DE19737696A1 - Computer data access protection system - Google Patents

Computer data access protection system

Info

Publication number
DE19737696A1
DE19737696A1 DE1997137696 DE19737696A DE19737696A1 DE 19737696 A1 DE19737696 A1 DE 19737696A1 DE 1997137696 DE1997137696 DE 1997137696 DE 19737696 A DE19737696 A DE 19737696A DE 19737696 A1 DE19737696 A1 DE 19737696A1
Authority
DE
Germany
Prior art keywords
access
control unit
access control
computer
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE1997137696
Other languages
German (de)
Inventor
Torsten Karschulin
Stefan Rieber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Germany GmbH
Original Assignee
Orga Kartensysteme GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orga Kartensysteme GmbH filed Critical Orga Kartensysteme GmbH
Priority to DE1997137696 priority Critical patent/DE19737696A1/en
Publication of DE19737696A1 publication Critical patent/DE19737696A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

The access protection system uses an access control device (5) incorporated in the computer (1), which is linked to a card reader (13), for communication with an inserted chip card (14). The access control device has a control processor (6) providing an opening signal for the computer peripherals (8,10,12) when the access authorization is verified and a blocking signal when the access authorization is denied. An Independent claim is also included for a data access protection method.

Description

Die Erfindung betrifft ein Zugangsschutzsystem für Datenver­ arbeitungsanlagen mit mindestens einem Computer, der minde­ stens einen Mikroprozessor, einen Arbeitsspeicher und einen Massenspeicher aufweist, wobei der Mikroprozessor mit minde­ stens einer Peripherieeinheit (Tastatur, Bildschirm, Maus) als Eingabe- und/oder Ausgabeeinheit verbindbar ist.The invention relates to an access protection system for data processing work systems with at least one computer that has at least at least one microprocessor, one working memory and one Has mass storage, the microprocessor with min At least one peripheral unit (keyboard, screen, mouse) is connectable as an input and / or output unit.

Aus der DE 195 24 773 A1 ist ein Zugangsschutzsystem für ei­ nen Massenspeicher bekannt, das eine in dem Massenspeicher integrierte Steuerungselektronik umfaßt, die bei Vorliegen einer ordnungsgemäßen Identifizierung mittels einer Chipkarte den Massenspeicher freischaltet. Erst nach dieser Freischal­ tung wird eine Kommunikation zwischen dem Massenspeicher und einer Rechnereinheit eines Computers ermöglicht. Nachteilig an diesem bekannten Zugangsschutzsystem ist, daß der Massen­ speicher eine entsprechende zugangsschutzspezifischen Konfi­ guration aufweisen muß. Ein handelsüblicher Massenspeicher ist nicht verwendbar.DE 195 24 773 A1 describes an access protection system for egg NEN mass storage is known, the one in the mass storage integrated control electronics that are present proper identification using a chip card unlocked the mass storage. Only after this free scarf communication between the mass storage and allows a computing unit of a computer. Disadvantageous of this known access protection system is that of the masses save a corresponding access protection-specific confi guration must have. A commercial mass storage cannot be used.

Aufgabe der Erfindung ist es daher, ein Zugangsschutzsystem derart auszubilden, daß ein wirksamer Zugangsschutz für han­ delsübliche Computer ermöglicht wird.The object of the invention is therefore an access protection system to be trained in such a way that effective access protection for han standard computer is enabled.

Zur Lösung dieser Aufgabe ist die Erfindung dadurch gekenn­ zeichnet, daß dem Computer eine Zugangskontrolleinheit zuge­ ordnet ist, die zum einen mit einem Kartenlesegerät in Ver­ bindung steht zur Kommunikation mit einer in das Kartenlese­ gerät steckbaren Chipkarte und zum anderen direkt mit Schnittstellen mindestens einer Peripherieeinheit in Verbin­ dung steht, und daß die Zugangskontrolleinheit einen Kon­ trollprozessor aufweist, so daß bei Vorliegen einer Zugangs­ berechtigung ein Öffnungssignal von der Zugangskontrollein­ heit an die Peripherieeinheit abgebbar und bei Nichtvorliegen einer Zugangsberechtigung ein Sperrsignal von der Zugangskon­ trolleinheit an die Peripherieeinheit abgebbar ist.To achieve this object, the invention is characterized records that the computer has an access control unit is arranged, on the one hand with a card reader in Ver  Binding means communication with a card reader pluggable chip card and the other with Interfaces of at least one peripheral unit in connection dung stands, and that the access control unit a Kon has troll processor so that when there is access authorization an opening signal from the access control unit can be sent to the peripheral unit and if it is not present an access authorization a blocking signal from the access con troll unit is deliverable to the peripheral unit.

