DE102017108129A1 - Hardware-based security module - Google Patents

Hardware-based security module Download PDF

Info

Publication number
DE102017108129A1
DE102017108129A1 DE102017108129.1A DE102017108129A DE102017108129A1 DE 102017108129 A1 DE102017108129 A1 DE 102017108129A1 DE 102017108129 A DE102017108129 A DE 102017108129A DE 102017108129 A1 DE102017108129 A1 DE 102017108129A1
Authority
DE
Germany
Prior art keywords
security module
processing device
information
data processing
hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102017108129.1A
Other languages
German (de)
Inventor
Udo Jorczyk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Westfalische Hochschule Gelsenkirchen Bocholt Recklinghausen
WESTFAELISCHE HOCHSCHULE GELSENKIRCHEN BOCHOLT RECKLINGHAUSEN
Original Assignee
Westfalische Hochschule Gelsenkirchen Bocholt Recklinghausen
WESTFAELISCHE HOCHSCHULE GELSENKIRCHEN BOCHOLT RECKLINGHAUSEN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westfalische Hochschule Gelsenkirchen Bocholt Recklinghausen, WESTFAELISCHE HOCHSCHULE GELSENKIRCHEN BOCHOLT RECKLINGHAUSEN filed Critical Westfalische Hochschule Gelsenkirchen Bocholt Recklinghausen
Priority to DE102017108129.1A priority Critical patent/DE102017108129A1/en
Publication of DE102017108129A1 publication Critical patent/DE102017108129A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication

Abstract

Die Erfindung betrifft ein hardwarebasiertes Sicherheitsmodul (24) zur Authentifizierung eines Informations- und/oder Datenverarbeitungsgeräts (12), insbesondere eines mobilen Endgeräts (10), gegenüber zumindest einem weiteren Informations- und/oder Datenverarbeitungsgerät (18), welches mit dem einen Informations- und/oder Datenverarbeitungsgerät (12), insbesondere über ein Netzwerk (16), datenübertragungstechnisch - drahtlos oder drahtgebunden - verbunden ist. Das hardwarebasierte Sicherheitsmodul (24) umfasst:
- ein Rechenwerk (26) zur Durchführung von kryptografischen Operationen zur Authentifizierung des Informations- und/oder Datenverarbeitungsgeräts (12),
- zumindest eine als Luftschnittstelle (30) ausgebildete Schnittstelle (32) zur datenübertragungstechnischen Anbindung des hardwarebasierten Sicherheitsmoduls (24) an das Informations- und/oder Datenverarbeitungsgerät (12) und
- einen Datenspeicher (34), der einen über diese zumindest eine Schnittstelle (32) unzugänglichen Speicherbereich zur Ablage zumindest eines kryptografischen Schlüssels (36) für die kryptografischen Operationen aufweist.
Die Erfindung betrifft weiterhin ein System (42) mit einem Informations- und/oder Datenverarbeitungsgerät (12) und einem derartigen hardwarebasierten Sicherheitsmodul (24).

Figure DE102017108129A1_0000
The invention relates to a hardware-based security module (24) for authenticating an information and / or data processing device (12), in particular a mobile terminal (10), to at least one further information and / or data processing device (18) connected to the one information and / or data processing device (12), in particular via a network (16), data transmission technology - wireless or wired - connected. The hardware-based security module (24) comprises:
an arithmetic logic unit (26) for carrying out cryptographic operations for authenticating the information and / or data processing device (12),
- At least one formed as an air interface (30) interface (32) for data transmission connection of the hardware-based security module (24) to the information and / or data processing device (12) and
- A data memory (34) having an inaccessible via this at least one interface (32) memory area for storing at least one cryptographic key (36) for the cryptographic operations.
The invention further relates to a system (42) having an information and / or data processing device (12) and such a hardware-based security module (24).
Figure DE102017108129A1_0000

Description

Die Erfindung betrifft ein hardwarebasiertes Sicherheitsmodul zur Authentifizierung eines Informations- und/oder Datenverarbeitungsgeräts gegenüber zumindest einem weiteren Informations- und/oder Datenverarbeitungsgerät welches mit dem einen Informations- und/oder Datenverarbeitungsgerät datenübertragungstechnisch drahtlos oder drahtgebunden verbunden ist.The invention relates to a hardware-based security module for authenticating an information and / or data processing device with respect to at least one further information and / or data processing device which is connected to the one information and / or data processing device via wireless or wired data transmission technology.

Die Erfindung betrifft weiterhin ein System mit einem Informations- und/oder Datenverarbeitungsgerät und einem derartigen hardwarebasierten Sicherheitsmodul.The invention further relates to a system having an information and / or data processing device and such a hardware-based security module.

Bekannt sind seit langem hardwarebasierte Sicherheitsmodule (HSM: Hardware Security Modules). Der englischsprachige Wikipedia-Eintrag zum Thema „Hardware Security Module“ beschreibt ein solches Modul als eine Datenverarbeitungseinrichtung, die digitale Schlüssel für eine starke Authentifizierung sichert und verwaltet sowie kryptographische Prozessierung bietet. Mittels derartiger hardwarebasierter Sicherheitsmodule ist eine Authentifizierung möglich. Diese hardwarebasierte Sicherheitsmodule sind dabei gewöhnlich in Form einer Plug-in-Karte oder eines externen Geräts ausgestaltet, das direkt an einen Computer, Netzwerk-Server, oder einem anderen Informations- und/oder Datenverarbeitungsgerät angeschlossen ist.Hardware-based security modules (HSM: Hardware Security Modules) have long been known. The English Wikipedia entry on "Hardware Security Module" describes such a module as a data processing device that secures and manages digital keys for strong authentication and provides cryptographic processing. Authentication is possible by means of such hardware-based security modules. These hardware-based security modules are usually designed in the form of a plug-in card or an external device that is connected directly to a computer, network server, or other information and / or data processing device.

