-
1. Gebiet der Erfindung
-
Die vorliegende Erfindung betrifft ein Verfahren und System der Datenverarbeitung für die Fernaktivierung und Verwaltung von persönlichen Sicherheitsvorrichtungen (PSD, Personal Security Devices) über ein Netz zu Zwecken des Erhalts von Dienstleistungen oder Daten von einem oder mehreren entfernten Computersystemen. Noch genauer betrifft die Erfindung ein sicheres Verfahren zur Aktivierung und Verwaltung einer persönlichen Sicherheitsvorrichtung in einem Schritt.
-
2. Hintergrund der Erfindung
-
Der Stand der Technik bezüglich der Verwaltung von persönlichen Sicherheitsvorrichtungen (PSDs), zum Beispiel von Chipkarten, benötigt einen Vorgang in mehreren Schritten, in dem die gesamte zur Verwendung einer persönlichen Sicherheitsvorrichtung notwendige Information vor dem Vertrieb in diese persönliche Sicherheitsvorrichtung eingegeben wird, einschließlich einer anfänglichen persönlichen Identifikationszahl oder PIN. Die persönliche Sicherheitsvorrichtung wird dann zu dem Endverbraucher geschickt, gefolgt von einem davon getrennten Brief, der die PIN enthält, welche der Verwender bei der erstmaligen Verwendung der persönlichen Sicherheitsvorrichtung eingeben muss. Eine andere geläufige Alternative befestigt ein Klebetikett, das eine Telefonnummer enthält, vor der Ausgabe an der persönlichen Sicherheitsvorrichtung. Dieses Etikett stellt Anweisungen für den Endverbraucher bereit, wie er ein Callcenter anrufen soll, um die persönliche Sicherheitsvorrichtung zu aktivieren, bevor die Vorrichtung benutzt werden kann.
-
Die ersteren und letzteren Verfahren bilden Verfahren in mehreren Schritten, was die anfänglichen Vertriebs- und nachfolgenden Verwaltungskosten der persönlichen Sicherheitsvorrichtungen beträchtlich erhöht. Zum Beispiel werden bei der Ausgabe von Chipkarten zusätzliche Kosten für Ausrüstung, Wartung, Arbeit und Betrieb benötigt, um entweder die eine anfängliche PIN enthaltenden, getrennten Briefsendungen zu erzeugen oder um auf die Chipkarten zu verbringende Klebetiketten zu erzeugen und die Callcenter zu betreiben, welche die Karten aktivieren.
-
Ein anderer hauptsächlicher Nachteil des Standes der Technik betrifft das Fehlen der Möglichkeit, innerhalb der PSD enthaltene Information zu verwalten, nachdem die Vorrichtung ausgegeben wurde. Derzeit werden persönliche Sicherheitsvorrichtungen, die Änderungen benötigen, entweder zu einem zentralen Ort zurück geschickt oder einfach weggeworfen und durch eine neue Vorrichtung ersetzt. Beide Vorgänge sind zeitaufwändig und teuer.
-
Die Druckschrift
WO 9852161 offenbart ein System, mit welchem der Inhalt einer Chipkarte online durch einen Anwendungs-Provider über eine Kommunikations-Verknüpfung zu einem Client ausgefüllt wird.
-
3. Zusammenfassung der Erfindung
-
Es ist ein Ziel der vorliegenden Erfindung, ein Verfahren zum sicheren Herunterladen und Verwalten von Information innerhalb des sicheren Bereiches einer persönlichen Sicherheitsvorrichtung nach deren Ausgabe bereitzustellen.
-
Dieses Ziel wird durch den Erfindungsgegenstand, wie in den Ansprüchen definiert, erreicht.
-
Diese Verbesserung gegenüber dem derzeitigen Stand der Technik verwendet eine Kommunikations-Pipeline, welche das Herunterladen von Information in eine informationsfreie persönliche Sicherheitsvorrichtung und nachfolgend Verwaltung dieser Information ermöglicht. Für die Zwecke dieser Erfindung fehlen einer informationsfreien persönlichen Sicherheitsvorrichtung proprietäre Algorithmen und/oder Daten, sie enthält aber eine eingebettete Laufzeitumgebung und wahlweise einen eindeutigen Identifikationscode.
-
In einer ersten Ausführungsform des Verfahrens der Erfindung befindet sich der entfernte Speicherplatz in dem mindestens ersten entfernten Computersystem.
-
In einer zweiten Ausführungsform des Verfahrens der Erfindung befindet sich der entfernte Speicherplatz in mindestens einem, mit dem mindestens ersten entfernten Computersystem über ein zweites Netz funktionsfähig verbundenen nachgeordneten, entfernten Computersystem, und der Schritt b) umfasst den Schritt des Übermittelns der proprietären Information von dem mindestens einen, nachgeordneten, entfernten Computersystem an das mindestens erste, entfernte Computersystem durch das zweite Netz.
-
Diese Ausführungsformen erlauben entweder dem entfernten Computersystem das Aufrechterhalten der Kommunikations-Pipeline (erste Ausführungsform) oder einem nachgeordneten entfernten Computersystem (zweite Ausführungsform) das Herunterladen proprietärer Information, wie von Authentifizierungs-Algorithmen, kryptographischen Schlüsseln, Berechtigungsnachweisen oder Zertifikaten direkt in eine durch die Kommunikations-Pipeline mit einem örtlichen Client verbundene persönliche Sicherheitsvorrichtung, ohne dass dem örtlichen Client proprietäre Information offenbart wird.
-
Ein hauptsächlicher Vorteil des Verfahrens der Erfindung ist, dass es ermöglicht, dass die informationsfreie persönliche Sicherheitsvorrichtung in Masse ausgegeben und zu einem späteren Zeitpunkt ohne Gefährdungsrisiko aktiviert wird. Da in der Massenverteilung keine proprietären Daten beinhaltet sind, sind die persönlichen Sicherheitsvorrichtungen nicht dazu verwendbar, Zugang zu gesicherten Funktionen oder Daten zu erlangen.
-
Ein Beispielvorgang, mit dem eine informationsfreie persönliche Sicherheitsvorrichtung aktiviert wird, ist wie folgt: ein Endverbraucher, der vorher eine informationsfreie persönliche Sicherheitsvorrichtung erhalten hat, verbindet die persönliche Sicherheitsvorrichtung mit einem örtlichen Client und erhält über ein auf einem entfernten Computersystem befindliches Netz Zugang zu einer vorbestimmten Stelle. Das entfernte Computersystem kann wahlweise Authentifizierung des Endverbrauchers durch irgendein vorbestimmtes Verfahren, wie Eingabe einer Sozialversicherungsnummer, einer statischen PIN, des Mädchennamens der Mutter und so weiter anfordern. Alternativ kann Authentifizierung unter Verwendung einer eindeutigen, innerhalb der persönlichen Sicherheitsvorrichtung enthaltenen Kennung bewerkstelligt werden.
-
Sobald der Endverbraucher ordentlich authentifiziert oder gültig mit der persönlichen Sicherheitsvorrichtung verbunden ist, bildet ein entferntes Computersystem eine Kommunikations-Pipeline und lädt herunter (erste Ausführungsform) oder veranlasst ein nachgeordnetes Computersystem zum Herunterladen (zweite Ausführungsform) der notwendigen Information durch die Kommunikations-Pipeline und in die persönliche Sicherheitsvorrichtung. Die persönliche Sicherheitsvorrichtung kann bei dem Abschluss des Vorgangs aktiviert werden, oder der Endverbraucher wird als eine zusätzliche Sicherheitsmaßnahme dazu aufgefordert, einen eindeutigen PIN-Code anzugeben und zu übertragen, um den Zugang zu der persönlichen Sicherheitsvorrichtung weiter zu schützen.
-
In den beiden Ausführungsformen der Erfindung wird ein System zum Verwalten (das heißt, Aktualisieren, Verändern, Löschen) von PSD-Algorithmen und -Daten erleichtert, indem entfernt Zugang zu den persönlichen Sicherheitsvorrichtungen erhalten wird und dann die Veränderungen direkt in die persönlichen Sicherheitsvorrichtungen heruntergeladen werden, ohne auf den Clients proprietäre Information zu hinterlassen. Irgendwelche notwendigen Veränderungen an der proprietären Information können vollständig innerhalb des sicheren Bereiches der persönlichen Sicherheitsvorrichtung durchgeführt werden.