Der Vorteil der Erfindung besteht insbesondere darin, daß durch die Zugangkontrolleinheit ein zuverlässiger Zugangs­ schutz von Computern, insbesondere von Arbeitsplatzrechnern oder Personal Computern, vor unberechtigten Benutzern erzielt wird. Der Grundgedanke der Erfindung ist, das Zugangsschutz­ system derart auszugestalten, daß der Zugangsschutz unabhän­ gig von der Computerkonfiguration und des Betriebssystems er­ folgt. Dazu weist die Zugangskontrolleinheit einen Kontroll­ prozessor auf, der in Abhängigkeit von zugangsspezifischen Informationen mindestens eine Peripherieeinheit einschaltet oder sperrt. Ist eine Peripherieeinheit gesperrt, kann der Computer nicht betrieben werden.The advantage of the invention is in particular that reliable access through the access control unit protection of computers, in particular workstations or personal computers, in front of unauthorized users becomes. The basic idea of the invention is access protection system in such a way that access protection is independent gig of the computer configuration and the operating system follows. For this purpose, the access control unit assigns a control processor based on access-specific Information switches on at least one peripheral unit or locks. If a peripheral unit is locked, the Computers are not operated.

Nach einer Weiterbildung der Erfindung ist die Zugangskon­ trolleinheit als Steckkarte in den Computer integriert, so daß auf einfache Weise jeder Computer mit dem Zugangsschutz­ system nachgerüstet werden kann.According to a development of the invention, the access control troll unit integrated into the computer as a plug-in card, see above that easily any computer with access protection system can be retrofitted.

Ferner betrifft die Erfindung ein Verfahren zum Schutz einer Datenverarbeitungsanlage vor unberechtigtem Zugang eines Be­ nutzers. The invention further relates to a method for protecting a Data processing system before unauthorized access by a Be user.  

Bekannt ist es aus der DE 195 24 773 A1, daß zur Ermöglichung eines zuverlässigen Zugangsschutzes eine Chipkarte verwendet wird, auf der ein Code gespeichert ist, und daß ein ordnungs­ gemäßer Zugang erst eintritt, wenn die Chipkarte identifi­ ziert und authentifiziert ist. Nachteilig hieran ist, daß die Identifizierung bzw. Authentisierung zwischen der Chipkarte und dem Massenspeicher erfolgt, so daß der Massenspeicher ei­ ne entsprechende Konfiguration aufweisen muß.It is known from DE 195 24 773 A1 that to enable a reliable access protection uses a chip card on which a code is stored and that an order Appropriate access only occurs when the chip card identifi is graced and authenticated. The disadvantage of this is that the Identification or authentication between the chip card and the mass storage takes place, so that the mass storage egg ne must have the appropriate configuration.

Aufgabe der Erfindung ist es, ein Verfahren zum Schutz einer Datenverarbeitungsanlage anzugeben, das einen zugangssicheren Betrieb eines handelsüblichen Computers gewährleistet.The object of the invention is a method for protecting a Specify data processing system that is an access-secure Operation of a commercially available computer guaranteed.

Zur Lösung dieser Aufgabe ist die Erfindung dadurch gekenn­ zeichnet, daß die Identität einer in einem Kartenlesegerät eingesteckten Chipkarte von einer Zugangskontrolleinheit, die einen Kontrollprozessor aufweist, überprüft wird und an­ schließend eine Authentisierung der Chipkarte durch die Zu­ gangskontrolleinheit durchgeführt wird, daß die Zugangskon­ trolleinheit nach erfolgreicher Identifizierung bzw. Authen­ fizierung ein Öffnungssignal an mindestens eine Schnittstelle einer Peripherieeinheit abgibt, so daß eine Rechnereinheit des Computers mit derjenigen Peripherieeinheit kommunizieren kann, und daß die Zugangskontrolleinheit nach mißlungener Identifizierung bzw. Authentizierung ein Sperrsignal an min­ destens eine Schnittstelle der Peripherieeinheit abgibt, so daß die Rechnereinheit des Computers mit der Peripherieein­ heit nicht kommunizieren kann.To achieve this object, the invention is characterized records that the identity one in a card reader inserted chip card from an access control unit, the has a control processor, is checked and on then an authentication of the chip card by the Zu gang control unit is carried out that the access control trolling unit after successful identification or authentication an opening signal to at least one interface issues a peripheral unit, so that a computer unit of the computer communicate with that peripheral unit can, and that the access control unit after failed Identification or authentication of a blocking signal to min issues an interface of the peripheral unit, so that the computer unit of the computer with the periphery cannot communicate.

