DE102015108543A1 - A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device - Google Patents

A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device Download PDF

Info

Publication number
DE102015108543A1
DE102015108543A1 DE102015108543.7A DE102015108543A DE102015108543A1 DE 102015108543 A1 DE102015108543 A1 DE 102015108543A1 DE 102015108543 A DE102015108543 A DE 102015108543A DE 102015108543 A1 DE102015108543 A1 DE 102015108543A1
Authority
DE
Germany
Prior art keywords
certificate
peripheral device
server
protected peripheral
protected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102015108543.7A
Other languages
German (de)
Inventor
Diana Filimon
Jürgen Atzkern
Thilo Cestonaro
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to DE102015108543.7A priority Critical patent/DE102015108543A1/en
Publication of DE102015108543A1 publication Critical patent/DE102015108543A1/en
Granted legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Authentifizierung eines Computersystems (11) gegenüber einem Server (12). Das Verfahren umfasst hierbei das Anfordern eines ersten Zertifikats (19) von einem geschützten Peripheriegerät (10) über eine Verbindung. Das Verfahren umfasst des Weiteren das Erstellen des angeforderten ersten Zertifikats (19) durch das geschützte Peripheriegerät (10) basierend auf einem zweiten Zertifikat (19‘), das in dem geschützten Peripheriegerät (10) hinterlegt ist. Im Anschluss hieran wird das erstellte erste Zertifikat (19) über die Verbindung an das Computersystem (11) bereitgestellt. Das bereitgestellte erste Zertifikat (19) wird nun durch das Computersystem (11) an den Server (12) gesendet, der das erste Zertifikat (19) mittels eines dritten Zertifikats (19‘‘) prüft. War die Prüfung erfolgreich, so stellt der Server (12) Daten bereit. Das zweite Zertifikat (19‘) und das dritte Zertifikat (19‘‘) basieren hierbei auf einem Hauptzertifikat (24). Die Erfindung betrifft des Weiteren ein geschütztes Peripheriegerät (10) mit einem Anschluss (13) und einem Speicher (14), sowie die Verwendung eines geschützten Peripheriegeräts (10).The invention relates to a method for authenticating a computer system (11) to a server (12). In this case, the method comprises requesting a first certificate (19) from a protected peripheral device (10) via a connection. The method further comprises creating the requested first certificate (19) by the protected peripheral device (10) based on a second certificate (19 ') stored in the protected peripheral device (10). Following this, the created first certificate (19) is provided via the connection to the computer system (11). The provided first certificate (19) is now sent by the computer system (11) to the server (12), which checks the first certificate (19) by means of a third certificate (19 ''). If the test was successful, the server (12) provides data. The second certificate (19 ') and the third certificate (19' ') are based on a main certificate (24). The invention further relates to a protected peripheral device (10) with a connector (13) and a memory (14), as well as the use of a protected peripheral device (10).

Description

Die Erfindung betrifft ein Verfahren zur Identifizierung eines Computersystems gegenüber einem Server, ein geschütztes Peripheriegerät mit einem Anschluss und einem Speicher, sowie die Verwendung eines geschützten Peripheriegeräts. The invention relates to a method of identifying a computer system to a server, a protected peripheral device having a port and a memory, and the use of a protected peripheral device.

Als Service oder zur Unterstützung bei der Benutzung von Peripheriegeräten und insbesondere geschützten Peripheriegeräten, können Benutzern bestimmte Programme und Software angeboten werden. Ein weiterer Service ist es, sogenannte Software Developer Kits (SDK) anzubieten, mit denen sich Benutzer eigene und spezialisierte Software selber programmieren können, die zu dem Peripheriegerät passt. Es liegt im Interesse des Herstellers, dass Leute, die diese SDKs benutzen, auch ein Peripheriegerät besitzen. Es sind verschiedene Authentifizierungsverfahren bekannt. Diese sind entweder für den Hersteller oder für den Benutzer aufwendig.As a service or assistance in the use of peripherals, and in particular protected peripherals, certain programs and software may be offered to users. Another service is to provide so-called Software Developer Kits (SDK), which allow users to program their own and specialized software that fits the peripheral device. It is in the manufacturer's interest that people who use these SDKs also have a peripheral device. Various authentication methods are known. These are expensive either for the manufacturer or for the user.

Aufgabe der Erfindung ist es, Verfahren und Vorrichtungen aufzuzeigen, die eine vorteilhafte, insbesondere eine einfache und sichere, Authentifizierung eines Computersystems ermöglichen. The object of the invention is to provide methods and devices which enable an advantageous, in particular a simple and secure, authentication of a computer system.

Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zur Authentifizierung eines Computersystems gegenüber einem Server gelöst. In einem ersten Schritt wird ein erstes Zertifikat von einem geschützten Peripheriegerät über eine Verbindung angefordert. According to a first aspect of the invention, the object is achieved by a method for authenticating a computer system to a server. In a first step, a first certificate is requested from a protected peripheral via a connection.

Das angeforderte erste Zertifikat wird durch das geschützte Peripheriegerät basierend auf einem zweiten Zertifikat, das in dem geschützten Peripheriegerät hinterlegt ist, erstellt. Das erstellte erste Zertifikat wird über die Verbindung an das Computersystem bereitgestellt. Das Computersystem sendet das bereitgestellte erste Zertifikat an den Server. Der Server prüft das gesendete erste Zertifikat mittels eines dritten Zertifikats und stellt Daten auf dem Server bereit, wenn ein Ergebnis der Prüfung erfolgreich war. Hierbei basieren das zweite Zertifikat und das dritte Zertifikat auf einem Hauptzertifikat.The requested first certificate is created by the protected peripheral device based on a second certificate stored in the protected peripheral device. The created first certificate is provided via the connection to the computer system. The computer system sends the provided first certificate to the server. The server checks the sent first certificate by means of a third certificate and provides data on the server if a result of the check was successful. In this case, the second certificate and the third certificate are based on a main certificate.

Das zweite Zertifikat ist in dem geschützten Peripheriegerät hinterlegt. Somit kann sich jeder Besitzer des geschützten Peripheriegeräts ein erstes Zertifikat ausgeben lassen. Über die Verknüpfung des zweiten und dritten Zertifikats mit dem Hauptzertifikat teilen sich der Server und das geschützte Peripheriegerät ein Geheimnis, das für die Authentifizierung des Computersystems gegenüber dem Server genutzt werden kann. The second certificate is stored in the protected peripheral device. Thus, each owner of the protected peripheral device can issue a first certificate. By linking the second and third certificates to the master certificate, the server and the protected peripheral share a secret that can be used to authenticate the computer system to the server.