Die Nutzung von innerhalb eines Netzwerkes installierten Rechnern und auch der Zugriff von außen via Internet kann sicher via hardwarebasierter Sicherheitsmodule erfolgen. Dies bedeutet jedoch zumeist, dass zusätzliche Hardware verwendet werden muss. So ist die Verwendung von USB-Token, welche gegebenenfalls via Fingerabdruck aktiviert werden können, durchaus üblich. Problematisch ist allerdings die Verwendung von mobilen Devices, wie z.B. von Smartphones und Tablets innerhalb eines solchen Netzwerkes. Die verfügbaren Softwarelösungen sind als nicht sicher einzuschätzen, da die zur Verschlüsselung notwendigen Schlüssel auf dem Smartphone gespeichert sein werden und gefunden werden können. Token für mobile Endgeräte sind nicht bekannt, sodass man gegenwärtig nur auf eine unbefriedigende Lösung mittels App, also Software, zurückgreifen kann.The use of computers installed within a network and also the access from the outside via the Internet can be done safely via hardware-based security modules. However, this usually means that additional hardware has to be used. Thus, the use of USB tokens, which can optionally be activated via fingerprint, quite common. However, the problem is the use of mobile devices, such. of smartphones and tablets within such a network. The available software solutions can not be estimated as safe, as the encryption keys will be stored on the smartphone and can be found. Tokens for mobile devices are not known, so that one can currently rely only on an unsatisfactory solution using App, so software.

Es ist die Aufgabe der Erfindung Maßnahmen zur einfachen Realisierung einer Authentifizierung eines Informations- und/oder Datenverarbeitungsgeräts gegenüber zumindest einem weiteren Informations- und/oder Datenverarbeitungsgerät bereitzustellen.It is the object of the invention to provide measures for the simple realization of an authentication of an information and / or data processing device with respect to at least one further information and / or data processing device.

Die Lösung der Aufgabe erfolgt erfindungsgemäß durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen angegeben.The object is achieved by the features of the independent claims. Advantageous embodiments of the invention are specified in the subclaims.

Das erfindungsgemäße hardwarebasierte Sicherheitsmodul zur Authentifizierung eines Informations- und/oder Datenverarbeitungsgeräts gegenüber zumindest einem weiteren Informations- und/oder Datenverarbeitungsgerät, welches mit dem einen Informations- und/oder Datenverarbeitungsgerät datenübertragungstechnisch drahtlos oder drahtgebunden verbunden ist, weist die folgenden Komponenten auf:

  1. (i) ein Rechenwerk zur Durchführung von kryptografischen Operationen zur Authentifizierung des Informations- und/oder Datenverarbeitungsgeräts,
  2. (ii) zumindest eine als Luftschnittstelle ausgebildeten Schnittstelle zur datenübertragungstechnischen Anbindung des hardwarebasierten Sicherheitsmoduls an das Informations- und/oder Datenverarbeitungsgerät und
  3. (iii) einen Datenspeicher, der einen über diese zumindest eine Schnittstelle unzugänglichen Speicherbereich zur Ablage zumindest eines kryptografischen Schlüssels für die kryptografischen Operationen aufweist.
The hardware-based security module according to the invention for authenticating an information and / or data processing device with respect to at least one further information and / or data processing device, which is connected to the one information and / or data processing device by wireless or wired data transmission technology, has the following components:
  1. (i) an arithmetic unit for performing cryptographic operations for authenticating the information and / or data processing device,
  2. (Ii) at least one formed as an air interface interface for data transmission connection of the hardware-based security module to the information and / or data processing device and
  3. (iii) a data store having a memory area inaccessible via said at least one interface for storing at least one cryptographic key for the cryptographic operations.

Ein solches Sicherheitsmodul ist einfach bedienbar und ermöglicht eine Authentifizierung von üblichen Informations- und/oder Datenverarbeitungsgeräten, wie etwa mobilen Endgeräten, ohne diese modifizieren zu müssen.Such a security module is easy to use and allows authentication of conventional information and / or data processing devices, such as mobile devices, without having to modify them.

Gemäß einer bevorzugten Ausgestaltung der Erfindung ist das Rechenwerk weiterhin zur Durchführung von kryptografischen Operationen zur Ver- und/oder Entschlüsselung von Daten bei der Datenübertragung zwischen dem Informations- und/oder Datenverarbeitungsgerät und dem zumindest einen weiteren Informations- und/oder Datenverarbeitungsgerät eingerichtet. Auch für die Ver- und/oder Entschlüsselung wird der kryptographische Schlüssel genutzt.According to a preferred embodiment of the invention, the arithmetic unit is further configured for performing cryptographic operations for encrypting and / or decrypting data in the data transmission between the information and / or data processing device and the at least one further information and / or data processing device. The cryptographic key is also used for encryption and / or decryption.

Gemäß einer weiteren bevorzugten Ausgestaltung der Erfindung ist die Luftschnittstelle als Luftschnittstelle für drahtlose Datenkommunikation und/oder für drahtlose Netzwerke, insbesondere auch drahtlose Sensornetzwerke, bevorzugt

  • - Bluetooth und/oder
  • - WLAN und/oder
  • - Nahfeldkommunikation und/oder
  • - Zigbee und/oder
  • - proprietäre Datenübertragungssysteme
ausgebildet.According to a further preferred embodiment of the invention, the air interface is preferred as an air interface for wireless data communication and / or for wireless networks, in particular also wireless sensor networks
  • - Bluetooth and / or
  • - WLAN and / or
  • - Near field communication and / or
  • - Zigbee and / or
  • - proprietary data transmission systems
educated.

Gemäß noch einer weiteren bevorzugten Ausgestaltung der Erfindung ist das hardwarebasierte Sicherheitsmodul mobil ausgestaltet, also ein mobiles Sicherheitsmodul. According to yet another preferred embodiment of the invention, the hardware-based security module is designed to be mobile, ie a mobile security module.

Dabei ist bevorzugt vorgesehen, dass das mobile Sicherheitsmodul eine eigene Stromversorgung, insbesondere einen Akkumulator, aufweist.It is preferably provided that the mobile security module has its own power supply, in particular an accumulator.

Gemäß einer bevorzugten Ausführungsform der Erfindung ist das hardwarebasierte Sicherheitsmodul in einem vom Informations- und/oder Datenverarbeitungsgerät) separaten anderen Gerät integriert. Dieses Gerät ist beispielsweise eine Uhr, ein KFZ-Funkschlüssel oder ein anderes mobiles Gerät.According to a preferred embodiment of the invention, the hardware-based security module is integrated in a separate device from the information and / or data processing device. This device is for example a watch, a car key or another mobile device.

Bei dem erfindungsgemäßen System mit einem Informations- und/oder Datenverarbeitungsgerät und einem hardwarebasierten Sicherheitsmodul ist vorgesehen, dass das hardwarebasierte Sicherheitsmodul als vorstehend genanntes Modul ausgebildet ist.In the system according to the invention with an information and / or data processing device and a hardware-based security module, it is provided that the hardware-based security module is designed as a module mentioned above.

Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Systems weist dieses weiterhin ein Identifikationsmodul zur Identifikation des Nutzers des Informations- und/oder Datenverarbeitungsgeräts auf. Das Identifikationsmodul ist datenübertragungstechnisch an das Informations- und/oder Datenverarbeitungsgerät und/oder an das hardwarebasierte Sicherheitsmodul angebunden.According to a preferred embodiment of the system according to the invention, this further comprises an identification module for identifying the user of the information and / or data processing device. The identification module is connected to the information and / or data processing device and / or to the hardware-based security module in terms of data transmission technology.

Dabei ist bevorzug vorgesehen, dass das Identifikationsmodul ein Modul zur Erfassung biometrischer Merkmale, insbesondere passive Merkmale wie Fingerabdruck, Gesicht, Retina, Iris und Handgeometrie und/oder ein Modul zur Erfassung aktive Merkmale: Stimme und/oder Sprechverhalten sowie einer Tastatur zur Eingabe einer Zahlenkombination/eines PINs ist.It is preferred that the identification module comprises a module for detecting biometric features, in particular passive features such as fingerprint, face, retina, iris and hand geometry and / or a module for detecting active features: voice and / or speech behavior and a keyboard for entering a number combination / of a PIN.

Nachfolgend wird die Erfindung unter Bezugnahme auf die anliegenden Zeichnungen anhand von bevorzugten Ausführungsbeispielen exemplarisch erläutert, wobei die nachfolgend dargestellten Merkmale sowohl jeweils einzeln als auch in Kombination einen Aspekt der Erfindung darstellen können. Es zeigt:

  • 1 ein System mit einem in ein Telefon- und Datennetz eingebundenen mobilen Endgerät und ein hardwarebasierte Sicherheitsmodul zur Authentifizierung des Endgerätes im Netz gemäß einer ersten bevorzugten Ausführungsform der Erfindung und
  • 2 ein System mit einem in ein Telefon- und Datennetz eingebundenen mobilen Endgerät und ein hardwarebasierte Sicherheitsmodul zur Authentifizierung des Endgerätes im Netz gemäß einer zweiten bevorzugten Ausführungsform der Erfindung.
The invention will now be described by way of example with reference to the accompanying drawings with reference to preferred embodiments, wherein the features shown below may represent an aspect of the invention both individually and in combination. It shows:
  • 1 a system with a mobile terminal integrated in a telephone and data network and a hardware-based security module for authenticating the terminal in the network according to a first preferred embodiment of the invention and
  • 2 a system with a mobile terminal integrated in a telephone and data network and a hardware-based security module for authenticating the terminal in the network according to a second preferred embodiment of the invention.

Die 1 zeigt ein als mobiles Endgerät 10 ausgebildetes Informations- und/oder Datenverarbeitungsgerät 12, das über eine Mobilfunkverbindung 14 in ein als Telefon- und/oder Datennetz ausgebildetes Netzwerk 16 eingebunden ist, welches eine Vielzahl von weiteren Informations- und/oder Datenverarbeitungsgeräten 18 umfasst. Das mobile Endgerät 10 ist beispielsweise ein Smartphone. Es weist eine als Luftschnittstelle 20 ausgebildete Schnittstelle 22 auf, über die das mobile Endgerät 10 mit einem hardwarebasierten Sicherheitsmodul 24 verbunden ist. Das hardwarebasierte Sicherheitsmodul 24 weist ein Rechenwerk 26 zur Durchführung kryptografischer Operationen mit zumindest einem Prozessor 28, eine als Luftschnittstelle 30 zur drahtlosen Kommunikation ausgebildete Schnittstelle 32 und einen Datenspeicher 34 auf, der seinerseits einen über die Schnittstelle 32 unzugänglichen Speicherbereich aufweist, in dem ein kryptografischer Schlüssel 36 für die kryptografischen Operationen abgelegt ist.The 1 shows as a mobile device 10 trained information and / or data processing device 12 that has a cellular connection 14 in a trained as a telephone and / or data network 16 is involved, which is a variety of other information and / or data processing equipment 18 includes. The mobile device 10 is for example a smartphone. It has one as an air interface 20 trained interface 22 on, over which the mobile terminal 10 with a hardware-based security module 24 connected is. The hardware-based security module 24 has an arithmetic unit 26 to perform cryptographic operations on at least one processor 28 , one as an air interface 30 interface designed for wireless communication 32 and a data store 34 on, in turn, one over the interface 32 Inaccessible storage area in which a cryptographic key 36 is stored for the cryptographic operations.

Das gezeigte hardwarebasierte Sicherheitsmodul 24 ist als hardwarebasiertes mobiles Sicherheitsmodul 38 (HMD: hardwarebasiertes, mobiles Device) ausgebildet und weist eine eigene Stromversorgungseinheit 40 auf, die die weiteren Komponenten 26, 32, 34 des hardwarebasierten mobilen Sicherheitsmoduls 38 mit elektrischer Energie versorgt. Die Stromversorgungseinheit 40 ist im gezeigten Beispiel ein Akkumulator.The hardware-based security module shown 24 is a hardware-based mobile security module 38 (HMD: hardware-based, mobile device) is formed and has its own power supply unit 40 on that the other components 26 . 32 . 34 of the hardware-based mobile security module 38 supplied with electrical energy. The power supply unit 40 is an accumulator in the example shown.

Die Verbindung zwischen den Luftschnittstellen 20, 30 (des Gerätes 10,12 und des hardwarebasieren Sicherheitsmoduls 24) ist im gezeigten Beispiel eine Verbindung mittels drahtloser Datenkommunikation. Die Luftschnittstellen 20, 30 sind dementsprechend Luftschnittstellen 20, 30 für drahtlose Datenkommunikation. Neben der Luftschnittstellen 20 weist das mobile Endgerät 10 selbstverständlich auch eine (hier nicht explizit gezeigte) Luftschnittstelle für die Funkverbindung 14 auf. Die kryptografischen Operationen des Rechenwerks 26 sind für die Authentifizierung typische Operationen. Entscheidend ist hier, dass der kryptografische Schlüssel weder über die Schnittstelle 32, hier also die Luftschnittstelle 30, in den Speicher 34 geschrieben, noch aus ihm ausgelesen werden kann.The connection between the air interfaces 20 . 30 (of the device 10,12 and the hardware-based security module 24 ) is in the example shown a connection by means of wireless data communication. The air interfaces 20 . 30 are accordingly air interfaces 20 . 30 for wireless data communication. Next to the air interfaces 20 has the mobile device 10 of course also an air interface (not explicitly shown here) for the radio connection 14 on. The cryptographic operations of the calculator 26 are typical operations for authentication. The decisive factor here is that the cryptographic key neither via the interface 32 , so here's the air interface 30 , in the store 34 written, can still be read out of it.

Das im Beispiel gezeigte Rechenwerk 26 ist zur Durchführung von kryptografischen Operationen (a) zur Authentifizierung des Informations- und/oder Datenverarbeitungsgeräts 12 gegenüber dem zumindest einen weiteren Informations- und/oder Datenverarbeitungsgerät 18 und andererseits (b) zur Durchführung von kryptografischen Operationen zur Ver- und/oder Entschlüsselung von Daten bei der Datenübertragung zwischen dem Informations- und/oder Datenverarbeitungsgerät 12 und dem zumindest einen weiteren Informations- und/oder Datenverarbeitungsgerät 18 eingerichtet.The calculator shown in the example 26 is for performing cryptographic operations (a) for authentication of the information and / or data processing device 12 opposite to the at least one further information and / or data processing device 18 and (b) to perform cryptographic operations on Encryption and / or decryption of data during data transmission between the information and / or data processing device 12 and the at least one further information and / or data processing device 18 set up.

Die Verwendung eines solchen Sicherheitsmoduls 24 ermöglicht beziehungsweise gewährleistet eine sichere Authentifikation und eine damit verbundene sichere, verschlüsselte Kommunikation von Geräten 10 12, wie z.B. Smartphones oder Tablets, in einem Netzwerk 16, wie z.B. dem Internet. Das hardwarebasierte Sicherheitsmodul und das entsprechende Gerät 10, 12 bilden ein System 42. Im Zeitalter von IoT (Internet of Things) und vernetzter Industrieproduktion (Smart Factories), vernetzter Kraftfahrzeuge sowie Smart Home-Anwendungen besteht ein besonderer Bedarf an sicherer Kommunikation über das Internet. Das Sicherheitsmodul 24 ermöglicht es durch die drahtlose Anbindung auf bauliche Veränderungen des Geräts 10, 12 verzichten zu können und gewährleistet gleichzeitig einen sehr hohen (um nicht zu sagen: den höchsten) Sicherheitsstandard. Das Sicherheitsmodul 24 ist auch geeignet zur sicheren Authentifikation von anderen Informations- und/oder Datenverarbeitungsgeräten 12, wie etwa Geräten für Kraftfahrzeuge (KFZ) oder Maschinen in einem Netzwerk, wie etwa dem Internet.The use of such a security module 24 enables or ensures secure authentication and associated secure, encrypted communication of devices 10 12 , such as smartphones or tablets, in a network 16 , such as the Internet. The hardware-based security module and the corresponding device 10 . 12 form a system 42 , In the age of IoT (Internet of Things) and networked industrial production (smart factories), connected vehicles and smart home applications, there is a particular need for secure communication over the Internet. The security module 24 It allows for the structural changes of the device through the wireless connection 10 . 12 and at the same time guarantees a very high (not to say the highest) safety standard. The security module 24 is also suitable for secure authentication of other information and / or data processing equipment 12 such as automotive (automotive) devices or machines in a network such as the Internet.

Im Folgenden werden die wichtigsten Eigenschaften und Vorteile diverser Ausgestaltungen des hardwarebasierten Sicherheitsmoduls 24 und des Systems 42 mit Sicherheitsmodul 24 und entsprechendem Gerät 10, 12 noch einmal mit anderen Worten beschrieben:The following are the key features and benefits of various hardware-based security module designs 24 and the system 42 with security module 24 and corresponding device 10 . 12 described again in other words:

Das Sicherheitsmodul 24 dient der bidirektionalen, drahtlosen, optional auch drahtgebundenen, Kommunikation mit stationären und mobilen Geräten 10, 12. Es ist für die Authentifizierung und Datenverschlüsselung von heterogener Hardware, wie z.B. von Smartphones, unterschiedlicher Hersteller unabhängig von den verwendeten Betriebssystemen dieser Geräte 12 nutzbar.The security module 24 Used for bidirectional, wireless, optionally wired, communication with stationary and mobile devices 10 . 12 , It is used for authentication and data encryption of heterogeneous hardware, such as smartphones, different manufacturers regardless of the operating systems used by these devices 12 available.

Zur Sicherung der Kommunikation (z.B. in Unternehmen) im Internet werden sogenannte VPNs (virtuelle private Netzwerke) eingesetzt. Sogenannte „Remote User“ können sich via Internet unter Verwendung von VPNs mit dem Head-office verbinden. Dies geschieht zumeist durch Eingabe eines Kennwortes. Allgemein gilt die Verwendung von VPNs jedoch als nicht wirklich sicher. Firmen bezahlen für VPN-Services, da ihnen der Aufwand zu hoch ist, selber einen VPN-Server zu betreiben. Der Betreiber des VPN-Servers hat gegebenenfalls Zugriff auf die übertragenen Daten und hat Informationen über die Kommunikationspartner. Da es mittlerweile üblich ist, Firmendaten in Clouds zu speichern, muss dem Betreiber dieser Cloud in Bezug auf Datensicherheit besonderes Vertrauen entgegengebracht werden. Bezüglich des Firmen-IP (Intellectual Property) bestehen bei Verwendung von VPN und Clouds deutliche Risiken. Alleine die Kenntnis des Kennwortes, welches z.B. durch Schadsoftware ausgespäht werden kann, ermöglicht einen Zugriff auf die Daten des entsprechenden Mitarbeiters und kann das Firmen Know-How gefährden.To secure the communication (for example in companies) on the Internet so-called VPNs (virtual private networks) are used. So-called "remote users" can connect to the head office via the Internet using VPNs. This is usually done by entering a password. In general, however, using VPNs is not really secure. Companies pay for VPN services because they spend too much time running their own VPN server. The operator of the VPN server may have access to the transmitted data and has information about the communication partners. Since it is now common practice to store company data in clouds, the operator of this cloud must be given special trust in terms of data security. With regard to the company IP (Intellectual Property), there are significant risks when using VPN and Clouds. Alone the knowledge of the password, which e.g. can be spied out by malicious software, allows access to the data of the corresponding employee and can endanger the company know-how.

Heutige Verschlüsselungsverfahren sind in Abhängigkeit des gewählten Verfahrens und einer spezifizierten Schlüssellänge als sicher zu betrachten. Lediglich die zur Verschlüsselung von Daten verwendeten Schlüssel (Keys) 36 ermöglichen eine Dechiffrierung. Demnach werden Hacker oder andere Cyber-Kriminelle versuchen, eben jene Schlüssel zu erlangen. Diese liegen üblicherweise auf den Geräten 10, 12 der Nutzer. Programme zur Datenverschlüsselung verwenden unterschiedliche Verfahren, um diese Schlüssel zu chiffrieren und zu verstecken. Es ist aber möglich und bereits vorgekommen, dass diese Schlüssel gefunden und dechiffriert wurden. Daher ist die Verschlüsselung von Daten mittels Software als nicht absolut sicher anzusehen.Today's encryption methods are safe, depending on the chosen method and a specified key length. Only the keys (keys) used to encrypt data 36 allow deciphering. Thus, hackers or other cybercriminals will try to get just those keys. These are usually on the devices 10 . 12 the user. Data encryption programs use different methods to encrypt and hide these keys. But it is possible and already happened that these keys were found and deciphered. Therefore, the encryption of data by software is not considered to be completely secure.

Die Nutzung von mobilen Endgeräten 10, wie z.B. Smartphones, Tablets bzw. Notebooks und Smartwatches mit Zugang zum Internet ist heute üblich. Anders als die meisten Privatanwender setzen Firmen für Firmenrechner und Kommunikationstechnik auf VPNs. Diese Kommunikation ist, wie oben beschrieben, unsicher. Eine deutlichere Verbesserung wird durch das hardwarebasierte Sicherheitsmoduls 24 erreicht. Dieses kommuniziert drahtlos mit mobilen und drahtlosen Geräten 10, wie z.B. Smartphones, etc.The use of mobile devices 10 , such as smartphones, tablets or notebooks and smartwatches with access to the Internet is common today. Unlike most home users, corporate computing and communication technology companies rely on VPNs. This communication is uncertain, as described above. A clearer improvement is the hardware-based security module 24 reached. This communicates wirelessly with mobile and wireless devices 10 , such as smartphones, etc.

Das hardwarebasierte Sicherheitsmoduls 24 weist bevorzugt folgende Komponenten auf:

  1. (i) ein Gehäuse 44, gegebenenfalls einer Armbanduhr mit integrierten Modulkomponenten 26, 32, 34 oder einem Halsband mit Anhänger mit integriertem integrierten Modulkomponenten 26, 32, 34 oder einem Namensschild (o. ä.) mit integrierten Modulkomponenten 26, 32, 34 oder einem Ring mit integrierten Modulkomponenten 26, 32, 34,
  2. (ii) eine oder mehrere drahtlose, optional auch drahtgebundene Kommunikationsschnittstellen 30, 32,
  3. (iii) ein Rechenwerk 26 mit einem oder mehreren Prozessoren 28, insbesondere zur Verschlüsselung und Steuerung einer Sicherheitsschaltung, die das Auslesen des kryptographischen Schlüssels 36 (Keys) unmöglich macht bzw. sicher verhindert und
  4. (iv) mechanische und/oder elektronische Vorkehrungen zur Manipulationssicherheit (tamper resistance).
The hardware-based security module 24 preferably has the following components:
  1. (i) a housing 44 , optionally a wristwatch with integrated module components 26 . 32 . 34 or a collar with a pendant with integrated integrated module components 26 . 32 . 34 or a name tag (or similar) with integrated module components 26 . 32 . 34 or a ring with integrated module components 26 . 32 . 34 .
  2. (ii) one or more wireless, optionally wired, communication interfaces 30 . 32 .
  3. (iii) an arithmetic unit 26 with one or more processors 28 , in particular for encryption and control of a security circuit, which enables the read-out of the cryptographic key 36 (Keys) impossible or safely prevented and
  4. (iv) mechanical and / or electronic tamper resistance measures.

Das hardwarebasierte Sicherheitsmoduls 24 ermöglicht eine zertifikatlose, optional auch zertifikatsgebundene, Authentifizierung und Datenverschlüsselung in Hardware und Software mit extrem hoher Sicherheit, da der kryptographische Schlüssel 26 im hardwarebasierte Sicherheitsmoduls 24 nicht ausgelesen werden kann und somit eine Dechiffrierung durch Fremde (Hacker) nicht möglich ist.The hardware-based security module 24 Enables certificate-less, optionally certificate-based authentication and data encryption in hardware and software with extremely high security, as the cryptographic key 26 in the hardware-based security module 24 can not be read and thus a deciphering by strangers (hackers) is not possible.

Die Verschlüsselung kann in dem Informations- und/oder Datenverarbeitungsgerät 12 oder dem hardwarebasierten Sicherheitsmoduls 24 erfolgen. Dies ist dabei unabhängig vom verwendeten Betriebssystem.The encryption may be in the information and / or data processing device 12 or the hardware-based security module 24 respectively. This is independent of the operating system used.

Die Stromversorgung des hardwarebasierten Sicherheitsmoduls 24 erfolgt mittels Batterie/Akkumulator oder Energieautark unter Ausnutzung zumindest einer der folgenden Techniken: Solarzelle, Wärme(-unterschied), Bewegung wie Vibration, etc. Die Aufladung eines Akkumulators bei Verwendung als Energiequelle erfolgt induktiv, über USB-Stecker oder mechanischer und/oder elektrischer Verbindung. Die Verwendung externer Spannungsquelle ist ebenfalls vorgesehen.The power supply of the hardware-based security module 24 takes place by means of battery / accumulator or self-sufficient energy using at least one of the following techniques: solar cell, heat (difference), movement such as vibration, etc. Charging a battery when used as an energy source is made inductively, via USB connector or mechanical and / or electrical Connection. The use of external power source is also provided.

Um das Verfahren der Authentifizierung sicherer zu machen, kann optional eine Zweiwege-Authentifizierung vorgenommen werden. Die 2 zeigt ein entsprechendes System 42. Die optionale, zusätzliche Freigabe des hardwarebasierte Sicherheitsmoduls 24 erfordert die Implementierung von einem Modul 46 zur Erfassung biometrischer Merkmale, insbesondere passive Merkmale wie Fingerabdruck, Gesicht, Retina, Iris und Handgeometrie und/oder aktive Merkmale: Stimme und/oder Sprechverhalten sowie einer Tastatur zur Eingabe einer Zahlenkombination/eines PINs. Das Modul ist also ein Identifikationsmodul 46 zur Identifikation eines Nutzers des Geräts 10, 12. Das in 2 gezeigte Identifikationsmodul 46 ist ein Fingerabdruck-Scanner. Das Identifikationsmodul 46 weist eine Schnittstelle 48 auf, die mit einer weiteren Schnittstelle 50 des Informations- und/oder Datenverarbeitungsgeräts 12 datenübertragungstechnisch verbunden ist. Das Modul 46 zur Erfassung biometrischer Merkmale ist alternativ direkt in das Informations- und/oder Datenverarbeitungsgerät 12 und/oder in das hardwarebasierte Sicherheitsmodul 24 integriert.To make the procedure of authentication more secure, two-way authentication can optionally be performed. The 2 shows a corresponding system 42 , The optional additional release of the hardware-based security module 24 requires the implementation of a module 46 for detecting biometric features, in particular passive features such as fingerprint, face, retina, iris and hand geometry and / or active features: voice and / or speech behavior and a keyboard for entering a number combination / PIN. The module is thus an identification module 46 to identify a user of the device 10 . 12 , This in 2 shown identification module 46 is a fingerprint scanner. The identification module 46 has an interface 48 on that with another interface 50 of the information and / or data processing device 12 Data transmission technology is connected. The module 46 for detecting biometric features is alternatively directly into the information and / or data processing device 12 and / or the hardware-based security module 24 integrated.

Mobile und stationäre Geräte 10, 12, welche sich über eine Luftschnittstelle/hardwaregebundene Schnittstelle mit dem hardwarebasierten Sicherheitsmodul 24 verbinden können, können mit höchster Sicherheit in Netzwerke eingebunden werden. Der Austausch gesicherter Daten kann durch den Nutzer des hardwarebasierten Sicherheitsmoduls 24 auch in Gruppen erfolgen. Auf Basis einer Software (App) können andere Nutzer, welche gegebenenfalls auch ein hardwarebasiertes Sicherheitsmodul 24 verwenden, in eine Gruppe aufgenommen werden. Die Kommunikation kann im Funk- und Empfangsbereich des oder der hardwarebasierten Sicherheitsmodule 24 erfolgen. Ein entsprechendes Vorgehen ist beispielsweise aus dem Dokument EP 2 937 802 A bekannt. Im Gegensatz zu dem in diesem Dokument beschriebenen Ansatz müssen die mobilen Endgeräte 10 Zwecks sicherem Datenaustausch dabei aber nicht aufeinandergelegt werden.Mobile and stationary devices 10 . 12 which interface with the hardware-based security module via an air interface / hardware-bound interface 24 can connect to networks with the highest security. The exchange of saved data can be done by the user of the hardware-based security module 24 also done in groups. On the basis of a software (app) other users, which may also have a hardware-based security module 24 use, be included in a group. Communication can take place in the radio and reception area of the hardware-based security module (s) 24 respectively. A corresponding procedure is for example from the document EP 2 937 802 A known. Unlike the approach described in this document, mobile devices must 10 For the purpose of secure data exchange but not stacked.

Zusätzlich können die Nutzer des hardwarebasierte Sicherheitsmoduls 24 einer Gruppe sicheren Datenaustausch über das Netzwerk 16 vornehmen. Dabei spielt der Standort der Gruppenmitglieder keine Rolle, solange ein Netzwerkzugriff möglich ist.In addition, the users of the hardware-based security module can 24 a group secure data exchange over the network 16 make. The location of the group members does not matter, as long as network access is possible.

Durch die Funkanbindung des hardwarebasierte Sicherheitsmoduls 24 an das Informations- und/oder Datenverarbeitungsgerät 12 wird die Haptik des verwendeten mobilen und stationären Geräts 10, 12 nicht geändert. Der Nutzer merkt von dem hardwarebasierten Sicherheitsmodul 24 nichts, ist aber umfassend geschützt. Das hardwarebasierte Sicherheitsmodul 24 (HMD) kann man in der Tasche tragen oder in eine Uhr implementieren. Das Gerät 10, 12, bei welchem eine sichere Kommunikation und/oder ein sicherer Datentransfer, beispielsweise per Email, etc., durch das hardwarebasierte Sicherheitsmodul 24 ermöglicht wird, wird in seiner Form, Gewicht und Bedienung nicht verändert.Through the radio connection of the hardware-based security module 24 to the information and / or data processing device 12 becomes the haptic of the used mobile and stationary device 10 . 12 not changed. The user notices of the hardware-based security module 24 nothing, but is fully protected. The hardware-based security module 24 (HMD) can be carried in your pocket or implemented in a watch. The device 10 . 12 in which a secure communication and / or a secure data transfer, for example by email, etc., by the hardware-based security module 24 is not changed in its shape, weight and operation.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1010
mobiles Endgerätmobile terminal
1212
Informations- und/oder DatenverarbeitungsgerätInformation and / or data processing device
1414
Mobilfunkverbindungcellular Line
1616
Netzwerknetwork
1818
anderes Informations- und/oder Datenverarbeitungsgerätother information and / or data processing device
2020
LuftschnittstelleAir interface
2222
Schnittstelle (Gerät)Interface (device)
2424
hardwarebasiertes SicherheitsmodulHardware-based security module
2626
Rechenwerkcalculator
2828
Prozessoreinheitprocessor unit
3030
LuftschnittstelleAir interface
3232
Schnittstelleinterface
3434
Datenspeicherdata storage
36 36
kryptografischer Schlüsselcryptographic key
3838
mobiles Sicherheitsmodulmobile security module
4040
StromversorgungseinheitPower supply unit
4242
Systemsystem
4444
Gehäusecasing
4646
Identifikationsmodulidentification module
4848
Schnittstelleinterface
5050
Schnittstelleinterface

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • EP 2937802 A [0033]EP 2937802 A

Claims (9)

Hardwarebasiertes Sicherheitsmodul (24) zur Authentifizierung eines Informations- und/oder Datenverarbeitungsgeräts (12), insbesondere eines mobilen Endgeräts (10), gegenüber zumindest einem weiteren Informations- und/oder Datenverarbeitungsgerät (18), welches mit dem einen Informations- und/oder Datenverarbeitungsgerät (12), insbesondere über ein Netzwerk (16), datenübertragungstechnisch - drahtlos oder drahtgebunden - verbunden ist, mit - einem Rechenwerk (26) zur Durchführung von kryptografischen Operationen zur Authentifizierung des Informations- und/oder Datenverarbeitungsgeräts (12), - zumindest einer als Luftschnittstelle (30) ausgebildeten Schnittstelle (32) zur datenübertragungstechnischen Anbindung des hardwarebasierten Sicherheitsmoduls (24) an das Informations- und/oder Datenverarbeitungsgerät (12) und - einem Datenspeicher (34), der einen über diese zumindest eine Schnittstelle (32) unzugänglichen Speicherbereich zur Ablage zumindest eines kryptografischen Schlüssels (36) für die kryptografischen Operationen aufweist.Hardware-based security module (24) for authenticating an information and / or data processing device (12), in particular a mobile terminal (10), to at least one further information and / or data processing device (18) connected to the one information and / or data processing device (12), in particular via a network (16), data transmission technology - wireless or wired - connected, with an arithmetic unit (26) for carrying out cryptographic operations for authenticating the information and / or data processing device (12), - At least one formed as an air interface (30) interface (32) for data transmission connection of the hardware-based security module (24) to the information and / or data processing device (12) and - A data memory (34) having an inaccessible via this at least one interface (32) memory area for storing at least one cryptographic key (36) for the cryptographic operations. Sicherheitsmodul nach Anspruch 1, dadurch gekennzeichnet, dass das Rechenwerk (26) weiterhin zur Durchführung von kryptografischen Operationen zur Ver- und/oder Entschlüsselung von Daten bei der Datenübertragung zwischen dem Informations- und/oder Datenverarbeitungsgerät (12) und dem zumindest einen weiteren Informations- und/oder Datenverarbeitungsgerät eingerichtet ist.Security module after Claim 1 , characterized in that the calculating unit (26) further for performing cryptographic operations for encrypting and / or decrypting data in the data transmission between the information and / or data processing device (12) and the at least one further information and / or data processing device is set up. Sicherheitsmodul nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Luftschnittstelle (30) als Luftschnittstelle (30) für drahtlose Datenkommunikation und/oder für drahtlose Netzwerke, insbesondere auch drahtlose Sensornetzwerke, bevorzugt für - Bluetooth und/oder - WLAN und/oder - Nahfeldkommunikation und/oder - Zigbee und/oder - proprietäre Datenübertragungssysteme ausgebildet ist.Security module after Claim 1 or 2 , characterized in that the air interface (30) as an air interface (30) for wireless data communication and / or wireless networks, in particular wireless sensor networks, preferably for - Bluetooth and / or - WLAN and / or - Nahfeldkommunikation and / or - Zigbee and / or - proprietary data transmission systems is formed. Sicherheitsmodul nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das hardwarebasierte Sicherheitsmodul (24) als hardwarebasiertes mobiles Sicherheitsmodul (38) ausgebildet ist.Security module according to one of Claims 1 to 3 , characterized in that the hardware-based security module (24) is designed as a hardware-based mobile security module (38). Sicherheitsmodul nach Anspruch 4, dadurch gekennzeichnet, dass das mobile Sicherheitsmodul (38) eine eigene Stromversorgungeinheit (40), insbesondere einen Akkumulator, aufweist.Security module after Claim 4 , characterized in that the mobile security module (38) has its own power supply unit (40), in particular an accumulator. Sicherheitsmodul nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das es in einem vom Informations- und/oder Datenverarbeitungsgerät (12) separaten anderen Gerät integriert ist.Security module according to one of Claims 1 to 5 , characterized in that it is integrated in one of the information and / or data processing device (12) separate other device. System (42) mit einem Informations- und/oder Datenverarbeitungsgerät (12), insbesondere einem mobilen Endgerät (10), und einem hardwarebasierten Sicherheitsmodul (22) nach einem der Ansprüche 1 bis 6.System (42) with an information and / or data processing device (12), in particular a mobile terminal (10), and a hardware-based security module (22) according to one of Claims 1 to 6 , System nach Anspruch 7, gekennzeichnet durch ein Identifikationsmodul (46) zur Identifikation des Nutzers des Informations- und/oder Datenverarbeitungsgeräts (12).System after Claim 7 , characterized by an identification module (46) for identifying the user of the information and / or data processing device (12). Sicherheitssystem nach Anspruch 8, dadurch gekennzeichnet, dass das Identifikationsmodul (46) ein Modul zur Erfassung biometrischer Merkmale, insbesondere passive Merkmale wie Fingerabdruck, Gesicht, Retina, Iris und Handgeometrie und/oder ein Modul zur Erfassung aktive Merkmale: Stimme und/oder Sprechverhalten sowie einer Tastatur zur Eingabe einer Zahlenkombination/eines PINs ist.Security system after Claim 8 , characterized in that the identification module (46) comprises a module for detecting biometric features, in particular passive features such as fingerprint, face, retina, iris and hand geometry and / or a module for detecting active features: voice and / or speech behavior and a keyboard for input a number combination / PIN.
DE102017108129.1A 2017-04-13 2017-04-13 Hardware-based security module Withdrawn DE102017108129A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017108129.1A DE102017108129A1 (en) 2017-04-13 2017-04-13 Hardware-based security module

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017108129.1A DE102017108129A1 (en) 2017-04-13 2017-04-13 Hardware-based security module

Publications (1)

Publication Number Publication Date
DE102017108129A1 true DE102017108129A1 (en) 2018-10-18

Family

ID=63679061

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017108129.1A Withdrawn DE102017108129A1 (en) 2017-04-13 2017-04-13 Hardware-based security module

Country Status (1)

Country Link
DE (1) DE102017108129A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2937802A1 (en) 2014-04-25 2015-10-28 Samsung Electronics Co., Ltd Mobile device and method of sharing content
WO2016177667A1 (en) * 2015-05-01 2016-11-10 Assa Abloy Ab One-key vault
US20170055146A1 (en) * 2015-08-19 2017-02-23 Hajoon Ko User authentication and/or online payment using near wireless communication with a host computer

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2937802A1 (en) 2014-04-25 2015-10-28 Samsung Electronics Co., Ltd Mobile device and method of sharing content
WO2016177667A1 (en) * 2015-05-01 2016-11-10 Assa Abloy Ab One-key vault
US20170055146A1 (en) * 2015-08-19 2017-02-23 Hajoon Ko User authentication and/or online payment using near wireless communication with a host computer

Similar Documents

Publication Publication Date Title
EP3289508B1 (en) Method for generating an electronic signature
EP2443853B1 (en) Method for registration of a mobile device in a mobile network
EP2859705B1 (en) Authorising a user by means of a portable communications terminal
DE102012219618B4 (en) A method of creating a soft token, computer program product, and service computer system
EP3077952B1 (en) Method for accessing a data memory of a cloud computer system
EP2727277B1 (en) System and method for the secure transmission of data
EP3261011B1 (en) Method for reading attributes from an id token
EP3699791B1 (en) Access control with a mobile radio device
EP3245607B1 (en) Method for reading attributes from an id token
DE102013225016A1 (en) Method for accessing a data storage of a cloud computer system using a modified Domain Name System (DNS)
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
EP3198826B1 (en) Authentication stick
EP2716510A1 (en) Authentication system and method for a pool of vehicles
EP3321832B1 (en) Distribution for reading attributes from an id token
DE102017121648B3 (en) METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
DE112012007169T5 (en) Cable embedded active component
CN108713200A (en) For the method being loaded into the embedded-type security element of mobile terminal device will to be subscribed to
EP3556071B1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
DE102017108129A1 (en) Hardware-based security module
EP3289509B1 (en) Method for generating an electronic signature
EP3271855B1 (en) Method for generating a certificate for a security token
EP1915718B1 (en) Method for protecting the authentication of a portable data carrier relative to a reading device via an unsecure communications path
EP2434719A1 (en) Server and method for providing user information
DE102017128807A1 (en) Method and arrangement for triggering an electronic payment
EP3451263A1 (en) Security system for implementing an electronic application

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee