-
Die Erfindung bezieht sich auf ein Verfahren und Geräte für einen geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems.
-
Sicherheitsmodule, wie beispielsweise kryptographische Token in Form von SmartCards, werden häufig als sichere Schlüsselspeicher genutzt. Ihre Sicherheit beruht darauf, dass zwar geheimes Schüsselmaterial auf dem Token abgelegt ist, aber durch einen Benutzer nicht ausgelesen werden kann. Das Sicherheitsmodul verwendet dieses Schlüsselmaterial beispielsweise um Daten zu ver- oder entschlüsseln oder digital zu signieren. Dabei soll eine Authentisierung eines Gerätes mittels einer Konfigurationsdatei, die beispielsweise eine PIN oder eine Passwort enthält, vorzugsweise vermieden werden. Insbesondere soll damit vermieden werden, dass unberechtigte Personen in den Besitz der PIN oder des Passwortes gelangen, und damit beispielsweise kryptographische Funktionen des Sicherheitsmoduls zu nutzen. Dies wäre für den unberechtigten Nutzer ähnlich wertvoll, wie in den Besitz des geschützten geheimen Schlüsselmaterials zu kommen.
-
Bei der Integration von Sicherheitsmodulen in Hostsysteme, beispielsweise in eingebettete Systeme, besteht die Schwierigkeit, dass häufig ein Systemprozess verwendet wird, der zur Authentisierung die notwendigen geheimen Informationen aus einer Konfigurationsdatei ausliest, beispielsweise einen PIN oder ein Passwort, und dann eingibt. Diese geheimen Informationen sind meist in einem Speicher, beispielsweise eine Festplatte oder eine Flash-Speicherkarte, des eingebetteten Systems abgelegt. Hier besteht das Problem darin, dass diese geheimen Informationen durch einen Angreifer prinzipiell auslesbar sind. In diesem Fall bietet das Sicherheitsmodul kaum mehr Sicherheit vor einem unberechtigten Zugriff.
-
Das Dokument
EP1975836-A2 offenbart konventionelle Verfahren auf dem Gebiet des „Secure Boot“. Diese konventionellen Verfahren bieten den höchsten Schutz gegen die oben beschriebenen Angriffe. Durch eine ununterbrochene „Chain of Trust“ wird sichergestellt, dass ein Prozessor nur Code ausführt, der vom Hersteller des Systems freigegeben ist. Technisch wird dies dadurch gelöst, dass in dem Prozessor des Systems nicht änderbarer Code, auch als ROM-Code bezeichnet, hinterlegt ist, der weiteren Code, beispielsweise einen Boot-Loader, auch bekannt als Start-Lader, von einem prinzipiell modifizierbaren Festspeicher nachlädt. Dieser wird aber erst ausgeführt, nach dem dessen Authentizität und Korrektheit beispielsweise durch eine digitale Signatur überprüft wurde.
-
Der Start-Lader stellt sicher, dass wiederum nur authentischer und korrekter Code geladen wird und zur Ausführung kommt, beispielsweise ein Betriebssystem. Wenn das Betriebssystem dann alleine privilegiert ist, mit dem kryptographischen Sicherheitsmodul zu kommunizieren, ist ein Schutz durch die Eingabe einer PIN oder eines Passwortes nicht mehr nötig, da ein Angreifer nicht mehr nach Belieben das Sicherheitsmodul benutzen kann. Der oben beschriebene Angriff ist deshalb nicht mehr möglich oder stark erschwert.