Vorteilhaft wird durch das erfindungsgemäße Verfahren ein Zu­ gangsschutz für Computer verwirklicht, der unter Umgehung des den Computer steuernden Mikroprozessors und der Speicherein­ heiten des Computers einen direkten Zugriff auf die zum Be­ treiben des Computers erforderlichen Peripherieeinheiten er­ möglicht. Eine Manipulation von Daten wird wirksam vermieden. Durch die Identifizierung bzw. Authentifizierung mittels Ver­ schlüsselungen wird gewährleistet, daß ausschließlich eine befugte Bedienperson den Computer betreiben kann.A method is advantageous through the method according to the invention gangs protection for computers realized, bypassing the  the computer controlling microprocessor and the memory units of the computer have direct access to the drive the computer required peripherals possible. Manipulation of data is effectively avoided. By identifying or authenticating using Ver Keying ensures that only one authorized operator can operate the computer.

Weitere Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen.Further advantages of the invention result from the others Subclaims.

Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnung näher beschrieben.An embodiment of the invention is described below the drawing described in more detail.

Es zeigen:Show it:

Fig. 1 ein Blockschaltbild eines Zugangsschutzsystems für einen Computer, Fig. 1 is a block diagram of an access control system for a computer,

Fig. 2 ein Flußablaufdiagramm eines in der Zugangskontrol­ leinheit implementierten Programms und Fig. 2 is a flowchart of a program implemented in the access control unit and

Fig. 3 ein zeitliches Schema des Identifizierungs- bzw. des Authentisierungsverlaufs. Fig. 3 is a timing diagram of the identification or authentication process.

In Fig. 1 ist schematisch ein Computer 1 dargestellt. Der Com­ puter 1 besteht aus einer einen Mikroprozessor 2 aufweisenden Steuereinheit 3, einer Speichereinheit 4 sowie einer Zugangs­ kontrolleinheit 5. Die Zugangskontrolleinheit 5 ist als Steckkarte ausgebildet, die nachträglich in den Computer 1 eingesetzt werden kann. Der Computer 1 ist als Personal Com­ puter ausgebildet und kann als Einzelplatzrechner oder als vernetzter Rechner betrieben werden.A computer 1 is shown schematically in FIG. 1. The computer 1 consists of a control unit 3 having a microprocessor 2 , a storage unit 4 and an access control unit 5 . The access control unit 5 is designed as a plug-in card, which can be inserted into the computer 1 afterwards. The computer 1 is designed as a personal computer and can be operated as a single-user computer or as a networked computer.

Die Zugangskontrolleinheit 5 weist einen Kontrollprozessor 6 auf, der in einen Mikrocontroller integriert sein kann. In­ folgedessen kann die Zugangskontrolleinheit 5 selbständig und betriebssystemunabhängig ihre Steuerungsaufgaben durchführen. Die Zugangskontrolleinheit 5 ist jeweils über Schnittstellen direkt mit Peripherieeinheiten des Computers 1 verbunden. Über eine erste Schnittstelle, nämlich eine I/O-Karte 7 ist die Zugangskontrolleinheit 5 mit einer Maus 8, über eine VGA- Karte 9 mit einem Bildschirm 10 und über eine Grundplatte 11 mit einer Tastatur 12 verbunden. In Abhängigkeit von dem Kom­ munikationsergebnis der mit einer in einem Kartenlesegerät 13 einsteckbaren Chipkarte 14 kommunizierenden Zugangskontrol­ leinheit 5 werden die Peripherieeinheiten 8, 10, 12 gesperrt oder durchgeschaltet.The access control unit 5 has a control processor 6 , which can be integrated in a microcontroller. As a result, the access control unit 5 can carry out its control tasks independently and independently of the operating system. The access control unit 5 is in each case connected directly to peripheral units of the computer 1 via interfaces. The access control unit 5 is connected to a mouse 8 via a first interface, namely an I / O card 7 , to a screen 10 via a VGA card 9 and to a keyboard 12 via a base plate 11 . Depending on the communication result of the communication with an insertable in a card reader 13 chip card 14 communicating access control unit 5 , the peripheral units 8 , 10 , 12 are blocked or switched through.