Gemäß einer vorteilhaften Ausgestaltung weist das erste Zertifikat eine Beschränkungsinformation auf, wobei der Server abhängig von der Beschränkungsinformation die bereitgestellten Daten beschränkt zur Verfügung stellt.According to an advantageous embodiment, the first certificate has restriction information, wherein the server provides the provided data in a restricted manner, depending on the restriction information.

Durch die Beschränkung, insbesondere eine zeitliche Beschränkung, kann der Server einen Download für eine beschränkte Zeit zur Verfügung stellen. Due to the restriction, especially a time limit, the server may provide a download for a limited time.

Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst der Schritt des Anforderns ein Übermitteln von Benutzerdaten an das geschützte Peripheriegerät. Hierbei basiert das erste Zertifikat auf wenigstens einem Teil dieser Benutzerdaten und/oder umfasst wenigstens einen Teil dieser Benutzerdaten.According to a further advantageous embodiment, the requesting step comprises transmitting user data to the protected peripheral device. In this case, the first certificate is based on at least part of this user data and / or comprises at least part of this user data.

Sind Benutzerdaten in dem Zertifikat hinterlegt, so ist nicht nur eine Zuordnung zu dem Benutzer möglich, sondern es kann auch eine Beschränkung von Downloads auf dem Server für bestimmte Benutzer erfolgen. If user data is stored in the certificate, then not only is it possible to assign the user to the user, but it is also possible to restrict downloads on the server to specific users.

Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst das erste Zertifikat Geräteinformationen des geschützten Peripheriegeräts.According to a further advantageous embodiment, the first certificate comprises device information of the protected peripheral device.

Einzelne geschützte Peripheriegeräte können für bestimmte Benutzergruppen bzw. Personenkreise wie zum Beispiel Firmen oder private Endbenutzer gefertigt sein. Dadurch, dass das erste Zertifikat die Geräteinformationen umfasst, können verschiedenen geschützten Peripheriegeräten, die für eine bestimmte Benutzergruppe gefertigt wurden, unterschiedliche Rechte zugewiesen werden. Individual protected peripherals may be manufactured for specific user groups or groups of persons such as companies or private end users. Because the first certificate includes the device information, different protected peripherals that have been manufactured for a particular user group can be assigned different rights.

Gemäß einer weiteren vorteilhaften Ausgestaltung sind die bereitgestellten Daten auf dem Server verschlüsselt. Die verschlüsselten Daten sind nach einem Herunterladen von dem geschützten Peripheriegerät entschlüsselbar.According to a further advantageous embodiment, the provided data is encrypted on the server. The encrypted data is decryptable after being downloaded from the protected peripheral device.

So kann sichergestellt werden, dass die Daten, die vom Server heruntergeladen werden auch von lediglich dem Benutzer genutzt werden können, der das geschützte Peripheriegerät verwendet, über das das erste Zertifikat erstellt wurde. This ensures that the data downloaded from the server can also be used by only the user using the protected peripheral device that created the first certificate.

Gemäß einer weiteren vorteilhaften Ausgestaltung erfordern die verschlüsselten Daten vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät, wobei die entschlüsselten Daten unabhängig von dem geschützten Peripheriegerät verwendbar sind.According to a further advantageous embodiment, the encrypted data requires a decryption by the protected peripheral device before use, wherein the decrypted data can be used independently of the protected peripheral device.

Werden die verschlüsselten Daten im Peripheriegerät entschlüsselt, so kann damit frei gearbeitet werden. Dies ist beispielsweise in Firmen sinnvoll, bei denen ein Team mit den heruntergeladenen Daten arbeitet. Hierbei können dann verschiedene Computersysteme zum Arbeiten verwendet werden, so dass es nicht erforderlich ist, an jedem Arbeitsplatz ein gesichertes Peripheriegerät zu verwenden. If the encrypted data is decrypted in the peripheral device, then it can be used freely. This is useful, for example, in companies where a team works with the downloaded data. In this case, different computer systems can be used for working, so there is no need to use a secure peripheral device at each workstation.

Gemäß einer weiteren vorteilhaften Ausgestaltung erfordern die bereitgestellten Daten für eine Benutzung eine Entschlüsselung und/oder eine Authentifizierung durch das geschützte Peripheriegerät. Zusätzlich erfordern die bereitgestellten Daten eine aktive Verbindung zu dem geschützten Peripheriegerät oder können lediglich auf dem geschützten Peripheriegerät ausgeführt werden.According to a further advantageous embodiment, the data provided for use requires decryption and / or authentication by the protected peripheral device. In addition, the provided data requires an active connection to the protected peripheral device or can only be performed on the protected peripheral device.

Eine Nutzung der bereitgestellten Daten kann so auf eine Plattformen beschränkt werden.A use of the provided data can be limited to one platform.

Gemäß einer weiteren vorteilhaften Ausgestaltung erfordert ein Zugriff auf einen sicheren Bereich auf dem geschützten Peripheriegerät eine Authentifizierung mit dem ersten Zertifikat. According to a further advantageous embodiment, access to a secure area on the protected peripheral device requires authentication with the first certificate.

Lässt sich ein Administrator das erste Zertifikat erstellen, so kann er sicherstellen, dass ausschließlich Personen auf das geschützte Peripheriegerät beziehungsweise auf gesicherte Bereiche des geschützten Peripheriegeräts Zugriff haben, die ebenfalls über das erste Zertifikat verfügen beziehungsweise durch den Administrator legitimiert worden sind. If an administrator can create the first certificate, he can ensure that only persons who have the first certificate or have been legitimized by the administrator have access to the protected peripheral device or secure areas of the protected peripheral device.

Gemäß einer weiteren vorteilhaften Ausgestaltung überprüft der Server zusätzlich zum ersten Zertifikat auch Standortinformationen, insbesondere eine IP-Adresse. Die Daten werden von dem Server nur dann bereitgestellt, wenn ein Ergebnis der Prüfung des ersten Zertifikats und der Standortinformationen erfolgreich waren. According to a further advantageous embodiment, the server also checks location information, in particular an IP address, in addition to the first certificate. The data is provided by the server only if a result of the first certificate check and the location information was successful.

Die Prüfung der Standortinformationen bietet zusätzlich mehr Sicherheit vor illegalen Downloads. Checking the location information also provides more security against illegal downloads.

Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein gestütztes Peripheriegerät mit einem Anschluss und einem Speicher gelöst. In dem Speicher ist ein zweites Zertifikat gespeichert, das auf einem Hauptzertifikat basiert. Das geschützte Peripheriegerät ist dazu eingerichtet, auf eine Aufforderung hin ein auf dem zweiten Zertifikat basierendes erstes Zertifikat zu erstellen und über eine über den Anschluss aufgebaute Verbindung bereitzustellen.According to a second aspect of the invention, the object is achieved by a supported peripheral device with a connection and a memory. The memory stores a second certificate based on a master certificate. The protected peripheral device is configured, upon request, to create a second certificate based on the second certificate and to provide it via a connection established via the connection.

Das geschützte Peripheriegerät kann dazu verwendet werden, eine Authentifizierung gegenüber einem Server mit einem von einem Hauptzertifikat abhängigen dritten Zertifikat zu ermöglichen. The protected peripheral device can be used to enable authentication to a server with a third certificate dependent on a master certificate.

Gemäß einer vorteilhaften Ausgestaltung ist das geschützte Peripheriegerät weiter dazu eingerichtet, mit einem dritten Zertifikat verschlüsselte Daten zu entschlüsseln, wobei das dritte Zertifikat auf dem Hauptzertifikat basiert.According to an advantageous embodiment, the protected peripheral device is further configured to decrypt encrypted data with a third certificate, wherein the third certificate is based on the main certificate.

Ein Benutzer kann mit dem dritten Zertifikat verschlüsselte Daten entschlüsseln, ohne zusätzliche Hardware anschaffen zu müssen.A user can decrypt encrypted data with the third certificate without having to purchase additional hardware.

Gemäß einem dritten Aspekt der Erfindung wird die Aufgabe durch die Verwendung eines geschützten Peripheriegerätes mit einem Speicher gelöst, wobei ein auf einem Hauptzertifikat basierendes zweites Zertifikat in dem Speicher gespeichert ist. Das geschützte Peripheriegerät wird hierbei dazu verwendet, ein erstes Zertifikat zum Authentifizieren eines Computersystems gegenüber einem Server mit einem dritten Zertifikat, das auf dem Hauptzertifikat basiert, zu erstellen.According to a third aspect of the invention, the object is achieved by the use of a protected peripheral device with a memory, wherein a second certificate based on a main certificate is stored in the memory. The protected peripheral device is hereby used to create a first certificate for authenticating a computer system to a server with a third certificate based on the main certificate.

Eine Zugriffskontrolle auf den Server kann somit durch eine Zertifikatsvergabe durch das geschützte Peripheriegerät geregelt werden. An access control to the server can thus be regulated by issuing a certificate through the protected peripheral device.

Die Erfindung wird im Folgenden anhand von Ausführungsbeispielen und Figuren näher beschrieben. The invention will be described in more detail below with reference to embodiments and figures.

In den Figuren zeigen:In the figures show:

1 eine schematische Darstellung eines geschützten Peripheriegeräts zusammen mit einem Computersystem und einem Server; 1 a schematic representation of a protected peripheral device together with a computer system and a server;

2 eine Übersicht von Zertifikaten; und 2 an overview of certificates; and

3 ein Ablaufdiagramm für ein Verfahren gemäß einer Ausgestaltung der Erfindung. 3 a flowchart for a method according to an embodiment of the invention.

1 zeigt eine schematische Darstellung eines geschützten Peripheriegeräts 10, eines Computersystems 11 und eines Servers 12. Im Ausführungsbeispiel ist das geschützte Peripheriegerät 10 ein Terminal zum Ausführen von finanziellen Transaktionen, für die sich ein Benutzer authentifizieren muss, beispielsweise ein PalmSecure ID Match mit einem Handvenenscanner der Firma Fujitsu. Der Benutzer nutzt das geschützte Peripheriegerät 10 hierbei beispielsweise zum Eingeben personenbezogener Daten. In anderen Ausgestaltungen handelt es sich bei dem geschützten Peripheriegerät 10 um ein Computersystem zur Überprüfung von Zutrittskontrollen, um einem Bankautomaten, um Bordcomputer von Fahrzeugen oder im Allgemeinen um ein Computersystem, das sicherheitsrelevante Daten speichert und/oder verarbeitet. 1 shows a schematic representation of a protected peripheral device 10 , a computer system 11 and a server 12 , In the embodiment, the protected peripheral device 10 a terminal for executing financial transactions that a user must authenticate to, for example, a PalmSecure ID Match with a Fujitsu palm vein scanner. The user uses the protected peripheral device 10 Here, for example, to enter personal data. In other embodiments, the protected peripheral device is 10 a computer system for checking access controls, an automatic teller machine, vehicle on-board computers or, in general, a computer system that stores and / or processes security-relevant data.

Das geschützte Peripheriegerät 10 weist einen Anschluss 13 auf, der zum Verbinden des geschützten Peripheriegeräts 10 mit dem Computersystem 11, beispielsweise über eine SSH-Verbindung, eingerichtet ist. Im Ausführungsbeispiel handelt es sich bei dem Anschluss 13 um eine LAN Buchse, in anderen Ausgestaltungen kann es sich jedoch ebenso um eine USB Schnittstelle, einen WLAN-Anschluss oder andere Anschlüsse zum Übertragen von Daten handeln. In weiteren Ausführungsbeispielen handelt es sich bei der Verbindung zwischen dem geschützten Peripheriegerät 10 und dem Computersystem 11 um eine Internetverbindung oder eine andere Datenverbindung.The protected peripheral device 10 has a connection 13 which is used to connect the protected peripheral device 10 with the computer system 11 , for example via an SSH connection, is set up. In the exemplary embodiment, the connection is 13 a LAN socket, in other embodiments, however, it can also be a USB interface, a WLAN Port or other ports to transfer data. In other embodiments, the connection is between the protected peripheral device 10 and the computer system 11 to an internet connection or another data connection.

Das geschützte Peripheriegerät 10 weist des Weiteren einen Speicher 14 auf, in dem ein Gerätezertifikat 22 als zweites Zertifikat 19‘ gespeichert ist (eine hierarchische Übersicht der beschriebenen Zertifikate ist in 2 dargestellt). Das Gerätezertifikat 22 wird bei der Fertigung des geschützten Peripheriegeräts 10 in den Speicher eingespeichert. Aus dem Gerätezertifikat 22 kann sich ein Benutzer, insbesondere ein Administrator ein Nutzerzertifikat 21 als erstes Zertifikat 19 erstellen lassen. Das Nutzerzertifikat 21 kann sowohl zum Herunterladen von Daten von dem Server 12 als auch zum beschränken des Zugriffs auf das geschützte Peripheriegerät 10 verwendet werden. Beispielsweise ist ein Zugriff auf Administratoreinstellungen nur nach Übersendung des Nutzerzertifikats 21 an das geschützte Peripheriegerät 10 möglich. In einem weiteren Ausführungsbeispiel werden eines oder mehrere nutzerspezifische Gerätezertifikate 22‘ während der Fertigung des geschützten Peripheriegeräts 10 in dem geschützten Peripheriegerät 10 gespeichert. Beispielsweise werden einer Firma mehrere verschiedene geschützte Peripheriegeräte 10 mit identischen nutzerspezifischen Gerätezertifikaten 22‘ verkauft.The protected peripheral device 10 also has a memory 14 in which a device certificate 22 as a second certificate 19 ' is stored (a hierarchical overview of the described certificates is in 2 shown). The device certificate 22 is used in the production of the protected peripheral device 10 stored in the memory. From the device certificate 22 A user, especially an administrator, can become a user certificate 21 as the first certificate 19 let create. The user certificate 21 can both download data from the server 12 as well as to restrict access to the protected peripheral device 10 be used. For example, access to administrator settings is only after the user certificate has been sent 21 to the protected peripheral device 10 possible. In another embodiment, one or more user-specific device certificates 22 ' during the production of the protected peripheral device 10 in the protected peripheral device 10 saved. For example, a company will have several different protected peripherals 10 with identical user-specific device certificates 22 ' sold.

In einem weiteren Ausführungsbeispiel werden mehrere verschiedene geschützte Peripheriegeräte 10 mit unterschiedlichen nutzerspezifischen Gerätezertifikaten 22‘ angeboten, die alle ein gemeinsames Merkmal teilen, so dass eine Zuordnung zu einem Benutzer, beziehungsweise einer Firma, gewährleistet ist. Diese nutzerspezifischen Gerätezertifikaten 22‘ kann eine entsprechende Kennung auch an ein spezifisches Nutzerzertifikat 21‘ weitergeben. Das Computersystem 11 kann sich mit diesem spezifisches Nutzerzertifikat 21‘, das auf dem nutzerspezifischen Gerätezertifikaten 22‘ mit der Nutzerkennung basiert gegenüber dem Server 12 authentifizieren und als Firmenrechner zu erkennen geben. Diesem spezifisches Nutzerzertifikat 21‘ wird ein besonderes Downloadrecht eingeräumt. In another embodiment, several different protected peripherals are used 10 with different user-specific device certificates 22 ' offered, all share a common feature, so that an assignment to a user, or a company is guaranteed. These user-specific device certificates 22 ' A corresponding identifier can also be sent to a specific user certificate 21 ' pass on. The computer system 11 can deal with this specific user certificate 21 ' on the user-specific device certificates 22 ' with the user ID based on the server 12 authenticate and identify as a company computer. This specific user certificate 21 ' a special download right is granted.

Das Computersystem 11 ist im Ausführungsbeispiel ein Desktop Computer, der von einer Softwarefirma zum Programmieren von Softwareapplikationen für das geschützte Peripheriegerät 10 eingesetzt wird. The computer system 11 In the exemplary embodiment, a desktop computer provided by a software company for programming software applications for the protected peripheral device 10 is used.

Selbstverständlich kann es sich bei dem Computersystem 11 in weiteren Ausgestaltungen auch um andere Computersysteme handeln, die beispielsweise eine Datennetzwerkverbindung aufbauen können. Of course, it can be in the computer system 11 in other embodiments, it may also be other computer systems that may, for example, establish a data network connection.

Der Server 12 ist im Ausführungsbeispiel ein Downloadserver, über den von einem Hersteller des geschützten Peripheriegeräts 10 Daten, insbesondere Softwareprodukte wie ein sogenanntes Software Developer Kitt (SDK) bereitgestellt werden.The server 12 in the exemplary embodiment is a download server, via the manufacturer of the protected peripheral device 10 Data, in particular software products such as a so-called Software Developer Kitt (SDK) are provided.

Das Computersystem 11 weist einen Anschluss 15 und einen Datennetzwerkanschluss 16 auf. Das Computersystem 11 ist über den Anschluss 15 mit dem Anschluss 13 des geschützten Peripheriegeräts 10 verbunden. Über den Datennetzwerkanschluss 16 ist das Computersystem 11 an das Internet angeschlossen. Der Server weist einen Datennetzwerkanschluss 17 auf, der ebenfalls mit dem Internet und somit mit dem Computersystem 11 verbunden ist. In anderen Ausgestaltungen sind der Server 12 und das Computersystem 11 direkt oder über ein anderes Netzwerk miteinander verbunden.The computer system 11 has a connection 15 and a data network connection 16 on. The computer system 11 is about the connection 15 with the connection 13 the protected peripheral device 10 connected. Via the data network connection 16 is the computer system 11 connected to the internet. The server has a data network connection 17 on, who also with the Internet and thus with the computer system 11 connected is. In other embodiments, the server 12 and the computer system 11 connected directly or via another network.

Der Server 12 weist einen Speicher 18 auf. In dem Speicher 18 ist ein Serverzertifikat 23 als drittes Zertifikat 19‘‘ gespeichert. Das Serverzertifikat 23 und das Gerätezertifikat 22 gehen beide direkt auf ein einziges Hauptzertifikat 24 zurück.The server 12 has a memory 18 on. In the store 18 is a server certificate 23 as the third certificate 19 '' saved. The server certificate 23 and the device certificate 22 Both go directly to a single main certificate 24 back.

Bei einer Fertigung des geschützten Peripheriegerätes 10 werden das Gerätezertifikat 22 und das nutzerspezifische Gerätezertifikat 22‘ aus dem Hauptzertifikat 24 erstellt. Im Ausführungsbeispiel werden die Zertifikate mit einem OpenSSL-Verfahren aus dem Hauptzertifikat 24 erstellt, so dass eine hierarchische Vertrauenskette (engl.: chain of trust) gebildet wird.In a production of the protected peripheral device 10 become the device certificate 22 and the user-specific device certificate 22 ' from the main certificate 24 created. In the exemplary embodiment, the certificates with an OpenSSL method from the main certificate 24 created, so that a hierarchical chain of trust (English: chain of trust) is formed.

3 zeigt ein Ablaufdiagramm 30 eines Arbeitsverfahrens gemäß einem Ausführungsbeispiel der Erfindung. 3 shows a flowchart 30 a working method according to an embodiment of the invention.

In Schritt 31 wird über das Computersystem 11 von einem Benutzer von dem geschützten Peripheriegerät 10 das Nutzerzertifikat 21 zum Authentifizieren des Computersystems 11 gegenüber dem Server 12 angefordert. Hierzu wird die Anforderung von dem Computersystem 11 über den Anschluss 15 an den Anschluss 13 des geschützten Peripheriegeräts 10 gesendet. Beispielsweise wird zum Anfordern ein Webservice verwendet, der auf das geschützte Peripheriegerät 10 zugreift.In step 31 is through the computer system 11 from a user of the protected peripheral device 10 the user certificate 21 to authenticate the computer system 11 opposite the server 12 requested. This is the requirement of the computer system 11 over the connection 15 to the connection 13 the protected peripheral device 10 Posted. For example, a web service is used to request access to the protected peripheral device 10 accesses.

Hierbei übermittelt der Benutzer zusätzlich zu der Anforderung persönliche Daten, wie Name oder Anschrift. Der Webservice enthält hierfür ein Formular zur Eingabe der persönlichen Daten. In alternativen Ausgestaltungen können weitere persönliche Daten oder keine persönlichen Daten übermittelt werden.In this case, the user transmits personal data, such as name or address, in addition to the request. The web service contains a form for entering personal data. In alternative embodiments, further personal data or no personal data may be transmitted.

Im Schritt 32 wird das Nutzerzertifikat 21 durch das geschützte Peripheriegerät 10 erstellt. Hierzu wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat 22 erstellt. Zusätzlich enthält das Nutzerzertifikat 21 die in Schritt 31 übermittelten personenbezogenen Daten des Benutzers. In step 32 becomes the user certificate 21 through the protected peripheral device 10 created. For this the user certificate becomes 21 based on the device certificate 22 created. In addition, the user certificate contains 21 the in step 31 transmitted personal data of the user.

Das Nutzerzertifikat 21 enthält in weiteren Ausführungsbeispielen Geräteinformationen des geschützten Peripheriegeräts 10. Diese Geräteinformationen umfassen beispielsweise eine Seriennummer, ein Fertigungsdatum oder ein Herstellungsland.The user certificate 21 contains in further embodiments device information of the protected peripheral device 10 , This device information includes, for example, a serial number, a manufacturing date or a manufacturing country.

Bei der Erstellung des Zertifikats werden Informationen in vordefinierten Feldern erfasst. Die vordefinierten Felder können einen an unterschiedliche Geräte und/oder Kunden angepassten Inhalt aufweisen. Im Ausführungsbeispiel umfassen diese Informationen in den vordefinierten Feldern personenbezogene Daten oder Geräteinformationen.When the certificate is created, information is collected in predefined fields. The predefined fields may have content adapted to different devices and / or customers. In the exemplary embodiment, this information includes personal data or device information in the predefined fields.

In weiteren Ausführungsbeispielen wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat und den personenbezogenen Daten und/oder den Geräteinformationen erstellt. Die personenbezogenen Daten und die Geräteinformationen sind in diesem Ausführungsbeispiel nicht auslesbar in dem Nutzerzertifikat 21 enthalten, beispielsweise durch einen Prüfwert.In further embodiments, the user certificate becomes 21 based on the device certificate and personal data and / or device information. The personal data and the device information are not readable in the user certificate in this embodiment 21 contained, for example by a test value.

Das Nutzerzertifikat 21 kann von dem Nutzer mehrmals angefordert werden, um beispielsweise verschiedenen Computersysteme 11 nutzen zu können. In einem anderen Ausführungsbeispiel kann das Nutzerzertifikat 21 nur ein einziges Mal erstellt werden. Dies erhöht die Sicherheit des geschützten Peripheriegeräts 10. Soll hierbei ein weiteres Nutzerzertifikat 21 erstellt werden, muss der Nutzer einen Kundenservice kontaktieren, der dem Nutzer das geschützte Peripheriegerät 10 wieder freischalten kann. Hierzu kann der Kundenservice das geschützte Peripheriegerät 10 auf Werkseinstellungen zurücksetzen. The user certificate 21 can be requested by the user several times, for example, to different computer systems 11 to be able to use. In another embodiment, the user certificate 21 be created only once. This increases the security of the protected peripheral device 10 , Should this be another user certificate 21 The user must contact a customer service who provides the user with the protected peripheral device 10 can unlock again. For this customer service can use the protected peripheral device 10 Reset to factory settings.

Im Schritt 33 stellt das geschützt Peripheriegerät 10 das erstellte Nutzerzertifikat 21 dem Computersystem 11 über den Anschluss 13 bereit. Das Nutzerzertifikat 21 wird in den Webbrowser auf dem Computersystem 11 importiert.In step 33 provides the protected peripheral device 10 the created user certificate 21 the computer system 11 over the connection 13 ready. The user certificate 21 is in the web browser on the computer system 11 imported.

Das Nutzerzertifikat 21, das dem Computersystem 11 bereitgestellt wurde, wird in Schritt 34 von dem Computersystem 11 über den Datennetzwerkanschluss 16 und eine https-Verbindung aus dem Webbrowser heraus an den Server 12 gesendet. Hierzu speichert das Computersystem 11 das Nutzerzertifikat 21 in einem in 1 nicht dargestellten Speicher. Das gespeicherte Nutzerzertifikat 21 wird zum Senden ausgelesen.The user certificate 21 that the computer system 11 is provided in step 34 from the computer system 11 over the data network connection 16 and an https connection from the web browser to the server 12 Posted. For this the computer system saves 11 the user certificate 21 in an in 1 not shown memory. The saved user certificate 21 is read out for sending.

In Schritt 35 gleicht der Server 12 das empfangene Nutzerzertifikat 21 mit dem in dem Speicher 18 hinterlegten Serverzertifikat 23 ab. Der Abgleich erfolgt hierbei basierend auf einem https-Standard. Hierbei werden das Serverzertifikat 23 und das Nutzerzertifikat 21 als übereinstimmend angesehen, wenn der Abgleich ergibt, dass das Serverzertifikat 23 und das Nutzerzertifikat 21 direkt oder indirekt auf dem Hauptzertifikat 24 basieren.In step 35 is like the server 12 the received user certificate 21 with that in the store 18 deposited server certificate 23 from. The comparison is based on an https standard. This will be the server certificate 23 and the user certificate 21 considered to match if the match results in the server certificate 23 and the user certificate 21 directly or indirectly on the main certificate 24 based.

In einer alternativen Ausgestaltung sind entsprechende Vergleichswerte basierend auf dem Hauptzertifikat 24 in einer Hashwerttabelle hinterlegt. In diesem Fall prüft der Server 12 das Nutzerzertifikat 21 über einen hinterlegten Hashwert in der Hashwerttabelle.In an alternative embodiment, corresponding comparison values are based on the main certificate 24 stored in a hash table. In this case, the server checks 12 the user certificate 21 via a stored hash value in the hash value table.

Der Server 12 protokolliert den Zugriff auf den Downloadbereich mit den bereitgestellten Daten. Hierzu werden Zertifikatsinformationen und eine Gerätenummer des geschützten Peripheriegeräts 10 gespeichert.The server 12 logs the access to the download area with the provided data. This will be certificate information and a device number of the protected peripheral device 10 saved.

Zeigt die Prüfung in Schritt 35 eine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 in Schritt 36 Daten bereit. Das Computersystem 11 kann nun die bereitgestellten Daten von dem Server 12 herunterladen. Im Ausführungsbeispiel lädt das Computersystem 11 ein SDK von dem Server 12 herunter.Shows the test in step 35 a match, so does the server 12 the computer system 11 in step 36 Data ready. The computer system 11 can now see the data provided by the server 12 Download. In the exemplary embodiment, the computer system loads 11 an SDK from the server 12 down.

Der Server 12 gibt dem Nutzer abhängig von dem Nutzerzertifikat 21 Zugriff auf unterschiedliche Softwareprodukte, wie beispielsweise verschiedene Versionen einer Firmware. In dem Nutzerzertifikat 21 sind hierbei Informationen zu dem Software- und Gerätestand des geschützten Peripheriegeräts 10 gespeichert. Die übermittelten Geräteinformationen werden von dem Server 12 aus dem Nutzerzertifikat 21 ausgelesen.The server 12 gives the user depending on the user certificate 21 Access to different software products, such as different versions of firmware. In the user certificate 21 here are information about the software and device status of the protected peripheral device 10 saved. The transmitted device information is from the server 12 from the user certificate 21 read.

Im beschriebenen Ausführungsbeispiel umfasst das Nutzerzertifikat 21 einen Zeitstempel. Anhand des Zeitstempels kann der Server 12 erkennen, wann das Nutzerzertifikat 21 ausgestellt wurde. Der Server 12 stellt die Daten nun für einen vorbestimmten Zeitraum, beispielsweise eine Woche ab dem Ausstellungsdatum des Nutzerzertifikat 21, bereit. In the described embodiment, the user certificate comprises 21 a timestamp. Based on the timestamp, the server can 12 recognize when the user certificate 21 was issued. The server 12 now places the data for a predetermined period of time, for example one week from the date of issuance of the user certificate 21 , ready.

In einer alternativen Ausgestaltung stellt der Server 12 die Daten ab einem Anfragezeitpunkt für einen vorbestimmten Zeitraum bereit. In an alternative embodiment, the server provides 12 the data ready from a request time for a predetermined period.

In einem weiteren alternativen oder zusätzlichen Ausführungsbeispiel stellt der Server 12 die Daten lediglich dem Computersystem 11 bereit. Hierzu speichert der Server 12 eine Kennung, beispielsweise eine MAC-Adresse, des Computersystems 11. Nachfolgende Downloads können so von dem Computersystem 11 durchgeführt werden, ohne das Nutzerzertifikat 21 zu übermitteln.In a further alternative or additional embodiment, the server provides 12 the data only to the computer system 11 ready. For this the server saves 12 an identifier, such as a MAC address, of the computer system 11 , Subsequent downloads can be done by the computer system 11 be carried out without the user certificate 21 to convey.

Im beschriebenen Ausführungsbeispiel verschlüsselt der Server 12 die Daten. Die Daten werden hierbei mit dem Serverzertifikat 23 verschlüsselt. In einem weiteren Ausführungsbeispiel werden die Daten von dem Server 12 mit einem dem Serverzertifikat 23 zugeordneten Schlüssel verschlüsselt.In the described embodiment, the server encrypts 12 the data. The data is here with the server certificate 23 encrypted. In another embodiment, the data is from the server 12 with a server certificate 23 Encrypted key encrypted.

Ein Entschlüsseln ist mit dem Nutzerzertifikat 21 möglich. Hierzu muss das geschützte Peripheriegerät 10 mit dem Computersystem 11 beziehungsweise mit einem Computersystem, auf dem die verschlüsselten Daten gespeichert sind, verbunden sein. In einem weiteren Ausführungsbeispiel muss das geschützte Peripheriegerät 10 nicht mit dem Computersystem 11 verbunden sein. In diesem Ausführungsbeispiel ist eine Entschlüsselung mit dem gespeicherten Nutzerzertifikat 21 von dem Computersystem 11 aus möglich.Decrypting is with the user certificate 21 possible. This requires the protected peripheral device 10 with the computer system 11 or be connected to a computer system on which the encrypted data is stored. In another embodiment, the protected peripheral device must 10 not with the computer system 11 be connected. In this embodiment, decryption is with the stored user certificate 21 from the computer system 11 out possible.

Im beschriebenen Ausführungsbeispiel muss das geschützte Peripheriegerät 10 zum Arbeiten mit den heruntergeladenen Daten dauerhaft mit dem Computersystem 11 verbunden sein.In the described embodiment, the protected peripheral device 10 to work with the downloaded data permanently with the computer system 11 be connected.

In einem weiteren Ausführungsbeispiel schaltet das geschützte Peripheriegerät 10 mit dem Entschlüsseln der heruntergeladenen Daten die Daten frei, so dass diese auf beliebigen Computersystemen auch ohne eine Verbindung zu einem geschützten Peripheriegerät 10 nutzbar sind. Hierbei löscht das geschützte Peripheriegerät 10 eine Information in den Dateien, die eine Nutzung ohne ein an das Computersystem 11 angeschlossenes geschütztes Peripheriegerät 10 unmöglich macht.In a further embodiment, the protected peripheral device switches 10 By decrypting the downloaded data, the data is free so that it can be used on any computer system even without a connection to a protected peripheral device 10 are usable. This deletes the protected peripheral device 10 an information in the files that use without a to the computer system 11 connected protected peripheral device 10 impossible.