-
Dieses konventionelle Verfahren ist jedoch sehr aufwendig hinsichtlich der Produktion und der Fertigungskosten. Der verwendete ROM-Code wird in aller Regel Anteile beinhalten, die spezifisch für den System-Hersteller, beispielsweise Siemens AG, sind. Damit wird sichergestellt, dass nur ein von Siemens signierter Start-Lader starten darf. Dadurch wird verhindert, dass ein manipulierter Start-Lader, der Sicherheitsrisiken für das gesamte Hostsystem in sich birgt, gestartet wird. Diese Hersteller-spezifischen Anteile machen jedoch Prozessoren, die Secure Boot unterstützen, bei kleinen Stückzahlen sehr teuer. Zusätzlich ist dies für einen System-Hersteller nachteilig, da dieser dann auf einen Hersteller von Prozessoren festgelegt ist. Der System-Hersteller kann folglich nur über separate Vertriebskanäle, außerhalb der üblichen Logistik-Ketten, diese CPUs erwerben. Secure Boot ist also teuer und kompliziert handzuhaben, insbesondere bei kleinen Fertigungsstückzahlen.
-
Die Aufgabe der vorliegenden Erfindung ist es einen kostengünstigeren geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls eines Hostsystems zu ermöglichen.
-
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls eines Hostsystems. Gemäß dem Verfahren werden vordefinierte Sicherheitsparameter festgelegt und auf dem Sicherheitsmodul gespeichert. Es werden Sicherheitsparameter durch das Sicherheitsmodul für das Hostsystem ermittelt. Es werden die Sicherheitsparameter durch das Sicherheitsmodul unter Verwendung der vordefinierten Sicherheitsparameter geprüft. Es werden die mindestens eine Sicherheitsfunktion des Sicherheitsmoduls bereitgestellt, falls die Sicherheitsparameter den vordefinierten Sicherheitsparameter entsprechen.
-
Durch das Speichern der vordefinierten Sicherheitsparameter auf dem Sicherheitsmodul sind diese vordefinierten Sicherheitsparameter nicht von außen abrufbar. Durch das Prüfen aktuell ermittelter Sicherheitsparameter durch das Sicherheitsmodul ist ein Ablegen geheimer Informationen, beispielsweise eines PINs oder eines Passwortes, auf dem Hostsystem nicht notwendig, da diese durch die ermittelten Sicherheitsparameter ersetzt werden. Dabei wird davon ausgegangen, dass die ermittelten Sicherheitsparameter, wie auch die vordefinierten Sicherheitsparameter, nur über Daten des Hostsystems gebildet werden, die sich bei einem ordnungsgemäßen Betrieb nicht verändern. Dies können beispielsweise Programmbibliotheken sein, die vom Betriebssystem oder Anwendungen auf dem Hostsystem genutzt werden.
-
Bei einer Ausführungsform des Verfahrens, handelt es sich bei der mindestens einen Sicherheitsfunktion des Sicherheitsmoduls um kryptographische Funktionen, die vorzugsweise einen Schlüssel für ein digitales Zertifikat bereitstellen.
-
Durch die kryptographischen Funktionen können beispielsweise Verschlüsselungs- und Entschlüsselungsfunktionen freigeschaltet werden, um beispielsweise einen verschlüsselten Speicher des Hostsystems zu entschlüsseln. Auch können die notwendigen Schlüssel für ein digitales Zertifikat bereitgestellt werden, um sich bei einer Zertifizierungsstelle oder Kommunikationspartner zu authentisieren.
-
Bei weiteren Ausführungsformen des Verfahrens, ist ein vordefinierter Sicherheitsparameter eine Prüfsumme, die über Daten eines vorbestimmten Speichers des Hostsystems gebildet wird, und wobei der für das Hostsystem ermittelte Sicherheitsparameter eine Prüfsumme von aktuellen Daten des vorbestimmten Speichers des Hostsystems ist.
-
Ohne eine Manipulation des vorbestimmten Speichers, ist die ermittelte Prüfsumme immer gleich. Die Prüfsumme lässt sich beispielsweise mittels einer Hashfunktion, beispielsweise SHA2, berechnen. Durch die Verwendung einer Prüfsumme über einen vorbestimmten Speicher lässt sich zusätzlich beispielsweise eine unerwünschte Änderung der Daten auf dem vorbestimmten Speicher feststellen. Dies würde auf eine Manipulation des Hostsystems hindeuten, die potentiell Sicherheitsaspekte eines Gesamtsystems, in das das Hostsystem integriert ist, berühren.
-
Im Einzelnen wird die Prüfsumme mittels der Hashfunktion unmittelbar durch eine Steuereinrichtung des Sicherheitsmoduls durchgeführt, ohne Beteiligung eines potentiell nicht vertrauenswürdigen Betriebssystems auf dem Hostsystem.
-
Bei weiteren Ausführungsformen des Verfahrens, werden das Ermitteln, das Prüfen und das Bereitstellen während einer Start-Phase des Hostsystems ausgeführt.
-
Das Festlegen und Speichern der vordefinierten Sicherheitsparameter wird vorzugsweise einmalig bei der Erstellung des Hostsystems durchgeführt. Hingegen wird das Ermitteln, das Prüfen und das Bereitstellen bei jeder Start-Phase des Hostsystems ausgeführt, um beispielsweise bei jedem Start des Hostsystems eine Manipulation feststellen zu können und zu prüfen, ob das Hostsystem in seinem aktuellen Zustand für den Zugriff auf die mindestens eine Sicherheitsfunktion berechtigt ist. Die mindestens eine Sicherheitsfunktion ist nach einem Ausschalten des Systems nicht zugreifbar. Mit anderen Worten sind die Sicherheitsfunktionen bis zur erfolgreichen Prüfung der ermittelten Sicherheitsparameter vor jeglichen Zugriff geschützt.
-
Bei weiteren Ausführungsformen des Verfahrens, werden beim Speichern die vordefinierten Sicherheitsparameter auf einen Sicherheitschip des Sicherheitsmoduls übertragen.
-
Durch die Verwendung eines Sicherheitschips in dem Sicherheitsmodul, lässt sich die Sicherheit des Verfahrens weiter erhöhen. Die Daten, die auf dem Sicherheitschip abgelegt werden, können beispielsweise unveränderbar sein und in einen schreibgeschützten Speicher einmalig gespeichert werden, sodass diese zukünftig nur noch gelesen werden können und vor einer Veränderung geschützt sind.
-
Bei weiteren Ausführungsformen des Verfahrens, wird die Prüfung der Sicherheitsparameter durch das Sicherheitsmodul unter Verwendung des Sicherheitschips durchgeführt.
-
Die Prüfung der Sicherheitsparameter durch den Sicherheitschip hat den Vorteil, dass der Prüfalgorithmus von außen nicht zugänglich ist. Folglich wird dadurch ein hohes Maß an Sicherheit der Prüfung der Sicherheitsparameter erreicht.
-
Bei weiteren Ausführungsformen des Verfahrens, wird die Prüfung der Sicherheitsparameter unter Verwendung eines Speicherbereichs des Sicherheitsmoduls durchgeführt.
-
Durch die Prüfung der Sicherheitsparameter unter Verwendung eines Speicherbereichs einer Speichereinrichtung des Sicherheitsmoduls, kann diese Prüfung auf relativ einfach Weise ohne die Verwendung zusätzlicher Aufrufe an eine besonders sicherheitskritische Komponente, beispielsweise eines Sicherheitschips, erfolgen.
-
Bei weiteren Ausführungsformen des Verfahrens, wird die mindestens eine Sicherheitsfunktion durch den Sicherheitschip dem Sicherheitsmodul bereitgestellt, wobei die mindestens eine Sicherheitsfunktion vom Sicherheitsmodul an das Hostsystem weitergereicht werden.
-
War die Prüfung erfolgreich, erlaubt der Sicherheitschip die Verwendung seiner mindestens einen Sicherheitsfunktion. Damit jedoch das Hostsystem nicht direkt mit dem Sicherheitschip kommuniziert, werden die Anfragen bezüglich der mindestens einen Sicherheitsfunktion an das Sicherheitsmodul gestellt, das dann wiederum den Sicherheitschip nutzt um diese Anfragen zu beantworten. Dadurch wird eine hohe Sicherheit erreicht, da das Hostsystem nicht direkt auf den Sicherheitschip zugreift. Anders gesagt können nur über das Sicherheitsmodul die Anfragen für die mindestens eine Sicherheitsfunktion an den Sicherheitschip gestellt werden.