Zu diesem Zweck weist die Zugangskontrolleinheit 5 in einem Speicher ein Zugangskontroll-Programm (ZKP) auf, das verein­ facht in Fig. 2 dargestellt ist. In einem ersten Programm­ schritt 15 wird das Zugangskontroll-Programm (ZKP) initiali­ siert. In einem zweiten Schritt 16 erfolgt eine Abfrage, ob eine Anfrage einer Computer-Applikation vorliegt. Liegt eine solche vor, erfolgt in einem weiteren Schritt 17 ein Daten­ austausch zwischen der Zugangskontrolleinheit 5 und dem Mi­ kroprozessor 2 des Computers 1, wobei benutzerabhängige bzw. chipkartenrelevante Zugangsdaten in einen nicht dargestellten EEPROM-Speicher der Zugangskontrolleinheit 5 eingelesen wer­ den. Liegt keine Anfrage einer Computer-Applikation vor, wird direkt zum Programmschritt 18 gesprungen, in dem der Status des Kartenlesegeräts 13 abgefragt wird. Hat sich der Status nicht geändert, wird an den Anfang des Programmschritts 16 zurückgesprungen. Hat sich der Status geändert, erfolgt in einem weiteren Schritt 19 die Abfrage, ob die Chipkarte 14 in dem Kartenlesegerät 13 eingesteckt ist. Ist die Chipkarte 14 nicht mit dem Kartenlesegerät 13 elektrisch verbunden, gibt die Zugangskontrolleinheit 5 ein Sperrsignal 25 an die Peri­ pherieeinheiten 8, 10, 12 ab, so daß ein Betrieb des Compu­ ters 1 nicht erfolgen kann. Ist die Chipkarte 14 mit dem Kar­ tenlesegerät 13 elektrisch verbunden, erfolgt in einem weite­ ren Schritt 20 die Überprüfung der Identität und der Authen­ tität der Chipkarte 14, wie dies näher in Fig. 3 dargestellt ist. In Abhängigkeit von dem Ergebnis dieser Identifizierung und Authentifizierung steht fest, ob der Zugang des Benutzers an den Computer 1 berechtigt ist, so daß bei festgestellter Berechtigung von der Zugangskontrolleinheit 5 ein Öffnungs­ signal 24 an die Peripherieeinheiten 8, 10, 12 abgegeben wird. Die Peripherieeinheiten 8, 10, 12 sind nun freigeschal­ tet, so daß der Computer 1 in Betrieb genommen werden kann. Verläuft der Authentifizierungschritt 20 negativ, spricht das Programm an den Anfang des Programmschrittes 16 zurück. Die­ ses Zugangskontroll-Programm ZKP wird in regelmäßigen Abstän­ den durchlaufen, damit möglichst schnell auf Änderungen des Kartenlesegeräts 13 (Chipkarte 14 steckt oder steckt nicht) und auf Anfragen einer Computer-Applikation reagiert werden kann.For this purpose, the access control unit 5 has an access control program (ZKP) in a memory, which is shown in simplified form in FIG. 2. In a first program step 15 , the access control program (ZKP) is initialized. In a second step 16 there is a query as to whether there is a query from a computer application. If such is present, a data exchange takes place in a further step 17 between the access control unit 5 and the microprocessor 2 of the computer 1 , user-dependent or chip card-relevant access data being read into an EEPROM memory (not shown) of the access control unit 5 . If there is no request from a computer application, the program jumps directly to program step 18 , in which the status of the card reader 13 is queried. If the status has not changed, the program jumps back to the beginning of program step 16 . If the status has changed, a query is carried out in a further step 19 as to whether the chip card 14 is inserted in the card reader 13 . If the chip card 14 is not electrically connected to the card reader 13 , the access control unit 5 issues a blocking signal 25 to the peripheral units 8 , 10 , 12 , so that operation of the computer 1 cannot take place. If the chip card 14 is electrically connected to the card reader 13 , the identity and authenticity of the chip card 14 is checked in a further step 20 , as is shown in more detail in FIG. 3. Depending on the result of this identification and authentication, it is clear whether the user's access to the computer 1 is authorized, so that when the authorization is determined, the access control unit 5 issues an opening signal 24 to the peripheral units 8 , 10 , 12 . The peripheral units 8 , 10 , 12 are now unlocked, so that the computer 1 can be put into operation. If authentication step 20 is negative, the program returns to the beginning of program step 16 . This access control program ZKP is run at regular intervals so that changes to the card reader 13 (chip card 14 is or is not inserted) and requests from a computer application can be responded to as quickly as possible.

