-
Die
vorliegende Erfindung betrifft allgemein die Sicherheitsverwaltung
für drahtlose
Einheiten und insbesondere den Aufbau eines sicheren Kurzstreckennetzwerks
zur sicheren Übertragung
von Daten zwischen drahtlosen Einheiten und den Aufbau eines sicheren
Datenübertragungsnetzwerks
zur paarweisen Zuordnung von Einheiten.
-
Der Erfindung zugrunde
liegender allgemeiner Stand der Technik
-
Die
starke Zunahme von drahtlosen Einheiten in Rechnernetzwerken hat
bei der Synchronisation und der sicheren Verbindung der Einheiten
zu einem ernstlichen Problem geführt.
Die meisten drahtlosen Einheiten sind heute digital, und sie verwenden Funkwellen
zum Datenaustausch. Ein typischer Berufstätiger, der drahtlose Einheiten
verwendet, verfügt
heute über
einen Funkrufempfänger,
der digitale Nachrichten empfängt,
ein digitales Mobilfunktelefon und einen Notebook-Rechner mit einem
drahtlosen Modem zum Abrufen und Senden von eMails. Die Herstellung
einer Verbindung mit dem Büro
oder anderen Netzwerken erfordert eine spezielle Hardware (wie zum
Beispiel Adapterkarten mit Übertragungsmechanismen),
die zur Verbindung mit einem Weitverkehrsnetzwerk oder einem lokalen
Netzwerk vorgesehen ist und dann den drahtgebundenen Zugriff auf
die Ressourcen ermöglicht,
auf die der Berufstätige
gewöhnlich
zugreift.
-
Für die Zusammenlegung
der mobilen Datenübertragung
mit der mobilen Datenverarbeitung wurde ein Standard vorgeschlagen.
Dieser Standard, der hier als "Bluetooth" bezeichnet wird,
schlägt
die Einbindung einer kleinen kostengünstigen Funkeinheit in jede
mobile Einheit vor. Da diese Funkeinheit als Standard vorgesehen
ist, kann die Kombination aus mobiler Einheit und Funkeinheit dann
optimiert werden, um Störungen
zu verringern. Die Optimierung ist machbar, da ein gemeinsames drahtloses Protokoll
in einem einzigen Funkfrequenzband ausgeführt wird, statt dass die Vielzahl
der optionalen Einheiten verschiedene Technologien in verschiedenen
Funkfrequenzbändern
nutzt, die heute für
den drahtlosen Zugriff zur Verfügung
stehen. Die kleine Funkeinheit mit geringer Leistungsaufnahme ist
für den
Vertrieb in einem Modul oder einem Chip vorgesehen, das beziehungsweise
der mit anderen "Bluethooth"-fähigen Produkten
Daten austauscht. Der Bluetooth-Standard definiert die Datenübertragungen
zwischen zwei ausgewählten
Einheiten und/oder mehreren ausgewählten Einheiten. Weitere Informationen über den
Bluetooth-Standard finden sich auf der Website von Bluetooth unter
http://www.bluetooth.com.
-
Der
Standard legt derzeit die Verwendung eines verfügbaren nichtlizenzierten 2,4-GHz-Funkfrequenzbandes
fest, das den Austausch sowohl von Sprache als auch von Daten unterstützen kann.
Während
zahlreiche allgemein vereinbarte Funkfrequenzen funktionieren würden, scheint
dieser bestimmte Teil des Funkfrequenzspektrums zur nichtlizenzierten Nutzung
bei geringer Leistungsaufnahme weltweit zur Verfügung zu stehen. Bei einem 0-dBm-Sender lassen
sich mit dieser Funkeinheit geringer Leistungsaufnahme gut funktionierende
Netzwerke mit Einheiten innerhalb eines Radius von ungefähr 10 Metern
aufbauen, wobei die Signalstärke
mit zunehmender Entfernung schnell abfällt. Bei einem 20-dBm-Sender
beträgt
der wirksame Funkbereich ungefähr
100 Meter. Das Funkmodul mit geringer Leistungsaufnahme ist für den Einbau
in tragbare Rechner, Mobiltelefone, 3-in-1-Telefone, Drucker, Telefaxgeräte, Modems,
Netzwerkschnittstellen (wie zum Beispiel LAN- oder WAN-Verbindungen),
Digitalkameras, Funkrufempfänger,
Sprechgarnituren usw. vorgesehen. Geschwindigkeiten von bis zu 721
Kilobit pro Sekunde (KBit/s) bei einer asymmetrisch asynchronen
Datenübertragung
oder bis zu drei isochrone 64-KBit/s-Sprachkanäle oder
eine Kombination aus Sprach- und Datenkanälen mit einer Übertragungsgeschwindigkeit
von weniger als 1 Megabit Zeichen pro Sekunde (MBit/s) je Pikozelle
werden derzeit von der Spezifikation unterstützt, und es wird davon ausgegangen,
dass die Übertragungsgeschwindigkeiten
mit dem technologischen Fortschritt weiter zunehmen. Da Bluetooth
das Frequenzsprungverfahren einsetzt, können mehrere unkoordinierte
Pikozellen, die sich in Funknähe
zueinander befinden, gleichzeitig vorhanden sein.
-
Zwar
beschreibt diese Spezifikation einen großen Sprung bei der Fähigkeit
von Einheiten, interaktiv miteinander zu kommunizieren, doch gibt
es nach wie vor ein großes
Problem beim Aufbau von sicheren Kanälen für die Einheiten. Die Spezifikation ermöglicht die
Verbindung der tragbaren oder drahtlosen Einheiten zu einem von
uns so bezeichneten "Pikonetz" oder einer "Pikozelle". Bei der Pikozelle handelt
es sich lediglich um ein physisch nahes (oder kleines) Netzwerk.
Dieses Pikonetz ersetzt Kabel zur Verbindung von physisch nahe beieinander
liegenden Einheiten (die sich innerhalb des vorstehend beschriebenen
Funkfrequenzbereichs befinden). Ein Zugangspunkt (oder eine drahtlose
Einheit) mit einer Bluetooth-Funkeinheit kann ein Unternehmens-LAN oder
-WAN um eine Pikozelle erweitern. Der Einsatz dieser neuen Einheiten
in einem Unternehmen lässt mehrere
spezielle Sicherheits- und Verwaltungsprobleme offen.
-
Der
Stand der Technik auf diesem Gebiet wie beispielsweise die vorstehend
erwähnte
Spezifikation legt Verfahren zur Berechtigungsprüfung und Verschlüsselung
auf der Basisbandschicht (Bitübertragungsschicht – physical
layer) der Einheit fest, doch unterliegen diese Verfahren bisher
nicht erkannten Beschränkungen,
die nachstehend untersucht werden. Alle Verfahren nach dem Stand
der Technik, die beschrieben werden, haben die sichere Bereitstellung
eines geheimen kryptographischen Schlüssels für beide Einheiten zum Ziel,
der dann mit geeigneten kryptographischen Mitteln zur Durchführung der
Berechtigungsprüfung
und Verschlüsselung
verwendet wird. Diese Verfahren unterscheiden sich in der Art und
Weise, in der der Schlüssel
abgerufen wird. Sie unterscheiden sich auch in ihren Regeln hinsichtlich der
Wiederverwendung von Schlüsseln
oder den ihnen vorausgehenden PIN-Codes.
-
Ein
erstes übliches
Verfahren, das der Stand der Technik vorsieht, besteht darin, dass
zwei Einheiten über
ein nicht näher
genanntes externes Mittel einen geheimen Schlüssel empfangen, der nur ihnen bekannt
ist. Dieses Verfahren ist gegebenenfalls für zwei Einheiten geeignet,
die bereits zum Zeitpunkt ihrer Herstellung einander auf Dauer als
Paar zugeordnet werden. Sie können
diesen Schlüssel
in Verbindung mit der Kennung der Partnereinheit speichern und diesen
Schlüssel
jedes Mal, wenn sie Daten miteinander austauschen möchten, wiederverwenden. Wenn
für den
Austausch des Schlüssels
kein Verfahren vorgesehen ist, werden die beiden Einheiten einander
dauerhaft zugeordnet und können
nie mit anderen Einheiten ein Paar bilden, die zum Zeitpunkt der
Herstellung einen anderen dauerhaften Schlüssel erhalten haben. Ein Nachteil
einer solchen Vorgehensweise der Wiederverwendung von Schlüsseln besteht
darin, dass die zu Sicherheitszwecken vorgenommene Zuordnung der
beiden Einheiten dauerhaft ist. Ein weiterer Nachteil besteht darin,
dass in dem Fall, in dem eine dritte Person den Schlüssel in
irgendeiner Weise in Erfahrung brächte, sich diese Person anschließend als
eine andere Einheit ausgeben oder die beiden Einheiten nach Belieben
abhören
könnte.
Bei allen diesen Szenarien könnte
sich die dritte Person sogar unbemerkt als eine andere Einheit ausgeben
oder andere Einheiten abhören,
da Hochfrequenz-Datenübertragungen
in dem vorgesehenen HF-Spektrum
Sichtbarrieren wie zum Beispiel Gebäude und Mauern oder Wände durchdringen können.
-
Ein
zweites häufig
beschriebenes Verfahren, das etwas sicherer als das erste Verfahren
ist, ist gegebenenfalls für
zwei Einheiten geeignet, die langfristig ausschließlich einander
zugeordnet werden sollen, wie zum Beispiel ein Personal Computer
und seine schnurlose Maus oder ein Mobiltelefon und seine schnurlose
Sprechgarnitur. Bei diesem Verfahren müssen beide Einheiten mit derselben
Zeichen- oder Ziffernfolge, die als persönliche Geheimzahl ("PIN") bezeichnet wird,
versehen werden. Die PIN kann vom Hersteller vorgegeben oder von
einem Benutzer an jeder Einheit eingegeben werden. Der Stand der Technik
legt fest, wie die PIN mit bestimmten bekannten gleichbleibenden
Daten und bestimmten kurzlebigen Daten kombiniert wird, um einen
geheimen Schlüssel
zu erzeugen, der anschließend
zur Berechtigungsprüfung
und Verschlüsselung verwendet wird.
Die genauen Einzelheiten über
die Art und Weise, in der dies geschieht, sind hier nicht wichtig.
Beide Einheiten, die eine langfristige "Paar"-Beziehung eingehen
möchten,
speichern den Schlüssel,
der zu der jeweils anderen Einheit gehört. Die PIN, die zur Erzeugung
des Schlüssels
verwendet wurde, wird nicht mehr benötigt und kann entweder aufbewahrt oder
gelöscht
werden. Dieser gespeicherte Schlüssel wird
dann jedes Mal, wenn die paarweise zugeordneten Einheiten sicher
Daten miteinander austauschen möchten,
wiederverwendet. Wenn eine Einheit den Besitzer wechselt, ist es
möglich,
den vorherigen Schlüssel
zu löschen,
eine PIN für
eine neue Paar-Beziehung
einzugeben und einen neuen Schlüssel
zu erzeugen und zu speichern. Ein Nachteil dieses Verfahrens besteht
darin, dass in dem Fall, in dem eine dritte Person die PIN in irgendeiner
Weise in Erfahrung bringt, beispielsweise indem sie sie bei einem
Gespräch
mithört
oder sie bei ihrer Eingabe über
die Tastatur ausspäht,
diese Person den Schlüssel
in Erfahrung bringen kann, indem sie den Datenverkehr zwischen den
beiden paarweise zugeordneten Einheiten abhört. Sobald sie den Schlüssel kennt,
kann sie sich als eine andere Einheit ausgeben oder verschlüsselte Übertragungen
abhören.
-
Eine
dritte Variante, die der Stand der Technik vorsieht, könnte für zwei Einheiten
geeignet sein, die einander nur für die Dauer einer einzigen
Transaktion oder eines einzigen Datenaustauschs vertrauen möchten. Bei
diesem Verfahren gibt der Benutzer kurz vor der Transaktion eine
PIN an beiden Einheiten ein. Die PIN wird wie vorstehend zur Erzeugung eines
Schlüssels
verwendet. Der Schlüssel
wird zur Berechtigungsprüfung
und Verschlüsselung
für die Transaktion
verwendet, aber sowohl die PIN als auch der Schlüssel werden nach erfolgter
Transaktion gelöscht.
Wenn die beiden Einheiten zu einem beliebigen zukünftigen
Zeitpunkt eine weitere Transaktion durchführen möchten, müssen beide wieder mit einer PIN
konfiguriert werden, was einen für
den Benutzer lästigen
Vorgang darstellt.
-
Bei
einer weniger sicheren Variante dieses dritten Verfahrens speichert
eine Einheit die PIN in Verbindung mit einer Kennung für die Partnereinheit, löscht aber
den Schlüssel
nach dessen Verwendung. Auf diese Weise verwendet sie dieselbe PIN
jedes Mal wieder, wenn sie mit demselben Partner Daten austauscht,
erzeugt aber vor jeder Datenübertragungssitzung
einen neuen Schlüssel.
Das dritte Verfahren stellt eine Verbesserung der Sicherheit des zweiten
Verfahrens dar, da der Schlüssel
häufig
ausgetauscht und folglich die Zeitspanne begrenzt wird, in der eine
dritte Partei die Sicherheit verletzten könnte, wenn sie die PIN erfolgreich
in Erfahrung bringen und während
des Datenverkehrs zwischen den paarweise zugeordneten Einheiten
Abhörangriffe
durchführen
würde.
-
Ein
viertes nach dem Stand der Technik bekanntes Verfahren besteht in
der Anforderung einer Berechtigungsprüfung und Verschlüsselung
im Basisband, jedoch, um einen Schlüssel für jede neue Datenübertragungssitzung
unter Verwendung einer PIN-Länge von
null zu erzeugen. Dieses Verfahren könnte von einem Hersteller gewählt werden,
der möchte,
dass sein Produkt unmittelbar nach dem Auspacken funktioniert, ohne
dass es vom Benutzer konfiguriert werden muss, und der nur ein Mindestmaß an Sicherheit
bieten möchte.
Die Nachteile dieses Lösungsansatzes
sind ähnlich
den Nachteilen des dritten Verfahrens, da jede dritte Partei, der
bekannt ist, dass eine PIN-Länge
von null verwendet wird, den Datenverkehr zwischen den paarweise
zugeordneten Einheiten abhören
und den geheimen Schlüssel
in Erfahrung bringen könnte,
wodurch sie sich für
eine andere Einheit ausgeben und/oder verschlüsselte Datenübertragungen
abhören
könnte.
-
In
der deutschen Patentschrift
DE
197 30 301 C wird ein Verfahren zur gegenseitigen Berechtigungsprüfung von
Komponenten in einem Netzwerk mittels des Challenge-Response-Verfahrens beschrieben.
Ein Netzwerk fordert einen Satz von drei Datenwerten von einem Berechtigungsprüfungszentrum
an und sendet mindestens einen Satz von Datenwerten an eine mobile
Station, die auf der Grundlage eines intern gespeicherten Schlüssels aus
diesem Satz von Datenwerten eine Antwort berechnet, die sie an das
Netzwerk zurücksendet.
Um die Berechtigung des Netzwerks gegenüber der mobilen Station nachzuweisen,
sieht die Erfindung vor, dass die an das Netzwerk zurückgeschickte
Antwort (response) 1 von dem Netzwerk gleichzeitig mit der Zufallszahl
(challenge) 2 ausgewertet wird und das Netzwerk die Antwort 2 unverzüglich an
die mobile Station sendet.
-
In
der US-Patentschrift 5 621 798 wird ein drahtloses Netzwerk beschrieben,
das Sender/Empfänger-Basisstationen
umfasst, die mit einem Verbindungsleitungs-Datenübertragungsnetzwerk und mehreren
mobilen Datenverarbeitungseinheiten verbunden sind, welche Nachrichten
senden und empfangen können.
Zu sendende Nachrichten werden verschlüsselt und digital. signiert,
um die Vertraulichkeit und die Echtheit der Nachrichten sicherzustellen. Jede
mobile Datenverarbeitungseinheit, die Teil des drahtlosen Netzwerks
ist, kann freiwillig einen Teil des Speichers zur Speicherung des
gemeinsamen Nachrichtenverkehrs zuordnen. Jede mobile Datenverarbeitungseinheit
ist für
den Empfang von Nachrichten, die an andere Einheiten adressiert
sind, die Speicherung der empfangenen Nachrichten in dem zugeordneten
Speicher und der dann in regelmäßigen Abständen erfolgenden
erneuten Übertragung der
empfangenen Nachrichten zuständig.
-
Natürlich besteht
bei einem Verfahren, das den Schlüssel über einen nichtsicheren Austausch erhält, ein
gewisses Risiko für
einen Identitätswechsel
und einen Abhörangriff.
Der Stand der Technik schlägt
vor, einer anderen Person den Schlüssel oder die PIN-Nummer mündlich mitzuteilen
oder auf einem Stück
Papier oder per eMail zukommen zu lassen, so dass das Geheimnis
an jeder Einheit von dem Benutzer dieser Einheit eingegeben werden kann.
Wenn dieser Austausch mittels mündlicher Weitergabe,
Papier oder eMail von einer dritten Partei beobachtet wird, wird
das Geheimnis möglicherweise
preisgegeben. Eine kleine Verbesserung besteht darin, die Kenntnis
des Schlüssels
oder der PIN auf eine einzige Person zu beschränken, die ihn beziehungsweise
sie an beiden Einheiten über
die Tastatur eingibt. Dadurch wird verhindert, dass der Schlüssel oder
die PIN mitgehört
oder gesehen werden, doch kann die Eingabe über die Tastatur selbst von
einer dritten Partei, beispielsweise durch die Verwendung einer
versteckten Kamera, beobachtet werden. Ein Verfahren, das unter
Verwendung eines auf nichtsichere Weise ausgetauschten Datenelements einen
geheimen Schlüssel
für jede
Datenübertragungssitzung
oder Transaktion erzeugt, ist etwas sicherer, unterliegt aber dennoch
dem Risiko des Identitätswechsels
und des Abhörangriffs,
falls eine böswillige
dritte Partei den Prozess der Schlüsselerzeugung und des Schlüsselaustauschs
abhört.
In dem Fall, in dem eine dritte Partei in irgendeiner Weise des
Geheimnisses teilhaftig wird, birgt eine Vorgehensweise, bei der
das Geheimnis wiederverwendet wird, natürlich ein größeres mögliches
Risiko als die Vorgehensweise, bei der das Geheimnis nie wiederverwendet
wird.
-
Die
vorstehend beschriebenen der Sicherheit dienenden Verfahren nach
dem Stand der Technik sind unzulänglich,
umständlich
und für
mobile Rechner in einer Unternehmensumgebung nicht verwendbar. Ein
Beispiel für
ein solches von der vorliegenden Erfindung behandeltes Szenario
ist in 5 gezeigt.
-
In 5 gibt
es einen Server 301, der mit einem üblichen Unternehmens-LAN 303 verbunden
ist. Ein zweiter Server 311 ist mit dem ersten Server 301 über ein
WAN und in herkömmlicher
Weise auch mit einem LAN 321 verbunden. Drahtlose Einheiten
wie zum Beispiel ein drahtloser Notebook-Rechner 315 können eine
Verbindung mit einem drahtlosen Zugangspunkt auf dem Server 311 herstellen.
Die drahtlose Einheit kann auch Daten direkt über Funkwellen an einen Drucker 313 senden
(statt die Daten an den Server 311 zu senden und den Server
die Daten über eine
herkömmliche
Leitungsverbindung an den Drucker 313 senden zu lassen).
-
Ein
anderes Szenario, das in 3 gezeigt ist, beinhaltet einen
drahtlosen Notebook-Rechner 309, ein Telefon 307 und
einen Funkrufempfänger 305.
In diesem Szenario könnten
alle drei Einheiten in der Weise Daten austauschen, dass das Telefon 307 oder
der Funkrufempfänger 305 Nachrichten
an den Notebook-Rechner 319 sendet, um sich auf der Festplatte
des Notebook-Rechners 309 anzumelden. Ein realistisches
Beispiel aus der Geschäftswelt
hierfür
wäre ein
Szenario, in dem sich eine Person in einer Besprechung befindet
und auf das Eintreffen einer dringenden eMail-Nachricht wartet.
Das System könnte
so eingerichtet werden, dass beim Eintreffen einer neuen eMail am
Notebook-Rechner 309 (entweder über ein Funkmodem oder über ein
LAN, an das der Notebook-Rechner über ein Pikonetz angeschlossen
ist) der Betreff oder der Name des Senders der eMail vom Notebook-Rechner 309 über das Pikonetz
an den Funkrufempfänger 305 gesendet würde, und
der Funkrufempfänger
würde vibrieren und
die Nachricht anzeigen. Alternativ dazu könnte der Rechner das drahtlose
Telefon anwählen
und unter Verwendung einer Text-in-Sprache-Funktion eine dringende
eMail laut vorlesen. In einem anderen nützlichen Szenario könnte ein
Telefaxgerät 317 eine drahtlose
Verbindung zu einem Notebook-Rechner 319 haben, so dass
der Benutzer des Notebook das zugrunde liegende Telefonnetzwerk,
an das das Telefaxgerät
angeschlossen ist, dazu nutzen könnte,
Daten an andere zu senden, ohne eine Kabelverbindung mit dem mobilen
Rechner herstellen beziehungsweise die Kabelverbindung trennen zu
müssen oder
auf einen Server zugreifen zu müssen,
der mit dem Drucker verbunden ist. Die Verbindung würde drahtlos
direkt zwischen dem Notebook-Rechner 319 und dem Telefaxgerät 317 erfolgen.
In noch einem weiteren nützlichen
Szenario wird ein Kabelmodem oder ein ADSL-Adapter in den eigenen
vier Wänden mit
einem drahtlosen Sendeempfänger
ausgestattet, so dass alle Arten von Einheiten im Haus – zum Beispiel
Personal Computer, Telefon-Handsets, Fernsehempfänger, Videorecorder, Lautsprecher
und Audiorecorder – über eine
drahtlose Verbindung auf das Leitungsnetzwerk zugreifen können. Dies
bietet Benutzern ein erhebliches Maß an Komfort, da Einheiten
ohne lästige
und aufwändige
Verkabelung oder gebäudeinterne
Leitungsverlegung problemlos hinzugefügt oder an eine andere Stelle
verbracht werden können.
Dies ist auch aus Sicht des Herstellers oder des Diensteanbieters
wünschenswert,
da die Zusammenlegung von mehreren Diensten in einer einzigen physischen
Zugangseinheit ermöglicht
wird.
-
Das
Problem, das der Stand der Technik nicht angeht, wird deutlich sichtbar,
wenn man ein Unternehmensszenario betrachtet. Der Begriff "Unternehmen" in der hier verwendeten
Weise bezieht sich auf eine sehr große Rechnerinstallation oder
ein sehr großes
Netzwerk, wie es üblicherweise
von sehr großen
Firmen oder Organisationen mit Tausenden oder Hunderttausenden von
Mitarbeitern betrieben wird. Aufgrund ihrer bloßen Größe oder weil sie an mehreren
geografischen Orten tätig
sind, haben Unternehmen oftmals zahlreiche kleinere Standorte und/oder
große
Betriebsstätten,
die Tausende von Angestellten beherbergen. Diese Standorte und Betriebsstätten sind
im Allgemeinen über
Netzwerkeinrichtungen verbunden, so dass ein Arbeitnehmer, der sich
von einem Standort an einen anderen begibt, Zugriff auf Anwendungsprogramme,
Ressourcen, Datenbanken und andere Rechnereinrichtungen erlangen
kann, die er zur Ausübung
seiner Tätigkeit
an einem beliebigen Firmenstandort benötigt. In einem Unternehmensszenario
wandern Tausende bis Hunderttausende von Benutzern zwischen ein
paar Standorten bis hin zu Tausenden von Standorten hin und her
und tragen drahtlose Einheiten bei sich, und jeder Benutzer möchte sich
im Verlauf eines bestimmten Tages kurzfristig und ohne Vorausplanung drahtlos
mit mehreren anderen Einheiten verbinden. "Wandern" ("roam") in der hier verwendeten
Weise bezieht sich auf einen Benutzer, der sich und seine mobile
Einheit, die ein Funkmodul enthält,
physisch. von einem Ort an einen anderen bewegt.
-
Da
ein Personal Computer dadurch gekennzeichnet ist, dass er über mehrere
Funktionen verfügt (d.h.,
ein PC führt
gewöhnlich
viele verschiedene Programme aus, die für viele verschiedene Benutzer mit
vielen verschiedenen Anwendungen und Einheiten Daten austauschen),
erstrecken sich die Sicherheitsbedürfnisse eines Benutzers eines
Personal Computers über
die gesamte Bandbreite von absolut nichtvertrauenswürdig bis
hin zu absolut vertrauenswürdig,
was die Sache noch schwieriger macht. Die vorstehend beschriebene
Technologie nach dem Stand der Technik bietet mehrere Möglichkeiten,
Sicherheitsregeln umzusetzen, doch ist keine für diesen Unternehmenskontext
zufrieden stellend. Wir werden nun prüfen, ob irgendeines der zuvor
beschriebenen Verfahren von einem Netzwerkadministrator zur Beschränkung des
Zugangs zu einem Netzwerk verwendet werden kann.
- 1.
Der Hersteller könnte
Einheiten einander auf Dauer paarweise zuordnen, doch ist dies unflexibel
und verhindert, dass eine Einheit mehrere Datenübertragungspartner haben kann.
- 2. Einheiten könnten
langfristige Paar-Beziehungen mit bestimmten anderen Einheiten haben, zum
Beispiel, indem an beiden Einheiten eine gemeinsame PIN eingegeben
wird, von der ein Schlüssel
zur Speicherung und Wiederverwendung oder ein neuer Schlüssel für jede Datenübertragungssitzung
erzeugt werden könnte.
Neben den zuvor aufgeführten
Nachteilen wird diese Vorgehensweise nicht den Erfordernissen eines PC
in Form von verschiedenen Sicherheitsstufen für verschiedene Datenübertragungspartner
und tatsächlich
auch für
verschiedene Transaktionen mit demselben Partner gerecht.
- 3. Der Administrator könnte
alle Netzwerk-Zugangspunkte mit derselben PIN konfigurieren und die
PIN dann allen möglichen
Benutzern von mobilen Rechnern zur Verfügung stellen, die zugriffsberechtigt
sind. Dadurch wird der Konfigurationsaufwand des Administrators
so gering wie möglich gehalten,
da nur eine PIN festgelegt werden muss (wenn auch an mehreren Zugangspunkten),
und ein ordnungsgemäß konfigurierter
PC kann überall
im Unternehmen mitwandern und Zugriff über jeden beliebigen Zugangspunkt
erhalten, doch wenn die geheime PIN preisgegeben wird, könnte die
böswillige
dritte Partei Zugriff auf alle Zugangspunkte erlangen. Wenn ein
zugangsberechtigter Mitarbeiter aus dem Unternehmen ausscheidet,
lässt sich
sein Zugriffsrecht nicht ohne weiteres widerrufen. Dieses Schema
ist nicht annehmbar, da es so nicht sicher ist.
- 4. Der Administrator könnte
jeden Netzwerk-Zugangspunkt oder jede Gruppe von Zugangspunkten
mit einer anderen PIN konfigurieren und die PINs von bestimmten
Zugangspunkten anschließend
bestimmten Gruppen von berechtigten Benutzern zur Verfügung stellen.
Wenn eine unbefugte Person Kenntnis von einer PIN erlangt, erlangt
sie Zugriff auf eine Gruppe von Zugangspunkten. Die Verwaltung von
PIN-Listen an zahlreichen mobilen Rechnern wird schwierig. Die Zugriffsrechte
eines Benutzers zu widerrufen, ist ebenfalls schwierig, wenn der
Benutzer die Einheit, die ihm den Zugriff ermöglicht, behält. Der Administrator könnte die
PIN der Zugangspunkte ändern,
um einen unbefugten Benutzer zu sperren, aber dies zwingt alle berechtigten
Benutzer, ihre Konfigurationen gleichzeitig zu aktualisieren. Wenn
der Administrator einen neuen Netzwerk-Zugangspunkt mit einer neuen
PIN hinzufügen
möchte,
müssen
alle berechtigten Benutzer benachrichtigt werden und ihre PCs aktualisieren. Einem
Benutzer Zugriff auf verschiedene Gruppen von Zugangspunkten zu
gewähren,
zum Beispiel während
er auf Reisen ist, ist schwierig. Es ist offensichtlich, dass dieses
Schema nicht durchführbar
ist.
- 5. Der Administrator könne
jedem mobilen PC eine eindeutige PIN zuweisen und Listen mit zugriffsberechtigten
PINs an bestimmten Zugangspunkten erstellen. Die Verwaltung der
Listen ist noch schwieriger. Wenn die Listen alle Benutzer beinhalten,
können
sie so lang werden, dass sie nicht mehr verwaltet werden können, und überdies
können
sie die Kosten der Zugangspunkt-Einheiten erhöhen, da zur Speicherung einer
großen
Anzahl von PINs zusätzliche
Speicherkapazität
vorgesehen werden muss. Wenn die Listen Teilgruppen von Benutzern
beinhalten, ist die Möglichkeit
eines Benutzers umherzuwandern eingeschränkt. Wenn ein Benutzer hinzugefügt oder
entfernt wird, muss der Administrator an allen entsprechenden Zugangspunkten
Informationen aktualisieren. Dieses Verfahren ist verhältnismäßig sicher,
außer
dass in dem Fall, in dem eine Person Kenntnis von den Zugangslisten
erlangt, die an einem beliebigen Zugangspunkt erstellt wurden, sie
Zugriff auf mehrere Zugangspunkte erlangen könnte, indem sie sich als eine andere
Einheit ausgibt oder sich die PIN eines anderen Benutzers widerrechtlich
aneignet.
-
Wie
aus dem Vorstehenden hervorgeht, stellt die drahtlose Mobilität über kurze
Strecken für
Administratoren von Unternehmensnetzwerken eine große Herausforderung
in Bezug auf die Sicherheit dar. Damit befasst sich die vorliegende
Erfindung.
-
Beschreibung
der Erfindung
-
Die
vorliegende Erfindung ermöglicht
die sichere Verbindung von drahtlosen Einheiten, die ein Funkmodul
enthalten, unter Verwendung von digitalen Zertifikaten. Die vorliegende
Erfindung erfordert keine manuelle Eingabe von Benutzerkennungen, Passwörtern oder
Verschlüsselungsschlüsseln. Die vorliegende
Erfindung ermöglicht
auch die wirksame Verwaltung von sicheren Einheiten in einem Unternehmen,
ohne zusätzlichen
Verwaltungsaufwand für die
Initialisierung der Einheiten zu erzeugen. Sie beschreibt ein Verfahren,
eine Vorrichtung und ein Programmprodukt zur Berechtigungsprüfung, zur
sicheren Erzeugung und zum sicheren Austausch eines kurzlebigen
kryptographischen Schlüssels
zur Verschlüsselung
sowie ein Mittel zur Durchführung
und Verwaltung einer gesonderten Zugriffssteuerung in einem Unternehmen
bei gleichzeitigem Ausschluss der Unflexibilität von vorab konfigurierten
Geheimnissen und gleichzeitiger Verringerung des mit der manuellen
Eingabe, Speicherung und/oder Wiederverwendung von Geheimnissen
verbundenen Sicherheitsrisikos.
-
Kurze Beschreibung
der Zeichnungen
-
Die
Erfindung wird nun lediglich anhand eines Beispiels und mit Bezug
auf die beigefügten Zeichnungen
beschrieben, bei denen:
-
die 1 und 2 die
beim Einrichten üblichen
Datenflüsse
zwischen einer mobilen Einheit mit integriertem Funkmodul und einem
Verwaltungsserver zeigen;
-
3 Initialisierungsdatenflüsse bei
mobilen Einheiten zeigen, die über
ausreichend Rechenleistung zur Erzeugung ihrer eigenen aus öffentlichem und
privatem Schlüssel
bestehenden Schlüsselpaare verfügen;
-
4 einen
möglichen
Datenfluss zur Berechtigungsprüfung
in der bevorzugten Ausführungsform
der vorliegenden Erfindung zeigt;
-
5 ein
Teil eines beispielhaften Netzwerks ist, in dem die vorliegende
Erfindung ausgeführt
werden kann;
-
6 ein
beispielhafter Entwurf eines Einheitenzertifikats ist;
-
7 die
Datenflüsse
bei einer zentralisierten Zugriffssteuerung zeigen;
-
8 die
Datenflüsse
zur Zugriffssteuerung in der Betriebsart "Verbindung getrennt" zeigen;
-
9 die
paarweise Zuordnung von Endgeräten
unter Verwendung von Einheitenzertifikaten zeigt.
-
Ausführliche Beschreibung der erfindungsgemäßen Ausführungsform
-
Die
bevorzugte Ausführungsform
der vorliegenden Erfindung wird aufgezeigt, um ausreichend Informationen
bereitzustellen, anhand derer der Leser die vorliegende Erfindung
umsetzen kann. Die bevorzugte Ausführungsform der Erfindung ist
nicht als Ein- oder Beschränkung
der Erfindung in irgendeiner Weise zu verstehen.
-
Die
Entwickler der Bluetooth-Spezifikation haben die Durchführung einer
Berechtigungsprüfung und
Verschlüsselung
auf der Basisbandschicht (oder der Bitübertragungsschicht) nicht untersagt,
doch sind die Eigenschaften der aktuellen Verfahren zur Initialisierung
einer solchen Berechtigungsprüfung und
Verschlüsselung
für mobile
Rechner, insbesondere in einem Unternehmenskontext, nicht annehmbar.
Es gibt bis heute sehr viele Irritationen hinsichtlich der Art und
Weise, in der die Sicherheit (d.h. die Berechtigungsprüfung, Verschlüsselung,
Zugriffssteuerung und die Verwaltung all dieser Vorgänge) in einem
Unternehmen wirksam realisiert werden soll. Eine Strategie zur Festlegung,
wer mit wem in Dialogverkehr treten kann und welche "gemeinsam genutzten
Geheimnisse" (wie
zum Beispiel PIN-Nummern, kryptographische Schlüssel usw.) verwendet werden,
um die Verbindungen zwischen bestimmten Einheiten, Benutzern, Anwendungen
und Gruppen sicher zu machen, gibt es bisher noch nicht.
-
Im
Falle von Unternehmen, auf die der größte Teil der Spezifikation
zielt, stellt das Problem der Sicherheit ein äußerst gewichtiges Problem dar.
Jede Anwendung und auch jede Einheit kann eine andere Sicherheitsstufe
erforderlich machen, so dass die Möglichkeit des Zugriffs auf
verschiedenen Sicherheitsstufen gegeben sein muss. Keine der in
Betracht gezogenen Lösungen
wie zum Beispiel die extremen Vorgehensweisen, eine PIN vor jeder
Transaktion einzugeben und die PIN oder den kryptographischen Schlüssel nie
zu speichern oder dieselbe gespeicherte PIN oder denselben gespeicherten
kryptographischen Schlüssel
wiederholt für
alle Transaktionen zu verwenden, ist annehmbar. Eine Option, die
mittlere Sicherheit bietet und bei der aus einer gespeicherten PIN
laufend kurzlebige neue kryptographische Schlüssel erzeugt werden, ist ebenfalls
nicht annehmbar, da die Möglichkeit
besteht, dass jeder, der die PIN kennt, den neuen Verbindungsschlüssel in Erfahrung
bringen kann, indem er die Datenflüsse zwischen den paarweise
zugeordneten Einheiten abhört.
-
Die
vorliegende Erfindung löst
dieses und andere Probleme der sicheren Übertragung in einer drahtlosen
Umgebung sowie in möglichen
anderen Umgebungen. Die vorliegende Erfindung ist keinesfalls auf
die hier beschriebene gegebene Art der Ausführung beschränkt. Sie
ist gleichermaßen
auf jede mobile Umgebung anwendbar, in der Einheiten häufig auf
andere Einheiten zugreifen und eine sichere Form der Identitäts- oder
Berechtigungsprüfung,
ein Verfahren zur sicheren Erzeugung und zum sicheren Austausch
von kryptographischen Schlüsseln,
die zur Verschlüsselung
und zu anderen Zwecken verwendet werden können, und ein Verfahren zur
gesonderten (d.h. je Einheit, je Benutzer, je Gruppe, je Anwendung
oder je Transaktion erfolgenden) Zugriffssteuerung einschließlich der
Möglichkeit,
Zugriffsrechte hinzuzufügen,
zu widerrufen oder zu ändern,
erfordern.
-
Die
bevorzugte Ausführungsform
der vorliegenden Erfindung beinhaltet eine Kombination von Zertifikaten,
die zu Benutzern und Einheiten gehören. Zertifikate, wie sie in 6 gezeigt
sind, enthalten im Allgemeinen mindestens eine Einheitenkennung 4010,
einen öffentlichen
Schlüssel 4015 der
Einheit und einen Bereich 4020 für optionale Daten. Darüber hinaus
beinhaltet die bevorzugte Ausführungsform der
vorliegenden Erfindung eine zentral verwaltete Zugriffssteuerungs-Datenbank.
-
Nach
dem Stand der Technik werden Zertifikate Benutzern oder Anwendungsprogrammen
der höheren
Ebene, nicht aber Einheiten zugeordnet. Daher könnte ein Benutzer ein Zertifikat
mit seinem entsprechenden privaten Schlüssel auf einer Chipkarte oder
dergleichen von einem Arbeitsplatzrechner zum nächsten nehmen, und das Zertifikat
würde den
Benutzer ausweisen (wobei der private Schlüssel der Stellvertreter (Proxy)
des Benutzers ist, der seine Verwendung gesteuert hat). Die Prüfung und die
Bestätigung
der Gültigkeit
des Zertifikats erfolgte über
TCP/IP-Datenflüsse
zwischen den sich austauschenden Einheiten. Die vorliegende Erfindung
koppelt das Zertifikat eng an die Einheit oder, genauer gesagt,
an das in der Einheit enthaltene Funkmodul, dessen eindeutige Kennung
als die eindeutige Kennung des Zertifikats verwendet wird.
-
Die
bevorzugte Ausführungsform
der vorliegenden Erfindung ordnet jeder Einheit, die das vorgeschlagene
Funkmodul enthält,
ein Zertifikat zu. Das beispielhafte Zertifikat, das beschrieben
wird, enthält die
eindeutige 48-Bit-IEEE-(MAC-)Adresse
der Einheit (doch könnte
auch irgendeine andere eindeutige Kennung verwendet werden, was
genauso wirksam wäre),
den öffentlichen
Schlüssel
der Einheit, eine Gültigkeitsdauer
und eine Signatur von einer Zertifizierungsstelle (Certificate Authority).
In der bevorzugten Ausführungsform
der vorliegenden Erfindung wird die Kennung der Einheit im Feld "Inhaber" ("subject") des Zertifikats
gespeichert. Jeder Einheit ist auch ein (aus einem öffentlichen
und einem privaten Schlüssel
bestehendes) Schlüsselpaar
zugeordnet, wobei der öffentliche
Schlüssel
derselbe öffentliche Schlüssel ist,
der in dem vorstehend erwähnten
Zertifikat gespeichert ist. Die Einheit muss auch den öffentlichen
Schlüssel
der Stammzertifizierungsstelle oder den öffentlichen Schlüssel einer
Zertifizierungsstelle in der Berechtigungskette (der nachstehend
als der öffentliche
Schlüssel
der Zertifizierungsstelle (CA) bezeichnet wird) erwerben, so dass
sie die Echtheit der von anderen Einheiten empfangenen Zertifikate
prüfen
kann. Die Signatur der Zertifizierungsstelle zeigt an, dass die
Zuordnung zwischen der Einheitenkennung und dem öffentlichen Schlüssel in
dem Zertifikat der Einheit vertrauenswürdig ist, wenn die Zertifizierungsstelle
bekannt und vertrauenswürdig
ist. Mit dem öffentlichen
Schlüssel
der Zertifizierungsstelle wird ihre Signatur auf anderen Zertifikaten
von Einheiten geprüft.
-
Wie
im Bereich der Kryptographie mit öffentlichen Schlüsseln bekannt
ist, kann ein öffentlicher Schlüssel Daten
entschlüsseln,
die mit dem entsprechenden privaten Schlüssel verschlüsselt wurden. Überdies
kann ein privater Schlüssel
Daten entschlüsseln,
die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden.
Es ist auch bekannt, dass ein Datenblock signiert werden kann, indem
ein Hash-Wert über
den Block berechnet und der Hash-Wert dann mit dem privaten Schlüssel des
Unterzeichners verschlüsselt
wird. Die Signatur kann geprüft
werden, indem sie mit dem öffentlichen Schlüssel des
Unterzeichners entschlüsselt
und das Ergebnis mit einem soeben berechneten Hash-Wert des Datenblocks
verglichen wird.
-
Wenn
diese Werte übereinstimmen,
zeigt dies, dass der Unterzeichner im Besitz des privaten Schlüssels war,
der dem öffentlichen
Schlüssel
entspricht, und auch, dass sich der Datenblock nicht verändert hat.
-
In
der bevorzugten Ausführungsform
der vorliegenden Erfindung wird der private Schlüssel der Einheit so in dieser
Einheit gespeichert, dass der Wert des privaten Schlüssels physisch
geschützt wird,
in der Einheit befindliche Software die Hardware jedoch um die Durchführung einer
Operation in Form von einer digitalen Signatur unter Verwendung
des Werts des privaten Schlüssels
bitten darf. Eine Möglichkeit,
dies zu realisieren, besteht darin, ein Nur-Schreib-Speichermittel
zu verwenden, so dass Software, die sich in der Einheit befindet,
keine Möglichkeit
hat, den Schlüssel
zu lesen, die Einheit aber Operationen an den Informationen ausführen kann. Ein
Beispiel für
eine Operation an einem geschützten Wert
ist eine digitale Signaturoperation unter Verwendung des Wertes
des privaten Schlüssels.
Diese Ausführungsform
wird zwar bevorzugt, doch kann jedes andere Mittel zum Schutz der
Information gleichermaßen
angewendet werden. Ein alternativer Ort für eine solche physisch sichere
Speicherung ist eine Chipkarte oder der Chip einer Chipkarte. Der
Speicher in modernen Chipkarten-Einheiten gestattet nur dann Lesezugriff
auf die Daten, wenn die richtige PIN oder das richtige Passwort
eingegeben wird. Dies ist immer noch wesentlich besser als der Stand
der Technik, da dieser die Eingabe eines Passworts oder einer PIN
für jede
Einheit, auf die zugegriffen werden soll, erfordert, wohingegen
bei der Ausführung
mit der Chipkarte der vorliegenden Erfindung lediglich die einmalige
Eingabe eines einzigen Passworts oder einer einzigen PIN während der
Initialisierung der Einheit erforderlich ist und das Zertifikat
für weitere
sichere Transaktionen verwendet wird.
-
Zunächst wird
ein Verfahren zur Initialisierung von Einheiten bereitgestellt,
die mit einem integrierten Funkmodul vertrieben werden und vor ihrem Vertrieb
an Endbenutzer an eine zentrale Stelle wie zum Beispiel ein Unternehmen
geliefert werden. Bevor eine neue Datenverarbeitungs- oder Datenübertragungseinheit
in einem Unternehmen in Betrieb genommen wird, führt eine bestimmte Person üblicherweise
eine Verwaltungsprozedur zur Konfiguration der Einheit durch, damit
die Einheit auf bestimmte Unternehmensressourcen wie zum Beispiel
ein Netzwerk, eine Datenbank, einen Server und so weiter zugreifen
kann. Dies geschieht, indem eine geheime Information wie zum Beispiel
eine Folge von Ziffern, die eine PIN oder ein Passwort bilden, eingegeben
wird. Doch ist dies ein sehr fehleranfälliger, lästiger und zeitaufwändiger Vorgang.
Bei der vorliegenden Erfindung verwendet ein Administrator einer
Unternehmenseinheit (die ein Funkmodul enthält) einen Server, der über eine
Funkeinheit verfügt,
die mit der Funkeinheit in der Unternehmenseinheit Daten austauschen
kann. Der Server führt
eine Anfrage an die Unternehmenseinheit aus, wenn sich diese in
entsprechender Funknähe
befindet. Die Unternehmenseinheit schickt ihre eindeutige Einheitenkennung, vorzugsweise
eine 48-Bit-IEEE-(MAC-)Adresse
zurück.
Unter sicheren Bedingungen erzeugt der Server dann ein aus öffentlichem/privatem
Schlüssel
bestehendes Schlüsselpaar
und ein zugehöriges
Zertifikat für
die Unternehmenseinheit und sendet diese Datenelemente sicher an
die Einheit, für
die sie erzeugt wurden. Die Unternehmenseinheit speichert das Zertifikat
(in einer beliebigen Art von Speicher) und ihren privaten Schlüssel (in dem
zuvor beschriebenen geschützten
Speicher). Eine Kopie des Zertifikats wird in eine Unternehmensdatenbank
gestellt. Die 1 bis 3 zeigen
die Datenflüsse
ausführlicher.
-
Für zusätzliche
Sicherheit bei Einheiten mit großem Funktionsumfang wird der
vorstehende Datenfluss geändert,
so dass die Einheit das aus öffentlichem/privatem
Schlüssel
bestehende Schlüsselpaar
erzeugt und nur den öffentlichen
Schlüssel
an den Verwaltungsserver sendet. Auf diese Weise befindet sich der
private Schlüssel über seine
gesamte Lebensdauer auf der Einheit, ohne je übertragen zu werden. Für eine noch
höhere
Sicherheit könnte
der spezielle Speicher (der geschützte Speicher) auf der Einheit
dahingehend verbessert werden, dass er die Erzeugung dieses Schlüsselpaares
vornimmt, so dass der private Schlüssel nicht einmal der Software auf
der Einheit je zur Verfügung
stünde.
-
In 1 sendet
der Verwaltungsserver oder die Initialisierungseinheit 1001 zuerst
eine Anfrage 1010 an die neue mobile Einheit 1003,
mit der er beziehungsweise sie die eindeutige Kennung der mobilen
Einheit 1003 anfordert. Die mobile Einheit 1003 sendet 1020 ihre
eindeutige Kennung 1015 an den Verwaltungsserver 1001.
Der Administrator am Verwaltungsserver 1001 prüft dann,
ob die von der mobilen Einheit gesendete eindeutige Kennung mit
der Kennung übereinstimmt,
die in Bezug auf diese Einheit in anderer Form empfangen wurde (zum
Beispiel auf der Einheit aufgedruckt, mit der Dokumentation zu der
Einheit gesendet usw.). Anschließend wird zwischen den Einheiten 1001 und 1003 eine
Verbindung hergestellt. Der Administrator gibt eine PIN oder einen
Verschlüsselungsschlüssel 1025 an
dem Verwaltungsserver 1001 oder aber an der mobilen Einheit 1003 oder
an beiden ein, so dass eine vorübergehende
sichere Verbindung hergestellt werden kann, um mit Hilfe von Datenflüssen nach
dem Stand der Technik die Initialisierung der Einheiten durchzuführen. Folglich
wird bei 1030 eine sichere Verbindung zwischen 1003 und 1001 hergestellt.
Der Verwaltungsserver 1001 erwirbt dann ein aus öffentlichem/privatem
Schlüssel
bestehendes Schlüsselpaar 1035 für die mobile
Einheit 1003 oder erzeugt es. Bei 1045 stellt
der Verwaltungsserver 1001 den erzeugten öffentlichen
Schlüssel 1040 zusammen mit
der eindeutigen Kennung 1015 der Einheit 1003, die
er im Verlauf der vorhergehenden Datenflüsse erworben hat, in einen
Zertifikatanforderungsnachrichten-Pufferspeicher 1050. Bei 1055 stellt
der Verwaltungsserver 1001 eine sichere Verbindung zu einer Zertifizierungsstelle 1005 her
und sendet 1060 die Zertifikatanforderung 1050,
die für
die mobile Einheit 1003 erstellt wurde, an die Zertifizierungsstelle,
woraufhin die Zertifizierungsstelle 1005 das Zertifikat
signiert 1065 und das mit dem privaten Schlüssel der Zertifizierungsstelle
signierte Zertifikat zurückschickt 1070.
Wenn der Verwaltungsserver 1001 das signierte Zertifikat 1050' empfängt, speichert
er es im Schritt 1075. Bezug nehmend auf 2 sendet
der Verwaltungsserver 1001 das signierte Zertifikat 1050' und den entsprechenden
privaten Schlüssel
(wenn der Verwaltungsserver das aus öffentlichem/privatem Schlüssel bestehende
Schlüsselpaar
erzeugt hat) über
die sichere Verbindung 1080 an die mobile Einheit 1003 und
das Zertifikat der Zertifizierungsstelle (das den öffentlichen
Schlüssel
der Zertifizierungsstelle enthält)
ebenfalls an die mobile Einheit 1003, und die Sitzung wird
beendet. Das signierte Zertifikat der Einheit und ihr zugehöriger privater
Schlüssel werden
in der mobilen Einheit 1003 zur zukünftigen Verwendung gespeichert 1085,
wobei der private Schlüssel
der Einheit zusammen mit dem öffentlichen
Schlüssel
der Zertifizierungsstelle (der zur Prüfung der Echtheit von Signaturen
bei anderen Zertifikaten von Einheiten verwendet wird) im geschützten Speicher 1090 und
das Zertifikat der Einheit an einem beliebigen geeigneten Ort gespeichert
werden. In der bevorzugten Ausführungsform
wird auch eine Kopie des Zertifikats der Einheit in einer Unternehmens-Zugriffssteuerungsdatenbank
gespeichert, um zukünftig
darauf Bezug nehmen zu können.
Die PIN wird gelöscht 1095,
da sie das gemeinsam genutzte Geheimnis zur Sicherung der Verbindung
zwischen dem Verwaltungsserver 1001 und der mobilen Einheit 1003 darstellt.
-
Wie
vorstehend dargelegt wurde, wird eine leichte Änderung der Datenflüsse bevorzugt,
wenn die Unternehmenseinheit über
ausreichend Rechenleistung verfügt,
um ihr eigenes aus öffentlichem/privaten
Schlüssel
bestehendes Schlüsselpaar
zu erzeugen, wie in 3 gezeigt ist. Statt dass der
Verwaltungsserver das aus öffentlichem/privatem Schlüssel bestehende
Schlüsselpaar
erzeugt, erzeugt die Einheit 1003 dieses Schlüsselpaar
selbst 1110 und speichert ihren privaten Schlüssel sofort
im geschützten
Speicher 1115. In diesem Fall wird der private Schlüssel der
mobilen Einheit 1003' nie
an irgendjemanden übertragen.
Die Einheit 1003 stellt eine sichere oder nichtsichere
Verbindung 1120 mit dem Verwaltungsserver her und überträgt 1125 nur ihren öffentlichen
Schlüssel
an den Verwaltungsserver 1001. Der Verwaltungsserver 1001 führt nach
wie vor dieselben Schritte durch, in denen er den öffentlichen
Schlüssel
und die Kennung der Einheit in eine Zertifikatanforderung stellt,
die Daten sicher an die Zertifizierungsstelle (CA) 1005 überträgt, so dass
die CA unter Verwendung ihres privaten Schlüssels ein digital signiertes
Zertifikat 1050' erstellen
und das signierte Zertifikat an den Verschlüsselungsserver 1001 zurücksenden
kann, und das signierte Zertifikat über eine sichere oder nicht
sichere Verbindung an die Einheit 1003 zur dortigen Speicherung
an einem geeigneten Speicherplatz sendet, wie in den 1 und 2 beschrieben
ist. In dieser Form der Erfindung muss die Einheit 1003 auch
den öffentlichen Schlüssel 1130 der
CA erwerben und ihn in der zuvor beschriebenen Art und Weise speichern.
-
Sobald
ein öffentlichen
Schlüssel,
ein privater Schlüssel
und ein Zertifikat erzeugt worden sind, kann der Administrator mit
Hilfe von standardmäßigen Verteilungsverfahren
wie zum Beispiel den beim On-Demand-Server von IBM zur Verfügung stehenden
Verfahren die Einheit einem bestimmten Benutzer oder einer bestimmten
Gruppe von Benutzern zuordnen, den Benutzer oder die Benutzergruppe
oder die Einheit Zugriffssteuerungsgruppen zuordnen und die Eigenschaften
der Einheit aufzeichnen.
-
In
noch einer anderen abgewandelten Form der vorstehenden Ausführungsform
werden zusätzliche
Daten in Erweiterungsfelder in dem signierten Zertifikat aufgenommen.
Zu solchen zusätzlichen Feldern
könnten
zum Beispiel Zuordnungen von Benutzergruppen, Zugriffssteuerungsgruppen
usw. gehören,
mit denen dann in einzelnen Fällen
der paarweisen Zuordnung selbstständige Entscheidungen in Bezug
auf die Zugriffsregeln getroffen werden könnten.
-
Während des
Betriebs, wenn mittels der vorliegenden Erfindung zuerst eine drahtlose
Verbindung zwischen einem Paar von Einheiten, die mit Einheitszertifikaten
versehen worden sind, hergestellt wird, können die Berechtigungsprüfung und Verschlüsselung
zunächst
ausgeschaltet werden. Die Einheiten stellen durch den Schritt und
einschließlich
dieses Schritts, in dem eine symmetrische Schlüsselvereinbarung erreicht wird,
eine "Paar"-Beziehung miteinander
her, wobei sie ein Protokoll nutzen, das ähnlich den Steuerdatensätzen ist,
die bei SSL/TLS unverschlüsselt übertragen
werden. Während
SSL/TLS mehrere Optionen vorsieht, die eine Schlüsselvereinbarung zum Ergebnis
haben können und
von denen alle zur Verwendung durch die vorliegende Erfindung geeignet
sind, stellt der Diffie-Hellman-Algorithmus
für die
Schlüsselvereinbarung
die bevorzugte Ausführungsform
dar. Das SSL/TLS-Steuerdatensatzprotokoll
veranlasst die Einheiten, Zertifikate miteinander auszutauschen, was
eine gegenseitige Berechtigungsprüfung zur Folge hat, ohne dass
eine PIN oder ein kryptographischer Schlüssel an einer der beiden Einheiten
eingegeben oder gespeichert werden muss und ohne dass kryptographische
Schlüssel
oder PINs je wiederverwendet werden müssen. Der Sitzungsschlüssel, der erzeugt
wird, indem eine SHA-1-Funktion an dem SSL-Schlüsselmaterial, welches dem SSL/TLS-Steuerdatensatzprotokoll
entnommen wird, ausgeführt und
dann ein Teilsatz von n Bytes nach Bedarf verwendet wird, wird daraufhin
von jeder der paarweise zugeordneten Einheiten an ihre lokale Verschlüsselungskomponente
(wie zum Beispiel die Basisband-Firmware in der bevorzugten Ausführungsform) weitergegeben,
damit er für
die Dauer einer Datenübertragungssitzung
mit dem Partner, mit dem die Schlüsselvereinbarung getroffen
wurde, oder für
die Dauer der Schlüsselvereinbarung,
je nachdem, welcher Zeitraum kürzer
ist, oder für
die Dauer eines beliebigen Zeitfensters, das für die Erfordernisse der Anwendung,
des Benutzers, der Einheit und des Unternehmens geeignet ist, als
Verbindungsschlüssel verwendet
werden kann. Die Verschlüsselung
für denjenigen
Partner, der den erzeugten Schlüssel
verwendet, wird dann aktiviert. Falls die Schlüsselvereinbarung abläuft, solange
die Sitzung noch im Gang ist, können
die paarweise zugeordneten Einheiten dasselbe SSL/TLS-Steuerdatensatzprotokoll,
entweder verschlüsselt
unter Verwendung des vorherigen Sitzungsschlüssels oder unverschlüsselt, verwenden,
um eine weitere Schlüsselvereinbarung
zu treffen, die einen neuen Sitzungsschlüssel zum Ergebnis hat, der
ebenfalls an ihre jeweilige Verschlüsselungskomponente weitergegeben
wird, wie zuvor beschrieben wurde. Zwar wird für die bevorzugte Ausführungsform
SSL/TLS gewählt,
da es als eingehend geprüft
und sicher gilt, doch könnte
jede beliebige methodische Vorgehensweise zur Anwendung kommen,
bei der Zertifikate ausgetauscht und private Schlüssel verwendet
werden, um Sitzungen zu erzeugen. Ein weiteres geeignetes Verfahren
nach dem Stand der Technik wird von der Arbeitsgruppe "IP Security Protocol
(IPSec)" der IETF
in einer Reihe von RFCs (Request for Comments) beschrieben. Bezüglich weiterer
Hintergrundinformationen sei auf RFC 2411 "IP Security Document Roadmap" verwiesen.
-
4 zeigt
beispielhafte Datenflüsse
zur Herstellung von sicheren Verbindungen zwischen mehreren Einheiten,
von denen jede mit einem Funksendeempfänger ausgestattet ist, der
die vorliegende Erfindung nutzt. In der bevorzugten Ausführungsform finden
die in 4 gezeigten Datenflüsse eine gewisse Zeit, nachdem
jede Einheit mit ihrem eigenen Einheitenzertifikat, ihrem eigenen
privaten Schlüssel und
dem bekannten öffentlichen
Schlüssel
der Zertifizierungsstelle versehen worden ist, statt, wie zuvor mit
Bezug auf die
-
1 bis 3 beschrieben
wurde. Die vorliegende Erfindung schließt jedoch eine Bereitstellung
der Datenelemente in anderer Weise nicht aus. Wenn eine erste Einheit,
beispielsweise ein Notebook-Rechner 2003, mit einer zweiten
Einheit 2001 Daten austauschen möchte, sendet die erste Einheit 2003 eine
Verbindungsanforderung 2005 an die zweite Einheit 2001.
Eine nichtsichere Verbindung 2010 wird dann zwischen der
ersten Einheit und der zweiten Einheit hergestellt. Alternativ dazu
kann die Verbindung 2010 eine nach einer Berechtigungsprüfung freigegebene
Verbindung und/oder eine verschlüsselte
Verbindung sein, die eine standardmäßige PIN wie zum Beispiel eine
PIN mit einer Länge von
null verwendet. Während
die Steuerdatenflüsse des
SSL/TLS-Protokolls
in unserer bevorzugten Ausführungsform
weiter übertragen
werden, werden die folgenden Funktionen ausgeführt:
Wenn anstelle dieses
Steuerdatenflusses ein anderer Datenfluss verwendet wird, muss er
dieselben Funktionen bereitstellen. Eine Aushandlung findet statt,
die über
das Erfordernis einer Berechtigungsprüfung und deren Art, das Erfordernis
einer Verschlüsselung,
die Einzelheiten der kryptographischen Algorithmen und die Einzelheiten
einer gegebenenfalls durchzuführenden
Kompression übereinkommt 2020.
Bei diesem Anwendungsfall ist die Berechtigungsprüfung eine
Zwei-Wege-Prüfung (sowohl
der erste Übermittler
als auch der zweite Übermittler
kennen die Identität
des jeweils anderen), eine Verschlüsselung wird gefordert, und
der Algorithmus ist gleich dem Algorithmus, der von der Basisband-Hardware/-Firmware
oder einer anderen Verschlüsselungskomponente,
die in den paarweise zugeordneten Einheiten vorhanden ist, verwendet
wird, und die Kompression wird schließlich mit NULL angegeben. Während die
Berechtigungsprüfung
vonstatten geht, wird der spezielle Speicher (geschützter Speicher)
ersucht, eine Signatur mit dem privaten Schlüssel (geschützten Wert) der lokalen Einheit
vorzunehmen, um die Identität
dieser Einheit gegenüber der
zweiten Einheit nachzuweisen, und der spezielle Speicher wird ersucht,
die Echtheit der Signatur der CA zu bestätigen, um das Zertifikat der
zweiten Einheit für
gültig
zu erklären,
so dass der in dem Zertifikat enthaltene öffentliche Schlüssel als
ein für
die Bestätigung
der Echtheit der Signatur der zweiten Einheit vertrauenswürdiger Schlüssel gelten
kann Wenn die Berechtigungsprüfung
des Partners an irgendeinem Punkt fehlschlägt, wird die Sitzung beendet.
Als Folge des Ersuchens um Verschlüsselung wird auf sichere Weise
ein Sitzungsschlüssel
vereinbart 2030, und an diesem Punkt wird das SSL/TLS-Protokoll oder
ein gleichwertiges Protokoll beendet, wobei der vereinbarte Sitzungsschlüssel 2035 zur
Initialisierung der Übertragung
auf dem Basisband (oder einer anderen geeigneten lokalen Verschlüsselungskomponente)
verwendet wird, um im Anschluss daran eine verschlüsselte Operation
zu ermöglichen 2040.
-
Der
vorstehend beschriebene Datenfluss zur Berechtigungsprüfung hatte
den Austausch und die Bestätigung
der Gültigkeit
der Zertifikate von beiden Einheiten zur Folge. Das heißt, dass
die optionalen Erweiterungsfelder dieser Zertifikate für Entscheidungen
bezüglich
der Vorgehensweise zur Verfügung
stehen. Zum Beispiel kann die zweite Einheit 2001 auf der
Grundlage des Inhalts des auf Echtheit geprüften Zertifikats der ersten
Einheit 2003 in einer lokalen oder einer Zugriffssteuerungsdatenbank
eines Unternehmens nachschlagen und dabei die erforderliche Einheitenkennung
oder optionale (zugehörige
Namen von Einzelnen oder Gruppen) Zertifikatfelder verwenden, um
zu entscheiden, welche Ressourcen/Funktionen durch die Einheit 2003 über die verschlüsselte Verbindung
genutzt beziehungsweise ausgeführt
werden können.
All dies wird auf sichere Weise bewerkstelligt, indem die Aushandlung direkt
zwischen den Einheiten stattfindet, und mit Ausnahme der einmaligen
Initialisierungsprozedur der 1 bis 3 oder
einer gleichwertigen Prozedur, die jede Einheit mit einem Einheitenzertifikat,
einem privaten Schlüssel
und dem öffentlichen
Schlüssel
der Zertifizierungsstelle versieht, wie zuvor beschrieben wurde,
ist keine Eingabe oder Speicherung von Geheimnissen in Verbindung
mit jedem möglichen
Kommunikationspartner wie zum Beispiel Benutzerkennungen und Passwörtern, PINs
oder Verschlüsselungsschlüssel seitens
des Benutzers oder des Administrators erforderlich.
-
Da
die Einheiten in einer Zugriffssteuerungsdatenbank auf einem Server
eingetragen sind, stellen die Zertifikate in der bevorzugten Ausführungsform
ein Verfahren zur Steuerung des Zugriffs auf Dienste und Ressourcen
sowie zur Auswahl von Voreinstellungen bereit, die für die Einheit
aktiviert werden sollten, wie zum Beispiel die Formatierung eines Datenstroms
für eine
bestimmte Art der Anzeige oder die Freigabe des Zugriffs auf bestimmte
Datensätze. Wenn
ein Benutzer die mobile Einheit, die ihm zugeordnet ist und die
das in der vorliegenden Erfindung beschriebene Verfahren zur Berechtigungsprüfung nutzt,
verliert, kann das Zertifikat der Einheit für ungültig erklärt werden (genauso wie eine
Kreditkartengesellschaft heute eine gestohlene Kreditkarte für ungültig erklärt). Das
Widerrufen eines Zertifikats an einem zentralen Ort eines Unternehmens
wie zum Beispiel einem Verzeichnis oder einer Datenbank ist nur
wirksam, wenn Berechtigungsprüfungsprotokolle an
anderen Einheiten einen Dialogverkehr mit dem Verzeichnis oder der
Datenbank erforderlich machen. In einer Betriebsart mit getrennter
Verbindung, in der eine Berechtigungsprüfung keinen Zugriff auf ein
zentrales Verzeichnis oder eine zentrale Datenbank erfordert, stellt
eine Vorgehensweise, bei der das Zertifikat abläuft und der Benutzer der Einheit das
Zertifikat der Einheit in regelmäßigen Abständen erneuern
muss, das wirksamste Verfahren zum Widerruf und zur Verweigerung
des Zugriffs dar. Zu diesem Zweck ist in dem Zertifikat ein Feld
für die
Gültigkeitsdauer
vorgesehen, wie zuvor erwähnt
wurde. Die 7 und 8 zeigen
dies ausführlicher.
-
7 zeigt
die zentrale Zugriffssteuerung, bei der eine mobile Einheit 1003 den
Zugriff auf eine erste Ressource 5001 anfordert. Die mobile
Einheit 1003 und die erste Ressource 5001 führen eine
gegenseitige Berechtigungsprüfung
durch und handeln die Verschlüsselung
aus 5010. Die mobile Einheit 1003 fordert dann den Zugriff
auf eine oder mehrere Ressourcen an 5020. Die erste Ressource 5001 sendet
eine Anforderung für
eine Berechtigungsprüfung 5030 für die mobile
Einheit 1003 an das zentrale Verzeichnis oder die zentrale
Datenbank 1005. Auf der Grundlage der Informationen in
der zentralen Datenbank beziehungsweise dem zentralen Verzeichnis wird
der Zugriff entweder gewährt
oder verweigert 5050.
-
8 zeigt
die Zugriffssteuerung in der Betriebsart mit getrennter Verbindung,
in der die beiden Einheiten, die Einheit 1003 und die Einheit 5001,
eine gegenseitige Berechtigungsprüfung durchführen und eine Verschlüsselung
aushandeln 5010, die mobile Einheit 1003 den Zugriff
auf eine Ressource anfordert 5020, die Empfangsressource 5001 in
dem Szenario mit der getrennten Verbindung jedoch die optionalen
Daten in dem entschlüsselten
Zertifikat prüft 5100.
Nach erfolgter Prüfung
der Daten trifft die erste Ressource 5001 eine Entscheidung
dahingehend, ob sie den Zugriff auf der Grundlage der Felder des
Zertifikats und lokal gespeicherter Informationen gestatten soll 5110.
Die Felder des Zertifikats können
Informationen wie zum Beispiel die Ablaufdaten für das Zertifikat enthalten.
Wie zuvor wird der Zugriff auf die angeforderten Informationen gewährt oder
verweigert 5150, jedoch auf der Grundlage dieser lokal
abgerufenen Informationen.
-
Verwendet
man die vorliegende Erfindung, wird einer ersten Einheit Berechtigung
erteilt, wenn die folgenden drei Aussagen wahr sind: (1) Die Gültigkeit
ihrer Zertifikatskette kann bestätigt
werden, indem die jeweiligen enthaltenen Signaturen bis zurück zu dem
Punkt geprüft
werden, an dem ein vertrauenswürdiger
Unterzeichner der CA festgestellt wird (wie er von dem in 2 gespeicherten öffentlichen Schlüssel der
CA dargestellt wird), (2) es kann belegt werden, dass sie im Besitz
des privaten Schlüssels ist,
der zu dem öffentlichen
Schlüssel
gehört,
welcher in ihrem Zertifikat enthalten ist, und (3) die in dem Zertifikat
gespeicherte Kennung der Einheit stimmt mit der tatsächlichen
Kennung der Einheit überein, was
mit Hilfe eines anderen Mittels, wie zum Beispiel durch optische
Wahrnehmung oder anhand standardmäßiger Datenübertragungsflüsse, festgestellt werden
kann. In der bevorzugten Ausführungsform erbringt
eine erste Einheit durch Signatur einer Zufallszahl in dem Steuerdatensatzfluss
des SSL/TLS-Protokolls oder eines anderen gleichwertigen Protokolls
den Nachweis, dass sie den passenden privaten Schlüssel besitzt.
Ein Betrüger
könnte das
Zertifikat der ersten Einheit aus dem ungeschützten Speicher stehlen und
den Datenfluss abhören, um
die MAC-(Maschinen-)Adresse der ersten Einheit in Erfahrung zu bringen.
Er könnte
dann versuchen, sich als die erste Einheit auszugeben, indem er
die eindeutige Kennung (MAC-Adresse) vortäuscht und ihr Zertifikat erneut
sendet, aber der Betrüger
hat keine Möglichkeit,
an den privaten Schlüssel
der ersten Einheit zu gelangen, der im geschützten Speicher geheim gehalten
wird, und er ist folglich nicht in der Lage, die Zufallszahl zu
signieren.
-
Weitere
Beispiele, bei denen die vorliegende Erfindung nützlich sein könnte, sind
unter anderem die Erzeugung von langfristigen sicheren Paar-Beziehungen
zwischen Einheiten ohne Eingabe von PINs oder Verschlüsselungsschlüssel, etwa
die Zuordnung einer Einheit wie beispielsweise einer Sprechgarnitur
zu einem Mobiltelefon, wie in 9 gezeigt
ist. Dies könnte
wie folgt vonstatten gehen. Ein Benutzer hat zwei Einheiten (6001 und 6003), zwischen
denen er eine sichere Beziehung herstellen möchte. Jede Einheit ist mit
einem Einheitenzertifikat versehen, wie zuvor beschrieben wurde,
das ihre Einheitenkennung oder Seriennummer enthält, die auch außen sichtbar
oder durch ein externes Mittel bekannt ist. Statt dass das Einheitenzertifikat,
der passende private Schlüssel
und der öffentliche Schlüssel der
Zertifizierungsstelle von einem Administrator erzeugt werden, könnten diese
Datenelemente vom Hersteller vorinstalliert werden 6010.
Die Einheit wird dann vom Hersteller in uninitialisiertem Zustand
(ohne paarweise Zuordnung) verschickt, d.h. ohne Verbindungsschlüssel, PINs
oder festgelegte Paar-Zuordnungen. Wenn man die beiden nicht paarweise
zugeordneten Einheiten in Funknähe bringt,
drückt
der Benutzer eine Taste 6020, die eine besondere Funktion
ausführt,
wenn die Einheit nicht einer anderen Einheit paarweise zugeordnet
ist. Sie bewirkt, dass die Einheit ihr Zertifikat an die andere Einheit
sendet 6030, wie mit Bezug auf 4 beschrieben
wurde. Mindestens eine der beiden Einheiten muss über eine
Anzeigeeinheit verfügen
(dies gilt auch für
Einheiten, die akustische oder andere Ausgabemittel verwenden),
die die Kennung der paarweise zugeordneten Einheit anzeigen kann 6040.
Die Einheit mit der Anzeige prüft
das Zertifikat der anderen Einheit auf Gültigkeit, indem sie unter Verwendung
des öffentlichen
Schlüssels
der Zertifizierungsstelle die Echtheit der Zertifikatskette prüft. Wenn
die Kennung der Einheit in dem Zertifikat mit der Kennung der Einheit übereinstimmt,
die sich auf der Außenseite
der Einheit befindet oder durch ein anderes externes Mittel bekannt
ist, ist sie echt 6050. Der Benutzer drückt dann eine Taste 6060 (oder
ein anderes Mittel, mit dem eine Auswahl getroffen werden kann), die
Einheit nimmt die Paar-Beziehung an, und die Einheitenkennung (oder
optional die Verbindungsschlüssel)
wird in den Permanent- oder Langfristspeicher (Flash-RAM oder ein ähnlicher
Speicher, der eine lokale Zugriffssteuerungsdatenbank darstellt) geladen.
Wenn das Zertifikat nicht mit der Kennung der Einheit übereinstimmt,
lehnt der Benutzer die paarweise Zuordnung ab, und die Operation
wird beendet 6070. Nun sind die beiden Einheiten einander paarweise
zugeordnet und können
sicher (unter Verwendung von Zertifikaten oder optional der Verbindungsschlüssel als
gemeinsam genutztes Geheimnis) erneut die Echtheit von verschlüsselten
Verbindungen nachweisen und diese herstellen. Dadurch können Hersteller
Einheiten eindeutig paarweise zuordnen, ohne die Herstellung der
Einheiten über
den gesamten Produktionsprozess hinweg zu synchronisieren. Wenn
der Eigner einer paarweise zugeordneten Einheit die Eignerschaft
dieser Einheit auf eine andere Person übertragen möchte, kann der Eigner die Paar-Zuordnung aufheben,
und der zukünftige Eigner
kann neue Paar-Beziehungen für
die Einheit herstellen, indem er die gleichen Schritte durchführt, die
zuvor beschrieben wurden.
-
Dieses
Verfahren zur Initialisierung auf der Grundlage von Einheitenzertifikaten
ist besonders für Endgeräte geeignet,
die einander langfristig ausschließlich zugeordnet sind, wie
zum Beispiel ein schnurloses Telefon-Handset und eine Telefon-Basisstation, ein
Personal Computer und eine schnurlose Sprechgarnitur, ein Personal
Computer und eine schnurlose Maus usw.