-
1. Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft ein Verfahren und System der Datenverarbeitung
für die
Fernaktivierung und Verwaltung von persönlichen Sicherheitsvorrichtungen
(PSD, Personal Security Devices) über ein Netz zu Zwecken des
Erhalts von Dienstleistungen oder Daten von einem oder mehreren
entfernten Computersystemen. Noch genauer betrifft die Erfindung
ein sicheres Verfahren zur Aktivierung und Verwaltung einer persönlichen
Sicherheitsvorrichtung in einem Schritt.
-
2. Hintergrund der Erfindung
-
Der
Stand der Technik bezüglich
der Verwaltung von persönlichen
Sicherheitsvorrichtungen (PSD's),
zum Beispiel von Chipkarten, benötigt
einen Vorgang in mehreren Schritten, in dem die gesamte zur Verwendung
einer persönlichen
Sicherheitsvorrichtung notwendige Information vor dem Vertrieb in diese
persönliche
Sicherheitsvorrichtung eingegeben wird, einschließlich einer
anfänglichen
persönlichen Identifikationszahl
oder PIN. Die persönliche
Sicherheitsvorrichtung wird dann zu dem Endverbraucher geschickt,
gefolgt von einem davon getrennten Brief, der die PIN enthält, welche
der Verwender bei der erstmaligen Verwendung der persönlichen
Sicherheitsvorrichtung eingeben muss. Eine andere geläufige Alternative
befestigt ein Klebetikett, das eine Telefonnummer enthält, vor
der Ausgabe an der persönlichen
Sicherheitsvorrichtung. Dieses Etikett stellt Anweisungen für den Endverbraucher
bereit, wie er ein Callcenter anrufen soll, um die persönliche Sicherheitsvorrichtung
zu aktivieren, bevor die Vorrichtung benutzt werden kann.
-
Die
ersteren und letzteren Verfahren bilden Verfahren in mehreren Schritten,
was die anfänglichen
Vertriebs- und nachfolgenden Verwaltungskosten der persönlichen
Sicherheitsvorrichtungen beträchtlich
erhöht.
Zum Beispiel werden bei der Ausgabe von Chipkarten zusätzliche
Kosten für
Ausrüstung,
Wartung, Arbeit und Betrieb benötigt,
um entweder die eine anfängliche
PIN enthaltenden, getrennten Briefsendungen zu erzeugen oder um
auf die Chipkarten zu verbringende Klebetiketten zu erzeugen und
die Callcenter zu betreiben, welche die Karten aktivieren.
-
Ein
anderer hauptsächlicher
Nachteil des Standes der Technik betrifft das Fehlen der Möglichkeit,
innerhalb der PSD enthaltene Information zu verwalten, nachdem die
Vorrichtung ausgegeben wurde. Derzeit werden persönliche Sicherheitsvorrichtungen,
die Änderungen
benötigen,
entweder zu einem zentralen Ort zurück geschickt oder einfach weggeworfen
und durch eine neue Vorrichtung ersetzt. Beide Vorgänge sind
zeitaufwändig
und teuer.
-
Die
Druckschrift
WO 9852161 offenbart
ein System, mit welchem der Inhalt einer Chipkarte online durch
einen Anwendungs-Provider über
eine Kommunikations-Verknüpfung zu
einem Client ausgefüllt
wird.
-
3. Zusammenfassung der Erfindung
-
Es
ist ein Ziel der vorliegenden Erfindung, ein Verfahren zum sicheren
Herunterladen und Verwalten von Information innerhalb des sicheren
Bereiches einer persönlichen
Sicherheitsvorrichtung nach deren Ausgabe bereitzustellen.
-
Dieses
Ziel wird durch den Erfindungsgegenstand, wie in den Ansprüchen definiert,
erreicht.
-
Diese
Verbesserung gegenüber
dem derzeitigen Stand der Technik verwendet eine Kommunikations-Pipeline,
welche das Herunterladen von Information in eine informationsfreie
persönliche
Sicherheitsvorrichtung und nachfolgend Verwaltung dieser Information
ermöglicht.
Für Zwecke
dieser Erfindung fehlen einer informationsfreien persönlichen
Sicherheitsvorrichtung proprietäre
Algorithmen und/oder Daten, sie enthält aber eine eingebettete Laufzeitumgebung
und wahlweise einen eindeutigen Identifikationscode.
-
In
einer ersten Ausführungsform
des Verfahrens der Erfindung befindet sich der entfernte Speicherplatz
in dem mindestens ersten entfernten Computersystem.
-
In
einer zweiten Ausführungsform
des Verfahrens der Erfindung befindet sich der entfernte Speicherplatz
in mindestens einem, mit dem mindestens ersten entfernten Computersystem über ein zweites
Netz funktionsfähig
verbundenen nachgeordneten, entfernten Computersystem, und der Schritt
b) umfasst den Schritt des Übermittelns
der proprietären
Information von dem mindestens einen, nachgeordneten, entfernten
Computersystem an das mindestens erste, entfernte Computersystem
durch das zweite Netz.
-
Diese
Ausführungsformen
erlauben entweder dem entfernten Computersystem das Aufrechterhalten
der Kommunikations-Pipeline (erste Ausführungsform) oder einem nachgeordneten
entfernten Computersystem (zweite Ausführungsform) das Herunterladen
proprietärer
Information, wie von Authentifizierungs-Algorithmen, kryptographischen
Schlüsseln,
Berechtigungsnachweisen oder Zertifikaten direkt in eine durch die
Kommunikations-Pipeline mit einem örtlichen Client verbundene
persönliche
Sicherheitsvorrichtung, ohne dass dem örtlichen Client proprietäre Information
offenbart wird.
-
Ein
hauptsächlicher
Vorteil des Verfahrens der Erfindung ist, dass es ermöglicht,
dass die informationsfreie persönliche
Sicherheitsvorrichtung in Masse ausgegeben und zu einem späteren Zeitpunkt ohne
Gefährdungsrisiko
aktiviert wird. Da in der Massenverteilung keine proprietären Daten
beinhaltet sind, sind die persönlichen
Sicherheitsvorrichtungen nicht dazu verwendbar, Zugang zu gesicherten
Funktionen oder Daten zu erlangen.
-
Ein
Beispielvorgang, mit dem eine informationsfreie persönliche Sicherheitsvorrichtung
aktiviert wird, ist wie folgt: ein Endverbraucher, der vorher eine
informationsfreie persönliche
Sicherheitsvorrichtung erhalten hat, verbindet die persönliche Sicherheitsvorrichtung
mit einem örtlichen
Client und erhält über ein
auf einem entfernten Computersystem befindliches Netz Zugang zu
einer vorbestimmten Stelle. Das entfernte Computersystem kann wahlweise
Authentifizierung des Endverbrauchers durch irgendein vorbestimmtes
Verfahren, wie Eingabe einer Sozialversicherungsnummer, einer statischen
PIN, des Mädchennamens
der Mutter und so weiter anfordern. Alternativ kann Authentifizierung unter
Verwendung einer eindeutigen, innerhalb der persönlichen Sicherheitsvorrichtung
enthaltenen Kennung bewerkstelligt werden.
-
Sobald
der Endverbraucher ordentlich authentifiziert oder gültig mit
der persönlichen
Sicherheitsvorrichtung verbunden ist, bildet ein entferntes Computersystem
eine Kommunikations-Pipeline und lädt herunter (erste Ausführungsform)
oder veranlasst ein nachgeordnetes Computersystem zum Herunterladen
(zweite Ausführungsform)
der notwendigen Information durch die Kommunikations-Pipeline und
in die persönliche
Sicherheitsvorrichtung. Die persönliche
Sicherheitsvorrichtung kann bei dem Abschluss des Vorgangs aktiviert
werden, oder der Endverbraucher wird als eine zusätzliche
Sicherheitsmaßnahme
dazu aufgefordert, einen eindeutigen PIN-Code anzugeben und zu übertragen,
um den Zugang zu der persönlichen
Sicherheitsvorrichtung weiter zu schützen.
-
In
den beiden Ausführungsformen
der Erfindung wird ein System zum Verwalten (das heißt, Aktualisieren,
Verändern,
Löschen)
von PSD-Algorithmen und -Daten erleichtert, indem entfernt Zugang zu
den persönlichen
Sicherheitsvorrichtungen erhalten wird und dann die Veränderungen
direkt in die persönlichen
Sicherheitsvorrichtungen heruntergeladen werden, ohne auf den Clients
proprietäre
Information zu hinterlassen. Irgendwelche notwendigen Veränderungen
an der proprietären
Information können
vollständig
innerhalb des sicheren Bereiches der persönlichen Sicherheitsvorrichtung
durchgeführt werden.
-
In
den beiden Ausführungsformen
der Erfindung erfolgen alle Transaktionen innerhalb des sicheren
Bereiches einer persönlichen
Sicherheitsvorrichtung und eines sicheren entfernten Computersystems,
wodurch Sicherheit von einem Ende zum anderen Ende gewährleistet
wird.
-
In
der zweiten Ausführungsform
der Erfindung wird eine zentrale Hinterlegungsstelle zum Nachverfolgen
von PSD-Veränderungen
bereitgestellt, was die Verwaltung von großen Anzahlen von persönlichen
Sicherheitsvorrichtungen stark vereinfacht.
-
Ein
anderes Ziel der Erfindung ist, ein System zum Bewerkstelligen des
vorstehend erwähnten Verfahrens
bereitzustellen.
-
4. Kurze Beschreibung von
Zeichnungen
-
1 ist
ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer
informationsfreien Kommunikations-Pipeline,
-
2 ist
ein ausführliches
Blockdiagramm, das die Initialisierung einer informationsfreien
Kommunikations-Pipeline abbildet,
-
3 ist
ein ausführliches
Blockdiagramm, das den Aufbau einer informationsfreien Kommunikations-Pipeline
abbildet,
-
4A ist
ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer
sicheren Kommunikations-Pipeline, welche Software-basierte Sicherheitsmechanismen
beinhaltet,
-
4B ist
ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer
sicheren Kommunikations-Pipeline, welche HSM-basierte Sicherheitsmechanismen
beinhaltet,
-
5 ist
ein ausführliches
Blockdiagramm, das die Initialisierung einer sicheren Kommunikations-Pipeline
abbildet,
-
6 ist
ein ausführliches
Blockdiagramm, das den Aufbau einer sicheren Kommunikations-Pipeline
abbildet,
-
7 ist
ein allgemeines System-Blockdiagramm zum Verwirklichen der Authentifizierung
einer persönlichen
Sicherheitsvorrichtung gegenüber
mindestens einem entfernten Computersystem,
-
8 ist
ein ausführliches
Blockdiagramm, das die Aufforderung zur anfänglichen Authentifizierung
veranschaulicht,
-
9 ist
ein ausführliches
Blockdiagramm, das die Rückantwort
zur anfänglichen
Authentifizierung veranschaulicht,
-
10 ist
ein ausführliches
Blockdiagramm, das die Aufforderung zur entfernten Authentifizierung veranschaulicht,
-
11 ist
ein ausführliches
Blockdiagramm, das die Rückantwort
zur entfernten Authentifizierung veranschaulicht,
-
12 ist
ein ausführliches
Blockdiagramm, das die Übertragung
des Berechtigungsnachweises zur Authentifizierung veranschaulicht,
-
13 ist
ein ausführliches
Blockdiagramm, das die Aufforderung zur entfernten Authentifizierung unter
Verwendung des übertragenen
Berechtigungsnachweises veranschaulicht,
-
14 ist
ein ausführliches
Blockdiagramm, das die Rückantwort
zur entfernten Authentifizierung unter Verwendung des übertragenen
Berechtigungsnachweises veranschaulicht,
-
15A ist ein allgemeines System-Blockdiagramm
zum Ausüben
der vorliegenden Erfindung unter Verwendung eines ersten entfernten
Computersystems (erste Ausführungsform
der Erfindung),
-
15B ist ein allgemeines System-Blockdiagramm zum
Ausüben
der vorliegenden Erfindung unter Verwendung eines nachgeordneten
entfernten Computersystems (zweite Ausführungsform der Erfindung),
-
16 ist
ein ausführliches
Blockdiagramm, das die direkte Übertragung
von proprietärer
Information auf eine persönliche
Sicherheitsvorrichtung veranschaulicht (erste Ausführungsform
der Erfindung),
-
17 ist
ein ausführliches
Blockdiagramm, das die entfernte Übertragung von proprietärer Information
auf eine persönliche
Sicherheitsvorrichtung veranschaulicht (zweite Ausführungsform
der Erfindung).
-
5. Ausführliche Beschreibung der Erfindung
-
In
einem ersten Teil (Abschnitt 5.1) wird die vorliegende ausführliche
Beschreibung der Erfindung offenbaren, wie eine informationsfreie
Kommunikations-Pipeline und eine sichere Kommunikations-Pipeline
zwischen einer persönlichen
Sicherheitsvorrichtung und einem entfernten Computersystem aufzubauen
ist.
-
In
einem zweiten Teil (Abschnitt 5.2) wird die vorliegende ausführliche
Beschreibung der Erfindung offenbaren, wie die Sicherheit eines
Authentifizierungsvorgangs einer persönlichen Sicherheitsvorrichtung
gegenüber
einem entfernten Computersystem unter Verwendung der sicheren Kommunikations-Pipeline
zu verbessern ist und wie das entfernte Computersystem als ein sicherer
Netzknoten zur Authentifizierung der persönlichen Sicherheitsvorrichtung
gegenüber
einer Vielzahl von nachgeordneten entfernten Computersystemen zu
verwenden ist.
-
In
einem dritten Teil (Abschnitt 5.3) wird die vorliegende ausführliche
Beschreibung der Erfindung ein Verfahren und System zum sicheren
Herunterladen und Verwalten von Information innerhalb des sicheren
Bereiches einer persönlichen
Sicherheitsvorrichtung nach deren Ausgabe offenbaren.
-
Der
zweite Teil der ausführlichen
Beschreibung wird auf der Verwendung einer sicheren Kommunikations-Pipeline
beruhen, die vorliegende Erfindung ist aber nicht auf eine derartige
Verwendung beschränkt.
-
Die
Verwendung einer informationsfreien Kommunikations-Pipeline, das
heißt
einer Kommunikations-Pipeline, welche keine kryptographischen Mechanismen
zwischen den Endpunkten einbezieht, fällt in den Umfang der vorliegenden
Erfindung.
-
Man
beachte auch, dass die folgende Beschreibung der Erfindung auf einer
persönlichen
Sicherheitsvorrichtung beruhen wird, welche gemäß dem APDU (Application Protocol
Data Unit) formatierte Mitteilungen empfangt und aussendet.
-
Das
APDU-Mitteilungs-Übermittlungsformat,
welches an sich im Stand der Technik bekannt ist, ist ein Mitteilungs-Übermittlungsformat
unterer Ebene, welches einer persönlichen Sicherheitsvorrichtung
ermöglicht,
mit Anwendungen höherer
Ebene zu kommunizieren, die sich in Vorrichtungen befinden, mit
denen die persönliche
Sicherheitsvorrichtung verbunden werden soll.
-
Es
muss klar sein, dass die vorliegende Erfindung nicht auf die Verwendung
eines APDU- Mitteilungs-Übermittlungsformates
beschränkt
ist, und dass irgendein anderes Mitteilungs-Übermittlungsformat
niedriger Ebene, das von der persönlichen Sicherheitsvorrichtung
verarbeitet werden kann, in den Bereich der vorliegenden Erfindung
fällt.
-
5.1 Aufbau einer Kommunikations-Pipeline
-
5.1.1 Informationsfreie Kommunikations-Pipeline
-
Mit
Bezug auf 1 wird ein verallgemeinertes
Blockdiagramm der Architekturen von einem Client 10 und
einem entfernten Computersystem abgebildet. Die verschiedenen gezeigten
Protokollschichten beruhen auf dem Open System Interconnection (OSI)-Modell.
Zur Vereinfachung werden bestimmte, dem Client und auch dem entfernten
Computersystem gemeinsame Protokollschichten nicht gezeigt und sollten
als in angrenzenden Protokollschichten vorhanden und in diese eingebracht
gedacht werden. Die dem Client und auch dem entfernten Computersystem
gemeinsamen Protokollschichten beinhalten:
- • eine Anwendungs-Protokollschicht 90,
welche allgemein Software-Anwendungen höherer Ebene (zum Beispiel ein
Textverarbeitungsprogramm) und eine Anwenderschnittstelle, wie eine
graphische Anwenderschnittstelle (GUI) enthält,
- • eine
Protokollschicht 100 auf der Ebene der Schnittstelle zur
Anwendungsprogrammierung (API, Application Programming Interface) 100 zum
Verarbeiten und Bearbeiten von Daten zur Verwendung durch Anwendungen
auf entweder höherer
oder niedrigerer Ebene,
- • eine
Kommunikations-Protokollschicht 105, welche sichere Kommunikationsfähigkeiten
beinhaltende Kommunikationsprogramme enthält, welche es einem Client
ermöglichen,
mit einem entfernten Computersystem zu kommunizieren, um in einem
kongruenten Protokoll Information auszutauschen und umgekehrt,
- • eine
Betriebssystem-Protokollschicht 110 oder eine gleichwertige
Laufzeitumgebung, welche die Zuweisung und Verwendung von Hardware- Ressourcen wie Speicher,
zentrale Verarbeitungseinheits-(CPU)-Zeit, Plattenplatz, Zuordnungen
von Eingangs/Ausgangs-Anschlüssen
der Hardware und Verwaltung von Peripheriegeräten steuert.
- • Eine
Hardwaretreiber-Protokollschicht 120, welche es dem Betriebssystem
ermöglicht,
mit physikalischen Vorrichtungen zu kommunizieren oder sie zu steuern,
die mit der Eingangs/Ausgangs – Hardware-Sammelleitung
des Clients oder des entfernten Computersystems verbunden sind,
- • und
eine Protokollschicht der physikalischen Vorrichtungen 130,
in welcher Netz-Schnittstellenkarten
(NIC, Network Interface Card) 140 die physikalischen Verbindungen
mit einem Telekommunikationsnetz 45 bereitstellen. Auf
dieser Protokollschicht können
auch andere Hardware-Vorrichtungen 80 verbunden sein.
-
5.1.1.1. Client-spezifische Merkmale
-
Ein
spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des
Clients enthalten ist und auf das als ein Pipeline-Client 15 Bezug
genommen wird, steht in Wechselwirkung mit innerhalb der Kommunikation-Protokollschicht 105 enthaltenen Kommunikationsprogrammen.
Der Pipeline-Client 15 dient dazu, eingebettete APDU-Anforderungen von eingehenden,
von einem Netz 45 empfangenen Mitteilungs-Übermittlungspaketen zur Verarbeitung durch
eine lokal verbundene PSD 40 zu trennen. Alternativ werden
von dem Pipeline-Client 15 von einer lokal verbundenen
PSD 40 erzeugte, ausgehende APDU-Rückantworten durch innerhalb
der Kommunikations-Protokollschicht 105 enthaltene
Kommunikationsprogramme zur Einbettung in ein kongruentes Kommunikationsprotokoll
verarbeitet.
-
Ein
Softwaretreiber, der innerhalb der Kommunikations-Protokollschicht 105 des
Clients enthalten ist und auf den als eine PSD-Softwareschnittstelle 20 Bezug
genommen wird, lenkt durch den Pipeline-Client 15 mitgeteilte,
ankommende APDU's
in den Eingangs/Ausgangs-Geräteanschluss,
der die PSD-Hardwaregeräteschnittstelle 25 mit
der lokal verbundenen persönlichen
Sicherheitsvorrichtung (PSD) 40 verbindet. Von der persönlichen
Sicherheitsvorrichtung erzeugte, ausgehende APDU's werden über die PSD-Hardwaregeräteschnittstelle 25 durch
den Eingangs/Ausgangs-Geräteanschluss
der PSD- Softwareschnittstelle 20 mitgeteilt
und daraufhin dem Pipeline-Client 15 mitgeteilt.
-
5.1.1.2. Spezifische Merkmale des entfernten
Computersystems
-
Ein
erstes spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des
entfernten Computersystems 50 enthalten ist und auf das
als eine APDU-Schnittstelle 55 Bezug genommen wird, übersetzt
Mitteilungsübermittlungsformate
höherer Ebene
in das Mitteilungs-Übermittlungsformat
niedrigerer Ebene, das benötigt
wird, um mit einer PSD 40 zu kommunizieren. Alternativ übersetzt
die APDU-Schnittstelle 55 von einer PSD 40 erhaltene,
ankommende APDU-Rückantworten
in Mitteilungsübermittlungsformate
höherer
Ebene, die von Programmen in der API-Protokollschicht 100 und
der Anwendungs-Protokollschicht 90 des entfernten Computersystems
verwendet werden.
-
Ein
zweites spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des
entfernten Computersystems 50 enthalten ist und auf das als
einen Pipeline-Server 70 Bezug genommen wird, steht in
Wechselwirkung mit innerhalb der Kommunikations-Protollschicht 105 enthaltenen
Kommunikationsprogrammen. Der Pipeline-Server 70 dient
dazu, zur Verarbeitung durch die APDU-Schnittstelle 55 eingebettete
APDU-Anforderungen
von ankommenden Mitteilungs-Übermittlungspaketen
zu trennen, die von einem Netz 45 empfangen wurden. Alternativ werden
von der APDU-Schnittstelle 55 übersetzte, ausgehende APDU-Aufforderungen
zur Einbettung in ein kongruentes Kommunikationsprotokoll durch
in der Kommunikations-Protokollschicht 105 enthaltene Kommunikationsprogramme
verarbeitet.
-
5.1.1.3 Andere Merkmale
-
Die
Verbindung 30 zwischen der PSD 40 und der PSD-Hardwareschnittstelle 25 beinhaltet
traditionelle elektrische oder optische Faserverbindungen oder drahtlose
Mittel einschließlich
optischen, funktechnischen, akustischen, magnetischen oder elektromechanischen
Mitteln, ist aber nicht darauf beschränkt. In gleicher Weise kann
die Verbindung zwischen dem Client 10 und dem Netz 45 und
die Verbindung 75 zwischen dem entfernten Computersystem 50 und
dem Netzwerk 45 auf analoge Art erreicht werden.
-
Das
in allgemeiner Weise bei 45 gezeigte Netz beinhaltet öffentliche
und auch private Telekommunikationsnetze, die durch traditionelle
elektrische, optische und elektroakustische (DTMF) oder durch andere
drahtlose Mittel verbunden sind. Irgendein wechselseitig kongruentes
Kommunikationsprotokoll, das in der Lage ist, APDU-Befehle einzubetten, kann
verwendet werden, um eine informationsfreie Kommunikations-Pipeline
aufzubauen, die offene oder sichere Kommunikationsprotokolle beinhaltet.
-
Mit
Bezug nun auf 2 wird das Initialisieren einer
informationsfreien Kommunikations-Pipeline zwischen dem entfernten Computersystem 50 und
der mit einem Client 10 verbundenen PSD 40 abgebildet.
In dieser Abbildung sendet das entfernte Computersystem 50 eine
Anforderung an die persönliche
Sicherheitsvorrichtung 40 nach nicht-proprietärer eingebetteter
Information 35, zum Beispiel einer Identifikationszahl.
Die persönliche
Sicherheitsvorrichtung 40 ist unter Verwendung der PSD-Schnittstelle 25 mit
dem örtlichen
Client 10 verbunden 30. Die PSD-Schnittstelle 25 steht
mit dem Client 10 über den
Hardwaregeräteausgang 5 in
Verbindung.
-
Um
eine informationsfreie Kommunikations-Pipeline zwischen dem entfernten
Computersystem 50 und der PSD 40 zu initialisieren
erzeugt das entfernte Computersystem 50 mittels API-Programmen 100 eine
Anforderung 200, die von der APDU-Schnittstelle 55 in
das APDU-Format 220 übersetzt
und zu dem Pipeline-Server 70 zur Mitteilungs-Einbettung gesendet
wird. Die eingebetteten APDU's
werden dann zu den Kommunikationsprogrammen 105S gesendet 210,
um in ausgehende Mitteilungspakete 230 eingebracht zu werden.
-
Die
die eingebetteten APDU's
enthaltenden Mitteilungspakete 230 werden über das
Netz 45 über eine
Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130S übermittelt.
Der Client 10 empfangt die die eingebetteten APDU's enthaltenden Mitteilungspakete 240,
welche von dem Netz 45 über
eine auf dem lokalen Client installierte Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 130C empfangen werden. Die eingehenden
Mitteilungen werden durch Client-seitige Kommunikationsprogramme 15C verarbeitet
und zur APDU-Entpackung in den Pipeline-Client 15 weitergeleitet 250.
Die entpackten APDU's
werden durch den Hardwaregeräteausgang 5 gesendet 260,
in die PSD-Schnittstelle 25 weitergeleitet 270 und über die Verbindung 30 zur
Verarbeitung innerhalb des PSD-Bereiches 35 zu der PSD 40 gesendet.
-
Alternative
Anforderungen, eine informationsfreie Kommunikations-Pipeline zwischen
einem entfernten Computersystem 50 und einer persönlichen
Sicherheitsvorrichtung 40 zu bilden, können von dem Client 10 initiiert
werden, der Zugang zu Information anfordert, die auf einem oder
mehreren vernetzten lokalen Clients enthalten ist, indem eine PSD 40 mit
der PSD-Schnittstelle 25 verbunden wird, welche eine Anforderung
initiiert, eine informationsfreie Kommunikations-Pipeline 75 zu
bilden, oder von einem anderen entfernten Computersystem, das Zugang
zu der PSD 40 anfordert.
-
Mit
Bezug nun auf 3 wird eine PSD-Rückantwort
abgebildet, welche die informationsfreie Kommunikations-Pipeline
zwischen der PSD 40 und dem entferntem Computersystem 50 aufbaut.
In dieser Abbildung wird die vorher empfangene Anforderung innerhalb
des PSD-Bereiches 35 verarbeitet, welcher eine Rückantworts-Mitteilung
erzeugt. Die PSD-Rückantwort
wird von der PSD 40 in APDU-Format durch die Verbindung 30 und
in die PSD-Schnittstelle 25 gesendet. Die PSD-Rückantwort
wird dann durch den Hardwaregeräteausgang 5 weitergeleitet 370 und
zur Verarbeitung und Einbettung zu dem Pipeline-Client 15 gesendet 360.
Die sich ergebenden Mitteilungspakete werden dann zur Einbringung
in ausgehende Mitteilungspakete 340 zu den Client-seitigen
Kommunikationsprogrammen 105 gesendet 350. Die
Mitteilungspakete 340, welche die eingebetteten APDU's enthalten, werden über das
Netz 45 über
die Netz-Schnittstellenkarte (I/O,
Eingang/Ausgang) 130C übermittelt 75.
-
Das
entfernte Computersystem 50 empfangt die die eingebetteten
APDU's enthaltenden
Mitteilungspakete 330, welche über die auf dem entfernten Computersystem
installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C von
dem Netz 45 empfangen werden. Die eingehenden Mitteilungen
werden durch Server-seitige Kommunikationsprogramme 105S verarbeitet
und zur APDU-Entpackung in den Pipeline-Server 70 weitergeleitet 310.
Die entpackten APDU's
werden zur Verarbeitung und Übersetzung
in ein Format höherer
Ebene zu der APDU-Schnittstelle 55 gesendet 320 und
wenn gewünscht
zur Verarbeitung und weiteren Arbeitsvorgängen mit der PSD 40 zu
Programmen 100 auf API-Ebene gesendet 300.
-
5.1.2. Sichere Kommunikations-Pipeline
-
Mit
Bezug nun auf 4A wird ein verallgemeinertes
System-Blockdiagramm von einer Verwirklichung einer sicheren Kommunikations-Pipeline
gezeigt. Das allgemeine System Blockdiagramm beinhaltet ein zusätzliches,
auf dem entfernten Computersystem installiertes Software-basiertes
Kryptographiemodul 470, welches nicht in 1 gezeigt
wird.
-
4B veranschaulicht
eine Alternative zur Verwendung von Software-basierten Sicherheitsmechanismen.
In dieser Alternative wird ein Hardware-Sicherheitsmodul (HSM) 440 verwendet,
um krytopgraphische Funktionen durchzuführen. Um Zugang zu dem HSM
zu erhalten, ist in der API-Protokollschicht 100 ein Softwaretreiber
beinhaltet, auf den als eine HSM S/W-Schnittstelle 475 Bezug
genommen wird. Der HSM-Softwaretreiber
kommuniziert mit einer in der Protokollschicht für physikalische Geräte 130 beinhalteten
Schnittstelle für
physikalische Geräte.
Die Schnittstelle für
physikalische Geräte
ist auf der Eingangs/Ausgangs-Mehrfachleitung des entfernten Computersystems
installiert und auf sie wird als eine HSM H/W-Schnittstelle 485 Bezug genommen.
Das HSM-Modul 440 ist mit der HSM H/W-Schnittstelle in
einer Weise analog zu der vorstehend beschriebenen PSD-Verbindung
zu der PSD-Schnittstelle verbunden 430. Die Verwendung der
HSM-Technologien gewährt
Sicherheit von Endpunkt zu Endpunkt, was die Möglichkeit von unberechtigter
Offenbarung von kryptographischer oder sensibler Information weiter
verringert.
-
Beide
in 4A und 4B gezeigten
Sicherheitsmechanismen für
APDU-Mitteilungsübermittlung
werden verwendet, um kryptographische Schlüssel zu erzeugen, die notwendig
sind, um in dem sicheren Bereich einer PSD enthaltene gesicherte
Funktionen und Daten aufzuschließen, ausgehende APDU's zu verschlüsseln und
eingehende verschlüsselte
APDU's zu entschlüsseln. Die
bei dem Erzeugen einer sicheren Kommunikations-Pipeline verwendeten
Sicherheitsmechanismen können
synchrone, asynchrone oder irgendeine Kombination von kryptographischen
Verfahren umfassen.
-
Zum
Kommunizieren über
ein Netz verwendete sichere Kommunikationsprotokolle werden durch
die innerhalb der Kommunikations-Protokollschichten 105 enthaltenen
Kommunikationsprogramme erhalten. Bei der Erzeugung sicherer Kommunikationen
verwendete Kryptographie kann die für APDU-Nachrichtenübermittlung
beschriebenen Sicherheitsmechanismen verwenden, separate Mechanismen
verwenden oder irgendeine Kombination davon verwenden.
-
Mit
Bezug nun auf 5 wird das Initialisieren einer
sicheren Pipeline zwischen dem entfernten Computersystem und der
mit dem Client 10 verbundenen PSD 40 veranschaulicht.
In dieser Abbildung sendet das entfernte Computersystem 50 eine
sichere Anforderung zu individueller eingebetteter Information 35 an
die persönliche
Sicherheitsvorrichtung 40, zum Beispiel einem Authentifizierungs-Passwort. Die
PSD 40 ist mit dem lokalen Client 10 unter Verwendung
der PSD-Schnittstelle 25 verbunden 30. Die PSD-Schnittstelle 25 kommuniziert über den Hardwaregeräteausgang 5 mit
dem Client 10.
-
Um
eine sichere Kommunikations-Pipeline zwischen dem entfernten Computersystem 50 und der
PSD 40 zu initialisieren, wird auf dem entfernten Computersystem 50 eine
Anforderung 500 erzeugt, mittels API-Programmen 100,
die von der APDU-Schnittstelle 55 in APDU-Format übersetzt
werden, Zugang zu der PSD 40 zu erhalten. Die APDU's werden dann zur
Verschlüsselung
unter Verwendung eines vorher aufgebauten Kryptographieverfahrens zu
einem Sicherheitsmodul 525 gesendet 520. Die richtigen
kryptographischen Parameter können
bestimmt werden, indem eine Nachschlagtabelle oder Datenbank mit
Querbezügen
auf die eindeutige interne Identifikationsinformation der persönlichen
Sicherheitsvorrichtung mit einem oder mehreren Codes, die notwendig
sind, um das angedeutete Kryptographieverfahren auszuüben, verwendet
wird.
-
Die
verschlüsselten
APDU's werden dann zur
Mitteilungs-Einbettung zu dem Pipeline-Server 70 weitergeleitet 510.
Die eingebetteten APDU's
werden zur Verarbeitung, Verschlüsselung
unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls
und Einbringung in ausgehende Mitteilungspakete 535 zu
den Kommunikationsprogrammen 105 gesendet 530.
Die gesicherten Mitteilungspakete 535, welche die verschlüsselten
und eingebetteten APDU's
enthalten, werden über
eine Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 130S über das Netz 45 übermittelt 75.
-
Der
Client 10 empfängt
die Mitteilungspakete 535, enthaltend die verschlüsselten
und eingebetteten APDU's,
welche von dem Netz 45 über
eine auf dem lokalen Client 10 installierte Netz-Schnittstellenkarte
(110, Eingang/Ausgang) 130C empfangen werden.
-
Die
eingehenden verschlüsselten
Mitteilungspakete werden unter Verwendung vorher aufgebauter, in
dem sicheren Kommunikationsprotokoll von Client-seitigen Kommunikationsprogrammen 105C verwendeter
Kryptographie entschlüsselt
und verarbeitet. Die unverschlüsselten,
noch die verschlüsselten
APDU's enthaltenden
Mitteilungspakete werden in den Pipeline-Client 15 zur
APDU-Entpackung weitergeleitet 550. Die entpackten APDU's werden durch den
Hardwaregeräteausgang 5 gesendet 50,
in die PSD-Schnittstelle 25 weitergeleitet 570 und über Verbindung 30 zur
Entschlüsselung
und Verarbeitung innerhalb des geschützten Bereiches der PSD 40 zu
der PSD 40 gesendet. Unter Verwendung eines vorher aufgebauten
Kryptographieverfahrens werden eingehende sichere APDU's entschlüsselt und
Anforderungen verarbeitet.
-
Mit
Bezug nun auf 6 wird eine sichere PSD-Rückantwort
veranschaulicht, welche die sichere Kommunikations-Pipeline zwischen
der PSD 40 und dem entferntem Computersystem 50 aufbaut.
In dieser Abbildung wird die vorher empfangene sichere Anforderung
innerhalb des sicheren Bereiches 35 der PSD 40 verarbeitet,
was die persönliche
Sicherheitsvorrichtung zur Erzeugung einer sicheren Rückantworts-Mitteilung
unter Verwendung eines vorher aufgebauten Kryptographieverfahrens
veranlasst.
-
Die
sichere PSD-Rückantwort
wird im APDU-Format von der PSD 40 über die Verbindung 30 und
in die PSD-Schnittstelle 25 gesendet. Die sichere PSD-Rückantwort
wird dann durch den Hardwaregeräteausgang 5 weitergeleitet 670 und
zur Verarbeitung und Einbettung zu dem Pipeline-Client 15 gesendet 660.
Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung,
Verschlüsselung
unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls
und Einbettung in ausgehende Mitteilungspakete 640 zu den
Client-seitigen Kommunikationsprogrammen 105 gesendet 650.
Die die eingebetteten APDU's
enthaltenen Mitteilungspakete 640 werden über das
Netz 45 über
eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C übermittelt 75.
-
Das
entfernte Computersystem 50 empfangt die die eingebetteten
APDU's enthaltenden
Mitteilungspakete 635 von dem Netz 45 über die
auf dem entfernten Computersystem 50 installierte Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 130S. Die eingehenden Mitteilungen
werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 105 in
dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten
Kryptographieverfahrens verarbeitet und entschlüsselt und zur gesicherten APDU-Entpackung
in den Pipeline-Server 70 weitergeleitet 610.
Die entpackten sicheren APDU's
werden zur Entschlüsselung
der gesicherten APDU's
unter Verwendung des vorher aufgebauten Kryptographieverfahrens
zu dem Sicherheitsmodul 525 gesendet 630. Die
entschlüsselten APDU's werden dann zur
Verarbeitung und Übersetzung
in ein Format höherer
Ebene zu der APDU-Schnittstelle 55 weitergeleitet 620,
und wenn gewünscht
zur Verarbeitung und weiteren Arbeitsvorgängen mit der PSD 40 zu
API-Programmen 100 gesendet 600. Dieser Schritt
baut die sichere „Pipeline" zum Kommunizieren
mit der PSD auf. Die sichere Pipeline wird aufrechterhalten, bis
das entfernte Computersystem dem Client signalisiert, den Hardwaregeräteausgang 5 zu
schließen.
-
Bezüglich der
Anzahl der Kommunikations-Pipelines 75 mit einem oder mehreren
entfernten Computersystem(en) 50 bildenden persönlichen
Sicherheitsvorrichtungen und Clients ist keine Beschränkung beabsichtigt,
noch sollte irgendeine Beschränkung
der zum Erzeugen von Kommunikations-Pipelines 75 verfügbaren entfernten
Computersysteme aus den Zeichnungen abgeleitet werden. Letzten Endes
ist keine Beschränkung
in Betreff des Initialisierungs-Ereignisses zum Aufbau einer Kommunikations-Pipeline
beabsichtigt.
-
5.2. Authentifizierungs-Verfahren unter
Verwendung einer Kommunikations-Pipeline
-
Wie
schon vorstehend erwähnt,
wird die Beschreibung des Authentifizierungs-Verfahrens auf der
Verwendung einer sicheren Kommunikations-Pipeline beruhen, die vorliegende
Erfindung ist aber nicht auf eine derartige Verwendung beschränkt.
-
Die
Verwendung einer informationsfreien Kommunikations-Pipeline fällt in den
Umfang der vorliegenden Erfindung.
-
Die
zu der Durchführung
von Authentifizierung durch eine sichere Kommunikations-Pipeline gehörenden Schritte
werden in den 7 bis 14 gezeigt. 7 ist
ein verallgemeinertes System-Blockdiagramm. 8 bis 11 veranschaulichen
eine erste Variante, bei der Rückantworten
auf Authentifizierungs-Aufforderungen innerhalb des sicheren Bereiches
einer persönlichen
Sicherheitsvorrichtung erzeugt werden. 12 bis 14 veranschaulichen
eine zweite Variante, bei der ein als ein sicherer Netzknoten arbeitendes
entferntes Computersystem die richtige Rückantwort auf Authentifizierungs-Aufforderungen bereitstellt,
anstatt Aufforderungen durch die Kommunikations-Pipeline zur Verarbeitung
in die persönliche
Sicherheitsvorrichtung weiterzuleiten. Mit einem Apostroph gezeigte
Buchstaben (zum Beispiel G')
zeigen ein Duplikat eines originalen Authentifizierungsnachweises
an. Andere gezeigte, aber nicht beschriebene Einzelheiten in Zeichnungen
beziehen sich auf in dem vorhergehenden Abschnitt 5.1 beschriebene
Informationen.
-
Mit
Bezug nun auf 7 wird ein verallgemeinertes
System-Blockdiagramm abgebildet, bei dem eine persönliche Sicherheitsvorrichtung 1040 mit
einem Client 1010 verbunden ist, der selbst unter Verwendung
einer sicheren Kommunikations-Pipeline, wie in dem vorhergehenden
Abschnitt 5.1.2. beschrieben, über
ein Netz 1045 mit einem entfernten Computersystem 1050 verbunden
ist. Das entfernte Computersystem 1050 arbeitet nach anfänglicher Authentifizierung
als ein sicherer Netzknoten wie vorstehend beschrieben, um von nachgeordneten
entfernten Computersystemen gemachte, über ein Netz 1045 oder 1045A gesendete
Authentifizierungs-Anforderungen zu bedienen.
-
Das
nachgeordnete entfernte Computersystem 1150 ist ein Beispiel
eines Systems, das Authentifizierung benötigt, wenn eine Forderung nach
sicheren Funktionen oder Daten über
die Netze 1045 und 1045A von dem Clientcomputer 1010 gesendet
wird. Die sichere Kommunikations-Pipeline 1075 ist für Authentifizierungs-Verarbeitungsvorgänge gültig, beschränkt aber
nicht noch steuert sie unsichere Verarbeitungsvorgänge, die über Netz 1045 oder 1045A stattfinden.
-
Die
Netze 1045 und 1045A können ein gemeinsames Netz,
wie bei einer virtuellen, privaten Netzanordnung, oder getrennte
Netze privater Internet- und öffentlicher
Internet-Anordnungen
sein. Die Netze 1045 und 1045A werden lediglich
zu Zwecken der Veranschaulichung separat abgebildet. Bezüglich der
Anzahl der Kommunikations-Pipelines 1075 mit
einem oder mehrere sichere Netzknoten 1050 bildenden persönlichen
Sicherheitsvorrichtungen und Clients ist keine Beschränkung beabsichtigt;
noch sollte irgendeine Beschränkung
der Anzahl der zur Authentifizierung verfügbaren nachgeordneten entfernten
Computersysteme 1150 aus den Zeichnungen abgeleitet werden.
Keine Authentifizierungen nach sich ziehende Verarbeitungsvorgänge sind nicht
auf den sicheren Netzknoten beschränkt.
-
Der
grundlegende Betrieb des sicheren Netzknotens kann initialisiert
werden, wenn ein Endbenutzer an einem Client Zugang zu sicheren
Funktionen und Daten verlangt, die auf einem oder mehreren durch
ein Netz verbundenen entfernten Computersystem enthalten sind. Ein
verfügbares
entferntes Computersystem, in welchem eine sichere Kommunikations-Pipeline
wie in dem vorhergehenden Abschnitt 5.1.2. aufgebaut wurde, authentifiziert
den Endbenutzer und -Client unter Verwendung der innerhalb des sicheren
Bereiches der persönlichen
Sicherheitsvorrichtung enthaltenen Sicherheitsmechanismen. Alternativ
wird ein externes Ereignis, wie die Notwendigkeit, Information innerhalb
einer PSD zu aktivieren, ein nachgeordnetes entferntes Computersystem
dazu veranlassen, den Authentifizierungsvorgang zu initialisieren.
-
Sobald
eine anfängliche
Client-Authentifizierung von dem verfügbaren entfernten Computersystem
erreicht wurde, werden darauf folgende, von nachgeordneten entfernten
Computersystemen gemachte, über
ein Netz 1045 oder 1045A übertragene Authentifizierungs-Aufforderungen
zu dem als ein sicherer Netzknoten wirkenden entfernten Computersystem 1050 gerichtet
und werden je nach der verwendeten Variante entweder durch die geeignete Kommunikations-Pipeline 1075 zu
der PSD 1040 weitergeleitet oder direkt von dem entfernten
Computersystem 1050 authentifiziert.
-
5.2.1. Erste Variante des Authentifizierungs-Verfahrens
-
Mit
Bezug auf 8 veranlasst ein Client 1010,
um einen sicheren Netzknoten aufzubauen, dass eine Authentifizierungs-Aufforderung
auf einem entfernten Computersystem 1050 erzeugt wird,
indem er über
ein Netz 1045 Zugang zu sicheren Funktionen oder Daten
anfordert. Bei Erhalt der Anforderung von Client 1010 erzeugt
das entfernte Computersystem 1050 eine als Authentifizierungs-Routine 1065 bezeichnete
Authentifizierungs-Abfrage 1205 innerhalb eines sicheren
Bereiches. Die Authentifizierungs-Aufforderung wird von einem Programm 1100 auf
API-Ebene verarbeitet und zur Übersetzung in
ein APDU-Format zu einer APDU-Schnittstelle 1055 weitergeleitet 1200.
Die APDU's werden
dann zur Verschlüsselung
zu einem Sicherheitsmodul 1225 gesendet 1220.
Die verschlüsselten
APDU's werden zur
Einbettung in ausgehende Mitteilungsübermittlung zu einem Pipeline-Server 1070 weitergeleitet 1230 und
zur Übermittlung über die
Kommunikations-Pipeline 1075 zu den Kommunikationsprogrammen 1105S über das
Netz 1045 in die Netzschnittstelle 1130C des Clients 10 gesendet 1210. Die
eingehenden Mitteilungen werden dann zur Verarbeitung zu Kommunikationsprogrammen 1105C weitergeleitet 240.
-
Nach
der Verarbeitung werden die Mitteilungen zur Abtrennung der eingebetteten
APDU's zu einem
Pipeline-Client 1015 gesendet 1250. Dann werden
die APDU's durch
einen einer PSD-Schnittstelle 1025 zugeordneten Hardwaregeräteausgang 1005 gesendet 1260.
Die PSD-Schnittstelle 1025 leitet die eingehenden APDU's über die
Verbindung 2030 in die persönliche Sicherheitsvorrichtung 1040 weiter, wo
sie nachfolgend entschlüsselt
und innerhalb ihres sicheren Bereiches 1035 verarbeitet
wird.
-
Mit
Bezug auf 9 wird, sobald die PSD 1040 die
Authentifizierungs-Aufforderung innerhalb des gesicherten Bereiches 1035 der
persönlichen
Sicherheittvorrichtung verarbeitet hat, unter Verwendung eines vorher
aufgebauten kryptographischen Verfahrens eine Authentifizierungs-Rückmeldungsmitteilung
erzeugt.
-
Die
Authentifizierungs-Rückantwort
wird im APDU-Format aus der PSD 1040 über die Verbindung 1030 und
in die PSD-Schnittstelle 1025 gesendet. Die sichere PSD-Rückantwort wird dann durch den
Hardwaregeräteausgang 1005 weitergeleitet 1370 und
zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1360.
Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung,
Verschlüsselung
unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und
Einbringung in ausgehende Mitteilungspakete 1340 zu den
Client-seitigen Kommunikationsprogrammen 1105C gesendet 1350.
Die Mitteilungspakete 1340, welche die eingebetteten APDU's enthalten, werden
durch das Netz 1045 über
eine Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Das
entfernte Computersystem 1050 empfängt die Mitteilungspakete 1335,
welche die eingebetteten APDU's
enthalten, von dem Netz 1045 über eine auf dem entfernten
Computersystem installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130S.
Die eingehenden Mitteilungen werden unter Verwendung des von den
Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren
Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens
verarbeitet und entschlüsselt
und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1310.
Die entpackten sicheren APDU's
werden zur Entschlüsselung
der gesicherten APDU's
unter Verwendung des vorher aufgebauten Kryptographieverfahrens
zu dem Sicherheitsmodul 1325 gesendet 1330. Die
entschlüsselten
APDU's werden dann
zur Verarbeitung und Übersetzung
in ein Format höherer
Ebene zu der APDU-Schnittstelle 1055 weitergeleitet und
zur Verarbeitung zu API-Programmen 1100 gesendet 1300. Wenn
die Authentifizierung erfolgreich ist, gestattet das entfernte Computersystem 1050 Zugang
zu sicheren Funktionen oder Daten und baut sich selbst als ein sicherer
Netzknoten auf. Wenn die Authentifizierung misslingt, wird der Endanwender
nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten
zu erhalten.
-
Mit
Bezug auf 10 kann entfernte Authentifizierung
von nachgeordneten entfernten Computersystemen erreicht werden,
sobald der sichere Netzknoten wie vorstehend beschrieben aufgebaut
wurde. Entfernte Authentifizierung kann entweder durch eine Anforderung
eines Clients zu sicherem Zugang zu sicheren Funktionen oder Daten
oder von anderen entfernten Computersystemen, Arbeitsvorgänge innerhalb
des gesicherten Bereichs einer PSD durchzuführen, ausgelöst werden.
-
Zur
Durchführung
einer entfernten Authentifizierung wird von einem nachgeordneten
entfernten Computersystem 1150 eine Aufforderung 1085 herausgegeben.
Die Aufforderung wird durch ein Netz 1045 in den sicheren
Netzknoten 1050 weitergeleitet. Die eingehende Aufforderung
wird unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in
dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten
Kryptographieverfahrens in dem sicheren Netzknoten 1050 verarbeitet
und entschlüsselt
und zu einem Programm auf API-Ebene 1100 weitergeleitet 1085,
wo es verarbeitet und zur Übersetzung
in ein APDU-Format zu einer APDU-Schnittstelle 1055 weitergeleitet 1400 wird.
Die APDU's werden
dann zur Entschlüsselung
zu dem Sicherheitsmodul 1425 gesendet 1420. Die
verschlüsselten
APDU's werden dann
zur Einbettung in ausgehende Mitteilungen zu einem Pipeline-Server 1070 weitergeleitet 1430 und
zur Übermittlung über die
Kommunikations-Pipeline 1075 durch das Netz 1045 in
die Netzschnittstelle 1130C des Clients 1010 zu
den Kommunikationsprogrammen 1105S gesendet 1410.
-
Die
eingehenden Mitteilungen werden dann zur Verarbeitung zu Kommunikationsprogrammen 1105C weitergeleitet 1440.
Nach der Verarbeitung werden die Mitteilungen zur Abtrennung der
eingebetteten APDU's
zu einem Pipeline-Client 1015 gesendet 1450. Die
APDU's werden dann über einen
einer PSD-Schnittstelle 1025 zugeordneten Hardwaregeräteausgang 1005 gesendet 1460.
Die PSD-Schnittstelle 1025 leitet die eingehenden APDU's über die
Verbindung 1030 in die persönliche Sicherheitsvorrichtung 1040 weiter 1025,
wo sie daraufhin innerhalb von deren gesichertem Bereich 1035 entschlüsselt und
verarbeitet werden.
-
Mit
Bezug auf 11 wird, sobald die persönliche Sicherheitsvorrichtung 1040 die
Authentifizierungs-Aufforderung innerhalb ihres gesicherten Bereiches 1035 verarbeitet
hat, unter Verwendung eines vorher aufgebauten kryptographischen
Verfahrens eine Authentifizierungs-Rückantwortmitteilung erzeugt.
Die Authentifizierungs-Rückmeldung
wird im APDU-Format aus der PSD 1040 über die Verbindung 1030 und
in die PSD-Schnittstelle 1025 gesendet.
Die sichere PSD-Rückantwort
wird dann durch den Hardwaregeräteausgang 1005 weitergeleitet 1570 und
zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1560.
Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung,
Verschlüsselung
unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und
Einbringung in ausgehende Mitteilungspakete 1540 zu den
Client-seitigen Kommunikationsprogrammen 1105C gesendet 1550.
Die Mitteilungspakete 1540, welche die eingebetteten APDU's enthalten, werden
durch das Netz 1045 über
die Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Der
sichere Netzknoten 1050 empfangt die Mitteilungspakete 1535,
welche die eingebetteten APDU's
enthalten, von dem Netz 1045 über die Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 1130S. Die eingehenden Mitteilungen
werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in
dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens
verarbeitet und entschlüsselt
und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1510.
Die entpackten sicheren APDU's
werden zur Entschlüsselung
der gesicherten APDU's
unter Verwendung des vorher aufgebauten Kryptographieverfahrens
zu dem Sicherheitsmodul 1525 gesendet 1530. Die
entschlüsselten
APDU's werden dann
zur Verarbeitung und Übersetzung
in ein Format höherer
Ebene zu der APDU-Schnittstelle 1055 weitergeleitet 1520 und
zur Verarbeitung zu API-Programmen 1100 gesendet 1500.
Das Authentifizierungsmodul 1065 innerhalb des sicheren
Netzknotens 1050 bleibt während der Übertragung der Authentifizierungsinformation
inaktiv. Die Authentifizierungs-Rückmeldungsmitteilung wird dann
in die Kommunikätionsprogramme 1105S weitergeleitet 1085,
wo die Rückmeldung
in einem vorher aufgebauten sicheren Kommunikationsprotokoll über das
Netz 1045 zu dem auffordernden, nachgeordneten entfernten
Computersystem 1150 gesendet wird.
-
Die
eingehende Rückantwort-Mitteilung
wird entschlüsselt
und zu einem Authentifizierungsmodul 1095 gesendet. Wenn
die Authentifizierung erfolgreich ist, gestattet das nachgeordnete
entfernte Computersystem 1050 Zugang zu sicheren Funktionen oder
Daten. Wenn die Authentifizierung misslingt, wird der Endanwender
nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten
zu erhalten.
-
5.2.2. Zweite Variante des Authentifizierungs-Verfahrens
-
Mit
Bezug auf 12 wird eine zweite Variante
des Authentifizierungs-Verfahrens abgebildet, in welcher das entfernte
Computersystem 1050 Kopien der PSD-Berechtigungsnachweise C 1035 überträgt, wenn
diese nicht vorher auf dem entfernten Computersystem 1050 vorhanden
sind. Um Übertragung von
Berechtigungsnachweisen durchzuführen,
wird wie vorstehend beschrieben von dem entfernten Computersystem 1050 ein
anfänglicher
Authentifizierungsvorgang durchgeführt. Nach der Authentifizierung
werden von dem entfernten Computersystem 1050 zusätzliche
Befehle ausgesendet, um die spezifizierten Berechtigungsnachweise
zu übertragen.
-
Die
Berechtigungsnachweise werden unter Verwendung eines vorher aufgebauten
Kryptographieverfahrens erzeugt und im APDU-Format von der PSD 1040 durch
die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet.
Die sichere PSD-Rückmeldung
wird dann durch den Hardwaregeräteausgang 1005 weitergeleitet 1670 und
zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1660.
Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung,
Verschlüsselung
unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls
und. Einbringung in ausgehende Mitteilungspakete 1640 zu den
Client-seitigen Kommunikationsprogrammen 1105C gesendet 1650.
Die Mitteilungspakete 640, welche die eingebetteten APDU's enthalten, werden durch
das Netz 1045 über
eine Netz-Schnittstellenkarte
(I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Das
entfernte Computersystem 1050 empfängt die Mitteilungspakete 1635,
welche die eingebetteten APDU's
enthalten, von dem Netz 1045 über die auf dem entfernten
Computersystem installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130S.
-
Die
eingehenden Mitteilungen werden unter Verwendung des von den Server-seitigen
Kommunikationprogrammen 1105S in dem sicheren Kommunikationsprotokoll
benutzten, vorher aufgebauten Kryptographieverfahrens verarbeitet
und entschlüsselt
und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1610.
Die entpackten sicheren APDU's
werden zur Entschlüsselung
der gesicherten APDU's
unter Verwendung des vorher aufgebauten Kryptographieverfahrens
zu dem Sicherheitsmodul 1625 gesendet 1630. Die
entschlüsselten
APDU's werden dann
zur Verarbeitung und Übersetzung
in ein Format höherer
Ebene zu der APDU-Schnittstelle 1055 weitergeleitet 1620 und
zur Verarbeitung zu API-Programmen 1100 gesendet 1600 und
nachfolgend für
sichere Speicherung und zukünftige
Verwendung zu dem Authentifizierungsmodul 1065 gesendet 1605.
Die übertragene
Authentifizierungsinformation wird in 12 als
C' gezeigt.
-
In 13 wird
eine Authentifizierungs-Aufforderung 1085 über ein
Netz 1045 von einem nachgeordneten entfernten Computersystem 1150 ausgesendet.
Das als ein sicherer Netzknoten wirkende entfernte Computersystem 1050 empfängt die
eingehende Aufforderung 1085 von dem Netz 1045 über die
auf dem entfernten Computersystem 1050 installierte Netz-Schnittstellenkarte 1130S.
Die eingehenden Aufforderungen 1085 werden unter Verwendung des
von den Server-seitigen Kommunikationprogrammen 1105S in
dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten
Kryptographieverfahrens in dem sicheren Netzknoten 1050 verarbeitet
und entschlüsselt
und zur Verarbeitung zu Programmen auf API-Ebene 1100 weitergeleitet.
Die verarbeitete Aufforderung wird dann zur Authentifizierung unter
Verwendung der übertragenen
Berechtigungsnachweise C' 1035 der
PSD zu dem Authentifizierungsmodul 1065 gesendet 1705.
Die Kommunikations-Pipeline 1075 kann während dieses Vorgangs intakt
bleiben, um zu ermöglichen,
dass andere Arbeitsvorgänge
stattfinden.
-
Mit
Bezug auf 14 erzeugt der sichere Netzknoten 1050 eine
Authentifizierungsantwort innerhalb des Authentifizierungsmoduls 1065,
welche zur Verarbeitung zu den Programmen auf API-Ebene 1100 gesendet 1805 wird
und nachfolgend zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher
aufgebauten sicheren Kommunikationsprotokolls und Einbringung in
ausgehende Mitteilungspakete zu den Server-seitigen Kommunikationprogrammen 1105S weitergeleitet 1810 wird.
Die Mitteilungspakete werden über
das Netz 1045 zu dem auffordernden nachgeordneten entfernten
Computersystem 1150 weitergeleitet. Die eingehenden Mitteilungen
werden dann entschlüsselt
und die Authentifizierungsantwort wird von einem internen Authentifizierungsmodul 1095 verarbeitet.
Wenn die Authentifizierung erfolgreich ist, gestattet das nachgeordnete
entfernte Computersystem 1150 Zugang zu sicheren Funktionen
oder Daten. Wenn die Authentifizierung misslingt, wird der Endanwender
nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten
zu erhalten.
-
5.3. Verfahren und System zur entfernten
Aktivierung und Verwaltung von persönlichen Sicherheitsvorrichtungen.
-
Das
Bedürfnis
nach sicheren Netzkommunikationen ist von äußerster Wichtigkeit für sensible Vorgänge des
Staates und der Geschäftswelt.
Die vorliegende Erfindung stellt eine Verbesserung gegenüber dem
Stand der Technik dar, indem sie die Ausgabe generischer persönlichen
Sicherheitsvorrichtungen erlaubt, welche zu einem späteren Zeitpunkt
aktiviert und individuell angepasst werden können.
-
Die
zum Aktivieren der persönlichen
Sicherheitsvorrichtung und der Durchführung nachfolgender Informationsverwaltung über eine
Kommunikations-Pipeline gehörenden
Schritte werden in 15 bis 17 gezeigt.
Zu Demonstrationszwecken soll angenommen werden, dass irgendwelche
lokalen Authentifizierungen zwischen Endbenutzer, Client und lokalem
Netzbereich bereits bewerkstelligt wurden. Vorzugsweise wird über das
ganze Netz ein sicheres Kommunikationsprotokoll zwischen dem Client
und einem oder mehreren entfernten Computersystemen verwendet. Es
versteht sich für
einen Fachmann, dass jede Ausführungsform
der Erfindung mit oder auch ohne die Verwendung von sicheren Kommunikationsprotokollen
arbeiten wird.
-
Mit
Bezug nun auf 15A wird eine erste Ausführungsform
der Erfindung abgebildet, in welcher ein Client 2010 und
eine verbundene PSD 2040 über ein Netz 2045 mit
einem eine Kommunikations-Pipeline 2075 wie in dem vorstehenden
Abschnitt 5.1. beschrieben verwendenden, entfernten Computersystem 2050 verbunden
sind. Das entfernte Computersystem erhält die Kommunikations-Pipeline 2075 aufrecht
und steht dafür
zur Verfügung,
proprietäre
Information „I" 2165 über die
Kommunikations-Pipeline 2075 und in die persönliche Sicherheitsvorrichtung 2040 zu übertragen.
-
In 15B wird eine zweite Ausführungsform der Erfindung abgebildet,
in welcher ein erstes, wie in dem vorstehenden Abschnitt 5.2. beschrieben als
ein sicherer Netzknoten arbeitendes, entferntes Computersystem 2050 einen
Mechanismus für
ein mit einem Netz 2045 verbundenes, nachgeordnetes entferntes
Computersystem 2150 bereitstellt, um proprietäre Information „1" 2165' in eine PSD 2040 zu übertragen.
In dieser zweiten Ausführungsform
der Erfindung wird proprietäre
Information 2165' von
einen ersten, entfernten Computersystem 2050 empfangen
und verarbeitet. Die proprietäre
Information 2165' wird
dann von dem ersten entfernten Computersystem 2050 durch
die Kommunikations-Pipeline 2075 und in die persönliche Sicherheitsvorrichtung 2040 gesendet.
-
Das
Netz 2045 kann ein gemeinsames Netz, wie bei einer virtuellen,
privaten Netzanordnung, oder getrennte Netze wie private Internet-
und öffentliche
Internet-Anordnungen
sein. Bezüglich
der Anzahl der Kommunikations-Pipelines 1075 mit einem oder
mehreren entfernten Computersystemen 2050, 2150 bildenden
persönlichen
Sicherheitsvorrichtungen 2040 und Clients 2010 ist
keine Beschränkung beabsichtigt;
noch sollte irgendeine Beschränkung der
Anzahl der zur Übertragung
proprietärer
Information 2165, 2165' verfügbaren entfernten Computersysteme 2050, 2150 aus
irgendeiner der hierin gezeigten Zeichnungen abgeleitet werden.
-
Endanwender-Authentifizierung
ist wahlweise möglich
zum Aktivieren informationsfreier persönlichen Sicherheitsvorrichtungen
oder zum Deaktivieren von bereits in Gebrauch befindlichen persönlichen
Sicherheitsvorrichtungen. In Fällen,
wo Zugang zu einer vorher personalisierten PSD gewünscht wird,
können
Authentifizierungsvorgänge
erforderlich sein wie in dem vorstehenden Abschnitt 5.2. beschrieben,
um sicheren Zugang zu der persönlichen Sicherheitsvorrichtung
zu erleichtern. Sobald der Authentifizierungsvorgang erfolgreich
abgeschlossen wurde, werden Änderungen
der innerhalb des sicheren Bereiches der persönlichen Sicherheitsvorrichtung
enthaltenen proprietären
Information bewerkstelligt, indem die für die Aktivierung informationsfreier
Karten beschriebene, äquivalente
Methodenlehre angewendet wird.
-
Proprietäre Information 2165, 2165' zur Eingabe
in eine persönliche
Sicherheitsvorrichtung kann aus einem entfernten, eine Kommunikations-Pipeline unterstützenden
entfernten Computersystem 2050 (erste Ausführungsform
der Erfindung), aus nachgeordneten entfernten Computersystemen 2150 (zweite
Ausführungsform
der Erfindung) oder aus irgendeiner Kombination von entfernten Computersystemen
herstammen.
-
Mit
Bezug auf 16 veranschaulicht diese Zeichnung
die Übertragung
von proprietärer
Information von einem Speicherplatz über ein Netz in eine PSD unter
Verwendung des die Kommunikations-Pipeline unterstützenden
entfernten Computersystems (erste Ausführungsform der Erfindung).
Diese Zeichnung gilt für
die Aktivierung einer informationsfreien PSD oder auch für das Verändern von
Information in einer aktiven PSD nach der Authentifizierung. In
dieser ersten Ausführungsform
der Erfindung wird die proprietäre
Information 2165 von ihrem Speicherplatz 2160 innerhalb
des entfernten Computersystems 2050 aufgerufen.
-
Nach
Abruf wird die proprietäre
Information 2165 zur Verarbeitung in das APDU-Format und
Einbettung in das richtige Kommunikations-Mitteilungsübermittlungsformat 2204,
wie in dem vorstehenden Abschnitt 5.1. beschrieben, gesendet 2206.
Nach Verarbeitung wird die Kommunikationsmitteilung 2204 durch
die Netzschnittstelle 2130 über das Netz 2045 in
die Kommunikations-Pipeline 2075 gesendet und über eine
komplementäre
Netzschnittstelle 2130C von dem Client 2010 empfangen.
-
Die
eingehenden Kommunikationsmitteilungen werden zur Verarbeitung gesendet 2212,
wo die APDU-formatierte Information wie in dem vorstehenden Abschnitt
5.1. beschrieben abgetrennt wird. Die abgetrennten APDU's werden dann durch
den Hardwaregeräteausgang 2005 und
in 2218 die persönliche
Sicherheitsvorrichtungs-Geräteschnittstelle 2025 weitergeleitet 2216.
Die eingehenden APDU's werden
dann in den sicheren Bereich 2035 der PSD 2040 weitergeleitet 2030,
wo die Information durch mindestens einen eingebetteten Algorithmus
verarbeitet und gespeichert wird.
-
Für frisch
ausgegebene persönliche
Sicherheitsvorrichtungen, denen proprietäre Information fehlt, wird
der eingebettete Algorithmus von dem PSD-Ausgeber installiert und
dient dazu, die anffängliche
Installation proprietärer
Information zu verwalten. Für bereits
proprietäre
Information enthaltende persönlichen
Sicherheitsvorrichtungen kann der Algorithmus der gleiche oder ein
verschiedener Algorithmus sein, welcher kryptographische Fähigkeiten beinhalten
kann.
-
Mit
Bezug auf 17 veranschaulicht diese Zeichnung
die Übertragung
von proprietärer
Information von einem entfernten Speicherplatz 1160' über ein
Netz 2045 und Eingabe in eine PSD 2040 unter Verwendung
einer Vielzahl von entfernten Computersystemen 2050, 2150.
Diese zweite Ausführungsform
der Erfindung umfasst Abrufen proprietärer Information 2165' von einem oder
mehreren 2150 entfernten Computersystemen, senden 2085 der
proprietären
Information über
ein Netz 2045, wo die proprietäre Information von einem ersten
entfernten Computersystem 2050 empfangen und verarbeitet
wird, welches eine Kommunikations-Pipeline 2075 unterstützt, und
in den sicheren Bereich 2035 der PSD 2040 eingegeben
wird.
-
Diese
zweite Ausführungsform
der Erfindung ist für
die Aktivierung einer informationsfreien PSD oder auch für das Verändern von
Information in einer aktiven PSD nach der Authentifizierung anwendbar. In
Fällen
wo Authentifizierung erforderlich ist, kann das die Kommunikations-Pipeline
unterstützende entfernte
Computersystem wie in dem vorstehenden Abschnitt 5.2. beschrieben
als ein sicherer Netzknoten wirken.
-
In
dieser zweiten Ausführungsform
der Erfindung wird die proprietäre
Information 2160' von
einem Speicherplatz innerhalb eines nachgeordneten entfernten Computersystems 2150 oder
eines anderen entfernten Computersystems aufgerufen, welches lokal
zu und in Kommunikation stehend mit dem nachgeordneten entfernten
Computersystem 2150 ist. Die proprietäre Information „I" 2165' wird abgerufen
und über
das Netz 2045 zu dem die Kommunikations-Pipeline 2075 mit
der dafür
vorgesehenen PSD 2040 unterstützenden, entfernten Computersystem 2050 gesendet 2085.
-
Das
entfernte Computersystem 2050 empfängt über die Netzschnittstelle 2130 die
proprietäre Information
und leitet die eingehende proprietäre Information 2165' weiter zu deren
Verarbeitung 2302 in das APDU-Format und Einbettung in
das richtige Kommunikations-Mitteilungsübermittlungsformat 2304,
wie in dem vorstehenden Abschnitt 5.1. beschrieben. Nch Verarbeitung
wird die Mitteilung 2304 durch die Netzschnittstelle 2130S über Netz 2045 in die
Kommunikations-Pipeline 2075 und über eine komplementäre Netzschnittstelle 2130C von
dem Client 2010 empfangen.
-
Die
eingehenden Kommunikationsmitteilungen werden zur Verarbeitung in 2314 gesendet 2312, wo
die APDU-formatierte Information, wie in dem vorstehenden Abschnitt
5.2. beschrieben, abgetrennt wird. Die abgetrennten APDU's werden dann über den
Hardwaregeräteausgang 2005 und
in 2318 die PSD-Schnittstelle 2025 weitergeleitet 2316.
Die eingehenden APDU's
werden dann in den sicheren Bereich 2035 der PSD 2040 weitergeleitet 2030,
wo die Information durch mindestens einen eingebetteten Algorithmus
verarbeitet und gespeichert wird.
-
Wie
vorstehend beschrieben, wird für
frisch ausgegebene persönliche
Sicherheitsvorrichtungen, denen proprietäre Information fehlt, der eingebettete Algorithmus
von dem PSD-Ausgeber installiert und dient dazu, die anfängliche
Installation proprietärer Information
zu verwalten. Für
bereits proprietäre
Information enthaltende persönliche
Sicherheitsvorrichtungen kann der Algorithmus der gleiche oder ein verschiedener
Algorithmus sein, welcher kryptographische Fähigkeiten beinhalten kann.
-
Die
vorstehend beschriebenen Ausführungsformen
der Erfindung werden als Veranschaulichungen und Schilderungen bereitgestellt.
Sie sind nicht dazu gedacht, die Erfindung auf die genaue, beschriebene
Form zu beschränken.
Insbesondere ist zu bedenken, dass funktionsfähige Ausübung der hierin beschriebenen
Erfindung in gleichwertiger Weise in Hardware, Software, Firmware
und/oder anderen, verfügbaren
Funktionskomponenten oder Baublöcken
realisiert werden kann. Andere Variationen und Ausführungsformen
sind im Lichte der vorstehenden Lehren möglich, und es wird nicht beabsichtigt,
dass der Umfang der Erfindung durch die ausführliche Beschreibung beschränkt wird,
vielmehr durch die hierin nachfolgenden Ansprüche.