Der Ablauf des Identifizierungs- und Authentisierungsvorgangs eines Benutzers gegenüber der Zugangskontrolleinheit 5 ist schematisch in Fig. 3 dargestellt. Der Benutzer muß sich zu Beginn der Aufnahme der Tätigkeit am Computer 1 gegenüber der Chipkarte 14 identifizieren. Dies geschieht in einem ersten Schritt 21 durch Eingabe seiner PIN (Personal Identification Number) in das Kartenlesegerät 13, so daß er als authorisier­ ter Benutzer identifiziert ist. Anschließend erfolgt in einem Identifizierungsschritt 22 die Identifizierung des Benutzers gegenüber der Zugangskontrolleinheit 5 durch ein eindeutiges Merkmal auf der Chipkarte 14. Danach erfolgt in einem Authen­ tisierungsschritt 23 die Authentisierung, wobei die Zugangs­ kontrolleinheit 5 mittels eines Challenge-Response-Protokolls die Identität der Chipkarte 14 überprüft. Die einer erfolg­ reichen Authentisierung gibt die Zugangskontrolleinheit 5 das Öffnungssignal 24 ab, so daß die Peripherieeinheiten 8, 10, 12 so lange freigegeben werden, bis der Benutzer durch Ent­ fernen der Chipkarte 14 signalisiert, daß er den Computer 1 nicht länger benötigt. Zu diesem Zweck gibt die Zugangskon­ trolleinheit 5 dann das Sperrsignal 25 ab, so daß alle beste­ henden Verbindungen zu den Peripherieeinheiten 8, 10, 12 ab­ gebrochen werden und eine weitere Benutzung des Computers 1 ausgeschlossen ist.The sequence of the identification and authentication process of a user with respect to the access control unit 5 is shown schematically in FIG. 3. The user must identify himself to the chip card 14 at the start of the activity on the computer 1 . This is done in a first step 21 by entering his PIN (Personal Identification Number) in the card reader 13 so that he is identified as an authorized user. The user is then identified in an identification step 22 with respect to the access control unit 5 by means of a unique feature on the chip card 14 . The authentication then takes place in an authentication step 23 , the access control unit 5 checking the identity of the chip card 14 by means of a challenge-response protocol. Successful authentication gives the access control unit 5 the opening signal 24 , so that the peripheral units 8 , 10 , 12 are released until the user signals by removing the chip card 14 that he no longer needs the computer 1 . For this purpose, the access control unit 5 then releases the blocking signal 25 , so that all existing connections to the peripheral units 8 , 10 , 12 are broken off and further use of the computer 1 is excluded.

Wie aus Fig. 1 ersichtlich, ist die Zugangskontrolleinheit 5 mit Applikationen 26 des Computers 1 verbunden. Diese umfas­ sen ein Zugangsauffrisch-Programm, das die benutzer- und/oder rechnerspezifischen Zugangsdaten bereitstellt und ggf. an die Zugangskontrolleinheit 5 sendet. Die Kommunikation zwischen dem Zugangsauffrisch-Programm und der Zugangskontrolleinheit 5 läuft folgendermaßen ab.As can be seen from FIG. 1, the access control unit 5 is connected to applications 26 of the computer 1 . These include an access refresh program which provides the user and / or computer-specific access data and, if necessary, sends it to the access control unit 5 . The communication between the access refresh program and the access control unit 5 takes place as follows.

