DE102018104178A1 - Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal - Google Patents

Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal Download PDF

Info

Publication number
DE102018104178A1
DE102018104178A1 DE102018104178.0A DE102018104178A DE102018104178A1 DE 102018104178 A1 DE102018104178 A1 DE 102018104178A1 DE 102018104178 A DE102018104178 A DE 102018104178A DE 102018104178 A1 DE102018104178 A1 DE 102018104178A1
Authority
DE
Germany
Prior art keywords
program
user
information
processing
hardware components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102018104178.0A
Other languages
English (en)
Inventor
Diana Filimon
Thilo Cestonaro
Jürgen Atzkern
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Client Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Client Computing Ltd filed Critical Fujitsu Client Computing Ltd
Priority to DE102018104178.0A priority Critical patent/DE102018104178A1/de
Priority to PCT/EP2019/052784 priority patent/WO2019162082A1/de
Publication of DE102018104178A1 publication Critical patent/DE102018104178A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/205Housing aspects of ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/209Monitoring, auditing or diagnose of functioning of ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader

Abstract

Die Erfindung betrifft ein Verfahren zum sicheren Zugriff auf Hardware-Komponenten (2, 3, 4, 5) innerhalb eines Benutzer-Terminals (1). Dabei sind eine oder mehrere abzusichernde Hardware-Komponenten (2, 3, 4, 5) vermittels einer ersten Programmschnittstelle (8) an ein Verarbeitungsprogramm (9) angebunden, wobei das Verarbeitungsprogramm (9) eine Verarbeitung von ersten Informationen durchführt, die von der oder den abzusichernden Hardware-Komponenten (2, 3, 4, 5) bereitgestellt werden. Ein Benutzerprogramm (11) ist vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden und tauscht mit dem Verarbeitungsprogramm (9) zweite Informationen aus. Die zweite Programmschnittstelle (10) unterscheidet sich von der ersten Programmschnittstelle (8). Ferner wird ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5) unterbunden.

Description

  • Die Erfindung betrifft ein Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie ein solches Benutzer-Terminal mit einer oder mehreren abzusichernden Hardware-Komponenten.
  • In Benutzer-Terminals muss aus Sicherheitsgründen ein Zugriff auf sicherheitsrelevante Hardware-Komponenten abgesichert beziehungsweise beschränkt werden. Ferner ist in Benutzer-Terminals, die zum Beispiel eine Benutzereingabe über ein berührungsempfindliches Display empfangen, während eines sicherheitsrelevanten Prozesses oder einer sicherheitsrelevanten Anwendung sicherzustellen, dass Informationen, die aus der Benutzereingabe resultieren, abgesichert bzw. ausschließlich einer vorbestimmten Anwendung beziehungsweise einem vorbestimmten Benutzerprogramm übergeben werden, ohne dass andere Anwendungen oder andere Benutzerprogramme, die während des Betriebes des Benutzer-Terminals laufen, derartige Informationen erhalten können. Derartige Aspekte sind insbesondere bei Benutzer-Terminals relevant, die sicherheitsrelevante Aufgaben erfüllen, zum Beispiel bei sogenannten elektronischen Bezahl-Terminals, die elektronische Bezahlvorgänge ermöglichen und in denen sicherheitsrelevante Informationen verarbeitet und zwischen den einzelnen Komponenten ausgetauscht werden.
  • Bisherige Lösungen von Benutzer-Terminals sehen vor, eine Authentifizierung von Benutzerprogrammen, die während des Betriebes des Benutzer-Terminals ablaufen, über Zertifikate abzusichern und zu prüfen. Eine solche Lösung ist zum Beispiel aus der Druckschrift US 9,715,600 B2 bekannt. Solche Lösungen haben jedoch den Nachteil, dass Benutzerprogramme trotz gültiger Sicherheitszertifikate unmittelbar Zugriff auf sicherheitsrelevante Hardware-Komponenten innerhalb des Benutzer-Terminals erlangen. Hierbei besteht die Gefahr, dass Benutzerprogramme die Hardware-Komponenten manipulieren oder ausnutzen, um an sicherheitsrelevante Informationen zu gelangen, die jedoch nicht für eine Verarbeitung innerhalb dieser Benutzerprogramme vorgesehen sind. Insbesondere bei multifunktionalen Benutzer-Terminals, auf denen verschiedenste Drittanbieter-Programme und Applikationen installiert werden können, kann ein Schutz über Sicherheitszertifikate unter Umständen unzureichend sein.
  • Es ist somit eine Aufgabe der vorliegenden Erfindung ein Verfahren sowie ein Benutzer-Terminal der eingangs genannten Art zu beschreiben, die einen verbesserten Zugriff auf abzusichernde Hardware-Komponenten innerhalb des Benutzer-Terminals erlauben.
  • Diese Aufgabe wird gemäß einem ersten Aspekt durch ein Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals gemäß Patentanspruch 1 gelöst. Weitergehende Merkmale und Implementierungen sind in den zugehörigen Unteransprüchen offenbart.
  • Bei diesem Verfahren sind eine oder mehrere abzusichernde Hardware-Komponenten des Benutzer-Terminals vermittels einer ersten Programmschnittstelle an ein Verarbeitungsprogramm abgebunden. Das Verarbeitungsprogramm führt eine Verarbeitung von ersten Informationen durch, die von der oder den abzusichernden Hardware-Komponenten weit gestellt und vermittels der ersten Programmschnittstelle an das Verarbeitungsprogramm übergeben werden.
  • Ferner ist ein Benutzerprogramm vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Das Benutzerprogramm tauscht mit dem Verarbeitungsprogramm zweite Informationen aus.
  • Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren abzusichernden Hardware-Komponenten wird dabei unterbunden.
  • Das vorliegende Verfahren ermöglicht auf diese Weise eine kategorische Verhinderung eines unmittelbaren Zugriffs eines Benutzerprogramms auf abzusichernde Hardware-Komponenten innerhalb des Benutzer-Terminals. Die abzusichernden Hardware-Komponenten sind diesbezüglich über die erste Programmschnittstelle durch das Verarbeitungsprogramm, nicht aber durch das Benutzerprogramm zugänglich. Das Benutzerprogramm, und vorteilhaft auch alle anderen im Benutzer-Terminal eingerichteten Benutzerprogramme, hat ausschließlich vermittels der zweiten Programmschnittstelle Zugriff auf das Verarbeitungsprogramm. Informationen, die zwischen den abzusichernden Hardware-Komponenten und dem Benutzerprogramm gemäß einer vorbestimmten Funktionalität des Benutzer-Terminals ausgetauscht werden sollen, werden zunächst über die erste Programmschnittstelle zwischen den abzusichernden Hardware-Komponenten und dem Verarbeitungsprogramm ausgetauscht und anschließend weitere Informationen vermittels der zweiten Programmschnittstelle zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm ausgetauscht. Die Verarbeitung derartiger Informationen durch das Benutzerprogramm ist somit auf die Verwendung der zweiten Programmschnittstelle beschränkt.
  • Ein entsprechender Informationsaustausch zwischen allen beteiligten Komponenten innerhalb des Benutzer-Terminals kann zum Beispiel über ein Software-Protokoll gesteuert werden, das einen entsprechenden (beschränkten) Zugriff auf die jeweiligen Programmschnittstellen steuert. Die Verwendung und ggf. Konfiguration der ersten beziehungsweise zweiten Programmschnittstellen kann vorteilhaft über vorgegebene Benutzerrechte, Zertifikate oder entsprechende Policies gesteuert werden.
  • Auf diese Weise ist ein sicherer Zugriff auf Hardware-Komponenten innerhalb des Benutzer-Terminals eingerichtet, wobei die oben erläuterten Gefahren und Nachteile herkömmlicher Lösungen weitestgehend unterbunden werden. Aufgrund der Auftrennung einer Zugriffskette zwischen dem Benutzerprogramm und den abzusichernden Hardware-Komponenten über verschiedene Programmschnittstellen unter Zwischenschaltung des Verarbeitungsprogramms, wird ein (manipulativer) Zugriff eines Benutzerprogramms auf abzusichernde Hardware-Komponenten unterbunden. Somit wird sichergestellt, dass gegebenenfalls unsichere Benutzerprogramme, zum Beispiel Programme von Drittanbietern, die auf dem Benutzer-Terminal installiert sind, keinen (manipulativen) Zugriff auf die abzusichernden Hardware-Komponenten erhalten. Damit kann verhindert werden, dass sicherheitsrelevante Informationen, die vermittels der Hardware-Komponenten verarbeitet werden, zum Beispiel personenbezogene Daten, PIN-Abfragen (PIN = Englisch: personal identification number), vertrauliche Informationen, und so weiter, von nicht berechtigten Benutzerprogrammen abgegriffen werden.
  • Wie oben erläutert, unterscheidet sich die zweite Programmschnittstelle von der ersten Programmschnittstelle. Die erste Programmschnittstelle ermöglicht den daran angebundenen Komponenten eine Interprozess-Kommunikation, die sich von einer Interprozess-Kommunikation unterscheidet, die die zweite Programmschnittstelle den daran angebunden Komponenten bereitstellt. Das kann bedeuten, dass vermittels der ersten Programmschnittstelle bestimmte Funktionsaufrufe, Befehle oder Anweisungen zwischen den daran angebundenen Komponenten ausgetauscht werden können, die vermittels der zweiten Programmschnittstelle lediglich eingeschränkt oder unter Umständen gar nicht erlaubt sind. Es ist auch denkbar, dass sich alternativ oder ergänzend die Funktionsaufrufe, Befehle oder Anweisungen, die durch die erste Programmschnittstelle bereitgestellt werden, von denjenigen unterscheiden, die die zweite Programmschnittstelle bereitstellt. Hier sind vielerlei Ausführungen möglich. Die erste und zweite Programmschnittstelle können beispielsweise vordefinierte Anwendungsprogramm-Schnittstellen (Englisch: Application Programm Interfaces, APIs) sein.
  • Vorteilhaft wird ein Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren abzusichernden Hardware-Komponenten dadurch unterbunden, dass eine Anbindung des Benutzerprogramms an die erste Programmschnittstelle beziehungsweise ein Zugriff des Benutzerprogramms auf die erste Programmschnittstelle vollständig unterbunden wird. In dieser Konstellation ist das Benutzerprogramm logisch unmittelbar getrennt von der ersten Programmschnittstelle. Das bedeutet, dass das Benutzerprogramm keinerlei Funktionsaufruf oder sonstige Anweisungen vermittels der ersten Programmschnittstelle durchführen kann. Es ist alternativ jedoch auch denkbar, dass das Benutzerprogramm zwar an die erste Programmschnittstelle logisch unmittelbar angebunden ist, die erste Programmschnittstelle jedoch in Bezug auf das Benutzerprogramm derart konfiguriert ist, dass ein Funktionsaufruf, ein Befehl oder eine Abfrage von Informationen der abzusichernden Hardware-Komponenten durch das Benutzerprogramm vermittels der ersten Programmschnittstelle unterbunden werden. Auch hier sind verschiedenste Implementierungen möglich.
  • In einer Implementierung des Verfahrens führt das Benutzerprogramm eine Verarbeitung der zweiten Informationen durch, die vom Verarbeitungsprogramm bereitgestellt und vermittels der zweiten Programmschnittstelle an das Benutzerprogramm übergeben werden. Die zweiten Informationen können dabei aus einer Verarbeitung der ersten Informationen (vermittels des Verarbeitungsprogramms oder einer anderen Komponente) resultieren. In dieser Implementierung des Verfahrens dient das Verarbeitungsprogramm zur Verarbeitung der ersten Informationen in die zweiten Informationen oder zumindest als Vermittler einer Verarbeitung der ersten Informationen in die zweiten Informationen. Das Verarbeitungsprogramm stellt dabei die zweiten Informationen vermittels der zweiten Programmschnittstelle dem Benutzerprogramm bereit. Das Benutzerprogramm führt eine weitere Verarbeitung der zweiten Informationen durch.
  • Auf diese Weise werden die ersten Informationen vermittels des Verarbeitungsprogramms und einer Auftrennung des Informationsaustausches über die ersten und zweiten Programmschnittstelle logisch getrennt von den zweiten Informationen, die an das Benutzerprogramm übergeben werden. Somit erhält das Benutzerprogramm ausschließlich Informationen, die zunächst vom Verarbeitungsprogramm verarbeitet oder zumindest kontrolliert worden sind. Dadurch wird verhindert, dass das Benutzerprogramm unmittelbar Zugriff auf die ersten Informationen erhält.
  • Eine Anwendung dieser Implementierung ist beispielsweise dadurch gegeben, dass die ersten Informationen personenbezogene oder ansonsten sicherheitsrelevante Informationen sind, die derart unter Zuhilfenahme des Verarbeitungsprogramms oder einer anderen durch das Verarbeitungsprogramm kontrollierten Komponente verarbeitet werden, dass das Benutzerprogramm lediglich einen vorbestimmten und gegebenenfalls dezidiert eingeschränkten Zugriff auf weitere Informationen erhält. Beispielsweise können die ersten Informationen vermittels des Verarbeitungsprogramms oder einer vom Verarbeitungsprogramm gesteuerten Komponente verschlüsselt werden, wobei das Benutzerprogramm lediglich die verschlüsselten Informationen erhält. Dadurch wird verhindert, dass nicht autorisierte Benutzerprogramme Zugriff auf Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Durch eine Vorverarbeitung der ersten Informationen, gesteuert durch das Verarbeitungsprogramm, kann somit ein Informationsfluss hin zu vorbestimmten Benutzerprogrammen anwendungs- und benutzerrechte-spezifisch kontrolliert werden. Ein unmittelbares Erlagen der ersten Informationen durch jegliche Benutzerprogramme innerhalb des Benutzer-Terminals wird, wie oben erläutert, durch eine Trennung zwischen der ersten und zweiten Programmschnittstelle unterbunden.
  • In einer Implementierung des Verfahrens wird die erste Programmschnittstelle innerhalb einer ersten Benutzerumgebung betrieben bzw. kontrolliert, während die zweite Programmschnittstelle innerhalb einer zweiten Benutzerumgebung betrieben bzw. kontrolliert wird. Die zweite Benutzerumgebung ist der ersten Benutzerumgebung derart hierarchisch untergeordnet, dass Benutzerrechte der zweiten Benutzerumgebung gegenüber Benutzerrechten der ersten Benutzerumgebung eingeschränkt sind. Die erste Benutzerumgebung kann beispielsweise eine sogenannte Root-Benutzerumgebung (root context) sein, während die zweite Benutzerumgebung eine Standardnutzer-Umgebung (user context) ist. Dadurch ist die Funktionalität der ersten Programmschnittstelle bestimmten Benutzerrechten der ersten Benutzerumgebung unterworfen, während die Funktionalität der zweiten Programmschnittstelle bestimmten Benutzerrechten der zweiten Benutzerumgebung unterworfen ist, die sich von den Benutzerrechten der ersten Benutzerumgebung unterscheiden.
  • Das Verfahren kann derart implementiert sein, dass die Benutzerrechte der zweiten Benutzerumgebung derart eingeschränkt sind, dass vorgegebene Funktionalitäten der zweiten Programmschnittstelle innerhalb der zweiten Benutzerumgebung lediglich verwendet werden können, jedoch innerhalb der zweiten Benutzerumgebung nicht geändert oder speziell konfiguriert werden können. Hierbei kann das Verfahren derart implementiert sein, dass die Funktionalitäten der zweiten Programmschnittstelle innerhalb der ersten Benutzerumgebung festgelegt werden. Alternativ kann das Verfahren derart implementiert sein, dass die Benutzerrechte der zweiten Benutzerumgebung eine Veränderung der Konfiguration der zweiten Programmschnittstelle erlauben.
  • Ein Zugriff auf bzw. eine Verwendung oder Konfiguration der ersten Programmschnittstelle unterliegt jedoch bei sämtlichen dieser Implementierungen ausschließlich der ersten Benutzerumgebung.
  • Es ist möglich, das Verfahren derart einzurichten, dass sowohl innerhalb der ersten Benutzerumgebung als auch innerhalb der zweiten Benutzerumgebung ein Zugriff auf die zweite Programmschnittstelle zugelassen wird. Das bedeutet, dass die zweite Programmschnittstelle von sämtlichen Programmen (hier konkret Benutzerprogramm und Verarbeitungsprogramm) mit entsprechenden Benutzerrechten gesteuert, benutzt oder kontrolliert werden kann. Die erste Programmschnittstelle kann dagegen nur von Programmen (zum Beispiel im hier vorliegenden Fall das Verarbeitungsprogramm und die Hardware-Komponenten) gesteuert, benutzt oder kontrolliert werden, die über entsprechende Benutzerrecht der ersten Benutzerumgebung verfügen.
  • Ergänzend können auch das Verarbeitungsprogramm sowie das Benutzerprogramm entsprechend durch getrennte Benutzerumgebungen kontrolliert werden. Dabei kann zum Beispiel das Verarbeitungsprogramm innerhalb der ersten Benutzerumgebung kontrolliert werden und das Benutzerprogramm innerhalb der zweiten Benutzerumgebung kontrolliert werden, wobei die zweite Benutzerumgebung gegenüber der ersten Benutzerumgebung in ihren Benutzerrechten eingeschränkt ist. Auf diese Weise sind Zugriff- und Steuerrechte des Benutzerprogramms gegenüber Zugriff- und Steuerrechten des Verarbeitungsprogramms eingeschränkt. Vorteilhaft erhalten sämtliche Benutzerprogramme, die während eines Betriebes des Benutzer-Terminals laufen, ausschließlich Benutzerrechte der zweiten Benutzerumgebung, während das Verarbeitungsprogramm dem gegenüber erweiterte Benutzerrechte, zum Beispiel der ersten Benutzerumgebung, erhalten kann.
  • In einer Implementierung des Verfahrens sind die eine oder mehreren abzusichernden Hardware-Komponenten des Benutzer-Terminals und/oder das Verarbeitungsprogramm vermittels der ersten Programmschnittstelle an ein Darstellungsprogramm angebunden. Das Darstellungsprogramm führt eine Verarbeitung von dritten Informationen zur Darstellung auf einem Display des Benutzer-Terminals durch. Die dritten Informationen werden zwischen dem Darstellungsprogramm und der oder den abzusichernden Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle ausgetauscht. Hinsichtlich einer Konfiguration des Darstellungsprogramms bezüglich der ersten Programmschnittstelle beziehungsweise bezüglich Benutzerrechten einer oben erläuterten ersten Benutzerumgebung können die gleichen Vorkehrungen gelten, wie sie in Bezug auf das Verarbeitungsprogramm oben erläutert worden sind. Das Darstellungsprogramm ist, wie die abzusichernden Hardware-Komponenten und das Verarbeitungsprogramm, an die erste Programmschnittstelle angebunden und dient zur Darstellung von dritten Informationen auf einem Display des Benutzer-Terminals. Die dritten Informationen können den ersten und/oder zweiten Informationen entsprechen, derartige Informationen enthalten oder sich von den ersten oder zweiten Informationen unterscheiden.
  • Das Darstellungsprogramm kann beispielsweise Hinweisdialoge, Nachrichten oder Benutzeraufforderungen auf einem Display, gegebenenfalls auf einem berührungsempfindlichen Display, darstellen, die einen Benutzer des Benutzer-Terminals zur Verwendung oder Funktonalität der Hardware-Komponenten anleiten. Beispielsweise kann das Darstellungsprogramm ein Dialogfeld im Display anzeigen, wonach der Benutzer des Benutzer-Terminals aufgefordert wird, eine bestimmte Eingabe an einer oder mehreren Hardware-Komponenten durchzuführen oder allgemein eine bestimmte Interaktion mit einer oder mehreren Hardware-Komponenten zu vollführen. Das Display kann dabei Teil der Gruppe der abzusichernden Hardware-Komponenten sein. Das Darstellungsprogramm kann beispielsweise ein sogenanntes Graphical User Interface (GUI) sein.
  • In einer Implementierung des Verfahrens ist das Benutzerprogramm vermittels der zweiten Programmschnittstelle an das Darstellungsprogramm angebunden. Dabei führt das Darstellungsprogramm eine Verarbeitung von vierten Informationen zur Darstellung auf dem Display des Benutzer-Terminals durch, wobei die vierten Informationen zwischen dem Darstellungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle ausgetauscht werden. Auf diese Weise kann das Benutzerprogramm vermittels der zweiten Programmschnittstelle, neben dem Verarbeitungsprogramm, auf das Darstellungsprogramm zugreifen, um bestimmte Informationen (vierte Informationen) mit dem Darstellungsprogramm auszutauschen. Beispielsweise kann das Benutzerprogramm bestimmte benutzerprogramm-spezifische Dialogfelder, Hinweise oder ähnliches des Darstellungsprogramms auf dem Display des Benutzer-Terminals zur Anzeige bringen. Allerdings gilt auch hier, wie bezüglich des Verarbeitungsprogramms, dass das Benutzerprogramm ausschließlich vermittels der zweiten Programmschnittstelle mit dem Darstellungsprogramm kommunizieren kann (eingeschränkte Interprozesskommunikation vermittels der zweiten Programmschnittstelle), ohne dass das Benutzerprogramm vermittels der ersten Programmschnittstelle Zugriff auf weitergehende Informationen oder Funktionalitäten hat, die das Darstellungsprogramm mit dem Verarbeitungsprogramm und/oder den abzusichernden Hardware-Komponenten über die erste Programmschnittstelle austauscht.
  • In diversen Implementierungen des Verfahrens wird während eines Austausches der zweiten Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle und/oder während eines Austausches der dritten Informationen zwischen dem Darstellungsprogramm und der oder dem abzusichernden Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle ein Austausch der vierten Informationen zwischen dem Darstellungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle unterbunden. Das bedeutet, dass währenddessen das Benutzerprogramm keinen Zugriff auf das Darstellungsprogramm vermittels der zweiten Programmschnittstelle hat. In diesem Fall erfolgt lediglich eine Informationsübertragung zwischen dem Darstellungsprogramm und den abzusichernden Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle oder ein Austausch von Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle.
  • Beispielsweise kann dadurch verhindert werden, dass das Benutzerprogramm einen manipulativen Zugriff auf das Darstellungsprogramm erhält, wenn sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die (in dieser Form) nicht für das Benutzerprogramm bestimmt sind. Weiterhin kann auf diese Weise verhindert werden, dass sonstige Benutzerprogramme manipulativen Zugriff auf das Darstellungsprogramm und/oder das Verarbeitungsprogramm erhalten, während entsprechende sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die nicht für die weiteren Benutzerprogramme bestimmt sind. Auf diese Weise kann zum Beispiel verhindert werden, dass Benutzerprogramme von Drittanbietern Funktionen oder Befehle der zweiten Programmschnittstelle aufrufen können, während sensible Informationen im Benutzer-Terminal verarbeitet werden, die nicht für diese Drittanbieter-Benutzerprogramme bestimmt sind.
  • In diversen Implementierungen des Verfahrens umfasst das Benutzer-Terminal mehrere der abzusichernden Hardware-Komponenten, wobei die abzusichernden Hardware-Komponenten ein Verschlüsselungsmodul und ein berührungsempfindliches Display und/oder ein Karten-Lesegeräte umfassen. Die ersten Informationen werden dabei aus einer am berührungsempfindlichen Display registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät des Benutzer-Terminals gewonnen. Die so gewonnenen ersten Informationen werden vermittels des Verschlüsselungsmoduls verschlüsselt. Anschließend werden Informationen, die die verschlüsselten ersten Informationen umfassen, als die zweiten Informationen vom Verarbeitungsprogramm an das Benutzerprogramm übergeben.
  • Diese Implementierungen des Verfahrens können beispielsweise zur Verarbeitung eines Benutzerpasswortes, wie zum Beispiel einer PIN, verwendet werden. Dabei ist beispielsweise möglich, dass ein Benutzer zunächst eine Benutzerkarte am Karten-Lesegerät vorhalten muss, wobei Kartendaten der Benutzerkarte durch das Karten-Lesegerät gelesen werden, und anschließend ein Benutzerpasswort, wie zum Beispiel seine Benutzer-PIN, am berührungsempfindlichen Display des Benutzer-Terminals eingeben muss. Alternativ können auch Implementierungen vorgesehen sein, bei denen ausschließlich eine Benutzerkarte gelesen wird oder ausschließlich eine Benutzer-PIN-Eingabe erforderlich ist. Hier sind verschiedene Möglichkeiten denkbar.
  • Anschließend werden die so gewonnenen Informationen (Benutzer-PIN und/oder Kartendaten) über das Verschlüsselungsmodul, das Teil der abzusichernden Hardware-Komponenten ist, verschlüsselt. Das Verfahren kann derart implementiert sein, dass das Verschlüsselungsmodul durch das Verarbeitungsprogramm kontrolliert beziehungsweise gesteuert wird oder das Verarbeitungsprogramm bestimmte Daten an das Verschlüsselungsmodul zu deren Verarbeitung übergibt. Zum Beispiel kann das Verarbeitungsprogramm dem Verschlüsselungsmodul einen bestimmten Schlüssel zum Verschlüsseln der so gewonnenen Informationen übergeben. Alternativ kann das Verfahren derart implementiert sein, dass ein entsprechender Schlüssel innerhalb des Verschlüsselungsmoduls hinterlegt ist und das Verschlüsselungsmodul lediglich die zu verschlüsselnden Informationen vom Verarbeitungsprogramm mitgeteilt bekommt. Das Verschlüsselungsmodul kann beispielsweise ein Kryptoprozessor sein. Nach Verschlüsselung der verschlüsselnden Informationen werden die verschlüsselten Informationen vermittels der ersten Programmschnittstelle vom Verschlüsselungsmodul, vermittels des Verarbeitungsprogramms und über die zweite Programmschnittstelle an ein hierfür bestimmtes Benutzerprogramm des Benutzer-Terminals übergeben.
  • Das Benutzerprogramm kann beispielsweise ein dezidiertes Drittanbieter-Programm sein, für das die verschlüsselten Informationen zur weiteren Verarbeitung bestimmt sind. Auf diese Weise wird verhindert, dass dieses Benutzerprogramm sonstige Benutzerprogramme manipulativen unmittelbaren Zugriff auf die über die abzusichernden Hardware-Komponenten verarbeiteten Informationen erhalten. Ferner wird verhindert, dass Drittanbieter-Benutzerprogramme Zugriff auf verarbeitete Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise kann das Verarbeitungsprogramm steuern, welches Benutzerprogramm welche Informationen erhält. Bestimmte Applikationen können auf diese Weise durch das Verarbeitungsprogramm kontrolliert werden, wobei eine logische Trennung des Informationsflusses zwischen den abzusichernden Hardware-Komponenten und den jeweiligen Anwendungsprogrammen vermittels der Trennung der ersten und zweiten Programmschnittstelle erfolgt.
  • In diversen Implementierungen wird das Verfahren während eines elektronischen Bezahlvorgangs des Benutzer-Terminals durchgeführt. Der elektronische Bezahlvorgang kann beispielsweise dadurch ablaufen, dass ein Benutzer eine elektronische Bankkarte am Karten-Lesegeräte des Benutzer-Terminals einlesen lässt, wobei vermittels des Darstellungsprogramms bestimmte Anweisungen, Dialogfelder oder Ähnliches an einem Display angezeigt werden. Beispielsweise kann gesteuert durch das Verarbeitungsprogramm vermittels der ersten Programmschnittstelle und gesteuert durch das Darstellungsprogramm nach Einlesen und Verifizieren von Kartendaten der elektronischen Bankkarte ein Dialogfeld auf dem Display angezeigt werden, das den Benutzer zur Eingabe einer Benutzer-PIN auffordert. Der Benutzer kann daraufhin eine Benutzer-PIN am Benutzer-Terminal eingeben. Hierfür kann ein vom Display separates Eingabefeld vorgesehen sein. Alternativ kann das Display berührungsempfindlich eingerichtet sein, sodass der Benutzer unmittelbar am Display eine Eingabe vornehmen kann. Die Eingabedaten werden über das Display beziehungsweise das Eingabefeld registriert und dem Verarbeitungsprogramm übergeben. Dies geschieht ebenfalls über die erste Programmschnittstelle. Zusätzlich kann dieser Prozess durch entsprechende Hinweise, Nachrichten oder Dialogfelder gesteuert durch das Darstellungsprogramm auf dem Display unterstützt werden. Auch dies geschieht über eine Interprozess-Kommunikation zwischen den beteiligten Komponenten vermittels der ersten Programmschnittstelle.
  • Die auf diese Weise gewonnenen Informationen können gesteuert durch das Verarbeitungsprogramm unter Zuhilfenahme des Verschlüsselungsmoduls verschlüsselt werden. Ein entsprechender Informationsaustausch zwischen den beteiligten Komponenten erfolgt ebenfalls vermittels der ersten Programmschnittstelle. Nach Verschlüsselung der entsprechenden Informationen werden diese über das Verarbeitungsprogramm und die zweite Programmschnittstelle schließlich an ein dezidiertes Benutzerprogramm des Benutzer-Terminals übergeben, wobei das Benutzerprogramm beispielsweise ein Bezahlprogramm eines Zahlungsdienstleisters ist, dessen entsprechende Applikation auf dem Benutzer-Terminal installiert ist. Dieses Benutzerprogramm erhält somit gesteuert durch das Verarbeitungsprogramm vermittels der zweiten Programmschnittstelle dezidiert bestimmte Informationen und kann diese innerhalb des Benutzerprogramms weiter verarbeiten. Beispielsweise können bestimmte personenbezogene Daten des Benutzers vom Benutzerproramm an einen entfernten Authentifizierungs-Server einer Bank versendet werden, um den Benutzer zu authentifizieren und für den Bezahlvorgang freizugeben. Der Vorteil eines derartig gesteuerten Bezahlvorgangs vermittels des hier erläuterten Verfahrens besteht darin, dass unsichere Benutzerprogramme keinen unmittelbaren Zugriff auf abzusichernde Hardware-Komponenten erhalten. Ferner wird verhindert, dass Informationen an Benutzerprogramme weitergegeben werden, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise wird ein sicherer Zugriff auf abzusichernde Hardware-Komponenten des Benutzer-Terminals gewährleistet und ein manipulativer Zugriff auf sensible Informationen durch nichtautorisierte Benutzerprogramme unterbunden.
  • Gemäß einem zweiten Aspekt wird die obige Aufgabe durch ein Benutzer-Terminal gemäß dem nebengeordneten Patentanspruch 10 gelöst. Vorteilhafte Ausführungsformen sind in den zugehörigen Unteransprüchen offenbart. Das Benutzer-Terminal weist eine oder mehrere abzusichernde Hardware-Komponenten, ein Verarbeitungsprogramm und ein Benutzerprogramm auf. Die eine oder mehreren abzusichernden Hardware-Komponenten sind vermittels einer ersten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Das Benutzerprogramm ist vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Das Benutzer-Terminal ist derart konfiguriert, dass ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren abzusichernden Hardware-Komponenten unterbunden ist. Auch in Bezug auf ein derartiges Benutzer-Terminal gelten die im Zusammenhang mit dem obigen Verfahren erläuterten Vorteile analog.
  • In diversen Ausführungsformen umfasst das Benutzer-Terminal mehrere der abzusichernden Hardware-Komponenten, wobei die abzusichernden Hardware-Komponenten ein Verschlüsselungsmodul und ein berührungsempfindliches Display und/oder ein Karten-Lesegerät umfassen. Das Verschlüsselungsmodul ist eingerichtet, erste Informationen, die aus einer am berührungsempfindlichen Display registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät gewonnen werden, zu verschlüsseln und die verschlüsselten ersten Informationen vermittels der ersten Programmschnittstelle dem Verarbeitungsprogramm zu übergeben. Das Verarbeitungsprogramm ist eingerichtet, Informationen, die die verschlüsselten ersten Informationen umfassen, vermittels der zweiten Programmschnittstelle an das Benutzerprogramm zu übergeben.
  • Das Benutzer-Terminal ist vorteilhaft ein elektronisches Bezahl-Terminal, wobei das Benutzerprogramm zur Abwicklung eines elektronischen Bezahlvorgangs eingerichtet ist. Auch hier gelten die obigen Erläuterungen analog.
  • Sämtliche hier dargestellten Implementierungen, Merkmale und Aspekte des oben erläuterten Verfahrens finden in strukturellen Merkmalen des Benutzer-Terminals Niederschlag und umgekehrt.
  • Die vorliegende Erfindung wird anhand eines Ausführungsbeispiels unter Zuhilfenahme einer Zeichnung nachfolgend näher erläutert.
  • Die Figur zeigt ein Benutzer-Terminal 1, in dem ein Benutzerprogramm 11, ein Verarbeitungsprogramm 9 und ein Darstellungsprogramm 13 installiert sind und bei Betrieb des Benutzer-Terminals 1 ablaufen. Neben dem Benutzerprogramm 11 können ein oder mehrere weitere Benutzerprogramme 12 installiert sein. Die Benutzerprogramme 11 beziehungsweise 12 können beispielsweise bestimmte Drittanbieter-Programme oder Softwareapplikationen sein, die von (oder für) Drittanbieter(n) auf dem Benutzer-Terminal 1 installiert sind und vorbestimmte Funktionalitäten für Benutzer zur Verfügung stellen. Auf diese Weise kann ein multifunktionales Benutzer-Terminal 1 realisiert werden.
  • Das Benutzerprogramm 11 ist beispielsweise ein Bezahlprogramm eines Zahlungsdienstleisters, wie zum Beispiel einer Bank, zur Abwicklung eines elektronischen Bezahlvorgangs. Das Bezahlprogramm 11 umfasst bestimmte Funktionalitäten beziehungsweise Funktionen oder Funktionsblöcke 16, die die Funktionalität des Benutzerprogramms 11 vorgeben. Die Funktionsblöcke 16 können Funktionen für den elektronischen Zahlungsverkehr, z.B. einen sogenannten EMVCo Stack, und oder ein Netzwerk-Framework, z.B. ein sogenanntes Agnos-Framework, umfassen.
  • Das Verarbeitungsprogramm 9 (z.B. als „gpiDBus“ bezeichnet) umfasst bestimmte Funktionsblöcke 14, die zur Funktionalität des Verarbeitungsprogramms 9 eingerichtet sind. Beispielsweise können die Funktionsblöcke 14 bestimmte aufzurufende Programmfunktionen zur Verarbeitung von Daten und Informationen innerhalb des Verarbeitungsprogramms 9 umfassen. Diese können z.B. auf PIN bezogene (PIN related), auf Karten bezogene (card related) oder auf Verschlüsselung bezogene (crypto related) Programmfunktionen sein.
  • Das Darstellungsprogramm 13 umfasst bestimmte Funktionsblöcke 15, die über das Darstellungsprogramm 13 verarbeitet werden können. Beispielsweise ist das Darstellungsprogramm 13 ein GUI, wobei die Funktionsblöcke 15 bestimmte Dialogfelder, Nachrichten oder sonstige Anweisungen zur Darstellung auf einem Display des Benutzer-Terminals 1 umfassen. Diese können z.B. Dialoge der Form „showButtonDlg“, „showImageDlg“, „showMessageDlg“, „showAmount“, „showListDlg“, „EnterPINDlg“ usw. sein.
  • Neben den erläuterten Programmen weist das Benutzer-Terminal 1 vorbestimmte Hardware-Komponenten 2 bis 7 auf. Die Hardware-Komponenten 2, 3, 4 und 5 stellen dabei speziell abzusichernde Hardware-Komponenten dar. Diese umfassen Hardware-Komponenten zur Erfassung beziehungsweise Verarbeitung von zu schützenden Informationen, wie zum Beispiel personenbezogene Daten, Benutzerpasswörter, oder ähnliches. Die abzusichernden Hardware-Komponenten 2, 3, 4 und 5 umfassen einen Kartenleser 2, beispielsweise einen Smartcard-Leser, ein Display 3, beispielsweise ein berührungsempfindliches Display, ein Verschlüsselungsmodul 4, beispielsweise einen sogenannten Kryptoprozessor, und ein weiteres Lesegerät 5, das beispielsweise als Magnetstreifenleser eingerichtet ist.
  • Die weiteren Hardware-Komponenten 6 und 7 können beispielsweise Anzeigeelemente, Bedienelemente oder weitere Erfassungselemente, wie zum Beispiel Scanner und so weiter, umfassen. Die Scanner können beispielsweise einen Handvenen-Scanner oder einen Dokumenten-Scanner umfassen.
  • Das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 sowie die abzusichernden Hardware-Komponenten 2, 3, 4 und 5 sind über eine erste Programmschnittstelle 8 (z.B. als „DBusSession“ bezeichnet) miteinander gekoppelt. Über die erste Programmschnittstelle 8 können diese Komponenten untereinander Informationen austauschen. Ein Austausch kann über ein vorbestimmtes Software-Protokoll erfolgen, das die erste Programmschnittstelle 8 steuert.
  • Dagegen ist das Benutzerprogramm 11 und ggf. auch weitere Benutzerprogramme 12 über eine zweite Programmschnittstelle 10 (z.B. als „DBusSystem“ bezeichnet) sowohl an das Verarbeitungsprogramm 9 als auch an das Darstellungsprogramm 13 angebunden. Auf diese Weise erhält das Benutzerprogramm 11 Zugriff auf das Verarbeitungsprogramm 9 beziehungsweise das Darstellungsprogramm 13, nicht jedoch unmittelbaren Zugriff auf die abzusichernden Hardware-Komponenten 2, 3, 4 und 5 vermittels der ersten Programmschnittstelle 8. Vielmehr ist die erste Programmschnittstelle 8 logisch derart von der zweiten Programmschnittstelle 10 getrennt, dass ein unmittelbarer Aufruf von Funktionen, Befehlen oder ein Erhalten von Informationen durch das Benutzerprogramm 11 von den abzusichernden Hardware-Komponenten 2 bis 5 unterbunden wird. Die beiden Programmschnittstellen 8 und 10 sind z.B. APIs.
  • Im Benutzer-Terminal 1 sind unterschiedlicher Benutzerumgebungen 17 und 18 eingerichtet. Diese Benutzerumgebungen 17, 18 definieren unterschiedliche Benutzerrechte hinsichtlich einer Konfiguration beziehungsweise eines Zugriffs auf die erste beziehungsweise zweite Programmschnittstelle 8 und 10 beziehungsweise auf die einzelnen Programme, insbesondere das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 und das Benutzerprogramm 11 beziehungsweise 12. Die erste Benutzerumgebung 17 ist beispielsweise eine sogenannte Root-Benutzerumgebung, während die zweite Benutzerumgebung 18 eine Standardnutzer-Umgebung ist. Eine entsprechende logische Zugriffstrennung bzw. spezielle Absicherung ist in der Figur durch eine senkrechte gestrichelte Linie durch das Benutzer-Terminal 1 bzw. durch dunkle Balken an den Komponenten 2, 3, 4, 5 und 8 angedeutet. Dadurch soll symbolisiert werden, dass die Benutzerprogramme 11 und 12 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der zweiten Programmschnittstelle 10 innerhalb der zweiten Benutzerumgebung 18 eingerichtet sind, während das Verarbeitungsprogramm 9 und das Darstellungsprogramm 13 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der ersten Programmschnittstelle 8 beziehungsweise ein Zugriff auf die abzusichernden Hardware-Komponenten 2 bis 5 innerhalb der ersten Benutzerumgebung 17 eingerichtet sind. Die weiteren Hardware-Komponenten 6 und 7 können derart „offen“ eingerichtet sein, dass diese unmittelbar von den Benutzerprogrammen 11 und 12 innerhalb der zweiten Benutzerumgebung 18 angesteuert werden können.
  • Aufgrund einer derartigen Implementierung des Benutzer-Terminals 1 ist ein sicherer Zugriff auf die abzusichernden Hardware-Komponenten 2 bis 5 während eines programmatischen Ablaufs einer bestimmten Funktionalität des Benutzer-Terminals 1 möglich.
  • Das Benutzer-Terminal 1 wird beispielsweise für einen elektronischen Bezahlvorgang verwendet. Der Bezahlvorgang wird durch das Benutzerprogramm 11 initiiert beziehungsweise ausgelöst und ein entsprechender Funktionsaufruf vermittels der zweiten Programmschnittstelle 10 in das Verarbeitungsprogramm 9 und/oder in das Darstellungsprogramm 13 durchgeführt. Hierbei kann beispielsweise ein bestimmtes Dialogfeld über das Darstellungsprogramm 13 auf dem Display 3 des Benutzer-Terminals 1 einen Benutzer dargestellt werden. Das Verarbeitungsprogramm 9 steuert vermittels der ersten Programmschnittstelle 8 beispielsweise den Kartenleser 2 oder 5 an und löst gesteuert durch das Darstellungsprogramm 13 und die erste Programmschnittstelle 8 eine Darstellung eines Hinweisdialoges auf dem Display 3 aus, durch den der Benutzer aufgefordert wird, eine bestimmte Benutzereingabe durchzuführen. Dies kann beispielsweise eine Eingabe einer Benutzer-PIN umfassen. Der Benutzer kann zum Beispiel über das berührungsempfindliche Display 3 eine Benutzer-PIN am Display 3 eingeben, wobei diese Information über die erste Programmschnittstelle 8 an das Verarbeitungsprogramm 9 weitergegeben wird. Gegebenenfalls kann in diesem Zusammenhang auch gesteuert über das Darstellungsprogramm 13 ein bestimmter Hinweisdialog oder eine bestimmte Nachricht am Display 3 ausgegeben werden.
  • Die vom Kartenleser 2 beziehungsweise 5 oder über das Display 3 gewonnenen Informationen (Kartendaten einer Benutzerkarte und/oder Benutzer-PIN) können vom Verarbeitungsprogramm 9 weiter verarbeitet werden. Hierzu kann das Verarbeitungsprogramm 9 beispielsweise die Informationen dem Verschlüsselungsmodul 4 übergeben, das die Informationen über einen vorgegebenen Schlüssel verschlüsselt. Der Schlüssel kann im Verschlüsselungsmodul 4 vorhinterlegt sein oder dem Verschlüsselungsmodul 4 vom Verarbeitungsprogramm 9 übergeben werden. Alternativ können die erfassten Informationen direkt von den entsprechenden Hardware-Komponenten 2, 3 und 5 über die erste Programmschnittstelle 8 den Verschlüsselungsmodul 4 übergeben werden, ohne zuvor in das Verarbeitungsprogramm 9 zu gelangen. Hier sind verschiedene Implementierungen möglich.
  • Die über das Verschlüsselungsmodul 4 verschlüsselten Informationen werden über die erste Programmschnittstelle 8 dem Verarbeitungsprogramm 9 übergeben. Das Verarbeitungsproramm 9 kann diese Informationen schließlich über die zweite Programmschnittstelle 10 dem Benutzerprogramm 11 zur Verfügung stellen. Innerhalb des Benutzerprogramms 11 können die so übergebenen Informationen weiter verarbeitet werden. Beispielsweise kann eine Benutzer-PIN derart weiter verarbeitet werden, dass sie in verschlüsselter Form an einen entfernt liegenden Authentifizierungs-Server übergeben wird.
  • Vorteilhaft wird während des Austausches der erläuterten Informationen zwischen den Hardware-Komponenten 2 bis 5 und dem Verarbeitungsprogramm 9 beziehungsweise dem Darstellungsprogramm 13 vermittels der ersten Programmschnittstelle 8 ein Aufruf von Funktionalitäten durch das Benutzerprogramm 11 vermittels der zweiten Programmschnittstelle 10 in Richtung des Verarbeitungsprogramms 9 beziehungsweise in Richtung des Darstellungsprogramms 13 unterbunden. Auch die weiteren Benutzerprogramme 12 können in einem entsprechenden Funktionsaufruf in das Verarbeitungsprogramm 9 beziehungsweise in das Darstellungsprogramm 13 vermittels der zweiten Programmschnittstelle 10 gehemmt sein. Dies hat den Vorteil, dass kein manipulativer Zugriff auf das Verarbeitungsprogramm 9 beziehungsweise das Darstellungsprogramm 13 durch eines der Benutzerprogramme 11, 12 möglich ist, während sensible Informationen zwischen den abzusichernden Hardware-Komponenten 2 bis 5 und den Programmen 9 und 13 vermittels der ersten Programmschnittstelle 8 ausgetauscht werden.
  • Das erläuterte Benutzer-Terminal 1 ermöglicht auf diese Weise eine Absicherung der Hardware-Komponenten 2 bis 5, durch die sensible Informationen verarbeitet oder erfasst werden. Benutzerprogramme 11 und 12 innerhalb der Standardnutzer-Umgebung 18 haben auf diese Weise keinerlei Zugriffsmöglichkeit auf die abzusichernden Hardware-Komponenten 2 bis 5 vermittels der ersten Programmschnittstelle 8, sodass die über die Hardware-Komponenten 2 bis 5 erfassten Informationen nicht unmittelbar von den Benutzerprogrammen 11 und 12 abgerufen werden können. Auch wird eine Manipulation der Hardware-Komponenten 2 bis 5 über die Benutzerprogramme 11 und 12 auf diese Weise verhindert. Ein Informationsaustausch zwischen den Hardware-Komponenten 2 bis 5 und den Benutzerprogrammen 11 beziehungsweise 12 erfolgt dennoch gesteuert über das Verarbeitungsprogramm 9 vermittels einer Informationsübertragung zwischen der ersten Programmschnittstelle 8 und der zweiten Programmschnittstelle 10. Ein derartiger Informationsaustausch kann beispielsweise über ein Softwareprotokoll gesteuert werden. Das Verarbeitungsprogramm 9 kann dabei bestimmte Informationen, die von den Hardware-Komponenten 2 bis 5 erfasst werden, weiter verarbeiten, bevor das Verarbeitungsprogramm 9 vermittels der zweiten Programmschnittstelle 10 die verarbeiteten Informationen an die Benutzerprogramme 11 beziehungsweise 12 weitergibt. Auf diese Weise kann sichergestellt werden, dass entsprechende Informationen lediglich an diejenigen Benutzerprogramme 11 beziehungsweise 12 weitergegeben werden, für die diese Informationen bestimmt sind.
  • Die dargestellte Ausführungsform ist lediglich beispielhaft gewählt.
  • Bezugszeichenliste
    • 1
    Benutzer-Terminal
    2
    Kartenleser
    3
    Display
    4
    Verschlüsselungsmodul
    5
    Magnetstreifenleser
    6
    Anzeigeelement/Scanner/Bedienelement
    7
    Anzeigeelement/Scanner/Bedienelement
    8
    erste Programmschnittstelle
    9
    Verarbeitungsprogramm
    10
    zweite Programmschnittstelle
    11
    Benutzerprogramm
    12
    Benutzerprogramm
    13
    Darstellungsprogramm
    14
    Funktionsblöcke im Verarbeitungsprogramm
    15
    Funktionsblöcke im Darstellungsprogramm
    16
    Funktionsblöcke im Benutzerprogramm
    17
    erste Benutzerumgebung
    18
    zweite Benutzerumgebung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 9715600 B2 [0003]

Claims (12)

  1. Verfahren zum sicheren Zugriff auf Hardware-Komponenten (2, 3, 4, 5) innerhalb eines Benutzer-Terminals (1), - wobei eine oder mehrere abzusichernde Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) vermittels einer ersten Programmschnittstelle (8) an ein Verarbeitungsprogramm (9) angebunden sind, wobei das Verarbeitungsprogramm (9) eine Verarbeitung von ersten Informationen durchführt, die von der oder den abzusichernden Hardware-Komponenten (2, 3, 4, 5) bereitgestellt und vermittels der ersten Programmschnittstelle (8) an das Verarbeitungsprogramm (9) übergeben werden, - wobei ein Benutzerprogramm (11) vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden ist und mit dem Verarbeitungsprogramm (9) zweite Informationen austauscht, - wobei sich die zweite Programmschnittstelle (10) von der ersten Programmschnittstelle (8) unterscheidet, und - wobei ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5) unterbunden wird.
  2. Verfahren nach Anspruch 1, wobei eine Anbindung des Benutzerprogramms (11) an die erste Programmschnittstelle (8) oder ein Zugriff des Benutzerprogramms (11) auf die erste Programmschnittstelle (8) unterbunden werden.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Benutzerprogramm (11) eine Verarbeitung der zweiten Informationen durchführt, die vom Verarbeitungsprogramm (9) bereitgestellt und vermittels der zweiten Programmschnittstelle (10) an das Benutzerprogramm (11) übergeben werden, und wobei die zweiten Informationen aus einer Verarbeitung der ersten Informationen resultieren.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei die erste Programmschnittstelle (8) innerhalb einer ersten Benutzerumgebung (17) kontrolliert wird und die zweite Programmschnittstelle (10) innerhalb einer zweiten Benutzerumgebung (18) kontrolliert wird, und wobei die zweite Benutzerumgebung (18) der ersten Benutzerumgebung (17) derart hierarchisch untergeordnet ist, dass Benutzerrechte der zweiten Benutzerumgebung (18) gegenüber Benutzerrechten der ersten Benutzerumgebung (17) eingeschränkt sind.
  5. Verfahren nach einem der Ansprüche 1 bis 4, - wobei die eine oder mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) und/oder das Verarbeitungsprogramm (9) vermittels der ersten Programmschnittstelle (8) an ein Darstellungsprogramm (13) angebunden sind, - wobei das Darstellungsprogramm (13) eine Verarbeitung von dritten Informationen zur Darstellung auf einem Display (3) des Benutzer-Terminals (1) durchführt und - wobei die dritten Informationen zwischen dem Darstellungsprogramm (13) und der oder den abzusichernden Hardware-Komponenten (2, 3, 4, 5) beziehungsweise dem Verarbeitungsprogramm (9) vermittels der ersten Programmschnittstelle (8) ausgetauscht werden.
  6. Verfahren nach Anspruch 5, - wobei das Benutzerprogramm (11) vermittels der zweiten Programmschnittstelle (10) an das Darstellungsprogramm (13) angebunden ist, - wobei das Darstellungsprogramm (13) eine Verarbeitung von vierten Informationen zur Darstellung auf dem Display (3) des Benutzer-Terminals (1) durchführt und - wobei die vierten Informationen zwischen dem Darstellungsprogramm (13) und dem Benutzerprogramm (11) vermittels der zweiten Programmschnittstelle (10) ausgetauscht werden.
  7. Verfahren nach Anspruch 6, wobei während eines Austausches der zweiten Informationen zwischen dem Verarbeitungsprogramm (9) und dem Benutzerprogramm (11) vermittels der zweiten Programmschnittstelle (10) und/oder während eines Austausches der dritten Informationen zwischen dem Darstellungsprogramm (13) und der oder den abzusichernden Hardware-Komponenten (2, 3, 4, 5) beziehungsweise dem Verarbeitungsprogramm (9) vermittels der ersten Programmschnittstelle (8) ein Austausch der vierten Informationen zwischen dem Darstellungsprogramm (13) und dem Benutzerprogramm (11) vermittels der zweiten Programmschnittstelle (10) unterbunden wird.
  8. Verfahren nach einem der Ansprüche 1 bis 7, - wobei das Benutzer-Terminal (1) mehrere der abzusichernden Hardware-Komponenten (2, 3, 4, 5) umfasst und die abzusichernden Hardware-Komponenten (2, 3, 4, 5) ein Verschlüsselungsmodul (4) und ein berührungsempfindliches Display (3) und/oder ein Karten-Lesegerät (2, 5) umfassen, - wobei die ersten Informationen aus einer am berührungsempfindlichen Display (3) registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät (2, 5) gewonnen werden, - wobei die so gewonnenen ersten Informationen vermittels des Verschlüsselungsmoduls (4) verschlüsselt werden, und - wobei Informationen, die die verschlüsselten ersten Informationen umfassen, als die zweiten Informationen vom Verarbeitungsprogramm (9) an das Benutzerprogramm (11) übergeben werden.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei das Verfahren während eines elektronischen Bezahlvorgangs des Benutzer-Terminals (1) durchgeführt wird.
  10. Benutzer-Terminal (1) mit einer oder mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5), einem Verarbeitungsprogramm (9) und einem Benutzerprogramm (11), wobei die eine oder mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5) vermittels einer ersten Programmschnittstelle (8) an das Verarbeitungsprogramm (9) angebunden sind, und wobei das Benutzerprogramm (11) vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden ist, wobei sich die zweite Programmschnittstelle (10) von der ersten Programmschnittstelle (8) unterscheidet, und - wobei das Benutzer-Terminal (1) derart konfiguriert ist, dass ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren abzusichernden Hardware-Komponenten (2, 3, 4, 5) unterbunden ist.
  11. Benutzer-Terminal (1) nach Anspruch 10, wobei das Benutzer-Terminal (1) mehrere der abzusichernden Hardware-Komponenten (2, 3, 4, 5) umfasst und die abzusichernden Hardware-Komponenten (2, 3, 4, 5) ein Verschlüsselungsmodul (4) und ein berührungsempfindliches Display (3) und/oder ein Karten-Lesegerät (2, 5) umfassen, wobei das Verschlüsselungsmodul (4) eingerichtet ist, erste Informationen, die aus einer am berührungsempfindlichen Display (3) registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät (2, 5) gewonnen werden, zu verschlüsseln und die verschlüsselten ersten Informationen vermittels der ersten Programmschnittstelle (8) dem Verarbeitungsprogramm (9) zu übergeben, wobei das Verarbeitungsprogramm (9) eingerichtet ist, Informationen, die die verschlüsselten ersten Informationen umfassen, vermittels der zweiten Programmschnittstelle (10) an das Benutzerprogramm (11) zu übergeben.
  12. Benutzer-Terminal (1) nach Anspruch 10 oder 11, wobei das Benutzer-Terminal (1) ein elektronisches Bezahl-Terminal ist und das Benutzerprogramm (11) zur Abwicklung eines elektronischen Bezahlvorgangs eingerichtet ist.
DE102018104178.0A 2018-02-23 2018-02-23 Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal Ceased DE102018104178A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018104178.0A DE102018104178A1 (de) 2018-02-23 2018-02-23 Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
PCT/EP2019/052784 WO2019162082A1 (de) 2018-02-23 2019-02-05 Verfahren zum sicheren zugriff auf hardware-komponenten innerhalb eines benutzer-terminals sowie derartiges benutzer-terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018104178.0A DE102018104178A1 (de) 2018-02-23 2018-02-23 Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal

Publications (1)

Publication Number Publication Date
DE102018104178A1 true DE102018104178A1 (de) 2019-08-29

Family

ID=65324369

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018104178.0A Ceased DE102018104178A1 (de) 2018-02-23 2018-02-23 Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal

Country Status (2)

Country Link
DE (1) DE102018104178A1 (de)
WO (1) WO2019162082A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19906134A1 (de) * 1999-02-13 2000-08-31 Bernd Bruegge Anbindung eines ressourcenbeschränkten, prozessorbasierten Systems an einen Mechanismus zur Signalisierung von Nachrichten
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
US20050039052A1 (en) * 2002-01-11 2005-02-17 O'donnell James Ease of use transaction terminal
DE102011051461A1 (de) * 2011-06-30 2013-01-03 Wincor Nixdorf International Gmbh Verfahren und System zur sicheren Identifizierung für das Durchführen einer Transaktion an einem Selbstbedienungs-Terminal
US9715600B2 (en) * 2012-11-29 2017-07-25 Gilbarco Inc. Fuel dispenser user interface system architecture

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8915447B2 (en) * 2007-09-12 2014-12-23 Devicefidelity, Inc. Amplifying radio frequency signals
WO2014045236A2 (en) * 2012-09-21 2014-03-27 Visa International Service Association A dynamic object tag and systems and methods relating thereto
US9495544B2 (en) * 2013-06-27 2016-11-15 Visa International Service Association Secure data transmission and verification with untrusted computing devices
WO2016069775A1 (en) * 2014-10-29 2016-05-06 Clover Network, Inc. Secure extensible point of sale platform

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19906134A1 (de) * 1999-02-13 2000-08-31 Bernd Bruegge Anbindung eines ressourcenbeschränkten, prozessorbasierten Systems an einen Mechanismus zur Signalisierung von Nachrichten
US20050039052A1 (en) * 2002-01-11 2005-02-17 O'donnell James Ease of use transaction terminal
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
DE102011051461A1 (de) * 2011-06-30 2013-01-03 Wincor Nixdorf International Gmbh Verfahren und System zur sicheren Identifizierung für das Durchführen einer Transaktion an einem Selbstbedienungs-Terminal
US9715600B2 (en) * 2012-11-29 2017-07-25 Gilbarco Inc. Fuel dispenser user interface system architecture

Also Published As

Publication number Publication date
WO2019162082A1 (de) 2019-08-29

Similar Documents

Publication Publication Date Title
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
EP2454704B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2137664B1 (de) Verfahren zur erzeugung bestätigter transaktionsdaten und vorrichtung dazu
DE102007019541A1 (de) Verfahren und System zum Authentifizieren eines Benutzers
EP3748521B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2332313A2 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE112011103580T5 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE102006048797A1 (de) Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers
DE112013002396T5 (de) Anwendungsprogrammausführungsgerät
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
EP1240569A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
DE19703970B4 (de) Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form
DE102018104178A1 (de) Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
EP2169579B1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
EP3298526B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102018104184A1 (de) Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
EP2893483B1 (de) Verfahren zur personalisierung eines secure elements (se) und computersystem
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
EP3283999B1 (de) Elektronisches system zur erzeugung eines zertifikats
DE10006062C2 (de) Tastaturschlüssel
WO2019091722A1 (de) Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system
DE102005044953A1 (de) Tragbare Verschlüsselungsvorrichtung für Finanz-Transferaktionen und Verfahren unter deren Verwendung
EP1460510B1 (de) Verfahren zur sicheren Kommunikation zwischen einer Datenverarbeitungsanlage und einer Sicherheitseinrichtung
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

R016 Response to examination communication
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final