (3) mittels einer mit der zweiten Vorrichtung (3) untrennbar verbundenen dritten Vorrichtung (2) baut jeweils eine gesicherte erste Kommunikationsverbindung (41, 42, ..., 4N) zwischen der einen ersten Vorrichtung (11, 12, ..., 1N) und der dritten Vorrichtung (2) auf. Die dritte Vorrichtung (2) vergibt ein erstes Identifikationsmerkmal an die erste Vorrichtung (11, 12, ..., 1N) über die jeweilige gesicherte erste Kommunikationsverbindung (41, 42, ..., 4N). Es wird eine gesicherte zweite Kommunikationsverbindung (9) zwischen der dritten Vorrichtung und der zweiten Vorrichtung aufgebaut, falls Identität zwischen der von der jeweiligen ersten Vorrichtung (11, 12, ..., 1N) über die jeweilige gesicherte erste Kommunikationsverbindung (41, 42, ..., 4N) übertragenen jeweiligen ersten Identifikationsmerkmal und einem zugehörigen, in der dritten Vorrichtung (2) gespeicherten ersten Referenz-Identifikationsmerkmal besteht und ein von der dritten Vorrichtung (2) überprüfbarer Zustand eintritt.

Description

  • Die Erfindung betrifft ein Verfahren und ein System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung.
  • Die Interaktion zwischen einem Anwender und einem Gerät bzw. einem System in einem sicherheitsrelevanten Bereich erfolgt typischerweise mittels einer Chipkarte, die dem Anwender vom Betreiber des Gerätes bzw. des Systems ausgestellt wird und über die sich der Anwender authentisieren kann. Eine erfolgreiche Authentisierung des Anwenders durch das Gerät bzw. das System ermöglicht es dem Anwender, mit dem Gerät bzw. dem System in eine gesicherte Kommunikationsverbindung zu treten.
  • Alternativ kann anstelle der Chipkarte auch ein Datenendgerät eingesetzt werden, für das dem Anwender vom Betreiber eine Zugangsberechtigung ausgestellt wurde und über das ebenfalls eine gesicherte Kommunikationsverbindung mit dem Gerät bzw. mit dem System aufgebaut werden kann.
  • Der Aufbau der gesicherten Kommunikationsverbindung und die weiteren Schritte der Authentisierung des Anwenders der Chipkarte bzw. des Datenendgeräts beim Gerät bzw. System des Betreibers erfolgt typischerweise über Identifikationsmerkmale und weitere Geheimnisse, die dem Anwender vom Betreiber vergeben werden und die auf der Chipkarte bzw. auf dem Datenendgerät abgespeichert sind. Diese Identifikationsmerkmale werden im Rahmen einer Authentifizierung des Anwenders mittels Referenz-Identifikationsmerkmalen beim Gerät bzw. System des Betreibers verifiziert.
  • Das Anwendungsspektrum derartiger sicherheitsbasierter Systeme ist vielfältig:
    Nachdem ein Anwender sich bei einem Verschlüsselungsgerät – einem so genannten Kryptogerät – mithilfe von Identifikationsmerkmalen auf einer ihm ausgestellten Chipkarte authentisiert hat, kann er beispielsweise eine programmierbare elektronische Schaltung innerhalb des Verschlüsselungsgeräts mit Konfigurationsdaten, die auf der Chipkarte gespeichert sind, kundenspezifisch, d.h. personalisiert, konfigurieren.
  • In einem anderen Beispiel kann sich ein Anwender über sein zugeordnetes Datenendgerät in einer Datenverarbeitungseinheit mit integrierter Datenbank, in der sensible Unternehmensdaten geschützt abgespeichert sind, authentisieren und die in der Unternehmensdatenbank enthaltenen sensiblen Unternehmensdaten abfragen.
  • Der Authentifizierung des Anwenders über seine Chipkarte bzw. über sein Datenendgerät beim Gerät bzw. System des Betreibers geht eine Initialisierung der Chipkarte bzw. des Datenendgeräts beim Gerät bzw. System des Betreibers voraus, in der zwischen der Chipkarte bzw. dem Datenendgerät und dem Gerät bzw. System des Betreibers gemeinsame Geheimnisse – beispielsweise gemeinsame Schlüssel, ein gemeinsames Verschlüsselungsverfahren und gemeinsame Identifikationsmerkmale – zum Aufbau einer gesicherten Kommunikationsverbindung und zur Identifizierung des Anwenders der Chipkarte bzw. des Datenendgeräts ausgetauscht werden. Der gemeinsame Schlüssel, das gemeinsame Verschlüsselungsverfahren und die Identifikationsmerkmale werden vom Betreiber vorgegeben und werden zwischen dem Gerät bzw. System des Betreibers und der Chipkarte bzw. dem Datenendgerät des zukünftigen Anwenders in einer Initialisierung typischerweise am Ende der Herstellungsphase des Geräts bzw. Systems des Betreibers und der Chipkarte bzw. des Datenendgeräts transferiert.
  • Diese Initialisierung der Chipkarte bzw. des Datenendgeräts wird auch als Personalisierung der Chipkarte bzw. des Datenendgeräts bezeichnet und ist in der US 2013/0166902 A1 beschrieben.
  • Durch die Initialisierung kommt es zu einer festen Bindung auf Dauer zwischen der Chipkarte bzw. dem Endgerät des Anwenders und dem Gerät bzw. System des Betreibers. Diese feste Bindung kann nachteilig weder durch den Anwender der Chipkarte bzw. des Endgeräts, der die Chipkarte bzw. das Endgerät nicht manipulieren kann, noch vom Betreiber des Geräts bzw. des Systems, der ebenfalls keine Eingriffsmöglichkeit in den sicherheitsrelevanten Bereich des Gerätes bzw. Systems besitzt, aufgelöst werden.
  • Aufgabe der Erfindung ist es deshalb, ein Verfahren und ein System zu schaffen, mit dem die zwischen Chipkarte bzw. Endgerät eines oder mehrerer Anwender und dem Gerät bzw. System eines Betreibers nach der Initialisierung etablierte gesicherte Kommunikationsverbindung wieder auflösbar und von neuem reaktivierbar wird.
  • Die Aufgabe wird durch ein erfindungsgemäßes Verfahren zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung und einer zweiten Vorrichtung mit den Merkmalen des Patentanspruchs 1 und durch ein erfindungsgemäßes System zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung und einer zweiten Vorrichtung mit den Merkmalen des Patentanspruchs 18 gelöst. Vorteilhafte technische Erweiterungen sind in den jeweils abhängigen Patentansprüchen aufgeführt.
  • Erfindungsgemäß wird eine dritte Vorrichtung eingeführt, die bevorzugt mit der zweiten Vorrichtung – dem Gerät bzw. System des Betreibers – untrennbar verbunden ist, beispielsweise in einer festen mechanischen Verbindung steht. Zwischen dieser dritten Vorrichtung und mindestens einer ersten Vorrichtung – z.B. der Chipkarte bzw. dem Datenendgerät eines zukünftigen Anwenders – wird in einer Initialisierung – bevorzugt am Ende des Herstellungsprozesses – eine gesicherte erste Kommunikationsverbindung aufgebaut, indem der ersten Vorrichtung von der dritten Vorrichtung ein gemeinsames Geheimnis, bevorzugt ein verschlüsseltes gemeinsames Geheimnis, übertragen wird. Bei diesem gemeinsamen Geheimnis handelt es sich bevorzugt um einen gemeinsamen Schlüssel und ein gemeinsames Verschlüsselungsverfahren zum Verschlüsseln der über die gesicherte erste Kommunikationsverbindung übertragenen Daten.
  • Zusätzlich wird von der dritten Vorrichtung ebenfalls im Initialisierungsprozess über die gesicherte erste Kommunikationsverbindung zumindest einer ersten Vorrichtung jeweils zumindest ein erstes Identifikationsmerkmal – beispielsweise eine Identifikationsnummer – übertragen und in der jeweiligen ersten Vorrichtung abgespeichert. Die dritte Vorrichtung speichert die zu den jeweiligen ersten Identifikationsmerkmalen jeweils identischen Referenz-Identifikationsmerkmale ab.
  • Beabsichtigt der Anwender mit der ihm zugewiesenen ersten Vorrichtung einen gesicherten Zugriff auf die zweite Vorrichtung durchzuführen, so wird zwischen der ersten Vorrichtung und der dritten Vorrichtung eine gesicherte erste Kommunikationsverbindung aufgebaut und es werden über diese gesicherte erste Kommunikationsverbindung die ersten Identifikationsmerkmale von der ersten Vorrichtung zur dritten Vorrichtung übertragen und dort mit der für die jeweilige erste Vorrichtung abgespeicherten Referenz-Identifikationsmerkmalen auf Identität verglichen.
  • Stellt die dritte Vorrichtung eine Identität zwischen den von der ersten Vorrichtung übertragenen ersten Identifikationsmerkmalen und der in der dritten Vorrichtung abgespeicherten Referenz-Identifikationsmerkmalen fest, so wird zwischen der dritten Vorrichtung und der zweiten Vorrichtung eine gesicherte zweite Kommunikationsverbindung aufgebaut und damit eine gesicherte Kommunikation zwischen der jeweiligen ersten Vorrichtung und der zweiten Vorrichtung realisiert, falls erfindungsgemäß die dritte Vorrichtung zusätzlich das Eintreten eines überprüfbaren Zustands identifiziert hat.
  • Zum Aufbau der gesicherten zweiten Kommunikationsverbindung wird bevorzugt ein gemeinsames Geheimnis zwischen der dritten Vorrichtung und der zweiten Vorrichtung ausgetauscht. Auf diese Weise ist jeder Anwender, dem vom Betreiber jeweils eine erste Vorrichtung zugewiesen wurde, jeweils in der Lage, eine gesicherte Kommunikation und damit einen gesicherten Zugriff auf die zweite Vorrichtung des Betreibers zu realisieren.
  • Durch die erfindungsgemäße zusätzliche Prüfung des Eintretens eines überprüfbaren Zustands durch die dritte Vorrichtung ist es möglich, durch „einen Dritten“ – d.h. durch eine technische Einrichtung oder durch eine autorisierte Person, die jeweils den überprüfbaren Zustand beeinflussen können – eine gesicherte Kommunikation zwischen einer ersten Vorrichtung und der zweiten Vorrichtung in Abhängigkeit des Vorliegens des Zustandes zu aktivieren, zu deaktivieren und/oder zu reaktivieren.
  • Der von der dritten Vorrichtung überprüfbare Zustand kann bevorzugt ein fehlerfreier Betrieb der zweiten Vorrichtung sein. Alternativ können aber auch Zustände von technischen Einrichtungen außerhalb der zweiten bzw. dritten Vorrichtung, die mit der zweiten Vorrichtung in einer technischen Beziehung stehen, von der dritten Vorrichtung überprüft werden. Schließlich kann der von der dritten Vorrichtung überprüfbare Zustand auch vom Betreiber der zweiten Vorrichtung als hierzu autorisierte Person beeinflussbar sein. Dies kann beispielsweise mittels eines so genannten „remote-zeroizing“ (deutsch: Nullzusetzen eines Zustands mittels Mobilfunksignal) erfolgen.
  • Neben dem Abbrechen, d.h. Sperren, der gesicherten zweiten Kommunikationsverbindung zwischen dritter und zweiter Vorrichtung werden durch die dritte Vorrichtung bei Eintreten des von der dritten Vorrichtung überprüfbaren Zustandes vorzugsweise sämtliche zu den ersten Vorrichtungen jeweils gehörigen ersten Referenz-Identifikationsmerkmale gelöscht. Auf diese Weise ist der durch die dritte Vorrichtung jeweils durchgeführte Vergleich zwischen von einer ersten Vorrichtung jeweils übertragenen ersten Identifikationsmerkmalen und den zur jeweiligen ersten Vorrichtung gehörigen Referenz-Identifikationsmerkmalen nicht mehr möglich. Dieser fehlende Vergleich kann durch die dritte Vorrichtung auch nicht mehr rückgängig gemacht werden und kann durch die dritte Vorrichtung auch nicht verhindert werden. Die gesicherte zweite Kommunikationsverbindung zwischen dritter und zweiter Vorrichtung bleibt somit gesperrt, so dass eine gesicherte Kommunikation zwischen der jeweiligen ersten Vorrichtung und der zweiten Vorrichtung bis auf weiteres nicht möglich ist.
  • Eine Reaktivierung der Kommunikation zwischen einer ersten Vorrichtung und der zweiten Vorrichtung ist bevorzugt erst wieder möglich, wenn der von der dritten Vorrichtung überprüfbare Zustand wieder eintritt. In diesem Fall vergibt die dritte Vorrichtung bevorzugt ein weiteres erstes Identifikationsmerkmal, das sich von dem ersten Identifikationsmerkmal unterscheidet, an mindestens eine erste Vorrichtung über die jeweilige gesicherte erste Kommunikation. Mit dem von der dritten Vorrichtung vergebenen weiteren ersten Identifikationsmerkmal überschreibt die jeweilige erste Vorrichtung das bisher gespeicherte erste Identifikationsmerkmal. Die dritte Vorrichtung speichert das zum weiteren ersten Identifikationsmerkmal gehörige Referenz-Identifikationsmerkmal ebenfalls ab.
  • In einer ersten bevorzugten erfindungsgemäßen Ausführungsform ist das erste Identifikationsmerkmal für jede erste Vorrichtung jeweils identisch. Ebenfalls ist in der ersten bevorzugten erfindungsgemäßen Ausführungsform ein weiteres erstes Identifikationsmerkmal für jede erste Vorrichtung jeweils identisch. Der Implementierungsaufwand ist hierbei minimiert, da nur ein erstes Referenz-Identifikationsmerkmal in der dritten Vorrichtung gespeichert werden muss und die Authentifizierung jeder ersten Vorrichtung durch die dritte Vorrichtung sich stark vereinfacht.
  • In einer ersten Variante der ersten bevorzugten erfindungsgemäßen Ausführungsform vergibt die dritte Vorrichtung während der Initialisierung am Herstellungsende der zweiten bzw. dritten Vorrichtung und einer ersten Vorrichtung über eine gesicherte erste Kommunikationsverbindung nur einer einzigen ersten Vorrichtung ein erstes Identifikationsmerkmal. Ein System zur Verwaltung von Geheimnissen baut mit dieser ersten Vorrichtung eine gesicherte dritte Kommunikationsverbindung auf und erhält über die gesicherte dritte Kommunikationsverbindung von dieser ersten Vorrichtung das zugehörige erste Identifikationsmerkmal und überträgt dieses erste Identifikationsmerkmal zu einem späteren Zeitpunkt – zum Zeitpunkt der Zuweisung der weiteren ersten Vorrichtungen an jeweils einen Anwender – ebenfalls in einer Initialisierung über jeweils eine gesicherte dritte Kommunikationsverbindung an jede weitere erste Vorrichtung.
  • In einer zweiten Variante der ersten bevorzugten erfindungsgemäßen Ausführungsform wird dieses erste Identifikationsmerkmal während der Initialisierung am Herstellungsende der zweiten bzw. dritten Vorrichtung und aller ersten Vorrichtungen von der dritten Vorrichtung über jeweils eine gesicherte erste Kommunikationsverbindung an jede erste Vorrichtung zur Speicherung übertragen.
  • In einer zweiten erfindungsgemäßen Ausführungsform wird von der dritten Vorrichtung jeder ersten Vorrichtung jeweils ein unterschiedliches erstes Identifikationsmerkmal und zu einem späteren Zeitpunkt jeweils ein unterschiedliches weiteres erstes Identifikationsmerkmal vergeben. Auf diese Weise ist es möglich, jeder ersten Vorrichtung nicht nur eine gesicherte Kommunikation und damit einen gesicherten Zugriff auf die zweite Vorrichtung zu ermöglichen, sondern auch über die jeweils zugeordneten unterschiedlichen ersten Identifikationsmerkmale jeweils unterschiedliche Zugriffsrechte auf die einzelnen Hardware- und Software-Komponenten der zweiten Vorrichtung zuzuweisen.
  • Die Zuweisung von unterschiedlichen Zugriffsrechten in der zweiten Vorrichtung an die einzelnen ersten Vorrichtungen entsprechend der zweiten erfindungsgemäßen Ausführungsform kann in der ersten erfindungsgemäßen Ausführungsform bevorzugt dadurch gelöst werden, dass jeder ersten Vorrichtung jeweils zusätzlich zum ersten Identifikationsmerkmal ein unterschiedliches zweites Identifikationsmerkmal von der dritten Vorrichtung vergeben wird.
  • Jedes Identifikationsmerkmal – erstes Identifikationsmerkmal, jedes weitere erste Identifikationsmerkmal und das zweite Identifikationsmerkmal – wird bevorzugt in der dritten Vorrichtung als Zufallszahl nach den üblichen Methoden der Generierung einer Zufallszahl gewonnen.
  • Als zweites Identifikationsmerkmal kann alternativ zur Zufallszahl auch eine nach klassischen Methoden gewonnenes Identifikationsmerkmal zur Authentifizierung eines Anwenders – beispielsweise ein Benutzername, eine PIN-Nummer, ein Pass-Wort oder ein Zertifikat – verwendet werden, das außerhalb der dritten Vorrichtung, beispielsweise im System zur Verwaltung von Geheimnissen oder in einer akkreditierten Zertifizierungsstelle, gewonnen wird und zur dritten Vorrichtung über eine gesicherte Kommunikationsverbindung transferiert wird.
  • Die einzelnen Identifikationsmerkmale werden auf der jeweiligen ersten Vorrichtung entweder gesichert, d.h. verschlüsselt, oder ungesichert, d.h. unverschlüsselt, abgespeichert. Äquivalent werden die zugehörigen Referenz-Identifikationsmerkmale auf der dritten Vorrichtung entweder gesichert oder ungesichert gespeichert.
  • In den einzelnen gesicherten Kommunikationsverbindungen werden die Daten verschlüsselt übertragen. Hierzu werden zwischen den Kommunikationspartnern der jeweiligen gesicherten Kommunikationsverbindung gemeinsame Geheimnisse (englisch: secrets) ausgetauscht. Bei den gemeinsamen Geheimnissen handelt es sich um die bei der Verschlüsselung der Daten verwendeten Schlüssel und Verschlüsselungsverfahren. Hierbei kann eine symmetrische oder asymmetrische Verschlüsselung zur Anwendung kommen.
  • In einer weiteren ersten Ausprägung der Erfindung werden für die erste gesicherte Kommunikationsverbindung zwischen der dritten Vorrichtung und jeder ersten Vorrichtung jeweils identische Geheimnisse verwendet. In einer weiteren zweiten Ausprägung der Erfindung werden dagegen für jede erste gesicherte Kommunikationsverbindung jeweils unterschiedliche Geheimnisse verwendet. Mit der zweiten Ausprägung der Erfindung wird somit die Übertragungssicherheit und damit die Integrität der verschlüsselten Daten in jeder ersten gesicherten Kommunikationsverbindung vor einer Manipulation durch Dritte zusätzlich erhöht.
  • Optional wird zur Freischaltung der zweiten gesicherten Kommunikationsverbindung zwischen dritter und zweiter Vorrichtung zusätzlich von der dritten Vorrichtung das Zustandekommen einer korrekten ersten gesicherten Kommunikationsverbindung zwischen der jeweiligen ersten Vorrichtung und der dritten Vorrichtung geprüft.
  • Ausführungsformen der Erfindung werden im Folgenden im Detail anhand der Zeichnung erläutert. Die Figuren der Zeichnung zeigen:
  • 1 ein Blockdiagramm eines Ausführungsbeispiels des erfindungsgemäßen Systems zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen einer ersten Vorrichtung und einer zweiten Vorrichtung und
  • 2 ein Flussdiagramm eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen einer ersten Vorrichtung und einer zweiten Vorrichtung.
  • Ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung und einer zweiten Vorrichtung gemäß dem Flussdiagramm in 2 wird im Folgenden in Kombination mit einem Ausführungsbeispiel des erfindungsgemäßen Systems zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung und einer zweiten Vorrichtung gemäß dem Blockdiagramm in 1 im Detail erläutert.
  • Im ersten Verfahrensschritt S10 wird zwischen einer ersten Vorrichtung 1 1 oder mehreren ersten Vorrichtungen 1 1, 1 2, ..., 1 N und einer dritten Vorrichtung 2 jeweils eine gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N aufgebaut.
  • Die dritte Vorrichtung 2 ist untrennbar beispielsweise mittels einer fixen mechanischen Verbindung mit einer zweiten Vorrichtung 3 verbunden. Bei der zweiten Vorrichtung 3 handelt es sich um ein individuelles Gerät bzw. ein individuelles System eines Betreibers. Dies kann beispielsweise ein Verschlüsselungsgerät – ein so genanntes Kryptogerät – mit sehr hohen Sicherheitsvorkehrungen gegen Manipulationen durch Dritte oder ein Überwachungssystem für eine Anlage mit hohen Sicherheitsauflagen oder ein Datenverarbeitungssystem mit integrierter Datenbank, die hochsensible Daten speichert, sein. Im Wesentlichen handelt es sich bei der zweiten Vorrichtung 3 um ein beliebiges zu einem Betreiber gehöriges Gerät bzw. System mit hohen Sicherheitsanforderungen.
  • Die ersten Vorrichtungen 1 1 bis 1 N stellen jeweils eine Vorrichtung dar, die vom Betreiber der zweiten Vorrichtung 3 jeweils einem Anwender zugewiesen werden, damit dieser Anwender mittels der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N einen autorisierten Zugriff auf die zweite Vorrichtung 3 ausführen kann. Typischerweise handelt es sich bei einer ersten Vorrichtung 1 1, 1 2, ..., 1 N um eine Chipkarte (englisch: smartcard) oder um ein Datenendgerät, die jeweils dem jeweiligen Anwender zugewiesen werden und die jeweils über eine Schnittstelle eine Kommunikationsverbindung mit der zweiten Vorrichtung 3 aufbauen können. Alternativ können als erste Vorrichtung 1 1, 1 2, ..., 1 N beispielsweise auch eine RFID-Karte oder ein USB-Stick mit Tresor zur gesicherten Speicherung von Geheimnissen verwendet werden und sind von der Erfindung ebenfalls mit abgedeckt.
  • Bei der Schnittstelle, über die die Chipkarte mit der zweiten Vorrichtung 3 kommuniziert, handelt es sich typischerweise um einen in der dritten Vorrichtung 2 vorgesehenen Steckplatz mit hohen Sicherheitsvorkehrungen, in die die Chipkarte vom Anwender eingeführt werden kann. Die Schnittstelle, über die das Datenendgerät mit der zweiten Vorrichtung 3 kommuniziert, ist z.B. ein Hochsicherheits-Datennetz auf Festnetz- oder Mobilfunknetz-Basis zwischen dem Datenendgerät und der dritten Vorrichtung 2. Die Kommunikation zwischen der dritten Vorrichtung 2 und der zweiten Vorrichtung 3 erfolgt über eine weitere noch zu beschreibende gesicherte Kommunikationsverbindung.
  • Der Aufbau einer gesicherten ersten Kommunikationsverbindung 4 1, 4 2, ..., 4 N zwischen einer der ersten Vorrichtungen 1 1, 1 2, ..., 1 N und der dritten Vorrichtung 2 erfolgt in einer Initialisierungsphase, die typischerweise am Herstellungsende der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der mit der zweiten Vorrichtung 3 untrennbar verbundenen dritten Vorrichtung 2 erfolgt. Hierzu wird vom Hersteller in Kooperation mit dem Betreiber ein gemeinsames Geheimnis zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der dritten Vorrichtung 2 erzeugt. Beim gemeinsamen Geheimnis handelt es sich typischerweise um den verwendeten Schlüssel und das verwendete Verschlüsselungsverfahren, mit denen die Verschlüsselung der Daten verschlüsselt werden, die zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der dritten Vorrichtung 2 über die jeweilige gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N ausgetauscht werden.
  • Der verwendete Schlüssel und das verwendete Verschlüsselungsverfahren werden vom Hersteller über ein Datenterminal und eine Datenverbindung in die dritte Vorrichtung 2 transferiert und dort gespeichert. Die Speicherung von Schlüssel und Verschlüsselungsverfahren in der dritten Vorrichtung 2 kann entweder ungesichert, d.h. unverschlüsselt, oder gesichert, d.h. mit einem weiteren Schlüssel und einem weiteren Verschlüsselungsverfahren verschlüsselt, erfolgen.
  • Die in der dritten Vorrichtung 2 gespeicherten gemeinsamen Geheimnisse – d.h. verwendeter Schlüssel und verwendetes Verschlüsselungsverfahren – werden von der dritten Vorrichtung 2 über die jeweilige erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N zur jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N in einer erstmalig zwischen diesen beiden Kommunikationspartnern stattfindenden Kommunikation (so genanntes "Pairen“; deutsch: „sich paaren“) übertragen und dort ebenfalls ungesichert oder gesichert abgespeichert.
  • Nach der Speicherung der gemeinsamen Geheimnisse in der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N ist eine verschlüsselte Übertragung von Daten zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der dritten Vorrichtung 2 möglich und damit eine jeweilige gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der dritten Vorrichtung 2 etabliert.
  • In einer ersten erfindungsgemäßen Ausprägung sind die gemeinsamen Geheimnisse – d.h. verwendeter Schlüssel und verwendetes Verschlüsselungsverfahren – für jede gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N jeweils identisch. Dies ist die bevorzugte Realisierung einer gesicherten Kommunikationsverbindung, da Betreiber und Hersteller nur einen einzigen gemeinsamen Schlüssel und ein einziges gemeinsames Verschlüsselungsverfahren generieren, anwenden und speichern müssen.
  • In einer zweiten erfindungsgemäßen Ausprägung sind die gemeinsamen Geheimnisse für jede gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N jeweils unterschiedlich. Der Aufwand für Betreiber und Hersteller zur Erzeugung, Anwendung und Speicherung aller verwendeten Schlüssel und aller verwendeten Verschlüsselungsverfahren ist entsprechend höher. Auch ist der Implementierungsaufwand in der dritten Vorrichtung 2 für das Ver- und Entschlüsseln der Daten über die einzelnen ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N entsprechend höher, da in der dritten Vorrichtung 2 ein entsprechend höherer Speicherbedarf für die Speicherung aller Schlüssel und Verschlüsselungsverfahren erforderlich ist und die dritte Vorrichtung 2 beim Ver- und Entschlüsseln der Daten erst den korrekten Schlüssel und das korrekte Verschlüsselungsverfahren ermitteln muss.
  • Hinsichtlich der verwendeten Schlüssel und der verwendeten Verschlüsselungsverfahren sind prinzipiell alle gängigen symmetrischen und asymmetrischen Verschlüsselungen für die Realisierung einer ersten gesicherten Kommunikationsverbindung 4 1, 4 2, ..., 4 N geeignet.
  • In einer ersten bevorzugten Variante der Erfindung wird der Aufbau einer gesicherten ersten Kommunikationsverbindung zwischen einer ersten Vorrichtung und der dritten Vorrichtung 2 lediglich für eine einzige erste Vorrichtung 1 1 in einer Initialisierung am Herstellungsende der dritten Vorrichtung 2 und der einzig hergestellten ersten Vorrichtung 1 1 realisiert. Für weitere erste Vorrichtungen 1 2, ..., 1 N, die u.U. erst zu einem späteren Zeitpunkt hergestellt werden und vom Betreiber einem Anwender zugewiesen werden, werden in einer später vom Betreiber und nicht vom Hersteller durchgeführten Initialisierung eine jeweilige gesicherte erste Kommunikationsverbindung 4 2, ..., 4 N zur dritten Vorrichtung 2 realisiert.
  • Hierzu wird für den Fall der ersten erfindungsgemäßen Ausprägung – identische gemeinsame Geheimnisse für alle gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N – zwischen der bereits beim Hersteller mit gemeinsamen Geheimnissen versehenen ersten Vorrichtung 1 1 und einem beim Betreiber befindlichen und mit dem Betreiber-System 8 verbundenen System 12 zur Verwaltung von Geheimnissen eine gesicherte dritte Kommunikationsverbindung 5 1 aufgebaut.
  • Das System 12 zur Verwaltung von Geheimnissen erhält hierbei von der bereits initialisierten ersten Vorrichtung 1 1 typischerweise in verschlüsselter Form – d.h. mit einem weiteren Schlüssel und einem weiteren Verschlüsselungsverfahren verschlüsselt – die in der bereits initialisierten ersten Vorrichtung 1 1 abgespeicherten gemeinsamen Geheimnisse und speichert diese ebenfalls gesichert oder ungesichert ab. Mit diesen abgespeicherten gemeinsamen Geheimnissen baut das System 12 zur Verwaltung von Geheimnissen mit allen zukünftig hergestellten und jeweils einem Anwender zuzuweisenden ersten Vorrichtungen 1 2, ..., 1 N jeweils eine gesicherte dritte Kommunikationsverbindung 5 2, ..., 5 N auf, indem sie der jeweiligen ersten Vorrichtung 1 2, ..., 1 N die gemeinsamen Geheimnisse der zuerst initialisierten ersten Vorrichtung 1 1 verschlüsselt oder unverschlüsselt überträgt. Die jeweilige erste Vorrichtung 1 2, ..., 1 N speichert die gemeinsamen Geheimnisse der zuerst initialisierten ersten Vorrichtung 1 1 gesichert oder ungesichert intern ab und baut wiederum mit der dritten Vorrichtung 2 auf der Basis der abgespeicherten gemeinsamen Geheimnisse jeweils eine gesicherte erste Kommunikationsverbindung 4 2, ..., 4 N auf.
  • Für den Fall der zweiten erfindungsgemäßen Ausprägung – jeweils unterschiedliche gemeinsame Geheimnisse für jede gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N – werden bei Anwendung der ersten bevorzugten Variante der Erfindung die von der bereits initialisierten ersten Vorrichtung 1 1 über eine gesicherte dritte Kommunikationsverbindung 5 1 transferierten gemeinsamen Geheimnisse im System 12 zur Verwaltung von Geheimnissen bei der Erzeugung von jeweils unterschiedlichen gemeinsamen Geheimnisse für die jeweiligen gesicherten ersten Kommunikationsverbindungen 4 2, ..., 4 N zwischen den jeweils übrigen ersten Vorrichtungen 1 2, ..., 1 N und der dritten Vorrichtung 2 berücksichtigt.
  • Sobald die übrigen ersten Vorrichtungen 1 2, ..., 1 N hergestellt sind und einem Anwender jeweils zuzuweisen sind, überträgt das System 12 zur Verwaltung von Geheimnissen die jeweils erzeugten unterschiedlichen gemeinsamen Geheimnisse verschlüsselt über die jeweils zu erzeugende gesicherte dritte Kommunikationsverbindung 5 2, ..., 5 N an die jeweilige erste Vorrichtung 1 2, ..., 1 N. Die jeweilige erste Vorrichtung 1 2, ..., 1 N speichert die jeweils zugeführten gemeinsamen Geheimnisse gesichert oder ungesichert intern ab und überträgt sie zum Aufbau der jeweils zugeordneten gesicherten ersten Kommunikationsverbindung 4 2, ..., 4 N über die jeweilige erste Kommunikationsverbindung 4 2, ..., 4 N an die dritte Vorrichtung 2, die sie jeweils intern abspeichert.
  • In einer zweiten Variante der Erfindung werden am Herstellungsende der dritten Vorrichtung 2 und aller ersten Vorrichtungen 1 1, 1 2, ..., 1 N die gemeinsamen Geheimnisse über die jeweilige erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N an die jeweilige erste Vorrichtung 1 1, 1 2, ..., 1 N verschlüsselt übertragen und dort gesichert oder ungesichert abgespeichert. Hierbei werden im Fall der ersten erfindungsgemäßen Ausprägung jeweils identische gemeinsame Geheimnisse für alle gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N und im Fall der zweiten erfindungsgemäßen Ausprägung jeweils unterschiedliche gemeinsame Geheimnisse für jede einzelne gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N zur jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N übertragen.
  • In der zweiten Variante der Erfindung ist folglich das System 12 zur Verwaltung von Geheimnissen nicht im Einsatz.
  • Im nächsten Verfahrensschritt S20 werden den einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N Identifikationsmerkmale zur Authentifizierung der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N bei der zweiten Vorrichtung 3 vergeben.
  • Als Identifikationsmerkmal wird typischerweise eine Zufallszahl verwendet, die üblicherweise in einem Zufallszahlengenerator nach dem Stand der Technik generiert wird.
  • In Äquivalenz zur Vergabe von gemeinsamen Geheimnissen zum Aufbau einer gesicherten Kommunikationsverbindung zwischen zwei Kommunikationspartnern werden die Identifikationsmerkmale in einer ersten bevorzugten Variante der Erfindung während der Initialisierungsphase am Herstellungsende der dritten Vorrichtung 2 und der ersten Vorrichtung 1 1 lediglich für eine einzige erste Vorrichtung 1 1 in einem in der dritten Vorrichtung integrierten Zufallszahlengenerator erzeugt und über die gesicherte erste Kommunikationsverbindung 4 1 zur ersten Vorrichtung 1 1 verschlüsselt übertragen und dort entweder gesichert oder ungesichert abgespeichert.
  • In einer ersten erfindungsgemäßen Ausführungsform wird als Identifikationsmerkmal für jede erste Vorrichtung 1 1, 1 2, ..., 1 N jeweils ein identisches erstes Identifikationsmerkmal verwendet. Mit diesem ersten Identifikationsmerkmal wird jede erste Vorrichtung 1 1, 1 2, ..., 1 N bei der dritten Vorrichtung 2 authentifiziert und somit autorisiert, einen Zugriff auf die zum Betreiber gehörige zweite Vorrichtung 3 durchzuführen.
  • Dieses erste Identifikationsmerkmal wird bei der ersten bevorzugten Variante der Erfindung von der ersten Vorrichtung 1 1 über die gesicherte dritte Kommunikationsverbindung 5 1 verschlüsselt dem System 12 zur Verwaltung von Geheimnissen zugeführt und dort gesichert oder ungesichert abgespeichert. Werden zu einem späteren Zeitpunkt zusätzliche erste Vorrichtungen 1 2, ..., 1 N hergestellt und vom Betreiber einzelnen Anwendern zur Verfügung gestellt, so überträgt das System 12 zur Verwaltung von Geheimnissen dieses gespeicherte erste Identifikationsmerkmal, das für jede weitere erste Vorrichtung 1 2, ..., 1 N identisch ist, über die jeweilige gesicherte dritte Kommunikationsverbindung 5 2, ..., 5 N verschlüsselt an die übrigen ersten Vorrichtungen 1 2, ..., 1 N, wo es entweder gesichert oder ungesichert abgespeichert wird.
  • In einer zweiten erfindungsgemäßen Ausführungsform, in der jeder ersten Vorrichtung 1 1, 1 2, ..., 1 N jeweils ein unterschiedliches erstes Identifikationsmerkmal vergeben wird, ist es möglich, neben einer individuellen Authentifizierung – d.h. einer Personalisierung – der einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N bei der dritten Vorrichtung 2 und damit indirekt bei der zweiten Vorrichtung 3 auch jeder einzelnen Vorrichtung 1 1, 1 2, ..., 1 N über das unterschiedliche erste Identifikationsmerkmal individuelle Zugriffsrechte auf die zweite Vorrichtung 3, wie im einzelnen noch weiter unten im Detail beschrieben wird, vom Betreiber zu gewähren.
  • Das der ersten Vorrichtung 1 1 von der dritten Vorrichtung 2 vergebene erste Identifikationsmerkmal wird über die gesicherte dritte Kommunikationsverbindung 5 1 dem System 12 zur Verwaltung von Geheimnissen von der ersten Vorrichtung 1 1 verschlüsselt übertragen und dort in einem integrierten Speicher zur Verwaltung abgelegt. Für die zu einem späteren Zeitpunkt hergestellten weiteren ersten Vorrichtungen 1 2, ..., 1 N werden vom System 12 zur Verwaltung von Geheimnissen in einem integrierten Zufallszahlengenerator jeweils unterschiedliche erste Identifikationsmerkmale erzeugt und der jeweiligen ersten Vorrichtung 1 2, ..., 1 N über die jeweilige gesicherte dritte Kommunikationsverbindung 5 2, ..., 5 N verschlüsselt übertragen, wo sie entweder gesichert oder ungesichert intern abgespeichert werden.
  • Werden alle ersten Vorrichtungen 1 1, 1 2, ..., 1 N zur selben Zeit mit der dritten Vorrichtung 2 bzw. der zweiten Vorrichtung 3 hergestellt, so können in einer zweiten Variante der Erfindung die den einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N jeweils zugewiesenen ersten Identifikationsmerkmale – sowohl im Fall von für alle erste Vorrichtungen 1 1, 1 2, ..., 1 N jeweils identischen ersten Identifikationsmerkmalen gemäß der ersten erfindungsgemäßen Ausführungsform als auch im Fall von verschiedenen ersten Identifikationsmerkmalen für jede erste Vorrichtung 1 1, 1 2, ..., 1 N gemäß der zweiten erfindungsgemäßen Ausführungsform – von einem in der dritten Vorrichtung 2 integrierten Zufallsgenerator erzeugt werden und den einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N über die jeweilige gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N verschlüsselt übertragen werden, wo sie entweder gesichert oder ungesichert intern abgespeichert werden.
  • Im Falle von identischen ersten Identifikationsmerkmalen für alle ersten Vorrichtungen 1 1, 1 2, ..., 1 N können jeder ersten Vorrichtung 1 1, 1 2, ..., 1 N jeweils unterschiedliche zweite Identifikationsmerkmale zusätzlich zum ersten identischen Identifikationsmerkmal zugewiesen werden, mit der die jeweilige erste Vorrichtung 1 1, 1 2, ..., 1 N bei der dritten Vorrichtung 2 und damit indirekt bei der zweiten Vorrichtung 3 individuell authentifiziert wird und zugleich individuelle Zugriffsrechte in der zweiten Vorrichtung 3 erhält.
  • Die Erzeugung und die Übertragung des zweiten Identifikationsmerkmals an die einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N erfolgt in Äquivalenz zur Erzeugung und Übertragung des ersten Identifikationsmerkmals entweder unter Zwischenschaltung des Systems 12 zur Verwaltung von Geheimnissen gemäß der ersten bevorzugten Variante der Erfindung oder einzig mithilfe der dritten Vorrichtung 2 gemäß der zweiten Variante der Erfindung.
  • Ebenfalls im Verfahrensschritt S20 erfolgt parallel zur Erzeugung und zur Übertragung des ersten und optional zweiten Identifikationsmerkmals eine Speicherung eines zum jeweiligen ersten Identifikationsmerkmal und optional zum jeweiligen zweiten Identifikationsmerkmal jeweils identischen ersten Referenz-Identifikationsmerkmal bzw. zweiten Referenz-Identifikationsmerkmal in einem internen, in 1 nicht dargestellten Speicher der dritten Vorrichtung 2.
  • Während die ersten beiden Verfahrensschritte S10 und S20 für jede erste Vorrichtung 1 1, 1 2, ..., 1 N jeweils einmalig in einer Initialisierungsphase durchgeführt werden, können die nun folgend beschriebenen Verfahrensschritte S30 bis S100 ein- oder mehrmalig auftreten, je nachdem wie oft die einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N jeweils einen Zugriff auf die zweite Vorrichtung 3 ausüben.
  • Der nächste Verfahrensschritt S30 erfolgt, sobald ein Anwender, dem vom Betreiber der zweiten Vorrichtung 2 eine erste Vorrichtung 1 1, 1 2, ..., 1 N ausgestellt bzw. zur Verfügung gestellt wurde, einen Zugriff auf die zweite Vorrichtung 3 beabsichtigt. Die jeweilige erste Vorrichtung 1 1, 1 2, ..., 1 N baut jeweils eine zugeordnete gesicherte ersten Kommunikationsverbindung 4 1, 4 2, ..., 4 N zur dritten Vorrichtung auf. Der Aufbau und die korrekte Funktion der jeweiligen gesicherten ersten Kommunikationsverbindung 4 1, 4 2, ..., 4 N wird von der dritten Vorrichtung 3 geprüft.
  • Sobald die jeweilige gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N einen korrekten Betrieb ermöglicht, überträgt die jeweilige erste Vorrichtung 1 1, 1 2, ..., 1 N über die jeweils zugeordnete gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N das ihr zugeordnete und intern abgespeicherte erste und optionale zweite Identifikationsmerkmal an die dritte Vorrichtung 2.
  • Zur Authentifizierung der jeweils anfragenden ersten Vorrichtung 1 1, 1 2, ..., 1 N bei der zweiten Vorrichtung 3 überprüft die dritte Vorrichtung 2 das empfangene erste und optionale zweite Identifikationsmerkmal mit dem zugehörigen und internen abgespeicherten ersten und optionale zweiten Referenz-Identifikationsmerkmal.
  • Schließlich wird im selben Verfahrensschritt S30 von einer Einheit 6 zur Überwachung eines Zustandes, die entweder in der dritten Vorrichtung 2, wie in 1 gestrichelt dargestellt ist, integriert ist oder mit der dritten Vorrichtung 2 verbunden ist, ein bestimmter, vorab definierter Zustand der zweiten Vorrichtung 3 oder einer in 1 als Wolke dargestellte technische Umgebung 7, mit der die zweite Vorrichtung 3 in einer technischen Interaktion steht, überprüft.
  • Bevorzugt handelt es sich bei dem zu überprüfenden Zustand um den korrekten Betrieb der gesamten zweiten Vorrichtung 3, den korrekten Betrieb einzelner vorab definierter Hardware- und/oder Software-Komponenten der zweiten Vorrichtung 3 oder um den korrekten Betrieb der technischen Umgebung 7, mit der die zweite Vorrichtung 3 in einer technischen Beziehung steht. Bei der technischen Umgebung 7 kann es sich beispielsweise um eine technische Anlage oder ein technisches Aggregat handeln, dessen korrekte Funktionsweise die zweite Vorrichtung 3 als Überwachungseinrichtung überwacht.
  • Schließlich kann der von der Einheit 6 zur Überwachung eines Zustandes zu überwachende Zustand ein vom Betreiber-System 8 aktiviertes und der Einheit 6 zur Überwachung eines Zustandes über eine Datenverbindung 11 zugeführtes Signal sein. Mit diesem aktivierten Signal ist es dem Betreiber möglich, jederzeit die zweite Vorrichtung 3 und jedes andere zum Betreiber gehörige Gerät bzw. System für einen Zugriff durch einen Anwender, dem vom Betreiber jeweils eine erste Vorrichtung 1 1, 1 2, ..., 1 N zugewiesen wurde, zu sperren (so genanntes „remote-zeroizing“; deutsch: „über die Luftschnittstelle zurücksetzen“).
  • Ist von der dritten Vorrichtung 2 gleichzeitig eine korrekt funktionierende gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N zu derjenigen ersten Vorrichtung 1 1, 1 2, ..., 1 N, die einen Zugriff auf die zweite Vorrichtung 3 beabsichtigt, eine korrekte Authentifizierung der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N anhand von deren ersten und optional zweiten Identifikationsmerkmal und das Eintreten eines von der Vorrichtung 6 zur Überwachung eines Zustandes überprüfbaren Zustandes ermittelt und festgestellt worden, so wird von der dritten Vorrichtung 2 eine gesicherte zweite Kommunikationsverbindung 9 zwischen der dritten Vorrichtung 2 und der zweiten Vorrichtung 3 aufgebaut.
  • Hierzu werden gemeinsame Geheimnisse, d.h. ein gemeinsamer Schlüssel und ein gemeinsames Verschlüsselungsverfahren, von der dritten Vorrichtung 2 verschlüsselt über die Kommunikationsverbindung 9 zur zweiten Vorrichtung 3 übertragen und dort intern abgespeichert.
  • Nach dem Aufbau der gesicherten zweiten Kommunikationsverbindung 9 besteht eine gesicherte Kommunikationsmöglichkeit zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N, deren Anwender einen Zugriff auf die zweite Vorrichtung 3 beabsichtigt, und der zweiten Vorrichtung 3.
  • Im nächsten Verfahrensschritt S40 erfolgt eine gesicherte Kommunikation von Daten zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N, deren Anwender einen Zugriff auf die zweite Vorrichtung 3 beabsichtigt, und der zweiten Vorrichtung 3 über die jeweilige gesicherte erste Kommunikationsverbindung 4 1, 4 2, ..., 4 N und die gesicherte zweite Kommunikationsverbindung 9 unter Zwischenschaltung der mit der zweiten Vorrichtung 3 untrennbar verbundenen dritten Vorrichtung 2.
  • Der Zugriff auf die zweite Vorrichtung 3 kann in Abhängigkeit der der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N jeweils zugewiesenen Zugriffsrechte, die entweder an das der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N zugeordnete individuelle erste Identifikationsmerkmal oder an das der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N individuelle zweiten Identifikationsmerkmal gekoppelt ist, ein lesender Zugriff und/oder ein schreibender Zugriff sein.
  • Die an das jeweilige individuelle erste oder zweite Identifikationsmerkmal der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N jeweils gekoppelten Zugriffsrechte werden bevorzugt vom System 12 zur Verwaltung von Geheimnissen verwaltet und werden der dritten Vorrichtung 2 typischerweise verschlüsselt über eine Mobilfunk- oder Festnetzverbindung 10 bekannt gegeben.
  • Ein schreibender Zugriff kann beispielsweise die Übertragung von Konfigurationsdaten, die in der jeweils zugreifenden ersten Vorrichtung 1 1, 1 2, ..., 1 N, d.h. im Speicher des Datenendgeräts oder auf dem Speicherchip der Chipkarte, gespeichert sind, in die zweite Vorrichtung 3 zur Konfiguration, d.h. zur Programmierung, einer in der zweiten Vorrichtung 3 befindlichen programmierbaren elektronischen Schaltung sein. Die Konfigurationsdaten zur Programmierung der elektronischen Schaltung in der zweiten Vorrichtung 3 sind typischerweise in allen ersten Vorrichtungen 1 1, 1 2, ..., 1 N identisch.
  • Hierbei werden die übertragenen Konfigurationsdaten nach der Konfiguration der programmierbaren elektronischen Schaltung in der zweiten Vorrichtung 3 gelöscht. Eventuell in der dritten Vorrichtung 2 zwischengespeicherte Konfigurationsdaten werden ebenfalls nach der Konfiguration der programmierbaren elektronischen Schaltung in der zweiten Vorrichtung 3 auf Anweisung der zweiten Vorrichtung 3 in der dritten Vorrichtung 2 gelöscht.
  • Ein weiteres Beispiel für einen schreibenden Zugriff ist die gesicherte Übertragung und die gesicherte Aktivierung eines bestimmten Steuerbefehls in einer als Überwachungseinrichtung agierenden zweiten Vorrichtung 3, mit der eine bestimmte, mit der zweiten Vorrichtung 3 in einer technischen Interaktion stehende technische Umgebung 7 mit hohen Sicherheitsstandards, d.h. beispielsweise eine technische Anlage oder ein technisches Aggregat in einem für den Menschen gefährlichen Umfeld, in einem bestimmten Betriebszustand gefahren wird.
  • Ein beispielhafter lesender Zugriff ist das Auslesen von sensiblen Daten aus einer in einer Datenverarbeitungseinrichtung integrierten Datenbank – beispielsweise Betriebsgeheimnisse eines Unternehmens, die nur einem begrenzten Personenkreis zugänglich sein sollen – und das gesicherte Übertragen dieser sensiblen Daten zu einem Datenendgerät, das einer Person aus dem begrenzten Personenkreis zugewiesen ist.
  • Die Zuweisung von individuellen Zugriffsrechten entsprechend der individuellen ersten oder zweiten Identifikationsmerkmale jeder ersten Vorrichtung 1 1, 1 2, ..., 1 N ermöglicht auch eine gestaffelte oder hierarchische Zuweisung von Zugriffsrechten. Bestimmte Anwender, beispielsweise Systemadministratoren des Betreibers, erhalten über ihre erste Vorrichtung 1 1, 1 2, ..., 1 N lesende und/oder schreibende Zugriffsrechte auf alle Hardware- und/oder Software-Komponenten der zweiten Vorrichtung 3, während andere Anwender, beispielsweise Kunden des Betreibers, beispielsweise nur lesende Zugriffsrechte auf eine stark begrenzte Anzahl von Hardware- und/oder Softwarekomponenten der zweiten Vorrichtung 3 zugewiesen bekommen.
  • Die Zuweisung von individuellen ersten oder zweiten Identifikationsmerkmalen an jede einzelne erste Vorrichtung 1 1, 1 2, ..., 1 N ermöglicht weiterhin eine an das individuelle erste oder zweite Identifikationsmerkmal gekoppelte Sperrung von bestimmten Hardware- und/oder Softwarekomponenten der zweiten Vorrichtung 3 im Fall eines weiter unten noch beschriebenen Identifikationsmerkmals eines Nichteintretens eines von der dritten Vorrichtung 2 überprüfbaren Zustandes.
  • Zusätzlich ist es mit der Zuweisung von individuellen ersten oder zweiten Identifikationsmerkmalen an jede einzelne erste Vorrichtung 1 1, 1 2, ..., 1 N möglich, in einem lesenden Zugriff eine an das individuelle erste oder zweite Identifikationsmerkmal gekoppelte Anzahl von Daten aus der Gesamtanzahl von in der zweiten Vorrichtung 3 zu lesenden Daten zu lesen und/oder in einem schreibenden Zugriff eine an das individuelle erste oder zweite Identifikationsmerkmal gekoppelte Anzahl von in die zweite Vorrichtung 3 zu schreibende Daten aus der Gesamtanzahl von zu schreibenden Daten zu schreiben.
  • Schließlich können für das zweite Identifikationsmerkmal anstelle von Zufallszahlen alternativ jeweils auch nach klassischen Methoden gewonnene Identifikationsmerkmale zur Authentifizierung eines Anwenders – beispielsweise ein Benutzername, eine PIN-Nummer, ein Pass-Wort oder ein Zertifikat – verwendet werden. Diese alternativen zweiten Identifikationsmerkmale werden außerhalb der dritten Vorrichtung, beispielsweise im System 12 zur Verwaltung von Geheimnissen oder in einer akkreditierten Zertifizierungsstelle gewonnen und zur dritten Vorrichtung über eine gesicherte Kommunikationsverbindung transferiert.
  • Wird im darauffolgenden Verfahrensschritt S50 von der dritten Vorrichtung 2 festgestellt, dass die gesicherte Übertragung von Daten zwischen der jeweils einen Zugriff anfordernden ersten Vorrichtung 1 1, 1 2, ..., 1 N und der zweiten Vorrichtung 3 abgeschlossen ist, so wartet die dritte Vorrichtung 2 auf einen weiteren Zugriffswunsch einer ersten Vorrichtung 1 1, 1 2, ..., 1 N auf die zweite Vorrichtung 3. Sobald dieses Ereignis mit der Übertragung eines ersten und optional zweiten Identifikationsmerkmals von einer der ersten Vorrichtungen 1 1, 1 2, ..., 1 N eingetreten ist, erfolgt im wiederaufgenommenen Verfahrensschritt S20 die Authentifizierung der jeweils anfragenden ersten Vorrichtung 1 1, 1 2, ..., 1 N durch die dritte Vorrichtung 2.
  • Solange im Verfahrensschritt S50 die dritte Vorrichtung 2 keinen Abschluss der gesicherten Übertragung von Daten zwischen der jeweiligen zugreifenden ersten Vorrichtung 1 1, 1 2, ..., 1 N und der zweiten Vorrichtung 3 festgestellt hat, wird im nächsten Verfahrensschritt S60 von der dritten Vorrichtung 2 ermittelt, ob der von der Einheit 6 zu überwachende Zustand – beispielsweise ein korrekter Betrieb der zweiten Vorrichtung 3 – weiterhin vorliegt.
  • Ist dies der Fall, so werden in Verfahrensschritt S40 weiterhin die Daten gesichert zwischen der zweiten Vorrichtung 3 und der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N übertragen, bis die Übertragung abgeschlossen ist.
  • Liegt der von der Einheit 6 zu überwachende Zustand nicht mehr vor, falls beispielsweise die Funktionsweise der zweiten Vorrichtung 3 zwischenzeitlich gestört ist, so wird im darauf folgenden Verfahrensschritt S70 die aktuelle gesicherte Übertragung von Daten zwischen der jeweiligen ersten Vorrichtung 1 1, 1 2, ..., 1 N und der zweiten Vorrichtung 3 und die gesicherte zweite Kommunikationsverbindung 9 zwischen der zweite Vorrichtung 3 und der dritten Vorrichtung 2 abgebrochen. Außerdem werden im selben Verfahrensschritt S70 sämtliche in der dritten Vorrichtung 2 gespeicherten ersten und zweiten Referenz-Identifikationsmerkmale gelöscht.
  • Alternativ zur Löschung der ersten und zweiten Referenz-Identifikationsmerkmale können von der dritten Vorrichtung 2 auch die für die gesicherte Übertragung in den gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N und/oder die für die gesicherte Übertragung in der gesicherten zweiten Kommunikationsverbindung 9 jeweils erforderlichen und in der dritten Vorrichtung 2 gespeicherten gemeinsamen Geheimnisse – d.h. gemeinsame Schlüssel und gemeinsames Verschlüsselungsverfahren – gelöscht werden.
  • Auf diese Weise wird unwiderruflich sichergestellt, dass eine Authentifizierung von zukünftig hinsichtlich eines Zugriffes auf den zweiten Vorrichtung 3 anfragenden ersten Vorrichtungen 1 1, 1 2, ..., 1 N durch die dritte Vorrichtung 2 fehlschlägt und damit der jeweils anfragenden ersten Vorrichtung 1 1, 1 2, ..., 1 N kein Zugriff auf die zweite Vorrichtung 3 gewährt wird, solange die dritte Vorrichtung 3 kein erneutes Eintreten des zu überprüfenden Zustandes – beispielsweise kein erneutes Eintreten eines ungestörten Betriebes der zweiten Vorrichtung 3 – identifiziert.
  • Außerdem ist gewährleistet, dass weder die zweite Vorrichtung 3 bzw. die mit der zweiten Vorrichtung 3 untrennbar verbundene dritte Vorrichtung 2 noch eine der ersten Vorrichtungen 1 1, 1 2, ..., 1 N die Freigabe bzw. die Sperrung der gesicherten Übertragung und damit den Zugriff auf die zweite Vorrichtung 3 beeinflussen können. Eine Freigabe oder eine Sperrung der gesicherten Übertragung kann einzig durch eine gezielte Aktivierung bzw. gezielte Deaktivierung des Betreibers im Rahmen eines „remote-zeroizing“ und/oder durch eine Reparatur bzw. eine Störung der zweiten Vorrichtung 2 oder einer mit der zweiten Vorrichtung 2 technisch interagierenden technischen Umgebung 7 erfolgen.
  • Wird im darauffolgenden Verfahrensschritt S80 von der dritten Vorrichtung 2 ein Wiedereintreten des zu überprüfenden Zustandes – beispielsweise ein sich wieder einstellender korrekter Betrieb der zweiten Vorrichtung 3 – festgestellt, so werden im darauf folgenden Verfahrensschritt S90 von der dritten Vorrichtung 2 den einzelnen ersten Vorrichtungen 1 1, 1 2, ..., 1 N jeweils ein weiteres erstes Identifikationsmerkmal über die jeweiligen gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N vergeben und die zugehörigen ersten Referenz-Identifikationsmerkmale in einem internen Speicher der dritten Vorrichtung 2 abgelegt.
  • Alternativ können weitere, für die gesicherte Übertragung in den gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N und/oder die für die gesicherte Übertragung in der gesicherten zweiten Kommunikationsverbindung 9 jeweils erforderlichen gemeinsamen Geheimnisse von neuem von der dritten Vorrichtung 2 vergeben werden. Diese werden im Rahmen eines Reinitialisierungsprozesses mit den jeweiligen ersten Vorrichtungen 1 1, 1 2, ..., 1 N bzw. der zweiten Vorrichtung 3 zum Aufbau einer erneut gesicherten ersten Kommunikationsverbindungen 4 1, 4 2, ..., 4 N und einer erneut gesicherten zweiten Kommunikationsverbindung 9 ausgetauscht.
  • Auf diese Weise ist es möglich, dass Anwender, die jeweils einen Zugriff auf die zweite Vorrichtung 3 zukünftig beabsichtigen, über die ihnen jeweils zugewiesene erste Vorrichtung 1 1, 1 2, ..., 1 N mit dem neu vergebenen weiteren ersten Identifikationsmerkmal sich gemäß Verfahrensschritt S30 bei der dritten Vorrichtung 2 erfolgreich authentifizieren lassen können und somit erneut einen Zugriff auf die zweiten Vorrichtung 3 gemäß Verfahrensschritt S40 gewährt bekommen.
  • Bevor eine erneute Authentifizierung des Anwenders bzw. der dem Anwender zugewiesenen ersten Vorrichtung 1 1, 1 2, ..., 1 N in Verfahrensschritt S30 erfolgt, wird im darauffolgenden Verfahrensschritt S100 von der dritten Vorrichtung 2 ermittelt, ob vom Betreiber ein Betrieb der zweiten Vorrichtung 3 noch vorgesehen ist. Hierzu erhält die dritte Vorrichtung 2 vom Betreiber-System 8 bevorzugt über die Datenverbindung 10 typischerweise in verschlüsselter Form eine Information zur Signalisierung eines aktivierten Betriebs der zweiten Vorrichtung 3.
  • Wird der Betrieb der zweiten Vorrichtung 3 durch das Betreiber-System 8 gesperrt, so wird dies der dritten Vorrichtung 2 über die Datenverbindung 10 mitgeteilt und das erfindungsgemäße Verfahren ist beendet. Ist dagegen der Betrieb der zweiten Vorrichtung 3 durch das Betreiber-System 8 weiterhin noch freigegeben, so wird mit der Authentifizierung einer zukünftig einen Zugriff auf die zweite Vorrichtung 3 anfragenden ersten Vorrichtung 1 1, 1 2, ..., 1 N in Verfahrensschritt S30 fortgefahren.
  • Wird in Verfahrensschritt S80 von der dritten Vorrichtung 2 kein Wiedereintreten des zu überprüfenden Zustands – beispielsweise ein sich wieder einstellender korrekter Betrieb der zweiten Vorrichtung 3 – ermittelt, so verharrt die dritte Vorrichtung 2 in Verfahrensschritt S80, bis ein Wiedereintreten des zu überprüfenden Zustands von der dritten Vorrichtung 2 diagnostiziert wird.
  • Die Erfindung ist nicht auf die dargestellten Ausführungsformen, Ausprägungen und Varianten beschränkt. Von der Erfindung sind insbesondere alle Kombinationen aller in den einzelnen Patentansprüchen jeweils beanspruchten Merkmale, aller in der Beschreibung offenbarten Merkmale und aller in den einzelnen Figuren der Zeichnung jeweils dargestellten Merkmale mit abgedeckt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2013/0166902 A1 [0008]

Claims (20)

  1. Verfahren zur automatischen Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung (1 1, 1 2, ..., 1 N) und einer zweiten Vorrichtung (3) mittels einer mit der zweiten Vorrichtung (3) untrennbar verbundenen dritten Vorrichtung (2) mit folgenden Verfahrensschritten: • Aufbauen von jeweils einer gesicherten ersten Kommunikationsverbindung (4 1, 4 2, ..., 4 N) zwischen der mindestens einen ersten Vorrichtung (1 1, 1 2, ..., 1 N) und der dritten Vorrichtung (2), • Vergabe eines ersten Identifikationsmerkmals an die mindestens eine erste Vorrichtung (1 1, 1 2, ..., 1 N) über die jeweilige gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) durch die dritte Vorrichtung (2) und • Aufbauen einer gesicherten zweiten Kommunikationsverbindung (9) zwischen der dritten Vorrichtung und der zweiten Vorrichtung bei Identität zwischen dem von der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) über die jeweilige gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) übertragenen jeweiligen ersten Identifikationsmerkmal und einem zugehörigen, in der dritten Vorrichtung (2) gespeicherten ersten Referenz-Identifikationsmerkmal und bei Eintreten eines von der dritten Vorrichtung (2) überprüfbaren Zustandes.
  2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass der von der dritten Vorrichtung (2) überprüfbare Zustand ein von der dritten Vorrichtung (2) überprüfbarer fehlerfreier Betrieb der zweiten Vorrichtung (3) ist.
  3. Verfahren nach Patentanspruch 1 oder 2, dadurch gekennzeichnet, dass jedes erste Referenz-Identifikationsmerkmal in der dritten Vorrichtung (2) gelöscht wird und die gesicherte zweite Kommunikationsverbindung (9) abgebrochen wird, falls der überprüfbare Zustand nicht mehr eintritt.
  4. Verfahren nach Patentanspruch 3, dadurch gekennzeichnet, dass bei Löschung jedes ersten Referenz-Identifikationsmerkmals in der dritten Vorrichtung (2) die dritte Vorrichtung (2) an mindestens eine erste Vorrichtung (1 1, 1 2, ..., 1 N) jeweils ein weiteres erstes Identifikationsmerkmal vergibt und zumindest eine zur jeweiligen weiteren ersten Identifikation jeweils identisches weiteres erstes Referenz-Identifikationsmerkmal speichert, wenn der von der dritten Vorrichtung (2) überprüfbare Zustand wieder eintritt.
  5. Verfahren nach einem der Patentansprüche 1 bis 4, dadurch gekennzeichnet, dass die dritte Vorrichtung (2) zur Generierung des ersten Identifikationsmerkmals und/oder jedes weiteren ersten Identifikationsmerkmales jeweils einen Zufallswert ermittelt.
  6. Verfahren nach einem der Patentansprüche 1 bis 5, dadurch gekennzeichnet, dass für jede erste Vorrichtung (1 1, 1 2, ..., 1 N) das erste Identifikationsmerkmal jeweils identisch ist und/oder die weiteren ersten Identifikationsmerkmale jeweils identisch sind.
  7. Verfahren nach einem der Patentansprüche 1 bis 6, dadurch gekennzeichnet, dass die erste Vorrichtung (1 1), der von der dritten Vorrichtung (2) das erste Identifikationsmerkmal zuerst vergeben wird, das erste Identifikationsmerkmal über eine gesicherte dritte Kommunikationsverbindung (5 1) einem System (12) zur Verwaltung von Geheimnissen überträgt, das das erste Identifikationsmerkmal an jede weitere erste Vorrichtung (1 2, ..., 1 N) über jeweils eine gesicherte dritte Kommunikationsverbindung (5 2, ..., 5 N) vergibt.
  8. Verfahren nach Patentanspruch 6 oder 7, dadurch gekennzeichnet, dass bei Vergabe eines identischen ersten Identifikationsmerkmals an jede erste Vorrichtung (1 1, 1 2, ..., 1 N) jeweils ein zweites Identifikationsmerkmal von der dritten Vorrichtung (2) vergeben wird und die zweite gesicherte Kommunikationsverbindung (9) zwischen der dritten Vorrichtung (2) und der zweiten Vorrichtung (3) aufgebaut wird, sobald zusätzlich eine Identität zwischen dem der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) jeweilig vergebenen zweiten Identifikationsmerkmal und einem zugehörigen in der dritten Vorrichtung (2) gespeicherten zweiten Referenz-Identifikationsmerkmal besteht.
  9. Verfahren nach einem der Patentansprüche 1 bis 8, dadurch gekennzeichnet, dass für jede erste Vorrichtung (1 1, 1 2, ..., 1 N) das erste Identifikationsmerkmal jeweils unterschiedlich ist und/oder jedes weitere erste Identifikationsmerkmal jeweils unterschiedlich ist.
  10. Verfahren nach Patentanspruch 8, dadurch gekennzeichnet, dass mit der Vergabe eines zweiten Identifikationsmerkmals oder eines jeweils unterschiedlichen ersten Identifikationsmerkmals an die jeweilige erste Vorrichtung (1 1, 1 2, ..., 1 N) an das zweite bzw. erste Identifikationsmerkmal jeweils gekoppelte Zugriffsrechte auf einzelne Hardware- und/oder Software-Komponenten der zweiten Vorrichtung (3) vergeben werden.
  11. Verfahren nach einem der Patentansprüche 1 bis 10, dadurch gekennzeichnet, dass die jeweilige erste Vorrichtung (1 1, 1 2, ..., 1 N) jeweils das erste Identifikationsmerkmal und/oder die weiteren ersten Identifikationsmerkmale solange speichert, bis die dritte Vorrichtung (2) der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) ein weiteres erstes Identifikationsmerkmal vergibt.
  12. Verfahren nach einem der Patentansprüche 1 bis 11, dadurch gekennzeichnet, dass das erste Identifikationsmerkmal und/oder jedes weitere erste Identifikationsmerkmal jeweils verschlüsselt über die jeweilige gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) bzw. über die jeweilige gesicherte dritte Kommunikationsverbindung (5 1, 5 2, ..., 5 N) zur jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) übertragen wird.
  13. Verfahren nach einem der Patentansprüche 1 bis 12, dadurch gekennzeichnet, dass zum Aufbauen der jeweiligen gesicherten ersten Kommunikationsverbindung (4 1, 4 2, ..., 4 N) zwischen der dritten Vorrichtung (2) und der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) und/oder zum Aufbauen der gesicherten zweiten Kommunikationsverbindung (9) zwischen der dritten Vorrichtung (2) und der zweiten Vorrichtung (3) jeweils ein gemeinsames Geheimnis ausgetauscht wird.
  14. Verfahren nach Patentanspruch 13, dadurch gekennzeichnet, dass das gemeinsame Geheimnis für alle gesicherten ersten Kommunikationsverbindungen (4 1, 4 2, ..., 4 N) jeweils unterschiedlich ist.
  15. Verfahren nach Patentanspruch 13 oder 14, dadurch gekennzeichnet, dass das jeweilige gemeinsame Geheimnis jeweils ein gemeinsamer Schlüssel und ein gemeinsames Verschlüsselungsverfahren ist.
  16. Verfahren nach einem der Patentansprüche 1 bis 15, dadurch gekennzeichnet, dass zum Aufbau einer gesicherten zweiten Kommunikationsverbindung (9) zwischen der dritten Vorrichtung (2) und der zweiten Vorrichtung (3) das Zustandekommen einer korrekten gesicherten ersten Kommunikationsverbindung (4 1, 4 2, ..., 4 N) zwischen der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) und der zweiten Vorrichtung (3) überprüft wird.
  17. Verfahren nach einem der Patentansprüche 1 bis 16, dadurch gekennzeichnet, dass die erste Vorrichtung (1 1, 1 2, ..., 1 N) eine Chipkarte oder ein Datenendgerät ist.
  18. System zur Herstellung von jeweils einer gesicherten Kommunikationsverbindung zwischen mindestens einer ersten Vorrichtung (1 1, 1 2, ..., 1 N) und einer zweiten Vorrichtung (3) mittels einer mit der zweiten Vorrichtung (3) untrennbar verbundenen dritten Vorrichtung (2), wobei das System so ausgebildet ist, dass jeweils eine gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) zwischen jeder ersten Vorrichtung (1 1, 1 2, ..., 1 N) und der dritten Vorrichtung (2) besteht und wobei das System so ausgebildet ist, dass eine gesicherte zweite Kommunikationsverbindung (9) zwischen der dritten Vorrichtung (2) und der zweiten Vorrichtung (3) besteht, sobald eine Vergabe jeweils eines ersten Identifikationsmerkmals an die mindestens eine erste Vorrichtung (1 1, 1 2, ..., 1 N) über die jeweilige gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) durch die dritte Vorrichtung (2) erfolgt ist, eine Identität zwischen dem von der jeweiligen ersten Vorrichtung (1 1, 1 2, ..., 1 N) über die jeweilige gesicherte erste Kommunikationsverbindung (4 1, 4 2, ..., 4 N) übertragenen jeweiligen ersten Identifikationsmerkmal und einem zugehörigen, in der dritten Vorrichtung (3) gespeicherten ersten Referenz-Identifikationsmerkmal besteht und ein von der dritten Vorrichtung (2) überprüfbarer Zustand eingetreten ist.
  19. System nach Patentanspruch 18, dadurch gekennzeichnet, dass eine Einheit (6) zur Überwachung eines Zustands der zweiten Vorrichtung in der dritten Vorrichtung (2) integriert ist oder mit der dritten Vorrichtung (2) verbunden ist.
  20. System nach Patentanspruch 18 oder 19, dadurch gekennzeichnet, dass jeweils eine gesicherte dritte Kommunikationsverbindung (5 1, 5 2, ..., 5 N) zwischen einem System (12) zur Verwaltung von Geheimnissen und jeweils einer ersten Vorrichtung (1 1, 1 2, ..., 1 N) besteht.
DE102014210434.3A 2014-06-03 2014-06-03 Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung Active DE102014210434B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014210434.3A DE102014210434B4 (de) 2014-06-03 2014-06-03 Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014210434.3A DE102014210434B4 (de) 2014-06-03 2014-06-03 Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung

Publications (2)

Publication Number Publication Date
DE102014210434A1 true DE102014210434A1 (de) 2015-12-03
DE102014210434B4 DE102014210434B4 (de) 2021-08-26

Family

ID=54481340

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014210434.3A Active DE102014210434B4 (de) 2014-06-03 2014-06-03 Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung

Country Status (1)

Country Link
DE (1) DE102014210434B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130166902A1 (en) 2010-09-06 2013-06-27 Gemalto Sa Simplified smartcard personalization method, and corresponding device
WO2014080780A1 (en) * 2012-11-21 2014-05-30 Mitsubishi Electric Corporation Method and system for authenticating at least one terminal requesting access to at least one resource

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130166902A1 (en) 2010-09-06 2013-06-27 Gemalto Sa Simplified smartcard personalization method, and corresponding device
WO2014080780A1 (en) * 2012-11-21 2014-05-30 Mitsubishi Electric Corporation Method and system for authenticating at least one terminal requesting access to at least one resource

Also Published As

Publication number Publication date
DE102014210434B4 (de) 2021-08-26

Similar Documents

Publication Publication Date Title
DE102012110499B4 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP2409452B1 (de) Verfahren zur bereitstellung von kryptografischen schlüsselpaaren
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
EP3092768A1 (de) Verfahren und vorrichtung zur freigabe von funktionen eines steuergerätes
DE102010027586B4 (de) Verfahren zum kryptographischen Schutz einer Applikation
EP3031227B1 (de) Verfahren zum betreiben eines sicherheitselements
EP2235598B1 (de) Feldgerät und verfahren zu dessen betrieb
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
DE102007051440B4 (de) Verfahren und Vorrichtung zur Freischaltung von Software in einem Kraftfahrzeug
EP3407242A1 (de) Personalisieren eines halbleiterelements
DE102014210434B4 (de) Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
EP3288215A1 (de) Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul
EP3355141A1 (de) Operator-system für ein prozessleitsystem
DE102016000324B4 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
EP4270863B1 (de) Sichere wiederherstellung privater schlüssel
DE102020123756B3 (de) Verfahren zur Nutzungsfreigabe sowie Funktionsfreigabeeinrichtung hierzu
EP3312753B1 (de) Physisches sicherheitselement zum zurücksetzen eines passworts
DE102009053230A1 (de) Verfahren zur Autorisierung eines externen Systems auf einem Steuergerät eines Fahrzeugs, insbesondere eines Kraftfahrzeugs
WO2023083527A1 (de) Verfahren, computerprogramm, vorrichtung und fahrzeug zur synchronisation von verschlüsselungsdaten
DE102015015212B4 (de) Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul
EP4138337A1 (de) Absichern von zutrittsrechten in einem schliessanlagensystem mit einem elektronischen zutrittsmedium
EP2723111A1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
EP2538627A1 (de) Verfahren zum Betreiben eines Engineering-Systems mit Benutzeridentifikation und Vorrichtung
DE102018217065A1 (de) Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final