Zuerst fragt das Zugangsauffrisch-Programm bei der Zugangs­ kontrolleinheit 5 die Rechnerkennung und die Versionsnummer der Zugangsdaten ab. Anschließend holt sie unter Verwendung der Rechnerkennung die aktuellen Zugangsdaten aus einem Zu­ gangsdatenspeicher, der zentral im Computer 1 angeordnet ist. Nach Vergleich der aktuellen mit den von der Zugangskontrol­ leinheit 5 gelesenen Zugangsdaten und Feststellen des Nicht­ übereinstimmens werden die aktuellen Zugangsdaten aufberei­ tet, wobei Kontrollinformationen hinzugefügt werden und eine Verschlüsselung der Daten erfolgt. Dann werden die Zugangsda­ ten an die Zugangskontrolleinheit 5 gesendet. Nachdem diese aktuellen Zugangsdaten geprüft und deren Korrektheit aner­ kannt worden sind, werden die bisherigen Zugangsdaten durch die aktuellen Zugangsdaten ersetzt. Abschließend erfolgt eine Bestätigung der Übernahme an das Zugangsauffrisch-Programm Auf diese Weise kann jederzeit die Zugangskontrolle auf einen Computer in Abhängigkeit beispielsweise von der Anzahl der Benutzer neu eingestellt werden. Dadurch, daß der Auffrisch­ vorgang innerhalb des Computers 1 und zudem verschlüsselt er­ folgt, kann eine Manipulation weitgehend ausgeschlossen wer­ den.First, the access refresh program queries the access control unit 5 for the computer identification and the version number of the access data. Then, using the computer identifier, it retrieves the current access data from an access data memory, which is arranged centrally in the computer 1 . After comparison of the current access data read by the access control unit 5 and determination of the mismatch, the current access data are prepared, control information being added and the data being encrypted. Then the access data is sent to the access control unit 5 . After these current access data have been checked and their correctness has been recognized, the previous access data are replaced by the current access data. Finally, the transfer to the access refresh program is confirmed. In this way, access control to a computer can be reset at any time depending on, for example, the number of users. The fact that the refresh process within the computer 1 and also encrypted it follows, manipulation can be largely excluded who the.

Claims (8)

1. Zugangsschutzsystem für Datenverarbeitungsanlagen mit mindestens einem Computer (1), der mindestens einen Mikropro­ zessor, einen Arbeitsspeicher und einen Massenspeicher auf­ weist, wobei der Mikroprozessor mit mindestens einer Periphe­ rieeinheit (Maus 8, Bildschirm 10, Tastatur 12) als Eingabe- und/oder Ausgabeeinheit verbindbar ist, dadurch gekennzeich­ net,
  • - daß dem Computer (1) eine Zugangskontrolleinheit (5) zu­ geordnet ist, die zum einen mit einem Kartenlesegerät (13) in Verbindung steht zur Kommunikation mit einer in das Kartenlesegerät (13) steckbaren Chipkarte (14) und zum anderen direkt mit Schnittstellen mindestens einer Peripherieeinheit (8, 10, 12) in Verbindung steht,
  • - daß die Zugangskontrolleinheit (5) einen Kontrollprozes­ sor (6) aufweist, so daß bei Vorliegen einer Zugangsbe­ rechtigung ein Öffnungssignal (24) von der Zugangskon­ trolleinheit (5) an die Peripherieeinheit (8, 10, 12) abgebbar und bei Nichtvorliegen einer Zugangsberechti­ gung ein Sperrsignal (25) von der Zugangskontrolleinheit (5) an die Peripherieeinheit (8, 10, 12) abgebbar ist.
1. Access protection system for data processing systems with at least one computer ( 1 ) having at least one microprocessor, a working memory and a mass storage device, the microprocessor having at least one peripheral unit (mouse 8 , screen 10 , keyboard 12 ) as an input and / or output unit can be connected, characterized in that
  • - That the computer ( 1 ) is assigned an access control unit ( 5 ) which, on the one hand, is connected to a card reader ( 13 ) for communication with a chip card ( 14 ) which can be plugged into the card reader ( 13 ) and, at least, directly with interfaces a peripheral unit ( 8 , 10 , 12 ) is connected,
  • - That the access control unit ( 5 ) has a control processor ( 6 ), so that in the presence of an access authorization an opening signal ( 24 ) from the access control unit ( 5 ) to the peripheral unit ( 8 , 10 , 12 ) can be emitted and in the absence of an access authorization supply a blocking signal ( 25 ) from the access control unit ( 5 ) to the peripheral unit ( 8 , 10 , 12 ) can be emitted.
2. Zugangsschutzsystem nach Anspruch 1, dadurch gekenn­ zeichnet, daß die Zugangskontrolleinheit (5) in dem Computer (1) als Steckkarte integriert ist.2. Access protection system according to claim 1, characterized in that the access control unit ( 5 ) in the computer ( 1 ) is integrated as a plug-in card. 3. Zugangsschutzsystem nach Anspruch 1 oder 2, dadurch ge­ kennzeichnet, daß in der Zugangskontrolleinheit (5) ein Spei­ cher (ROM) integriert ist, der ein Zugangskontroll-Programm (ZKP) aufweist, das in regelmäßigen Zeitabständen die Zu­ gangsberechtigung des Benutzers mittels Identifizierungs- und Authentisierungsabläufen überprüft und gegebenenfalls eine Aufforderung zur Abgabe eines Sperrsignals (25) oder eines Öffnungssignals (24) abgibt.3. Access protection system according to claim 1 or 2, characterized in that in the access control unit ( 5 ) a memory (ROM) is integrated, which has an access control program (ZKP), the access authorization of the user at regular intervals by means of identification - Checks and authentication processes and, if necessary, issues a request to issue a blocking signal ( 25 ) or an opening signal ( 24 ). 4. Zugangsschutzsystem nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Zugangskontrolleinheit (5) über einen Bus mit einer Steuereinheit (3) des Computers (1) verbunden ist, so daß ein Datenaustausch (Rechnerkennungsdaten, Benutzerkennungsdaten) zwischen der Steuereinheit (3) und der Zugangskontrolleinheit (5) statt­ finden kann.4. Access protection system according to one of claims 1 to 3, characterized in that the access control unit ( 5 ) is connected via a bus to a control unit ( 3 ) of the computer ( 1 ), so that a data exchange (computer identification data, user identification data) between the control unit ( 3 ) and the access control unit ( 5 ) can take place. 5. Zugangsschutzsystem nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß die Zugangskontrolleinheit (5) über den Bus mit einem Zugangsauffrisch-Programm beaufschlag­ bar ist, das die in der Zugangskontrolleinheit (5) gespei­ cherten Zugangsdaten aktualisiert.5. Access protection system according to one of claims 1 to 4, characterized in that the access control unit ( 5 ) via the bus can be acted upon with an access refresh program which updates the access data stored in the access control unit ( 5 ). 6. Zugangsschutzsystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Zugangskontrolleinheit (5) einen nichtflüchtigen Speicher (EEPROM) aufweist, in dem die Zugangsdaten gespeichert sind.6. Access protection system according to one of claims 1 to 5, characterized in that the access control unit ( 5 ) has a non-volatile memory (EEPROM) in which the access data are stored. 7. Verfahren zum Schutz einer Datenverarbeitungsanlage vor unberechtigtem Zugang eines Benutzers, wobei die Identität einer in einem Kartenlesegerät (13) eingesteckten Chipkarte (14) von einer Zugangskontrolleinheit (5), die einen Kon­ trollprozessor (6) aufweist, überprüft wird und anschließend eine Authentisierung der Chipkarte (14) durch die Zugangskon­ trolleinheit (5) durchgeführt wird, daß die Zugangskontrol­ leinheit (5) nach erfolgreicher Identifizierung bzw. Authen­ tisierung ein Öffnungssignal (24) an mindestens eine Schnitt­ stelle einer Peripherieeinheit (8, 10, 12) abgibt, so daß ei­ ne Steuereinheit (3) des Computers (1) mit derjenigen Peri­ pherieeinheit (8, 10, 12) kommunizieren kann, und daß die Zu­ gangskontrolleinheit (5) nach mißlungener Identifizierung bzw. Authentisierung ein Sperrsignal (25) an mindestens eine Schnittstelle der Peripherieeinheit (8, 10, 12) abgibt, so daß die Steuereinheit (3) des Computers (1) mit der Periphe­ rieeinheit (8, 10, 12) nicht kommunizieren kann.7. A method for protecting a data processing system against unauthorized access by a user, the identity of a chip card ( 14 ) inserted in a card reader ( 13 ) being checked by an access control unit ( 5 ) which has a control processor ( 6 ), and then an authentication the chip card ( 14 ) is carried out by the access control unit ( 5 ), that the access control unit ( 5 ) emits an opening signal ( 24 ) to at least one interface of a peripheral unit ( 8 , 10 , 12 ) after successful identification or authentication, so that a control unit ( 3 ) of the computer ( 1 ) can communicate with that peripheral unit ( 8 , 10 , 12 ), and that the access control unit ( 5 ), after unsuccessful identification or authentication, sends a blocking signal ( 25 ) to at least one interface the peripheral unit ( 8 , 10 , 12 ) so that the control unit ( 3 ) of the computer ( 1 ) with the Peripheral unit ( 8 , 10 , 12 ) can not communicate. 8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß in regelmäßigen Abständen der Zustand eines Kartenlesegeräts (13) überprüft wird und daß bei Zustandsänderung des Karten­ lesegeräts (13) infolge der Entnahme der Chipkarte (14) aus demselben ein Sperrsignal (25) an mindestens eine Peripherie­ einheit (8, 10, 12) gesendet wird.8. The method according to claim 7, characterized in that the state of a card reader ( 13 ) is checked at regular intervals and that when the state of the card reader ( 13 ) due to the removal of the chip card ( 14 ) from the same a blocking signal ( 25 ) at least a peripheral unit ( 8 , 10 , 12 ) is sent.
DE1997137696 1997-08-29 1997-08-29 Computer data access protection system Ceased DE19737696A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1997137696 DE19737696A1 (en) 1997-08-29 1997-08-29 Computer data access protection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1997137696 DE19737696A1 (en) 1997-08-29 1997-08-29 Computer data access protection system