-
Zusätzlich kann über das Sicherheitsmodul der Sicherheitschip von weiteren Hostsystemen angesprochen werden, die beispielsweise auf Steckplätzen eines Gerätes installiert sind, in dem das Hostsystem und das Sicherheitsmodul installiert sind. Dadurch wird vermieden, dass der Sicherheitschip über eine eigene Schnittstelle von den Hostsystemen angebunden wird, beispielsweise ein ISO7816-Interface oder I2C, was einen höheren Entwicklungsaufwand zur Folge hätte.
-
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Hostsystem umfassend ein Sicherheitsmodul, das zugriffsgeschützt mindestens eine Sicherheitsfunktion bereitstellt. Das Hostsystem weist eine Festlegeinrichtung auf, die ausgebildet ist vordefinierte Sicherheitsparameter festzulegen und auf dem Sicherheitsmodul zu speichern. Das Sicherheitsmodul weise eine Speichereinrichtung, eine Ermittlungseinrichtung, eine Prüfeinrichtung und eine Bereitstellungseinrichtung auf. Die Speichereinrichtung ist ausgebildet die vordefinierten Sicherheitsparameter zu speichern. Die Ermittlungseinrichtung ist ausgebildet Sicherheitsparameter von dem Hostsystem zu ermitteln. Die Prüfeinrichtung ist ausgebildet die ermittelten Sicherheitsparameter gegen die vordefinierten Sicherheitsparameter zu prüfen. Die Bereitstellungseinrichtung ist ausgebildet die mindestens eine Sicherheitsfunktion vom Sicherheitsmodul bereitzustellen, falls eine Prüfung der ermittelten Sicherheitsparamater gegen die vordefinierten Sicherheitsparameter erfolgreich war.
-
Durch das Speichern der vordefinierten Sicherheitsparameter auf dem Sicherheitsmodul sind diese vordefinierten Sicherheitsparameter nicht von außen abrufbar. Durch das Prüfen aktuell ermittelter Sicherheitsparameter durch das Sicherheitsmodul ist ein Ablegen geheimer Informationen, beispielsweise eines PINs oder eines Passwortes, auf dem Hostsystem nicht notwendig.
-
Bei einer ersten Ausführungsform weist das Sicherheitsmodul des Hostsystems zusätzlich einen Sicherheitschip auf, wobei die Speichereinrichtung vorzugsweise ein Flashspeicher ist.
-
Mit Hilfe einer Steuereinrichtung kann das Sicherheitsmodul Anfragen bezüglich der mindestens einen Sicherheitsfunktion von dem Hostsystem verarbeiten. Falls die mindestens eine Sicherheitsfunktion, beispielsweise die mindestens eine Sicherheitsfunktion des Sicherheitschips, bereitgestellt wurden, kann die Steuereinrichtung die Anfragen des Hostsystems dadurch beantworten, dass die Steuereinrichtung die mindestens eine Sicherheitsfunktion des Sicherheitschips abruft und dem Hostsystem das Ergebnis der mindestens einen Sicherheitsfunktion mitteilt.
-
Bei weiteren Ausführungsformen des Hostsystem speichert die Speichereinrichtung die vordefinierten Sicherheitsparameter auf dem Sicherheitschip des Sicherheitsmoduls.
-
Durch die Verwendung eines Sicherheitschips in dem Sicherheitsmodul, lässt sich die Sicherheit des Verfahrens weiter erhöhen. Die Daten, die auf dem Sicherheitschip abgelegt werden, können beispielsweise unveränderbar sein und in einen schreibgeschützten Speicher einmalig gespeichert werden, sodass diese zukünftig nur noch gelesen werden können und vor einer Veränderung geschützt sind.
-
Bei weiteren Ausführungsformen des Hostsystem ist die Prüfeinrichtung derart ausgebildet die Sicherheitsparameter unter Verwendung des Sicherheitschips zu prüfen
-
Die Prüfung der ermittelten Sicherheitsparameter durch den Sicherheitschip hat den Vorteil, dass der Prüfalgorithmus von außen nicht zugänglich ist. Folglich wird dadurch ein hohes Maß an Sicherheit der Prüfung der Sicherheitsparameter erreicht.
-
Bei weiteren Ausführungsformen des Hostsystem ist die Prüfeinrichtung derart ausgebildet die Sicherheitsparameter unter Verwendung einer Routine in der Speichereinrichtung des Sicherheitsmoduls durchzuführen.
-
Durch die Prüfung der Sicherheitsparameter unter Verwendung einer Routine in der Speichereinrichtung des Sicherheitsmoduls, kann diese Prüfung auf relativ einfache Weise ohne die Verwendung zusätzlicher Aufrufe an eine besonders sicherheitskritische Komponente, beispielsweise eines Sicherheitschips, erfolgen.
-
Bei weiteren Ausführungsformen des Hostsystem ist der Sicherheitschip derart ausgebildet die mindestens eine Sicherheitsfunktion dem Sicherheitsmodul bereitzustellen, und wobei das Sicherheitsmodul derart ausgebildet ist, die mindestens eine Sicherheitsfunktion an das Hostsystem weiterzureichen.
-
War die Prüfung erfolgreich erlaubt der Sicherheitschip die Verwendung seiner mindestens einen Sicherheitsfunktion. Damit jedoch das Hostsystem nicht direkt mit dem Sicherheitschip kommuniziert, werden die Anfragen bezüglich der mindestens einen Sicherheitsfunktion an das Sicherheitsmodul gestellt, das dann wiederum den Sicherheitschip nutzt um diese Anfragen zu beantworten. Dadurch wird eine hohe Sicherheit erreicht, da das Hostsystem nicht direkt auf den Sicherheitschip zugreift. Anders gesagt können nur über das Sicherheitsmodul die Anfragen für die mindestens eine Sicherheitsfunktion an den Sicherheitschip gestellt werden.
-
Bei weiteren Ausführungsformen des Hostsystem ist das Hostsystem ein eingebettetes System ist.
-
Insbesondere bei eingebetteten Systemen die nicht in großer Stückzahl produziert werden, ist das Verfahren vorteilhaft. Im Einzelnen lässt es sich so einsetzen, dass die Funktionalität eines „Secure-Boot“ bereitgestellt werden, ohne speziell produzierte CPUs einsetzen zu müssen.
-
Bei weiteren Ausführungsformen des Hostsystem kommuniziert das Hostsystem hinsichtlich der bereitgestellten mindestens einen Sicherheitsfunktion ausschließlich mit dem Sicherheitsmodul, wobei der Sicherheitschip ausschließlich mit dem Sicherheitsmodul kommuniziert.
-
Der Sicherheitschip wird von dem Sicherheitsmodul hinsichtlich seiner Funktionalität gekapselt. Somit kann nur das Sicherheitsmodul den Sicherheitschip direkt verwenden. Das Hostsystem beispielsweise kann Anfragen hinsichtlich der mindestens einen Sicherheitsfunktion nur an das Sicherheitsmodul stellen, jedoch nicht direkt auf den Sicherheitschip zugreifen. Dies erhöht weiter die Sicherheit des Verfahrens.
-
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Sicherheitsmodul. Das Sicherheitsmodul weist eine Speichereinrichtung, eine Ermittlungseinrichtung, eine Prüfeinrichtung und eine Bereitstellungseinrichtung auf. Die Speichereinrichtung ist ausgebildet die vordefinierten Sicherheitsparameter zu speichern. Die Ermittlungseinrichtung ist ausgebildet Sicherheitsparameter von dem Hostsystem zu ermitteln Die Prüfeinrichtung ist ausgebildet die ermittelten Sicherheitsparameter gegen die vordefinierten Sicherheitsparameter zu prüfen. Die Bereitstellungseinrichtung ist ausgebildet die mindestens eine Sicherheitsfunktion vom Sicherheitsmodul bereitzustellen, falls eine Prüfung der ermittelten Sicherheitsparamater gegen die vordefinierten Sicherheitsparameter erfolgreich war.
-
Durch ein Speichern der vordefinierten Sicherheitsparameter auf dem Sicherheitsmodul sind diese vordefinierten Sicherheitsparameter nicht von außen abrufbar. Durch das Prüfen aktuell ermittelter Sicherheitsparameter durch das Sicherheitsmodul ist ein ablegen geheimer Informationen, beispielsweise ein PIN, auf dem Hostsystem nicht notwendig.
-
Bei einer ersten Ausführungsform weist das Sicherheitsmodul zusätzlich einen Sicherheitschip auf, wobei die Speichereinrichtung vorzugsweise ein Flashspeicher ist.
-
Mit Hilfe einer Steuereinrichtung kann das Sicherheitsmodul Anfragen bezüglich der mindestens einen Sicherheitsfunktion von dem Hostsystem verarbeiten. Falls die mindestens eine Sicherheitsfunktion, beispielsweise die mindestens eine Sicherheitsfunktion des Sicherheitschips, bereitgestellt wurden, kann die Steuereinrichtung die Anfragen des Hostsystems dadurch beantworten, dass die Steuereinrichtung die mindestens eine Sicherheitsfunktion des Sicherheitschips nutzt und dem Hostsystem das Ergebnis der mindestens einen Sicherheitsfunktion mitteilt.
-
Desweiteren wird ein Computerprogrammprodukt beansprucht, mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens sowie ein Datenträger, der das Computerprogrammprodukt speichert. Ein solcher Datenträger beziehungsweise ein solches Computerprogrammprodukt kann in einem System eingelesen werden und Programmbefehle ausführen, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht wird.
-
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei zeigen:
-
1 eine Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls eines Hostsystems;
-
2 eine schematische Darstellung eines Ausführungsbeispiels eines erfindungsgemäßen Sicherheitsmoduls der Erfindung; und
-
3 eine schematische Darstellung eines Ausführungsbeispiels eines erfindungsgemäßen Hostsystems der Erfindung zum geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls eines Hostsystems;
-
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.
-
1 ist eine Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls eines Hostsystems. In diesem Ausführungsbeispiels handelt es sich bei der mindestens einen Sicherheitsfunktion beispielsweise um mindestens eine kryptographische Funktion, bei dem Sicherheitsmodul beispielsweise um einen Sicherheitstoken in Form einer SmartCard, und bei dem Hostsystem beispielsweise um ein eingebettetes System in einem Feldgerät eines Stromversorgungsnetzes.
-
Bei einem Erstellen eines Stromversorgungsnetzes wird eine Vielzahl von Feldgeräten verwendet, in denen eingebettete Systeme zum Einsatz kommen. Um die Feldgeräte bzw. die eingebetteten Systeme davor zu schützen, dass unerwünschter oder manipulierter Programmcode ausgeführt wird, wird das erfindungsgemäße Verfahren 100 eingesetzt.
-
Hierzu wird bei der Erstellung des Feldgerätes ein eingebettetes System verwendet und konfiguriert, das ein Sicherheitsmodul, beispielsweise eine Secure Micro SD Karte, mit einem Sicherheitschip aufweist. Bei der Erstellung des Feldgerätes wird in einem Verfahrensschritt 101 ein vordefinierter Sicherheitsparameter in Form einer Prüfsumme über Daten eines vorbestimmten Speichers bzw. eines Speicherbereich des eingebetteten Systems gebildet. Insbesondere wird die Prüfsumme über die Daten des Betriebssystems gebildet, um Veränderungen an den Betriebssystemdaten, die bei einem ordnungsgemäßen Betrieb unverändert bleiben, feststellen zu können. Der auf diese Weise festgelegte vordefinierte Sicherheitsparameter wird dann auf dem Sicherheitschip des Sicherheitsmoduls schreibgeschützt gespeichert. Der Sicherheitsparameter befindet sich somit besonders geschützt und unveränderlich auf dem Sicherheitschip des Sicherheitsmoduls.
-
Nachdem das Feldgerät verbaut wurde, wird beispielsweise bei jedem Start des Feldgerätes in einem Verfahrensschritt 102 ein aktueller Sicherheitsparameter ermittelt. Dies geschieht beispielsweise dadurch, dass das Sicherheitsmodul beim Laden des Betriebssystems einen aktuellen Sicherheitsparameter, beispielsweise in Form einer aktuellen Prüfsumme, über die Daten des Betriebssystems, das auf dem vorbestimmten Speicher liegt, ermittelt.
-
In einem Verfahrensschritt 103 nutzt das Sicherheitsmodul eine Schnittstelle des Sicherheitschips zum Übergeben der aktuellen Prüfsumme. Stimmt die aktuelle Prüfsumme mit der vorbestimmten Prüfsumme überein, werden die mindestens eine Sicherheitsfunktion, beispielsweise Schlüssel für ein digitales Zertifikat zur Authentisierung an einer Zertifizierungsstelle, durch den Sicherheitschip bereitgestellt. Das Sicherheitsmodul stellt dann dem eingebetteten System diese mindestens eine Sicherheitsfunktion bereit, ohne dem Hostsystem einen direkten Zugriff auf den Sicherheitschip zu ermöglichen.
-
2 ist eine schematische Darstellung eines Ausführungsbeispiels eines erfindungsgemäßen Sicherheitsmoduls 200 der Erfindung, wobei das Sicherheitsmodul 200 beispielsweise ein Sicherheitstoken in Form einer Secure MicroSD-Karte ist.
-
Das Sicherheitsmodul 200 weist eine Speichereinrichtung 201, eine Steuereinrichtung 202, einen Sicherheitschip 203, eine Prüfeinrichtung 204, eine Bereitstellungseinrichtung 205 und eine Ermittlungseinrichtung 206 auf, wobei die Einrichtungen 201, 202, 203, 204, 205 mit einem Datenbus miteinander verbunden sind.
-
Während des Herstellungs- und Konfigurationsprozesses eines Hostsystems wird ein vordefinierter Sicherheitsparameter des Hostsystemsystems ermittelt, beispielsweise eine Prüfsumme über die Daten eines vorbestimmten Speichers des Hostsystems. Dieser vordefinierte Sicherheitsparameter wird dann schreibgeschützt auf dem Sicherheitschip 203 des Sicherheitsmoduls 200 gespeichert.
-
Diese vordefinierten Sicherheitsparameter sind somit nur vom Sicherheitschip 203 selbst lesbar.
-
Um die mindestens eine Sicherheitsfunktion des Sicherheitschips 203 freizuschalten, verwendet das Sicherheitsmodul 200 die Steuereinrichtung 202 damit diese mit der Ermittlungseinrichtung 206 einen aktuellen Sicherheitsparameter über die Daten eines vorbestimmten Speichers bzw. Speicherbereichs eines Hostsystems ermitteln kann. Der aktuelle Sicherheitsparameter wird dann von der Steuereinrichtung 202 auf der Speichereinrichtung 201 abgelegt. Die Steuereinrichtung 202 übergibt den aktuellen Sicherheitsparameter der Prüfeinrichtung 204, die diese unter Verwendung des Sicherheitschips 203 prüft. War die Prüfung der aktuellen Sicherheitsparameter erfolgreich, gibt der Sicherheitschip 203 seine mindestens eine Sicherheitsfunktion frei, sodass die Bereitstellungseinrichtung 205 über die Steuereinrichtung 203 dem Hostsystem diese mindestens eine Sicherheitsfunktion breitstellen kann.
-
3 ist eine schematische Darstellung eines Ausführungsbeispiels eines erfindungsgemäßen Hostsystems zum geschützten Zugriff auf mindestens eine Sicherheitsfunktion eines Sicherheitsmoduls des Hostsystems 300, beispielsweise ein eingebettetes System in einem Feldgerät eines Stromversorgungsnetzes. Das Hostsystem verwendet in diesem Ausführungsbeispiel ein erfindungsgemäßes Sicherheitsmodul 200 in Form eines Sicherheitstokens, so wie es in der Beschreibung zu 2 erläutert wurde.
-
Während des Herstellungsprozesses des Hostsystems 300 wird ein vordefinierter Sicherheitsparameter des Hostsystems 300 ermittelt, beispielsweise eine Prüfsumme über die Daten eines vorbestimmten Speichers 301 des Hostsystems 300. Dieser vordefinierte Sicherheitsparameter wird dann mittels der Festlegeeinrichtung 303 schreibgeschützt auf dem Sicherheitschip 203 des Sicherheitsmoduls 200 gespeichert.
-
Während der Start-Phase des Hostsystems 300 wird von einer Starteinrichtung 302, die das Feldgerät bzw. das Hostsystem 300 startet, auf das Sicherheitsmodul 200 über eine erste Schnittstelle 305 zugegriffen, um Zugriff auf die mindestens eine Sicherheitsfunktion zu erhalten. Das Sicherheitsmodul 200 ermittelt dann mittels der Ermittlungseinrichtung 206 über die Daten des vorbestimmten Speichers 301 bzw. eines Speicherbereichs einen aktuellen Sicherheitsparameter, indem es über eine zweite Schnittstelle 304 auf den vorbestimmten Speicher 301 zugreift. Das Sicherheitsmodul 200 prüft dann mittels der Prüfeinrichtung 204 die aktuellen Sicherheitsparameter gegen vordefinierte Sicherheitsparameter. War diese Prüfung erfolgreich, werden über die erste Schnittstelle 305 mittels der Bereitstellungseinrichtung 205 dem Hostsystem 300 die gewünschte mindestens eine Sicherheitsfunktion bereitgestellt.
-
Das Hostsystem 300 erhält nun Zugriff auf die mindestens eine Sicherheitsfunktion, sodass es beispielsweise einen Schlüssel für ein digitales Zertifikat verwenden kann, um sich bei einer Zertifizierungsstelle oder einen Kommunikationspartner zu authentisieren.
-
In einer Variante der beschriebenen Ausführungsbeispiele weisen das Hostsystem ein erstes Betriebssystem, das Sicherheitsmodul ein zweites Betriebssystem und der Sicherheitschip ein drittes Betriebssystem auf. Durch diese Struktur kann die Funktionalität der Komponenten unabhängig voneinander realisiert werden. So lässt sich ein verbesserter Zugriffsschutz realisieren, da nur über vordefinierte Schnittstellen auf die Funktionen der jeweils anderen Komponente zugegriffen wird.
-
In einer weiteren Variante der beschriebenen Ausführungsbeispiele kann nur der Sicherheitschip selbst bzw. das dritte Betriebssystem auf die vordefinierten Sicherheitsparameter zugreifen. In diesem Ausführungsbeispiel werden dem Sicherheitschip die aktuellen Sicherheitsparameter übergeben und das Prüfen wird intern auf dem Sicherheitschip durchgeführt. Damit wird erreicht, dass das System möglichst sicher ist.
-
In einer weiteren Variante der beschriebenen Ausführungsbeispiele kann nur die Ermittlungseinrichtung auf den vorbestimmten Speicher zugreifen, jedoch nicht der vorbestimmte Speicher auf die Ermittlungseinrichtung. Somit besteht eine unidirektionale Verbindung von der Ermittlungseinrichtung zu dem vorbestimmten Speicher, um eine möglichst hohe Sicherheit zu erreichen.
-
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
-
Zitierte Nicht-Patentliteratur
-
- ISO7816-Interface oder I2C [0025]