Zeigt die Prüfung in Schritt 35 keine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 keine Daten bereit. Das Verfahren endet in Schritt 37 beispielsweise mit dem Unterbrechen der Datennetzwerkverbindung zwischen dem Computersystem 11 und dem Server 12 durch den Server 12.Shows the test in step 35 no match, so does the server 12 the computer system 11 no data ready. The procedure ends in step 37 for example, interrupting the data network connection between the computer system 11 and the server 12 through the server 12 ,

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1010
geschütztes Peripheriegerät protected peripheral device
1111
Computersystem computer system
1212
Server server
13, 1513, 15
Anschluss connection
16, 1716, 17
Datennetzwerkanschluss Data Networking
14, 1814, 18
Speicher Storage
1919
erstes Zertifikat first certificate
19‘19 '
zweites Zertifikat second certificate
19‘‘19 ''
drittes Zertifikat third certificate
21, 21‘21, 21 '
Nutzerzertifikat user certificate
22, 22‘22, 22 '
Gerätezertifikat device certificate
2323
Serverzertifikat server certificate
2424
Hauptzertifikat main certificate
3030
Ablaufdiagramm flow chart
31–3731-37
Verfahrensschritte steps

Claims (12)

Verfahren zur Authentifizierung eines Computersystems (11) gegenüber einem Server (12), umfassend die Schritte: – Anfordern eines ersten Zertifikats (19) von einem geschützten Peripheriegerät (10) über eine Verbindung; – Erstellen des angeforderten ersten Zertifikats (19) durch das geschützte Peripheriegerät (10) basierend auf einem zweiten Zertifikat (19‘), das in dem geschützten Peripheriegerät (19) hinterlegt ist; – Bereitstellen des erstellten ersten Zertifikats (19) über die Verbindung an das Computersystem (11); – Senden des bereitgestellten ersten Zertifikats (19) durch das Computersystem (11) an den Server (12); – Prüfen des gesendeten ersten Zertifikats (19) durch den Server (12) mittels eines dritten Zertifikats (19‘‘); und – Bereitstellen von Daten auf dem Server (12), wenn ein Ergebnis der Prüfung erfolgreich war, wobei das zweite Zertifikat (19‘) und das dritte Zertifikat (19‘‘) auf einem Hauptzertifikat (24) basieren.Method for authenticating a computer system ( 11 ) against a server ( 12 ), comprising the steps: - requesting a first certificate ( 19 ) from a protected peripheral device ( 10 ) via a connection; - Create the requested first certificate ( 19 ) through the protected peripheral device ( 10 ) based on a second certificate ( 19 ' ) stored in the protected peripheral device ( 19 ) is deposited; - Provision of the created first certificate ( 19 ) via the connection to the computer system ( 11 ); - sending the provided first certificate ( 19 ) by the computer system ( 11 ) to the server ( 12 ); - checking the sent first certificate ( 19 ) through the server ( 12 ) by means of a third certificate ( 19 '' ); and - providing data on the server ( 12 ), if a result of the test was successful, the second certificate ( 19 ' ) and the third certificate ( 19 '' ) on a main certificate ( 24 ). Verfahren nach Anspruch 1, wobei das erste Zertifikat (19) eine Beschränkungsinformation aufweist und der Server (12) abhängig von der Beschränkungsinformation die bereitgestellten Daten beschränkt zur Verfügung stellt.The method of claim 1, wherein the first certificate ( 19 ) has constraint information and the server ( 12 ), depending on the restriction information, provides the data provided limited. Verfahren nach einem der Ansprüche 1 oder 2, wobei der Schritt des Anforderns ein Übermitteln von Benutzerdaten an das geschützte Peripheriegerät (10) umfasst und wobei das erste Zertifikat (19) auf wenigstens einem Teil dieser Benutzerdaten basiert und/oder wenigstens einen Teil dieser Benutzerdaten umfasst. Method according to one of claims 1 or 2, wherein the step of requesting a transmission of user data to the protected peripheral device ( 10 ) and wherein the first certificate ( 19 ) is based on at least part of this user data and / or comprises at least part of this user data. Verfahren nach einem der Ansprüche 1 bis 3, wobei das erste Zertifikat (19) Geräteinformationen des geschützten Peripheriegeräts (10) umfasst.Method according to one of claims 1 to 3, wherein the first certificate ( 19 ) Device information of the protected peripheral device ( 10 ). Verfahren nach einem der Ansprüche 1 bis 4, wobei die bereitgestellten Daten auf dem Server (10) verschlüsselt sind und wobei die verschlüsselten Daten nach einem Herunterladen von dem geschützten Peripheriegerät (10) entschlüsselbar sind.Method according to one of claims 1 to 4, wherein the data provided on the server ( 10 ) and the encrypted data after downloading from the protected peripheral device ( 10 ) are decipherable. Verfahren nach Anspruch 5, wobei die verschlüsselten Daten vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät (10) erfordern und wobei die entschlüsselten Daten unabhängig von dem geschützten Peripheriegerät (10) verwendbar sind.The method of claim 5, wherein the encrypted data before decryption by the protected peripheral device ( 10 ) and where the decrypted data is independent of the protected peripheral device ( 10 ) are usable. Verfahren nach einem der Ansprüche 1 bis 5, wobei die bereitgestellten Daten für eine Benutzung eine Entschlüsselung und/oder eine Authentifizierung durch das geschützten Peripheriegerät (10) und eine aktive Verbindung zu dem geschützten Peripheriegerät (10) erfordern oder lediglich auf dem geschützten Peripheriegerät (10) ausgeführt werden können.Method according to one of claims 1 to 5, wherein the provided data for use, a decryption and / or authentication by the protected peripheral device ( 10 ) and an active compound to the protected Peripheral device ( 10 ) or only on the protected peripheral device ( 10 ) can be performed. Verfahren nach einem der Ansprüche 1 bis 7, wobei ein Zugriff auf einen sicheren Bereich auf dem geschützten Peripheriegerät (10) eine Authentifizierung mit dem ersten Zertifikat (19) erfordert.Method according to one of claims 1 to 7, wherein access to a secure area on the protected peripheral device ( 10 ) authentication with the first certificate ( 19 ) requires. Verfahren nach einem der Ansprüche 1 bis 8, wobei der Server zusätzlich zum ersten Zertifikat (19) auch Standortinformationen, insbesondere eine IP-Adresse, überprüft und die Daten nur dann bereitstellt, wenn ein Ergebnis der Prüfung des ersten Zertifikats (19) und der Standortinformationen erfolgreich waren.Method according to one of claims 1 to 8, wherein the server in addition to the first certificate ( 19 ) also checks location information, in particular an IP address, and provides the data only if a result of the check of the first certificate ( 19 ) and the location information was successful. Geschütztes Peripheriegerät (10) mit einem Anschluss (13) und einem Speicher (14), wobei ein zweites Zertifikat (19‘) auf einem Hauptzertifikat (24) basiert und in dem Speicher (14) gespeichert ist und wobei das geschützte Peripheriegerät (10) dazu eingerichtet ist, auf eine Aufforderung hin ein auf dem zweiten Zertifikat (19‘) basierendes erstes Zertifikat (19) zu erstellen und über eine über den Anschluss (13) aufgebaute Verbindung bereitzustellen.Protected peripheral device ( 10 ) with a connection ( 13 ) and a memory ( 14 ), with a second certificate ( 19 ' ) on a main certificate ( 24 ) and in the memory ( 14 ) and the protected peripheral device ( 10 ) is set up, upon request, on the second certificate ( 19 ' ) based first certificate ( 19 ) and via one via the port ( 13 ) provide a compound. Geschütztes Peripheriegerät (10) nach Anspruch 10, wobei das geschützte Peripheriegerät (10) weiter dazu eingerichtet ist, mit einem dritten Zertifikat (19‘‘) verschlüsselte Daten zu entschlüsseln, wobei das dritte Zertifikat (19‘‘) auf dem Hauptzertifikat (24) basiert.Protected peripheral device ( 10 ) according to claim 10, wherein the protected peripheral device ( 10 ) is further equipped with a third certificate ( 19 '' ) decrypt encrypted data, the third certificate ( 19 '' ) on the main certificate ( 24 ). Verwendung eines geschützten Peripheriegerätes (10) mit einem Speicher (14), wobei ein auf einem Hauptzertifikat (24) basierendes zweites Zertifikat (19‘) in dem Speicher (14) gespeichert ist, zum Erstellen eines ersten Zertifikats (19) zum Authentifizieren eines Computersystems (11) gegenüber einem Server (12) mit einem dritten Zertifikat (19‘‘), das auf dem Hauptzertifikat (24) basiert.Use of a protected peripheral device ( 10 ) with a memory ( 14 ), one on one main certificate ( 24 ) second certificate ( 19 ' ) in the memory ( 14 ) to create a first certificate ( 19 ) for authenticating a computer system ( 11 ) against a server ( 12 ) with a third certificate ( 19 '') on the main certificate ( 24 ).
DE102015108543.7A 2015-05-29 2015-05-29 A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device Granted DE102015108543A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015108543.7A DE102015108543A1 (en) 2015-05-29 2015-05-29 A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015108543.7A DE102015108543A1 (en) 2015-05-29 2015-05-29 A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device

Publications (1)

Publication Number Publication Date
DE102015108543A1 true DE102015108543A1 (en) 2016-12-01

Family

ID=57281509

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015108543.7A Granted DE102015108543A1 (en) 2015-05-29 2015-05-29 A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device

Country Status (1)

Country Link
DE (1) DE102015108543A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163700A1 (en) * 2002-02-28 2003-08-28 Nokia Corporation Method and system for user generated keys and certificates
DE102008000067A1 (en) * 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Method for reading attributes from an ID token
DE102008028701A1 (en) * 2008-06-17 2009-12-24 Giesecke & Devrient Gmbh A method and system for generating a derived electronic identity from an electronic master identity
US20130167211A1 (en) * 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163700A1 (en) * 2002-02-28 2003-08-28 Nokia Corporation Method and system for user generated keys and certificates
DE102008000067A1 (en) * 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Method for reading attributes from an ID token
DE102008028701A1 (en) * 2008-06-17 2009-12-24 Giesecke & Devrient Gmbh A method and system for generating a derived electronic identity from an electronic master identity
US20130167211A1 (en) * 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Wikipedia: Zertifizierungsstelle, 17.12.2014, URL: https://de.wikipedia.org/w/index.php?title=Zertifizierungsstelle&oldid=136864505. *

Similar Documents

Publication Publication Date Title
EP3125492B1 (en) Method and system for generating a secure communication channel for terminals
DE102016215917A1 (en) Secured processing of a credential request
EP2769330B1 (en) Method to call a client program
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
DE102010028133A1 (en) A method of reading an attribute from an ID token
DE112011100182T5 (en) Transaction check for data security devices
DE112008001436T5 (en) Secure communication
EP2332313A2 (en) Method for storing data, computer programme product, id token and computer system
EP3031226A1 (en) Supporting the use of a secret key
WO2015149976A1 (en) Distributed authentication system and method
EP2684312B1 (en) Method for authentication, rf chip document, rf chip reader and computer program products
EP3908946A1 (en) Method for securely providing a personalized electronic identity on a terminal
DE112013002396T5 (en) Application program execution device
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
DE19939281A1 (en) Access control procedure for access to the contents of web-sites, involves using a mobile security module, such as a smart card
EP1126655A1 (en) Method of hardware and software authentication in a network system
EP3244331B1 (en) Method for reading attributes from an id token
DE102015108543A1 (en) A method of authenticating a computer system to a server, protected peripheral device, and using a protected peripheral device
EP3739834A1 (en) Device, method and assembly for processing data
EP3627755A1 (en) Method for secure communication in a communication network having a plurality of units with different security levels
WO2017190857A1 (en) Method and device for protecting device access
DE102010021655A1 (en) A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
EP3493091A1 (en) Integrity checking of device
EP3206357A1 (en) Using a non-local cryptography method after authentication
DE102011122972B3 (en) Method for starting an external application and bidirectional communication between a browser and an external application without browser extensions

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: FUJITSU CLIENT COMPUTING LIMITED, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

Owner name: FUJITSU CLIENT COMPUTING LIMITED, KAWASAKI-SHI, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

R018 Grant decision by examination section/examining division