Publications (1)

Publication Number Publication Date
DE19737696A1 true DE19737696A1 (en) 1999-03-04

Family

ID=7840564

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1997137696 Ceased DE19737696A1 (en) 1997-08-29 1997-08-29 Computer data access protection system

Country Status (1)

Country Link
DE (1) DE19737696A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0425053A1 (en) * 1989-10-27 1991-05-02 Philips Cartes Et Systemes Data processing system having memory card authenticating means, electronic circuit for use in that system and method for using this authentication
DE4330319A1 (en) * 1993-09-08 1995-03-09 Kobil Computer Gmbh Computer, in particular personal computer

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0425053A1 (en) * 1989-10-27 1991-05-02 Philips Cartes Et Systemes Data processing system having memory card authenticating means, electronic circuit for use in that system and method for using this authentication
DE4330319A1 (en) * 1993-09-08 1995-03-09 Kobil Computer Gmbh Computer, in particular personal computer

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Datenbank: WPIDS auf STN, London: Derwernt, AN 93-131826 (16), benutzt am 9.12.98, AB, NL 9101506 A *

Similar Documents

Publication Publication Date Title
EP1818844B1 (en) Method for using security tokens
DE3044463C2 (en)
DE60306844T2 (en) Method and system for data update
EP0355372B1 (en) Data carrier controlled terminal for a data exchange system
EP1101163B1 (en) Program-controlled unit
DE102011056191A1 (en) Device for protecting security tokens against malware
DE60100363T2 (en) SEQUENCE NUMBERING MECHANISM FOR SECURING EXECUTION INTEGRITY OF INTERDEPENDENT SMART CARD APPLICATIONS
EP0280035B1 (en) Method for the programme securing and for integrity checking of a secured programme
EP1697820B1 (en) Method for activation of an access to a computer system or to a programme
DE102004047146A1 (en) rights management
DE10048939B4 (en) Conditional suppression of verification of a cardholder
EP1338970A2 (en) Method and system to control access to EEPROMs as well as corresponding computer program product and computer readable storage medium
DE19737696A1 (en) Computer data access protection system
EP1722336A2 (en) Data generating device and method for initialising security data carriers
DE102006049442A1 (en) Method for activating a chip card
EP1652337A1 (en) Method for signing a dataset in a public key system and data processing system for carrying out said method
DE10311249A1 (en) Protection of road vehicle electronic controllers against change of units unless identification code is produced
EP1365363B1 (en) Method for carrying out a data transaction by means of a transaction device which consists of a main- and a separable auxiliary component
WO2002039236A2 (en) Method and arrangement for a rights ticket system for increasing security of access control to computer resources
DE102011111698A1 (en) Method for performing log-in at computer system, involves passing user-specific information and/or another user-specific information by authentication instance to another authentication instance in which former instance is arranged
DE10347431A1 (en) Remote maintenance and monitoring system for computer systems, e.g. medical computer systems, whereby access to restricted data is only enabled after prior authorization by an authorization entity
EP1785955A1 (en) Method for releasing the access to an application and/or system secured by a personal identification code
EP1460510B1 (en) Method for secure communication between data processing equipment and a security device
EP2834767B1 (en) Computer system and method for secure boot of a computer system
DE102004059637A1 (en) Mobile electronic device with access protection

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection