-
Stand der Technik
-
Sensoren, die in einem Internet of Things Umfeld verwendet werden, können unter Einhaltung bestimmter Regeln zur Informationsverarbeitung, insbesondere zum Schutz der Privatsphäre der Nutzer von Geräten im Internet of Things, betrieben werden. Beispielsweise beschreibt der
Artikel "A Privacy Awareness System for Ubiquitous Computing Environments", Marc Langheinrich, 2002 ein System, in dem Regeln verwendet werden um persönliche Daten zu schützen. Auf die Einhaltung der Regeln durch die Sensoren müssen Nutzer von Geräten die mit entsprechenden Sensoren kommunizierenden vertrauen. Insbesondere gibt es für die Sicherstellung der Einhaltung dieser Regeln keine Garantie.
-
Offenbarung der Erfindung
-
Das erfindungsgemäße Verfahren, die erfindungsgemäße Vorrichtung und das erfindungsgemäße Computerprogramm gemäß der unabhängigen Ansprüche ermöglichen eine Gewährleistung der Einhaltung von durch den Nutzer vorbestimmten Regeln durch ein Gerät, beispielsweise einen Sensor, durch die Garantie der Integrität und Vertrauenswürdigkeit des Geräts, insbesondere der Anweisungen und Daten, beispielsweise der Firmware des Geräts, und der darin implementierten Regeln und deren Konfiguration zum Zeitpunkt der Datenkommunikation eines Endgeräts des Nutzers mit dem Gerät.
-
Vorzugsweise wird durch eine Ausgabe die Datenübertragung abgebrochen, wenn eine Überprüfung einer ersten kryptographischen Signatur fehlschlägt, wenn eine Überprüfung einer zweiten kryptographischen Signatur fehlschlägt oder wenn eine Response eines Challenge-Response-Authentifizierungsverfahrens nicht mit einer vorbestimmten Response übereinstimmt. Dies schützt vor Angriffen auf die Firmware des Geräts oder die Datenkommunikation mit Gerät.
-
Vorzugsweise wird mindestens eine Regel empfangen, und die Kompatibilität der mindestens einen empfangenen Regel mit mindestens einer vorbestimmten Regel, überprüft und falls die Überprüfung ergibt, dass die Regeln nicht kompatibel sind, ist die Ausgabe eine Nachricht an das Gerät vorgesehen, die mindestens eine zu ändernde Regel umfasst. Dadurch kann ein konfigurierbares Gerät im Sinne des Nutzers beeinflusst werden. Dies erhöht die Flexibilität der Datenkommunikation mit dem Gerät.
-
Vorzugsweise wird bei Ausbleiben einer Bestätigung der Umsetzung der zu ändernden Regel die Datenübertragung abgebrochen. Dies erhöht die Sicherheit der Datenkommunikation.
-
Vorzugsweise wird bei Ausbleiben einer Bestätigung der Umsetzung der zu ändernden Regel eine weitere Nachricht ausgegeben wird, die eine Anweisung zum Abschalten des Geräts umfasst. Dadurch kann eine unbeabsichtigte Verwendung des Geräts vermieden werden, sofern das Gerät diese Funktion unterstützt.
-
Vorzugsweise wird bei Ausbleiben einer Bestätigung der Abschaltung des Geräts die Datenübertragung abgebrochen. Dies erhöht die Sicherheit der Datenkommunikation im Falle dass das Gerät keine Abschaltung unterstützt.
-
Vorzugsweise ist zusätzlich eine Information eines Benutzers über das Ergebnis der Überprüfung oder eine Änderung der vorbestimmten Regel mittels einer Mensch-Maschine Schnittstelle vorgesehen. Dadurch wird der Nutzer des Endgeräts, beispielsweis auf einem Display oder über Lautsprecher über den Zustand der Datenkommunikation informiert bzw. vor Sicherheitsrisiken gewarnt.
-
Vorzugsweise werden vom Gerät gesendete Nutzdaten, insbesondere Messwerte, empfangen, die mittels eines Wasserzeichens gekennzeichnet sind. Dabei ist vorzugsweise eine zusätzliche Überprüfung der übertragenen Nutzdaten anhand des Wasserzeichens vorgesehen ist. Das Wasserzeichen ist beispielsweise ein Zufallswert, der in die Messwerte kodiert wird, oder ein aus den Messwerten abgeleiteter Fingerabdruck. Der Nutzer kann das Wasserzeichen zur Nichtverfolgung der Daten nutzen, falls ein anderer durch die vorbestimmten Regeln festgelegter Empfänger der Daten keine dem Sensor vergleichbare Vertrauenswürdigkeit bietet.
-
Vorzugsweise wird die mindestens eine Regel, insbesondere in einer unified language, vom Gerät gesendet und vom Endgerät des Nutzers empfangen. Beispielsweise wird eine standardisierte Ontologie verwendet. Die Übermittlung der Regel ermöglicht eine Information des Nutzers über die zur Verfügung stehenden Regeln. Die Verwendung einer unified language erhöht die Kompatibilität der auszutauschenden Regeln.
-
Vorzugsweise wird in Erwiderung auf den Empfang einer Nachricht durch das Gerät, die mindestens eine zu ändernde Regel umfasst, überprüft, ob die zu ändernde Regel umgesetzt werden kann. Das Ergebnis der Überprüfung wird vorzugsweise ebenfalls gesendet. Dadurch kann das Gerät falls möglich an vom Nutzer vorgegebene Regeln angepasst werden.
-
Vorzugsweise wird in Erwiderung auf den Empfang einer Nachricht durch das Gerät, die eine Anweisung zum Abschalten des Geräts umfasst, überprüft, ob Abschalten des Geräts möglich ist, und das Gerät abgeschaltet wird, wenn die Abschaltung möglich ist. Dadurch kann ein vom Nutzer nicht erwünschtes Gerät abgeschaltet werden.
-
Vorzugsweise ist im Gerät ein vertrauenswürdiger Bereich, insbesondere geschützt durch ein Trusted Platform Module (TPM) oder eine Physically Unclonable Function (PUF), vorgesehen, durch den mindestens eine der kryptographischen Signaturen bereitgestellt wird. Durch Verwendung des vertrauenswürdigen Bereichs wird die Zuverlässigkeit erhöht, da somit die Integrität des Sensors, der Firmware und der Regeln attestiert wird.
-
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert.
-
Es zeigen:
-
1 schematisch einen Teil eines Kommunikationsnetzwerks,
-
2 ein Signalflussdiagramm.
-
1 zeigt schematisch einen Teil eines Kommunikationsnetzwerks 100.
-
Das Kommunikationsnetzwerk 100 umfasst ein Endgerät 101, beispielweise ein Smartphone, PDA, Tablet oder eine Smartwatch.
-
Das Endgerät 101 umfasst einen Speicher 102, beispielsweise ein nicht-flüchtiger Speicher, in dem vorbestimmte Regeln gespeichert sind. Die vorbestimmten Regeln bestimmen welche, insbesondere physikalischen, Daten über welche Kommunikationskanäle des Kommunikationsnetzwerks 100 übermittelt werden dürfen oder welche Sicherheitsmaßnahmen während der Übertragung oder beim Empfänger nötig sind. Beispielsweise betreffen die Regeln die zu verwendende Verschlüsselung oder den geforderten Integritätsschutz.
-
Das Endgerät 101 umfasst eine Mensch-Maschine-Schnittstelle 103, beispielsweise ein Touch Screen. Die Mensch-Maschine-Schnittstelle 103 kann auch ein Display und eine separate Tastatur oder einen Lautsprecher oder Mikrofon umfassen.
-
Die Mensch-Maschine-Schnittstelle 103 ist angepasst, mit dem Speicher 102 zusammenzuwirken, um die im Speicher gespeicherten vorbestimmten Regeln bei Entsprechender Bedienung durch den Nutzer auszugeben und bei Erkennen einer Nutzereingabe, mit der die vorbestimmten Regeln geändert werden sollen, diese geänderten Regeln im Speicher 102 abzuspeichern.
-
Zudem umfasst das Endgerät 101 einen Prozessor 104 und eine Netzwerkschnittstelle 105, die mit dem Speicher 102 und der Mensch-Maschine-Schnittstelle 103 zusammenwirken um Nutzdaten und die vorbestimmten Regeln mit anderen Geräten auszutauschen.
-
Die oben genannten Elemente des Endgeräts 101 sind dazu beispielweise mittels eines nicht dargestellten Datenbusses verbunden.
-
Das Kommunikationsnetzwerk 100 umfasst zudem ein Gerät 150, beispielweise einen Sensor. Der Sensor ist beispielsweise eine Kamera oder ein Mikrophon.
-
Das Gerät 150 umfasst einen vertrauenswürdigen Bereich 151, beispielsweise ein Mikroprozessor geschützt durch ein Trusted Platform Module (TPM) oder eine Physically Unclonable Function (PUF).
-
Das Gerät 150 umfasst zudem einen nicht-flüchtigen Speicher 152, beispielsweise ein Electrically Erasable Programmable Readonly Memory (EEPROM), in dem zum Betrieb des Geräts 150 vorgesehene Anweisungen oder Daten gespeichert sind. Die folgende Beschreibung nimmt auf diese Anweisungen oder Daten ohne Einschränkung der Anwendbarkeit auf andere Formen der Anweisungen oder Daten unter dem Begriff Firmware Bezug. Die Anweisungen oder Daten können beispielsweise auch als Software vorliegen.
-
Das Gerät 150 umfasst zudem einen weiteren Speicher 153, beispielsweise ein Flash-EEPRom, in dem Regeln abgespeichert sind, die bestimmen welche, insbesondere physikalischen, Daten vom Gerät 150 über welche Kommunikationskanäle des Kommunikationsnetzwerks 100 übermittelt werden dürfen oder welche Sicherheitsmaßnahmen während der Übertragung oder beim Empfänger nötig sind. Beispielsweise betreffen die Regeln die zu verwendende Verschlüsselung oder den geforderten Integritätsschutz.
-
Der vertrauenswürdigen Bereich 151 ist ausgebildet, eine erste kryptographischen Signatur bereitzustellen, mit der die Integrität der im nicht-flüchtigen Speicher 152 gespeicherten Firmware attestiert wird. Diese wird beispielsweise von einer Zertifizierungsstelle CA mittels einer vertrauenswürdigen Firmware erzeugt und im vertrauenswürdigen Bereich 151 beispielsweise bei dessen Produktion abgespeichert. Diese Signatur wird im Folgenden mit Signatur(CA) bezeichnet. Die Signatur wird beispielsweise mit einem geheimen Schlüssel eines asymmetrischen Schlüsselpaars umfassend den geheimen Schlüssel und einen öffentlichen Schlüssel erzeugt. Beispielsweise wird dazu eine RSA oder Elgamal-Verschlüsselung verwendet.
-
Diese Signatur(CA) kann auch vom Hersteller des Geräts 150 mit der vertrauenswürdigen Firmware erzeugt werden. Dazu wird die Firmware beispielsweise mittels eines von einer Zertifizierungsstelle signierten geheimen Schlüssel signiert und dann im vertrauenswürdigen Bereich 151 gespeichert. Der geheime Schlüssel ist in diesem Fall ein geheimer Schlüssel eines asymmetrischen Schlüsselpaars umfassend den geheimen Schlüssel und einen öffentlichen Schlüssel. Beispielsweise wird dazu eine RSA oder Elgamal-Verschlüsselung verwendet.
-
Mittels eines Vergleichs der Signatur(CA) mit einer im vertrauenswürdigen Bereich 151 erzeugten Signatur der im nicht-flüchtigen Speicher 152 enthaltenen Firmware wird die Integrität der im nicht-flüchtigen Speicher 152 enthaltenen Firmware festgestellt. Diese Verifikation erfolgt beispielsweise beim Start des Geräts 150, beispielsweise in einem secure boot. Dadurch werden Manipulationen der Firmware erkannt.
-
Das Gerät 150 umfasst zudem einen nicht in 1 dargestellten Sensor, beispielsweise Lautsprecher oder Mikrofon. Dieser Sensor erzeugt Nutzdaten, beispielsweise Messdaten oder Audio-/Videodaten. Die Messdaten betreffen beispielsweise Daten des Endgeräts 101. Die Audio-/Videodaten beispielsweise Bilder oder Ton vom Nutzer des Endgeräts 101. Es handelt sich also private Daten des Nutzers. Zudem kann der Sensor ausgebildet sein, die Netzdaten mit einem Wasserzeichen zu versehen. Das Wasserzeichen ist beispielsweise ein Zufallswert, der in die Messwerte oder Audio-/Videodaten kodiert wird, oder ein daraus abgeleiteter Fingerabdruck.
-
Das Gerät 150 umfasst zudem einen Prozessor 154 und eine Netzwerkschnittstelle 155, die mit dem nicht-flüchtigen Speicher 152 und dem Sensor zusammenwirken um Nutzdaten und die Regeln mit anderen Geräten auszutauschen.
-
Die vom Gerät 150 gesendeten Nutzdaten, insbesondere Messwerte, werden vom Endgerät 101 empfangen. Sofern die Nutzdaten mittels eines Wasserzeichens gekennzeichnet sind, ist das Endgerät 101 ausgebildet einen zusätzliche Überprüfung der übertragenen Nutzdaten anhand des Wasserzeichens durchzuführen und das Ergebnis mittels der Mensch-Maschine-Schnittstelle 103 auszugeben.
-
Die oben genannten Elemente des Geräts 150 sind beispielweise mittels eines nicht dargestellten Datenbusses verbunden.
-
Die Datenkommunikation zwischen dem Endgerät 101 und dem Gerät 150 findet über eine Datenverbindung 130 statt. Die Netzwerkschnittstelle 105 des Endgeräts 101 und die Netzwerkschnittstelle 155 des Geräts 150 sind dabei so ausgebildet, dass sie mittels einer standardisierten Ontologie Informationen über die jeweiligen Regeln bezüglich der Datenkommunikation austauschen. Die Datenverbindung 130 ist beispielsweise eine Internet Protocol / Transmission Control Protocol Verbindung über eine Funkverbindung nach IEEE 802.11ac. Jede andere Art der Verbindung, beispielweise eine Bluetooth oder Long Term Evolution Verbindung ist ebenfalls möglich. In jedem Fall unterstützen die Netzwerkschnittstellen der jeweiligen Geräte die Datenverbindung 130.
-
Schritte der auf dem Prozessor 104 des Endgeräts 101 und dem Prozessor 154 des Geräts 150 nach Start des jeweiligen Geräts ablaufenden Verfahren zur Beeinflussung der Datenkommunikation werden im Folgenden anhand des Signalflussdiagramms aus 2 beschrieben.
-
Nach dem Start wird in einer Nachricht 201 eine Challenge eines vorbestimmten Challenge-Response-Authentifizierungsverfahrens, beispielsweise nach CRAM-MD5, vom Endgerät 101 an das Gerät 150 gesendet.
-
Nach Empfang der Nachricht 201 wird in einem Schritt 202 im vertrauenswürdigen Bereich 151 die Signatur der im nicht-flüchtigen Speicher 152 gespeicherten Firmware mit der im vertrauenswürdigen Bereich 151 gespeicherten Signatur(CA) verglichen.
-
Bei Übereinstimmung der beiden Signaturen wird die Signatur(CA) als erste kryptographische Signatur in einer Nachricht 203 vom Gerät 150 zum Endgerät 101 gesendet. Anderenfalls wird keine Nachricht gesendet.
-
Nach dem Vergleich wird in einem Schritt 204 vom Gerät 150 ein Datenpaket umfassend mindestens eine der im weiteren Speicher 153 gespeicherten Regeln erzeugt. Im Beispiel werden alle gespeicherten Regeln in einem Datenpaket zusammengefasst.
-
Das Datenpaket oder die mindestens eine Regel kann dabei in einer unified language, beispielsweise der standardisierten Ontologie implementiert sein.
-
Anschließend wird das Datenpaket in einem Schritt 205 mit einem geheimen Schlüssel eines asymmetrischen Schlüsselpaars umfassend den geheimen Schlüssel und einen öffentlichen Schlüssel, mit einer zweiten kryptographischen Signatur signiert. Beispielsweise wird dazu eine RSA oder Elgamal Verschlüsselung verwendet.
-
Anschließend wird das Datenpaket mit den Regeln in einer Nachricht 206 vom Gerät 150 an das Endgerät 101 gesendet.
-
Anschließend wird in einer Nachricht 207 die kryptographische Signatur des Datenpakets vom Gerät 150 an das Endgerät 101 gesendet.
-
Die Regeln können auch in mehreren Nachrichten oder mehreren Datenpaketen versendet werden.
-
Anschließend wird der zur Validierung der kryptographischen Signatur des Geräts 150 geeigneter öffentliche kryptographische Schlüssel in einer Nachricht 208 vom Gerät 150 an das Endgerät 101 gesendet.
-
Anschließend wird in einem Schritt 209 die Response als Antwort auf die empfangene Challenge vom Gerät 150 im vertrauenswürdigen Bereich 151 ermittelt.
-
Anschließend wird die Response, die attestiert, dass die kryptographische Signatur des Geräts in einem vertrauenswürdigen Bereich des Geräts erstellt wurde in einer Nachricht 210 vom Gerät 150 an das Endgerät 101 gesendet.
-
Nach senden der Challenge wartet das Endgerät 101 auf den Empfang der ersten kryptographischen Signatur, der zweiten kryptographischen Signatur, den zur Validierung der zweiten kryptographischen Signatur geeigneten öffentlichen kryptographischen Schlüssel, und die Response.
-
Sofern nach Ablauf einer bestimmten Zeit keine Antwort erhalten wird, kann die Ausgabe einer entsprechenden Warnung über die Mensch-Maschine-Schnittstelle vorgesehen sein.
-
Nach dem Empfang der Nachricht 203 wird in einem Schritt 211 die Integrität der Firmware geprüft. Dazu wird die erste kryptographische Signatur, d.h. die Signatur(CA) mittels eines vorbekannten öffentlichen Schlüssels der Zertifizierungsstelle CA überprüft.
-
Nach dem Empfang der Nachrichten 206, 207 und 208 wird in einem Schritt 212 die korrekte Übertragung des Datenpakets, und somit der darin enthaltenen Regeln überprüft.
-
Dazu wird das empfangene Datenpaket mittels der zweiten kryptographische Signatur, d.h. die Signatur des Datenpakets, und des empfangenen öffentlichen kryptographischen Schlüssels überprüft. Der empfangene öffentliche Schlüssel kann dabei mittels des öffentlichen Schlüssels der Zertifizierungsstelle überprüft, um sicherzustellen, dass es sich um einen gültigen öffentlichen Schlüssel handelt.
-
Nach dem Empfang der Nachricht 210 wird die empfangene Response in einem Schritt 213 mittels einer zu der gesendeten Challenge des vorbestimmten Challenge-Response-Authentifizierungsverfahrens passenden vorbestimmten Response überprüft. Die Response ist dabei geeignet zu attestieren, dass die zweite kryptographische Signatur des Geräts in einem vertrauenswürdigen Bereich des Geräts erstellt wurde. Daher ist bei erfolgreicher Authentifizierung der empfangenen Response auch die Integrität der Regeln sichergestellt.
-
Anschließend wird in einem Schritt 214 eine Ausgabe abhängig vom Ergebnis der Überprüfungen der Schritte 211, 212, 213 erzeugt.
-
Beispielsweise wird eine Ausgabe erzeugt, durch die die Datenübertragung abgebrochen wird, wenn die Überprüfung der ersten kryptographischen Signatur fehlschlägt, wenn die Überprüfung der zweiten kryptographischen Signatur fehlschlägt oder wenn die Response nicht mit der vorbestimmten Response übereinstimmt. In diesem Fall kann das Ergebnis beispielsweise als Text-Ausgabe mittels der Mensch-Maschine-Schnittstelle 103 ausgegeben werden.
-
Beispielsweise wird bei erfolgreicher Überprüfung in den Schritten 211, 212 und 213 eine Ausgabe erzeugt, die dazu führt, dass in einem Schritt 215 die Kompatibilität der mindestens einen im Datenpaket empfangenen Regel mit mindestens einer der vorbestimmten Regeln, überprüft wird.
-
Falls Kompatibilität festgestellt wurde, kann vorgesehen sein, die kompatible Regel dem Gerät 150 in einer Nachricht 216 mitzuteilen. Falls die Überprüfung ergibt, dass die Regeln nicht kompatibel sind kann die Ausgabe einer im Gerät 150 zu ändernden Regel in der Nachricht 216 vorgesehen sein.
-
Nach dem Empfang der Regel 216 kann das Gerät 150 in einem Schritt 217 prüfen, ob eine zu ändernde Regel empfangen wurde oder ob eine kompatible Regel empfangen wurde.
-
Wenn eine kompatible Regel empfangen wurde kann vorgesehen sein, Nutzdaten, beispielsweise Messwerte, in einer Nachricht 218 vom Gerät 150 zu anderen Geräten zu senden. Genauso kann vorgesehen sein, diese Nutzdaten auch zum Endgerät 101 zu senden. Die Nutzdaten können mit Wasserzeichen versendet werden. Falls eine zu ändernde Regel empfangen wurde kann vorgesehen sein, die Umsetzung der zu ändernden Regel in der Nachricht 218 zu Bestätigen.
-
Nach Erhalt der Nachricht 218 kann vorgesehen sein, in einem Schritt 219 zu prüfen ob Nutzdaten oder eine Bestätigung der Umsetzung der zu ändernden Regel empfangen wurden. Bei vorheriger Kompatibilität der Regeln und Ausbleiben von Nutzdaten oder bei vorheriger Übermittlung einer zu ändernden Regel und Ausbleiben der Bestätigung der Umsetzung, kann vorgesehen sein die Datenübertragung abzubrechen. Alternativ dazu kann vorgesehen sein, bei Ausbleiben einer Bestätigung der Umsetzung der zu ändernden Regel eine weitere Nachricht auszugegeben, die eine Anweisung zum Abschalten des Geräts 150 umfasst. In diesem Fall kann vorgesehen sein, bei Ausbleiben einer Bestätigung der Abschaltung des Geräts 150 die Datenübertragung abzubrechen.
-
Sofern vom Gerät 150 Nutzdaten, insbesondere Messwerte, empfangen werden, die mittels eines Wasserzeichens gekennzeichnet sind, kann eine zusätzliche Überprüfung der übertragenen Nutzdaten anhand des Wasserzeichens vorgesehen sein.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Artikel "A Privacy Awareness System for Ubiquitous Computing Environments", Marc Langheinrich, 2002 [0001]
- IEEE 802.11ac [0036]