-
In den beiden Ausführungsformen der Erfindung erfolgen alle Transaktionen innerhalb des sicheren Bereiches einer persönlichen Sicherheitsvorrichtung und eines sicheren entfernten Computersystems, wodurch Sicherheit von einem Ende zum anderen Ende gewährleistet wird.
-
In der zweiten Ausführungsform der Erfindung wird eine zentrale Hinterlegungsstelle zum Nachverfolgen von PSD-Veränderungen bereitgestellt, was die Verwaltung von großen Anzahlen von persönlichen Sicherheitsvorrichtungen stark vereinfacht.
-
Ein anderes Ziel der Erfindung ist, ein System zum Bewerkstelligen des vorstehend erwähnten Verfahrens bereitzustellen.
-
4. Kurze Beschreibung von Zeichnungen
-
1 ist ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer informationsfreien Kommunikations-Pipeline,
-
2 ist ein ausführliches Blockdiagramm, das die Initialisierung einer informationsfreien Kommunikations-Pipeline abbildet,
-
3 ist ein ausführliches Blockdiagramm, das den Aufbau einer informationsfreien Kommunikations-Pipeline abbildet,
-
4A ist ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer sicheren Kommunikations-Pipeline, welche Softwarebasierte Sicherheitsmechanismen beinhaltet,
-
4B ist ein verallgemeinertes System-Blockdiagramm zum Verwirklichen einer sicheren Kommunikations-Pipeline, welche HSM-basierte Sicherheitsmechanismen beinhaltet,
-
5 ist ein ausführliches Blockdiagramm, das die Initialisierung einer sicheren Kommunikations-Pipeline abbildet,
-
6 ist ein ausführliches Blockdiagramm, das den Aufbau einer sicheren Kommunikations-Pipeline abbildet,
-
7 ist ein allgemeines System-Blockdiagramm zum Verwirklichen der Authentifizierung einer persönlichen Sicherheitsvorrichtung gegenüber mindestens einem entfernten Computersystem,
-
8 ist ein ausführliches Blockdiagramm, das die Aufforderung zur anfänglichen Authentifizierung veranschaulicht,
-
9 ist ein ausführliches Blockdiagramm, das die Rückantwort zur anfänglichen Authentifizierung veranschaulicht,
-
10 ist ein ausführliches Blockdiagramm, das die Aufforderung zur entfernten Authentifizierung veranschaulicht,
-
11 ist ein ausführliches Blockdiagramm, das die Rückantwort zur entfernten Authentifizierung veranschaulicht,
-
12 ist ein ausführliches Blockdiagramm, das die Übertragung des Berechtigungsnachweises zur Authentifizierung veranschaulicht,
-
13 ist ein ausführliches Blockdiagramm, das die Aufforderung zur entfernten Authentifizierung unter Verwendung des übertragenen Berechtigungsnachweises veranschaulicht,
-
14 ist ein ausführliches Blockdiagramm, das die Rückantwort zur entfernten Authentifizierung unter Verwendung des übertragenen Berechtigungsnachweises veranschaulicht,
-
15A ist ein allgemeines System-Blockdiagramm zum Ausüben der vorliegenden Erfindung unter Verwendung eines ersten entfernten Computersystems (erste Ausführungsform der Erfindung),
-
15B ist ein allgemeines System-Blockdiagramm zum Ausüben der vorliegenden Erfindung unter Verwendung eines nachgeordneten entfernten Computersystems (zweite Ausführungsform der Erfindung),
-
16 ist ein ausführliches Blockdiagramm, das die direkte Übertragung von proprietärer Information auf eine persönliche Sicherheitsvorrichtung veranschaulicht (erste Ausführungsform der Erfindung),
-
17 ist ein ausführliches Blockdiagramm, das die entfernte Übertragung von proprietärer Information auf eine persönliche Sicherheitsvorrichtung veranschaulicht (zweite Ausführungsform der Erfindung).
-
5. Ausführliche Beschreibung der Erfindung
-
In einem ersten Teil (Abschnitt 5.1) wird die vorliegende ausführliche Beschreibung der Erfindung offenbaren, wie eine informationsfreie Kommunikations-Pipeline und eine sichere Kommunikations-Pipeline zwischen einer persönlichen Sicherheitsvorrichtung und einem entfernten Computersystem aufzubauen ist.
-
In einem zweiten Teil (Abschnitt 5.2) wird die vorliegende ausführliche Beschreibung der Erfindung offenbaren, wie die Sicherheit eines Authentifizierungsvorgangs einer persönlichen Sicherheitsvorrichtung gegenüber einem entfernten Computersystem unter Verwendung der sicheren Kommunikations-Pipeline zu verbessern ist und wie das entfernte Computersystem als ein sicherer Netzknoten zur Authentifizierung der persönlichen Sicherheitsvorrichtung gegenüber einer Vielzahl von nachgeordneten entfernten Computersystemen zu verwenden ist.
-
In einem dritten Teil (Abschnitt 5.3) wird die vorliegende ausführliche Beschreibung der Erfindung ein Verfahren und System zum sicheren Herunterladen und Verwalten von Information innerhalb des sicheren Bereiches einer persönlichen Sicherheitsvorrichtung nach deren Ausgabe offenbaren.
-
Der zweite Teil der ausführlichen Beschreibung wird auf der Verwendung einer sicheren Kommunikations-Pipeline beruhen, die vorliegende Erfindung ist aber nicht auf eine derartige Verwendung beschränkt.
-
Die Verwendung einer informationsfreien Kommunikations-Pipeline, das heißt einer Kommunikations-Pipeline, welche keine kryptographischen Mechanismen zwischen den Endpunkten einbezieht, fällt in den Umfang der vorliegenden Erfindung.
-
Man beachte auch, dass die folgende Beschreibung der Erfindung auf einer persönlichen Sicherheitsvorrichtung beruhen wird, welche gemäß dem APDU (Application Protocol Data Unit) formatierte Mitteilungen empfangt und aussendet.
-
Das APDU-Mitteilungs-Übermittlungsformat, welches an sich im Stand der Technik bekannt ist, ist ein Mitteilungs-Übermittlungsformat unterer Ebene, welches einer persönlichen Sicherheitsvorrichtung ermöglicht, mit Anwendungen höherer Ebene zu kommunizieren, die sich in Vorrichtungen befinden, mit denen die persönliche Sicherheitsvorrichtung verbunden werden soll.
-
Es muss klar sein, dass die vorliegende Erfindung nicht auf die Verwendung eines APDU-Mitteilungs-Übermittlungsformates beschränkt ist, und dass irgendein anderes Mitteilungs-Übermittlungsformat niedriger Ebene, das von der persönlichen Sicherheitsvorrichtung verarbeitet werden kann, in den Bereich der vorliegenden Erfindung fällt.
-
5.1 Aufbau einer Kommunikations-Pipeline
-
5.1.1 Informationsfreie Kommunikations-Pipeline
-
Mit Bezug auf 1 wird ein verallgemeinertes Blockdiagramm der Architekturen von einem Client 10 und einem entfernten Computersystem abgebildet. Die verschiedenen gezeigten Protokollschichten beruhen auf dem Open System Interconnection(OSI)-Modell. Zur Vereinfachung werden bestimmte, dem Client und auch dem entfernten Computersystem gemeinsame Protokollschichten nicht gezeigt und sollten als in angrenzenden Protokollschichten vorhanden und in diese eingebracht gedacht werden. Die dem Client und auch dem entfernten Computersystem gemeinsamen Protokollschichten beinhalten:
- • eine Anwendungs-Protokollschicht 90, welche allgemein Software-Anwendungen höherer Ebene (zum Beispiel ein Textverarbeitungsprogramm) und eine Anwenderschnittstelle, wie eine graphische Anwenderschnittstelle (GUI) enthält,
- • eine Protokollschicht 100 auf der Ebene der Schnittstelle zur Anwendungsprogrammierung (API, Application Programming Interface) 100 zum Verarbeiten und Bearbeiten von Daten zur Verwendung durch Anwendungen auf entweder höherer oder niedrigerer Ebene,
- • eine Kommunikations-Protokollschicht 105, welche sichere Kommunikationsfähigkeiten beinhaltende Kommunikationsprogramme enthält, welche es einem Client ermöglichen, mit einem entfernten Computersystem zu kommunizieren, um in einem kongruenten Protokoll Information auszutauschen und umgekehrt,
- • eine Betriebssystem-Protokollschicht 110 oder eine gleichwertige Laufzeitumgebung, welche die Zuweisung und Verwendung von Hardware-Ressourcen wie Speicher, zentrale Verarbeitungseinheits-(CPU)-Zeit, Plattenplatz, Zuordnungen von Eingangs/Ausgangs-Anschlüssen der Hardware und Verwaltung von Peripheriegeräten steuert.
- • Eine Hardwaretreiber-Protokollschicht 120, welche es dem Betriebssystem ermöglicht, mit physikalischen Vorrichtungen zu kommunizieren oder sie zu steuern, die mit der Eingangs/Ausgangs-Hardware-Sammelleitung des Clients oder des entfernten Computersystems verbunden sind,
- • und eine Protokollschicht der physikalischen Vorrichtungen 130, in welcher Netz-Schnittstellenkarten (NIC, Network Interface Card) 140 die physikalischen Verbindungen mit einem Telekommunikationsnetz 45 bereitstellen. Auf dieser Protokollschicht können auch andere Hardware-Vorrichtungen 80 verbunden sein.
-
5.1.1.1. Client-spezifische Merkmale
-
Ein spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des Clients enthalten ist und auf das als ein Pipeline-Client 15 Bezug genommen wird, steht in Wechselwirkung mit innerhalb der Kommunikation-Protokollschicht 105 enthaltenen Kommunikationsprogrammen. Der Pipeline-Client 15 dient dazu, eingebettete APDU-Anforderungen von eingehenden, von einem Netz 45 empfangenen Mitteilungs-Übermittlungspaketen zur Verarbeitung durch eine lokal verbundene PSD 40 zu trennen. Alternativ werden von dem Pipeline-Client 15 von einer lokal verbundenen PSD 40 erzeugte, ausgehende APDU-Rückantworten durch innerhalb der Kommunikations-Protokollschicht 105 enthaltene Kommunikationsprogramme zur Einbettung in ein kongruentes Kommunikationsprotokoll verarbeitet.
-
Ein Softwaretreiber, der innerhalb der Kommunikations-Protokollschicht 105 des Clients enthalten ist und auf den als eine PSD-Softwareschnittstelle 20 Bezug genommen wird, lenkt durch den Pipeline-Client 15 mitgeteilte, ankommende APDUs in den Eingangs/Ausgangs-Geräteanschluss, der die PSD-Hardwaregeräteschnittstelle 25 mit der lokal verbundenen persönlichen Sicherheitsvorrichtung (PSD) 40 verbindet. Von der persönlichen Sicherheitsvorrichtung erzeugte, ausgehende APDUs werden über die PSD-Hardwaregeräteschnittstelle 25 durch den Eingangs/Ausgangs-Geräteanschluss der PSD-Softwareschnittstelle 20 mitgeteilt und daraufhin dem Pipeline-Client 15 mitgeteilt.
-
5.1.1.2. Spezifische Merkmale des entfernten Computersystems
-
Ein erstes spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des entfernten Computersystems 50 enthalten ist und auf das als eine APDU-Schnittstelle 55 Bezug genommen wird, übersetzt Mitteilungsübermittlungsformate höherer Ebene in das Mitteilungs-Übermittlungsformat niedrigerer Ebene, das benötigt wird, um mit einer PSD 40 zu kommunizieren. Alternativ übersetzt die APDU-Schnittstelle 55 von einer PSD 40 erhaltene, ankommende APDU-Rückantworten in Mitteilungsübermittlungsformate höherer Ebene, die von Programmen in der API-Protokollschicht 100 und der Anwendungs-Protokollschicht 90 des entfernten Computersystems verwendet werden.
-
Ein zweites spezialisiertes Programm, das innerhalb der API-Protokollschicht 100 des entfernten Computersystems 50 enthalten ist und auf das als einen Pipeline-Server 70 Bezug genommen wird, steht in Wechselwirkung mit innerhalb der Kommunikations-Protollschicht 105 enthaltenen Kommunikationsprogrammen. Der Pipeline-Server 70 dient dazu, zur Verarbeitung durch die APDU-Schnittstelle 55 eingebettete APDU-Anforderungen von ankommenden Mitteilungs-Übermittlungspaketen zu trennen, die von einem Netz 45 empfangen wurden. Alternativ werden von der APDU-Schnittstelle 55 übersetzte, ausgehende APDU-Aufforderungen zur Einbettung in ein kongruentes Kommunikationsprotokoll durch in der Kommunikations-Protokollschicht 105 enthaltene Kommunikationsprogramme verarbeitet.
-
5.1.1.3 Andere Merkmale
-
Die Verbindung 30 zwischen der PSD 40 und der PSD-Hardwareschnittstelle 25 beinhaltet traditionelle elektrische oder optische Faserverbindungen oder drahtlose Mittel einschließlich optischen, funktechnischen, akustischen, magnetischen oder elektromechanischen Mitteln, ist aber nicht darauf beschränkt. In gleicher Weise kann die Verbindung zwischen dem Client 10 und dem Netz 45 und die Verbindung 75 zwischen dem entfernten Computersystem 50 und dem Netzwerk 45 auf analoge Art erreicht werden.
-
Das in allgemeiner Weise bei 45 gezeigte Netz beinhaltet öffentliche und auch private Telekommunikationsnetze, die durch traditionelle elektrische, optische und elektroakustische (DTMF) oder durch andere drahtlose Mittel verbunden sind. Irgendein wechselseitig kongruentes Kommunikationsprotokoll, das in der Lage ist, APDU-Befehle einzubetten, kann verwendet werden, um eine informationsfreie Kommunikations-Pipeline aufzubauen, die offene oder sichere Kommunikationsprotokolle beinhaltet.
-
Mit Bezug nun auf 2 wird das Initialisieren einer informationsfreien Kommunikations-Pipeline zwischen dem entfernten Computersystem 50 und der mit einem Client 10 verbundenen PSD 40 abgebildet. In dieser Abbildung sendet das entfernte Computersystem 50 eine Anforderung an die persönliche Sicherheitsvorrichtung 40 nach nicht-proprietärer eingebetteter Information 35, zum Beispiel einer Identifikationszahl. Die persönliche Sicherheitsvorrichtung 40 ist unter Verwendung der PSD-Schnittstelle 25 mit dem örtlichen Client 10 verbunden 30. Die PSD-Schnittstelle 25 steht mit dem Client 10 über den Hardwaregeräteausgang 5 in Verbindung.
-
Um eine informationsfreie Kommunikations-Pipeline zwischen dem entfernten Computersystem 50 und der PSD 40 zu initialisieren erzeugt das entfernte Computersystem 50 mittels API-Programmen 100 eine Anforderung 200, die von der APDU-Schnittstelle 55 in das APDU-Format 220 übersetzt und zu dem Pipeline-Server 70 zur Mitteilungs-Einbettung gesendet wird. Die eingebetteten APDUs werden dann zu den Kommunikationsprogrammen 105S gesendet 210, um in ausgehende Mitteilungspakete 230 eingebracht zu werden.
-
Die die eingebetteten APDUs enthaltenden Mitteilungspakete 230 werden über das Netz 45 über eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130S übermittelt. Der Client 10 empfangt die die eingebetteten APDUs enthaltenden Mitteilungspakete 240, welche von dem Netz 45 über eine auf dem lokalen Client installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C empfangen werden. Die eingehenden Mitteilungen werden durch Client-seitige Kommunikationsprogramme 15C verarbeitet und zur APDU-Entpackung in den Pipeline-Client 15 weitergeleitet 250. Die entpackten APDUs werden durch den Hardwaregeräteausgang 5 gesendet 260, in die PSD-Schnittstelle 25 weitergeleitet 270 und über die Verbindung 30 zur Verarbeitung innerhalb des PSD-Bereiches 35 zu der PSD 40 gesendet.
-
Alternative Anforderungen, eine informationsfreie Kommunikations-Pipeline zwischen einem entfernten Computersystem 50 und einer persönlichen Sicherheitsvorrichtung 40 zu bilden, können von dem Client 10 initiiert werden, der Zugang zu Information anfordert, die auf einem oder mehreren vernetzten lokalen Clients enthalten ist, indem eine PSD 40 mit der PSD-Schnittstelle 25 verbunden wird, welche eine Anforderung initiiert, eine informationsfreie Kommunikations-Pipeline 75 zu bilden, oder von einem anderen entfernten Computersystem, das Zugang zu der PSD 40 anfordert.
-
Mit Bezug nun auf 3 wird eine PSD-Rückantwort abgebildet, welche die informationsfreie Kommunikations-Pipeline zwischen der PSD 40 und dem entferntem Computersystem 50 aufbaut. In dieser Abbildung wird die vorher empfangene Anforderung innerhalb des PSD-Bereiches 35 verarbeitet, welcher eine Rückantwort-Mitteilung erzeugt. Die PSD-Rückantwort wird von der PSD 40 in APDU-Format durch die Verbindung 30 und in die PSD-Schnittstelle 25 gesendet. Die PSD-Rückantwort wird dann durch den Hardwaregeräteausgang 5 weitergeleitet 370 und zur Verarbeitung und Einbettung zu dem Pipeline-Client 15 gesendet 360. Die sich ergebenden Mitteilungspakete werden dann zur Einbringung in ausgehende Mitteilungspakete 340 zu den Client-seitigen Kommunikationsprogrammen 105 gesendet 350. Die Mitteilungspakete 340, welche die eingebetteten APDUs enthalten, werden über das Netz 45 über die Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C übermittelt 75.
-
Das entfernte Computersystem 50 empfangt die die eingebetteten APDUs enthaltenden Mitteilungspakete 330, welche über die auf dem entfernten Computersystem installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C von dem Netz 45 empfangen werden. Die eingehenden Mitteilungen werden durch Server-seitige Kommunikationsprogramme 105S verarbeitet und zur APDU-Entpackung in den Pipeline-Server 70 weitergeleitet 310. Die entpackten APDUs werden zur Verarbeitung und Übersetzung in ein Format höherer Ebene zu der APDU-Schnittstelle 55 gesendet 320 und wenn gewünscht zur Verarbeitung und weiteren Arbeitsvorgängen mit der PSD 40 zu Programmen 100 auf API-Ebene gesendet 300.
-
5.1.2. Sichere Kommunikations-Pipeline
-
Mit Bezug nun auf 4A wird ein verallgemeinertes System-Blockdiagramm von einer Verwirklichung einer sicheren Kommunikations-Pipeline gezeigt. Das allgemeine System Blockdiagramm beinhaltet ein zusätzliches, auf dem entfernten Computersystem installiertes Softwarebasiertes Kryptographiemodul 470, welches nicht in 1 gezeigt wird.
-
4B veranschaulicht eine Alternative zur Verwendung von Softwarebasierten Sicherheitsmechanismen. In dieser Alternative wird ein Hardware-Sicherheitsmodul (HSM) 440 verwendet, um kryptographische Funktionen durchzuführen. Um Zugang zu dem HSM zu erhalten, ist in der API-Protokollschicht 100 ein Softwaretreiber beinhaltet, auf den als eine HSM S/W-Schnittstelle 475 Bezug genommen wird. Der HSM-Softwaretreiber kommuniziert mit einer in der Protokollschicht für physikalische Geräte 130 beinhalteten Schnittstelle für physikalische Geräte. Die Schnittstelle für physikalische Geräte ist auf der Eingangs/Ausgangs-Mehrfachleitung des entfernten Computersystems installiert und auf sie wird als eine HSM H/W-Schnittstelle 485 Bezug genommen. Das HSM-Modul 440 ist mit der HSM H/W-Schnittstelle in einer Weise analog zu der vorstehend beschriebenen PSD-Verbindung zu der PSD-Schnittstelle verbunden 430. Die Verwendung der HSM-Technologien gewährt Sicherheit von Endpunkt zu Endpunkt, was die Möglichkeit von unberechtigter Offenbarung von kryptographischer oder sensibler Information weiter verringert.
-
Beide in 4A und 4B gezeigten Sicherheitsmechanismen für APDU-Mitteilungsübermittlung werden verwendet, um kryptographische Schlüssel zu erzeugen, die notwendig sind, um in dem sicheren Bereich einer PSD enthaltene gesicherte Funktionen und Daten aufzuschließen, ausgehende APDUs zu verschlüsseln und eingehende verschlüsselte APDUs zu entschlüsseln. Die bei dem Erzeugen einer sicheren Kommunikations-Pipeline verwendeten Sicherheitsmechanismen können synchrone, asynchrone oder irgendeine Kombination von kryptographischen Verfahren umfassen.
-
Zum Kommunizieren über ein Netz verwendete sichere Kommunikationsprotokolle werden durch die innerhalb der Kommunikations-Protokollschichten 105 enthaltenen Kommunikationsprogramme erhalten. Bei der Erzeugung sicherer Kommunikationen verwendete Kryptographie kann die für APDU-Nachrichtenübermittlung beschriebenen Sicherheitsmechanismen verwenden, separate Mechanismen verwenden oder irgendeine Kombination davon verwenden.
-
Mit Bezug nun auf 5 wird das Initialisieren einer sicheren Pipeline zwischen dem entfernten Computersystem und der mit dem Client 10 verbundenen PSD 40 veranschaulicht. In dieser Abbildung sendet das entfernte Computersystem 50 eine sichere Anforderung zu individueller eingebetteter Information 35 an die persönliche Sicherheitsvorrichtung 40, zum Beispiel einem Authentifizierungs-Passwort. Die PSD 40 ist mit dem lokalen Client 10 unter Verwendung der PSD-Schnittstelle 25 verbunden 30. Die PSD-Schnittstelle 25 kommuniziert über den Hardwaregeräteausgang 5 mit dem Client 10.
-
Um eine sichere Kommunikations-Pipeline zwischen dem entfernten Computersystem 50 und der PSD 40 zu initialisieren, wird auf dem entfernten Computersystem 50 eine Anforderung 500 erzeugt, mittels API-Programmen 100, die von der APDU-Schnittstelle 55 in APDU-Format übersetzt werden, Zugang zu der PSD 40 zu erhalten. Die APDUs werden dann zur Verschlüsselung unter Verwendung eines vorher aufgebauten Kryptographieverfahrens zu einem Sicherheitsmodul 525 gesendet 520. Die richtigen kryptographischen Parameter können bestimmt werden, indem eine Nachschlagtabelle oder Datenbank mit Querbezügen auf die eindeutige interne Identifikationsinformation der persönlichen Sicherheitsvorrichtung mit einem oder mehreren Codes, die notwendig sind, um das angedeutete Kryptographieverfahren auszuüben, verwendet wird.
-
Die verschlüsselten APDUs werden dann zur Mitteilungs-Einbettung zu dem Pipeline-Server 70 weitergeleitet 510. Die eingebetteten APDUs werden zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und Einbringung in ausgehende Mitteilungspakete 535 zu den Kommunikationsprogrammen 105 gesendet 530. Die gesicherten Mitteilungspakete 535, welche die verschlüsselten und eingebetteten APDUs enthalten, werden über eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130S über das Netz 45 übermittelt 75.
-
Der Client 10 empfängt die Mitteilungspakete 535, enthaltend die verschlüsselten und eingebetteten APDUs, welche von dem Netz 45 über eine auf dem lokalen Client 10 installierte Netz-Schnittstellenkarte (110, Eingang/Ausgang) 130C empfangen werden.
-
Die eingehenden verschlüsselten Mitteilungspakete werden unter Verwendung vorher aufgebauter, in dem sicheren Kommunikationsprotokoll von Client-seitigen Kommunikationsprogrammen 105C verwendeter Kryptographie entschlüsselt und verarbeitet. Die unverschlüsselten, noch die verschlüsselten APDUs enthaltenden Mitteilungspakete werden in den Pipeline-Client 15 zur APDU-Entpackung weitergeleitet 550. Die entpackten APDUs werden durch den Hardwaregeräteausgang 5 gesendet 50, in die PSD-Schnittstelle 25 weitergeleitet 570 und über Verbindung 30 zur Entschlüsselung und Verarbeitung innerhalb des geschützten Bereiches der PSD 40 zu der PSD 40 gesendet. Unter Verwendung eines vorher aufgebauten Kryptographieverfahrens werden eingehende sichere APDUs entschlüsselt und Anforderungen verarbeitet.
-
Mit Bezug nun auf 6 wird eine sichere PSD-Rückantwort veranschaulicht, welche die sichere Kommunikations-Pipeline zwischen der PSD 40 und dem entferntem Computersystem 50 aufbaut. In dieser Abbildung wird die vorher empfangene sichere Anforderung innerhalb des sicheren Bereiches 35 der PSD 40 verarbeitet, was die persönliche Sicherheitsvorrichtung zur Erzeugung einer sicheren Rückantwort-Mitteilung unter Verwendung eines vorher aufgebauten Kryptographieverfahrens veranlasst.
-
Die sichere PSD-Rückantwort wird im APDU-Format von der PSD 40 über die Verbindung 30 und in die PSD-Schnittstelle 25 gesendet. Die sichere PSD-Rückantwort wird dann durch den Hardwaregeräteausgang 5 weitergeleitet 670 und zur Verarbeitung und Einbettung zu dem Pipeline-Client 15 gesendet 660. Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und Einbettung in ausgehende Mitteilungspakete 640 zu den Client-seitigen Kommunikationsprogrammen 105 gesendet 650. Die die eingebetteten APDUs enthaltenen Mitteilungspakete 640 werden über das Netz 45 über eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130C übermittelt 75.
-
Das entfernte Computersystem 50 empfangt die die eingebetteten APDUs enthaltenden Mitteilungspakete 635 von dem Netz 45 über die auf dem entfernten Computersystem 50 installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 130S. Die eingehenden Mitteilungen werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 105 in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens verarbeitet und entschlüsselt und zur gesicherten APDU-Entpackung in den Pipeline-Server 70 weitergeleitet 610. Die entpackten sicheren APDUs werden zur Entschlüsselung der gesicherten APDUs unter Verwendung des vorher aufgebauten Kryptographieverfahrens zu dem Sicherheitsmodul 525 gesendet 630. Die entschlüsselten APDUs werden dann zur Verarbeitung und Übersetzung in ein Format höherer Ebene zu der APDU-Schnittstelle 55 weitergeleitet 620, und wenn gewünscht zur Verarbeitung und weiteren Arbeitsvorgängen mit der PSD 40 zu API-Programmen 100 gesendet 600. Dieser Schritt baut die sichere ”Pipeline” zum Kommunizieren mit der PSD auf. Die sichere Pipeline wird aufrechterhalten, bis das entfernte Computersystem dem Client signalisiert, den Hardwaregeräteausgang 5 zu schließen.
-
Bezüglich der Anzahl der Kommunikations-Pipelines 75 mit einem oder mehreren entfernten Computersystem(en) 50 bildenden persönlichen Sicherheitsvorrichtungen und Clients ist keine Beschränkung beabsichtigt, noch sollte irgendeine Beschränkung der zum Erzeugen von Kommunikations-Pipelines 75 verfügbaren entfernten Computersysteme aus den Zeichnungen abgeleitet werden. Letzten Endes ist keine Beschränkung in Betreff des Initialisierungs-Ereignisses zum Aufbau einer Kommunikations-Pipeline beabsichtigt.
-
5.2. Authentifizierungs-Verfahren unter Verwendung einer Kommunikations-Pipeline
-
Wie schon vorstehend erwähnt, wird die Beschreibung des Authentifizierungs-Verfahrens auf der Verwendung einer sicheren Kommunikations-Pipeline beruhen, die vorliegende Erfindung ist aber nicht auf eine derartige Verwendung beschränkt.
-
Die Verwendung einer informationsfreien Kommunikations-Pipeline fällt in den Umfang der vorliegenden Erfindung.
-
Die zu der Durchführung von Authentifizierung durch eine sichere Kommunikations-Pipeline gehörenden Schritte werden in den Fig. bis Fig. gezeigt. 7 ist ein verallgemeinertes System-Blockdiagramm. 8 bis 11 veranschaulichen eine erste Variante, bei der Rückantworten auf Authentifizierungs-Aufforderungen innerhalb des sicheren Bereiches einer persönlichen Sicherheitsvorrichtung erzeugt werden. 12 bis 14 veranschaulichen eine zweite Variante, bei der ein als ein sicherer Netzknoten arbeitendes entferntes Computersystem die richtige Rückantwort auf Authentifizierungs-Aufforderungen bereitstellt, anstatt Aufforderungen durch die Kommunikations-Pipeline zur Verarbeitung in die persönliche Sicherheitsvorrichtung weiterzuleiten. Mit einem Apostroph gezeigte Buchstaben (zum Beispiel G') zeigen ein Duplikat eines originalen Authentifizierungsnachweises an. Andere gezeigte, aber nicht beschriebene Einzelheiten in Zeichnungen beziehen sich auf in dem vorhergehenden Abschnitt 5.1 beschriebene Informationen.
-
Mit Bezug nun auf 7 wird ein verallgemeinertes System-Blockdiagramm abgebildet, bei dem eine persönliche Sicherheitsvorrichtung 1040 mit einem Client 1010 verbunden ist, der selbst unter Verwendung einer sicheren Kommunikations-Pipeline, wie in dem vorhergehenden Abschnitt 5.1.2. beschrieben, über ein Netz 1045 mit einem entfernten Computersystem 1050 verbunden ist. Das entfernte Computersystem 1050 arbeitet nach anfänglicher Authentifizierung als ein sicherer Netzknoten wie vorstehend beschrieben, um von nachgeordneten entfernten Computersystemen gemachte, über ein Netz 1045 oder 1045A gesendete Authentifizierungs-Anforderungen zu bedienen.
-
Das nachgeordnete entfernte Computersystem 1150 ist ein Beispiel eines Systems, das Authentifizierung benötigt, wenn eine Forderung nach sicheren Funktionen oder Daten über die Netze 1045 und 1045A von dem Clientcomputer 1010 gesendet wird. Die sichere Kommunikations-Pipeline 1075 ist für Authentifizierungs-Verarbeitungsvorgänge gültig, beschränkt aber nicht noch steuert sie unsichere Verarbeitungsvorgänge, die über Netz 1045 oder 1045A stattfinden.
-
Die Netze 1045 und 1045A können ein gemeinsames Netz, wie bei einer virtuellen, privaten Netzanordnung, oder getrennte Netze privater Internet- und öffentlicher Internet-Anordnungen sein. Die Netze 1045 und 1045A werden lediglich zu Zwecken der Veranschaulichung separat abgebildet. Bezüglich der Anzahl der Kommunikations-Pipelines 1075 mit einem oder mehrere sichere Netzknoten 1050 bildenden persönlichen Sicherheitsvorrichtungen und Clients ist keine Beschränkung beabsichtigt; noch sollte irgendeine Beschränkung der Anzahl der zur Authentifizierung verfügbaren nachgeordneten entfernten Computersysteme 1150 aus den Zeichnungen abgeleitet werden. Keine Authentifizierungen nach sich ziehende Verarbeitungsvorgänge sind nicht auf den sicheren Netzknoten beschränkt.
-
Der grundlegende Betrieb des sicheren Netzknotens kann initialisiert werden, wenn ein Endbenutzer an einem Client Zugang zu sicheren Funktionen und Daten verlangt, die auf einem oder mehreren durch ein Netz verbundenen entfernten Computersystem enthalten sind. Ein verfügbares entferntes Computersystem, in welchem eine sichere Kommunikations-Pipeline wie in dem vorhergehenden Abschnitt 5.1.2. aufgebaut wurde, authentifiziert den Endbenutzer und -Client unter Verwendung der innerhalb des sicheren Bereiches der persönlichen Sicherheitsvorrichtung enthaltenen Sicherheitsmechanismen. Alternativ wird ein externes Ereignis, wie die Notwendigkeit, Information innerhalb einer PSD zu aktivieren, ein nachgeordnetes entferntes Computersystem dazu veranlassen, den Authentifizierungsvorgang zu initialisieren.
-
Sobald eine anfängliche Client-Authentifizierung von dem verfügbaren entfernten Computersystem erreicht wurde, werden darauf folgende, von nachgeordneten entfernten Computersystemen gemachte, über ein Netz 1045 oder 1045A übertragene Authentifizierungs-Aufforderungen zu dem als ein sicherer Netzknoten wirkenden entfernten Computersystem 1050 gerichtet und werden je nach der verwendeten Variante entweder durch die geeignete Kommunikations-Pipeline 1075 zu der PSD 1040 weitergeleitet oder direkt von dem entfernten Computersystem 1050 authentifiziert.
-
5.2.1. Erste Variante des Authentifizierungs-Verfahrens
-
Mit Bezug auf 8 veranlasst ein Client 1010, um einen sicheren Netzknoten aufzubauen, dass eine Authentifizierungs-Aufforderung auf einem entfernten Computersystem 1050 erzeugt wird, indem er über ein Netz 1045 Zugang zu sicheren Funktionen oder Daten anfordert. Bei Erhalt der Anforderung von Client 1010 erzeugt das entfernte Computersystem 1050 eine als Authentifizierungs-Routine 1065 bezeichnete Authentifizierungs-Abfrage 1205 innerhalb eines sicheren Bereiches. Die Authentifizierungs-Aufforderung wird von einem Programm 1100 auf API-Ebene verarbeitet und zur Übersetzung in ein APDU-Format zu einer APDU-Schnittstelle 1055 weitergeleitet 1200. Die APDUs werden dann zur Verschlüsselung zu einem Sicherheitsmodul 1225 gesendet 1220. Die verschlüsselten APDUs werden zur Einbettung in ausgehende Mitteilungsübermittlung zu einem Pipeline-Server 1070 weitergeleitet 1230 und zur Übermittlung über die Kommunikations-Pipeline 1075 zu den Kommunikationsprogrammen 1105S über das Netz 1045 in die Netzschnittstelle 1130C des Clients 10 gesendet 1210. Die eingehenden Mitteilungen werden dann zur Verarbeitung zu Kommunikationsprogrammen 1105C weitergeleitet 240.
-
Nach der Verarbeitung werden die Mitteilungen zur Abtrennung der eingebetteten APDUs zu einem Pipeline-Client 1015 gesendet 1250. Dann werden die APDUs durch einen einer PSD-Schnittstelle 1025 zugeordneten Hardwaregeräteausgang 1005 gesendet 1260. Die PSD-Schnittstelle 1025 leitet die eingehenden APDUs über die Verbindung 2030 in die persönliche Sicherheitsvorrichtung 1040 weiter, wo sie nachfolgend entschlüsselt und innerhalb ihres sicheren Bereiches 1035 verarbeitet wird.
-
Mit Bezug auf 9 wird, sobald die PSD 1040 die Authentifizierungs-Aufforderung innerhalb des gesicherten Bereiches 1035 der persönlichen Sicherheitsvorrichtung verarbeitet hat, unter Verwendung eines vorher aufgebauten kryptographischen Verfahrens eine Authentifizierungs-Rückmeldungsmitteilung erzeugt.
-
Die Authentifizierungs-Rückantwort wird im APDU-Format aus der PSD 1040 über die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere PSD-Rückantwort wird dann durch den Hardwaregeräteausgang 1005 weitergeleitet 1370 und zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1360. Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und Einbringung in ausgehende Mitteilungspakete 1340 zu den Clientseitigen Kommunikationsprogrammen 1105C gesendet 1350. Die Mitteilungspakete 1340, welche die eingebetteten APDUs enthalten, werden durch das Netz 1045 über eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Das entfernte Computersystem 1050 empfängt die Mitteilungspakete 1335, welche die eingebetteten APDUs enthalten, von dem Netz 1045 über eine auf dem entfernten Computersystem installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130S. Die eingehenden Mitteilungen werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens verarbeitet und entschlüsselt und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1310. Die entpackten sicheren APDUs werden zur Entschlüsselung der gesicherten APDUs unter Verwendung des vorher aufgebauten Kryptographieverfahrens zu dem Sicherheitsmodul 1325 gesendet 1330. Die entschlüsselten APDUs werden dann zur Verarbeitung und Übersetzung in ein Format höherer Ebene zu der APDU-Schnittstelle 1055 weitergeleitet und zur Verarbeitung zu API-Programmen 1100 gesendet 1300. Wenn die Authentifizierung erfolgreich ist, gestattet das entfernte Computersystem 1050 Zugang zu sicheren Funktionen oder Daten und baut sich selbst als ein sicherer Netzknoten auf. Wenn die Authentifizierung misslingt, wird der Endanwender nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten zu erhalten.
-
Mit Bezug auf 10 kann entfernte Authentifizierung von nachgeordneten entfernten Computersystemen erreicht werden, sobald der sichere Netzknoten wie vorstehend beschrieben aufgebaut wurde. Entfernte Authentifizierung kann entweder durch eine Anforderung eines Clients zu sicherem Zugang zu sicheren Funktionen oder Daten oder von anderen entfernten Computersystemen, Arbeitsvorgänge innerhalb des gesicherten Bereichs einer PSD durchzuführen, ausgelöst werden.
-
Zur Durchführung einer entfernten Authentifizierung wird von einem nachgeordneten entfernten Computersystem 1150 eine Aufforderung 1085 herausgegeben. Die Aufforderung wird durch ein Netz 1045 in den sicheren Netzknoten 1050 weitergeleitet. Die eingehende Aufforderung wird unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens in dem sicheren Netzknoten 1050 verarbeitet und entschlüsselt und zu einem Programm auf API-Ebene 1100 weitergeleitet 1085, wo es verarbeitet und zur Übersetzung in ein APDU-Format zu einer APDU-Schnittstelle 1055 weitergeleitet 1400 wird. Die APDUs werden dann zur Entschlüsselung zu dem Sicherheitsmodul 1425 gesendet 1420. Die verschlüsselten APDUs werden dann zur Einbettung in ausgehende Mitteilungen zu einem Pipeline-Server 1070 weitergeleitet 1430 und zur Übermittlung über die Kommunikations-Pipeline 1075 durch das Netz 1045 in die Netzschnittstelle 1130C des Clients 1010 zu den Kommunikationsprogrammen 1105S gesendet 1410.
-
Die eingehenden Mitteilungen werden dann zur Verarbeitung zu Kommunikationsprogrammen 1105C weitergeleitet 1440. Nach der Verarbeitung werden die Mitteilungen zur Abtrennung der eingebetteten APDUs zu einem Pipeline-Client 1015 gesendet 1450. Die APDUs werden dann über einen einer PSD-Schnittstelle 1025 zugeordneten Hardwaregeräteausgang 1005 gesendet 1460. Die PSD-Schnittstelle 1025 leitet die eingehenden APDUs über die Verbindung 1030 in die persönliche Sicherheitsvorrichtung 1040 weiter 1025, wo sie daraufhin innerhalb von deren gesichertem Bereich 1035 entschlüsselt und verarbeitet werden.
-
Mit Bezug auf 11 wird, sobald die persönliche Sicherheitsvorrichtung 1040 die Authentifizierungs-Aufforderung innerhalb ihres gesicherten Bereiches 1035 verarbeitet hat, unter Verwendung eines vorher aufgebauten kryptographischen Verfahrens eine Authentifizierungs-Rückantwortmitteilung erzeugt. Die Authentifizierungs-Rückmeldung wird im APDU-Format aus der PSD 1040 über die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere PSD-Rückantwort wird dann durch den Hardwaregeräteausgang 1005 weitergeleitet 1570 und zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1560. Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und Einbringung in ausgehende Mitteilungspakete 1540 zu den Client-seitigen Kommunikationsprogrammen 1105C gesendet 1550. Die Mitteilungspakete 1540, welche die eingebetteten APDUs enthalten, werden durch das Netz 1045 über die Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Der sichere Netzknoten 1050 empfangt die Mitteilungspakete 1535, welche die eingebetteten APDUs enthalten, von dem Netz 1045 über die Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130S. Die eingehenden Mitteilungen werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens verarbeitet und entschlüsselt und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1510. Die entpackten sicheren APDUs werden zur Entschlüsselung der gesicherten APDUs unter Verwendung des vorher aufgebauten Kryptographieverfahrens zu dem Sicherheitsmodul 1525 gesendet 1530. Die entschlüsselten APDUs werden dann zur Verarbeitung und Übersetzung in ein Format höherer Ebene zu der APDU-Schnittstelle 1055 weitergeleitet 1520 und zur Verarbeitung zu API-Programmen 1100 gesendet 1500. Das Authentifizierungsmodul 1065 innerhalb des sicheren Netzknotens 1050 bleibt während der Übertragung der Authentifizierungsinformation inaktiv. Die Authentifizierungs-Rückmeldungsmitteilung wird dann in die Kommunikationsprogramme 1105S weitergeleitet 1085, wo die Rückmeldung in einem vorher aufgebauten sicheren Kommunikationsprotokoll über das Netz 1045 zu dem auffordernden, nachgeordneten entfernten Computersystem 1150 gesendet wird.
-
Die eingehende Rückantwort-Mitteilung wird entschlüsselt und zu einem Authentifizierungsmodul 1095 gesendet. Wenn die Authentifizierung erfolgreich ist, gestattet das nachgeordnete entfernte Computersystem 1050 Zugang zu sicheren Funktionen oder Daten. Wenn die Authentifizierung misslingt, wird der Endanwender nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten zu erhalten.
-
5.2.2. Zweite Variante des Authentifizierungs-Verfahrens
-
Mit Bezug auf 12 wird eine zweite Variante des Authentifizierungs-Verfahrens abgebildet, in welcher das entfernte Computersystem 1050 Kopien der PSD-Berechtigungsnachweise C 1035 überträgt, wenn diese nicht vorher auf dem entfernten Computersystem 1050 vorhanden sind. Um Übertragung von Berechtigungsnachweisen durchzuführen, wird wie vorstehend beschrieben von dem entfernten Computersystem 1050 ein anfänglicher Authentifizierungsvorgang durchgeführt. Nach der Authentifizierung werden von dem entfernten Computersystem 1050 zusätzliche Befehle ausgesendet, um die spezifizierten Berechtigungsnachweise zu übertragen.
-
Die Berechtigungsnachweise werden unter Verwendung eines vorher aufgebauten Kryptographieverfahrens erzeugt und im APDU-Format von der PSD 1040 durch die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere PSD-Rückmeldung wird dann durch den Hardwaregeräteausgang 1005 weitergeleitet 1670 und zur Verarbeitung und Einbettung zu dem Pipeline-Client 1015 gesendet 1660. Die sich ergebenden Mitteilungspakete werden dann zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und. Einbringung in ausgehende Mitteilungspakete 1640 zu den Client-seitigen Kommunikationsprogrammen 1105C gesendet 1650. Die Mitteilungspakete 640, welche die eingebetteten APDUs enthalten, werden durch das Netz 1045 über eine Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130C übermittelt 1075.
-
Das entfernte Computersystem 1050 empfängt die Mitteilungspakete 1635, welche die eingebetteten APDUs enthalten, von dem Netz 1045 über die auf dem entfernten Computersystem installierte Netz-Schnittstellenkarte (I/O, Eingang/Ausgang) 1130S.
-
Die eingehenden Mitteilungen werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens verarbeitet und entschlüsselt und zur gesicherten APDU-Entpackung in den Pipeline-Server 1070 weitergeleitet 1610. Die entpackten sicheren APDUs werden zur Entschlüsselung der gesicherten APDUs unter Verwendung des vorher aufgebauten Kryptographieverfahrens zu dem Sicherheitsmodul 1625 gesendet 1630. Die entschlüsselten APDUs werden dann zur Verarbeitung und Übersetzung in ein Format höherer Ebene zu der APDU-Schnittstelle 1055 weitergeleitet 1620 und zur Verarbeitung zu API-Programmen 1100 gesendet 1600 und nachfolgend für sichere Speicherung und zukünftige Verwendung zu dem Authentifizierungsmodul 1065 gesendet 1605. Die übertragene Authentifizierungsinformation wird in 12 als C' gezeigt.
-
In 13 wird eine Authentifizierungs-Aufforderung 1085 über ein Netz 1045 von einem nachgeordneten entfernten Computersystem 1150 ausgesendet. Das als ein sicherer Netzknoten wirkende entfernte Computersystem 1050 empfängt die eingehende Aufforderung 1085 von dem Netz 1045 über die auf dem entfernten Computersystem 1050 installierte Netz-Schnittstellenkarte 1130S. Die eingehenden Aufforderungen 1085 werden unter Verwendung des von den Server-seitigen Kommunikationsprogrammen 1105S in dem sicheren Kommunikationsprotokoll benutzten, vorher aufgebauten Kryptographieverfahrens in dem sicheren Netzknoten 1050 verarbeitet und entschlüsselt und zur Verarbeitung zu Programmen auf API-Ebene 1100 weitergeleitet. Die verarbeitete Aufforderung wird dann zur Authentifizierung unter Verwendung der übertragenen Berechtigungsnachweise C' 1035 der PSD zu dem Authentifizierungsmodul 1065 gesendet 1705. Die Kommunikations-Pipeline 1075 kann während dieses Vorgangs intakt bleiben, um zu ermöglichen, dass andere Arbeitsvorgänge stattfinden.
-
Mit Bezug auf 14 erzeugt der sichere Netzknoten 1050 eine Authentifizierungsantwort innerhalb des Authentifizierungsmoduls 1065, welche zur Verarbeitung zu den Programmen auf API-Ebene 1100 gesendet 1805 wird und nachfolgend zur Verarbeitung, Verschlüsselung unter Verwendung eines vorher aufgebauten sicheren Kommunikationsprotokolls und Einbringung in ausgehende Mitteilungspakete zu den Server-seitigen Kommunikationsprogrammen 1105S weitergeleitet 1810 wird. Die Mitteilungspakete werden über das Netz 1045 zu dem auffordernden nachgeordneten entfernten Computersystem 1150 weitergeleitet. Die eingehenden Mitteilungen werden dann entschlüsselt und die Authentifizierungsantwort wird von einem internen Authentifizierungsmodul 1095 verarbeitet. Wenn die Authentifizierung erfolgreich ist, gestattet das nachgeordnete entfernte Computersystem 1150 Zugang zu sicheren Funktionen oder Daten. Wenn die Authentifizierung misslingt, wird der Endanwender nicht in der Lage sein, Zugang zu sicheren Funktionen oder Daten zu erhalten.
-
5.3. Verfahren und System zur entfernten Aktivierung und Verwaltung von persönlichen Sicherheitsvorrichtungen.
-
Das Bedürfnis nach sicheren Netzkommunikationen ist von äußerster Wichtigkeit für sensible Vorgänge des Staates und der Geschäftswelt. Die vorliegende Erfindung stellt eine Verbesserung gegenüber dem Stand der Technik dar, indem sie die Ausgabe generischer persönlichen Sicherheitsvorrichtungen erlaubt, welche zu einem späteren Zeitpunkt aktiviert und individuell angepasst werden können.
-
Die zum Aktivieren der persönlichen Sicherheitsvorrichtung und der Durchführung nachfolgender Informationsverwaltung über eine Kommunikations-Pipeline gehörenden Schritte werden in 15 bis 17 gezeigt. Zu Demonstrationszwecken soll angenommen werden, dass irgendwelche lokalen Authentifizierungen zwischen Endbenutzer, Client und lokalem Netzbereich bereits bewerkstelligt wurden. Vorzugsweise wird über das ganze Netz ein sicheres Kommunikationsprotokoll zwischen dem Client und einem oder mehreren entfernten Computersystemen verwendet. Es versteht sich für einen Fachmann, dass jede Ausführungsform der Erfindung mit oder auch ohne die Verwendung von sicheren Kommunikationsprotokollen arbeiten wird.
-
Mit Bezug nun auf 15A wird eine erste Ausführungsform der Erfindung abgebildet, in welcher ein Client 2010 und eine verbundene PSD 2040 über ein Netz 2045 mit einem eine Kommunikations-Pipeline 2075 wie in dem vorstehenden Abschnitt 5.1. beschrieben verwendenden, entfernten Computersystem 2050 verbunden sind. Das entfernte Computersystem erhält die Kommunikations-Pipeline 2075 aufrecht und steht dafür zur Verfügung, proprietäre Information ”I” 2165 über die Kommunikations-Pipeline 2075 und in die persönliche Sicherheitsvorrichtung 2040 zu übertragen.
-
In 15B wird eine zweite Ausführungsform der Erfindung abgebildet, in welcher ein erstes, wie in dem vorstehenden Abschnitt 5.2. beschrieben als ein sicherer Netzknoten arbeitendes, entferntes Computersystem 2050 einen Mechanismus für ein mit einem Netz 2045 verbundenes, nachgeordnetes entferntes Computersystem 2150 bereitstellt, um proprietäre Information ”1” 2165' in eine PSD 2040 zu übertragen. In dieser zweiten Ausführungsform der Erfindung wird proprietäre Information 2165' von einen ersten, entfernten Computersystem 2050 empfangen und verarbeitet. Die proprietäre Information 2165' wird dann von dem ersten entfernten Computersystem 2050 durch die Kommunikations-Pipeline 2075 und in die persönliche Sicherheitsvorrichtung 2040 gesendet.
-
Das Netz 2045 kann ein gemeinsames Netz, wie bei einer virtuellen, privaten Netzanordnung, oder getrennte Netze wie private Internet und öffentliche Internet-Anordnungen sein. Bezüglich der Anzahl der Kommunikations-Pipelines 1075 mit einem oder mehreren entfernten Computersystemen 2050, 2150 bildenden persönlichen Sicherheitsvorrichtungen 2040 und Clients 2010 ist keine Beschränkung beabsichtigt; noch sollte irgendeine Beschränkung der Anzahl der zur Übertragung proprietärer Information 2165, 2165' verfügbaren entfernten Computersysteme 2050, 2150 aus irgendeiner der hierin gezeigten Zeichnungen abgeleitet werden.
-
Endanwender-Authentifizierung ist wahlweise möglich zum Aktivieren informationsfreier persönlichen Sicherheitsvorrichtungen oder zum Deaktivieren von bereits in Gebrauch befindlichen persönlichen Sicherheitsvorrichtungen. In Fällen, wo Zugang zu einer vorher personalisierten PSD gewünscht wird, können Authentifizierungsvorgänge erforderlich sein wie in dem vorstehenden Abschnitt 5.2. beschrieben, um sicheren Zugang zu der persönlichen Sicherheitsvorrichtung zu erleichtern. Sobald der Authentifizierungsvorgang erfolgreich abgeschlossen wurde, werden Änderungen der innerhalb des sicheren Bereiches der persönlichen Sicherheitsvorrichtung enthaltenen proprietären Information bewerkstelligt, indem die für die Aktivierung informationsfreier Karten beschriebene, äquivalente Methodenlehre angewendet wird.
-
Proprietäre Information 2165, 2165' zur Eingabe in eine persönliche Sicherheitsvorrichtung kann aus einem entfernten, eine Kommunikations-Pipeline unterstützenden entfernten Computersystem 2050 (erste Ausführungsform der Erfindung), aus nachgeordneten entfernten Computersystemen 2150 (zweite Ausführungsform der Erfindung) oder aus irgendeiner Kombination von entfernten Computersystemen herstammen.
-
Mit Bezug auf 16 veranschaulicht diese Zeichnung die Übertragung von proprietärer Information von einem Speicherplatz über ein Netz in eine PSD unter Verwendung des die Kommunikations-Pipeline unterstützenden entfernten Computersystems (erste Ausführungsform der Erfindung). Diese Zeichnung gilt für die Aktivierung einer informationsfreien PSD oder auch für das Verändern von Information in einer aktiven PSD nach der Authentifizierung. In dieser ersten Ausführungsform der Erfindung wird die proprietäre Information 2165 von ihrem Speicherplatz 2160 innerhalb des entfernten Computersystems 2050 aufgerufen.
-
Nach Abruf wird die proprietäre Information 2165 zur Verarbeitung in das APDU-Format und Einbettung in das richtige Kommunikations-Mitteilungsübermittlungsformat 2204, wie in dem vorstehenden Abschnitt 5.1. beschrieben, gesendet 2206. Nach Verarbeitung wird die Kommunikationsmitteilung 2204 durch die Netzschnittstelle 2130 über das Netz 2045 in die Kommunikations-Pipeline 2075 gesendet und über eine komplementäre Netzschnittstelle 2130C von dem Client 2010 empfangen.
-
Die eingehenden Kommunikationsmitteilungen werden zur Verarbeitung gesendet 2212, wo die APDU-formatierte Information wie in dem vorstehenden Abschnitt 5.1. beschrieben abgetrennt wird. Die abgetrennten APDUs werden dann durch den Hardwaregeräteausgang 2005 und in 2218 die persönliche Sicherheitsvorrichtungs-Geräteschnittstelle 2025 weitergeleitet 2216. Die eingehenden APDUs werden dann in den sicheren Bereich 2035 der PSD 2040 weitergeleitet 2030, wo die Information durch mindestens einen eingebetteten Algorithmus verarbeitet und gespeichert wird.
-
Für frisch ausgegebene persönliche Sicherheitsvorrichtungen, denen proprietäre Information fehlt, wird der eingebettete Algorithmus von dem PSD-Ausgeber installiert und dient dazu, die anfängliche Installation proprietärer Information zu verwalten. Für bereits proprietäre Information enthaltende persönlichen Sicherheitsvorrichtungen kann der Algorithmus der gleiche oder ein verschiedener Algorithmus sein, welcher kryptographische Fähigkeiten beinhalten kann.
-
Mit Bezug auf 17 veranschaulicht diese Zeichnung die Übertragung von proprietärer Information von einem entfernten Speicherplatz 1160' über ein Netz 2045 und Eingabe in eine PSD 2040 unter Verwendung einer Vielzahl von entfernten Computersystemen 2050, 2150. Diese zweite Ausführungsform der Erfindung umfasst Abrufen proprietärer Information 2165' von einem oder mehreren 2150 entfernten Computersystemen, senden 2085 der proprietären Information über ein Netz 2045, wo die proprietäre Information von einem ersten entfernten Computersystem 2050 empfangen und verarbeitet wird, welches eine Kommunikations-Pipeline 2075 unterstützt, und in den sicheren Bereich 2035 der PSD 2040 eingegeben wird.
-
Diese zweite Ausführungsform der Erfindung ist für die Aktivierung einer informationsfreien PSD oder auch für das Verändern von Information in einer aktiven PSD nach der Authentifizierung anwendbar. In Fällen wo Authentifizierung erforderlich ist, kann das die Kommunikations-Pipeline unterstützende entfernte Computersystem wie in dem vorstehenden Abschnitt 5.2. beschrieben als ein sicherer Netzknoten wirken.
-
In dieser zweiten Ausführungsform der Erfindung wird die proprietäre Information 2160' von einem Speicherplatz innerhalb eines nachgeordneten entfernten Computersystems 2150 oder eines anderen entfernten Computersystems aufgerufen, welches lokal zu und in Kommunikation stehend mit dem nachgeordneten entfernten Computersystem 2150 ist. Die proprietäre Information ”I” 2165' wird abgerufen und über das Netz 2045 zu dem die Kommunikations-Pipeline 2075 mit der dafür vorgesehenen PSD 2040 unterstützenden, entfernten Computersystem 2050 gesendet 2085.
-
Das entfernte Computersystem 2050 empfängt über die Netzschnittstelle 2130 die proprietäre Information und leitet die eingehende proprietäre Information 2165' weiter zu deren Verarbeitung 2302 in das APDU-Format und Einbettung in das richtige Kommunikations-Mitteilungsübermittlungsformat 2304, wie in dem vorstehenden Abschnitt 5.1. beschrieben. Nach Verarbeitung wird die Mitteilung 2304 durch die Netzschnittstelle 2130S über Netz 2045 in die Kommunikations-Pipeline 2075 und über eine komplementäre Netzschnittstelle 2130C von dem Client 2010 empfangen.
-
Die eingehenden Kommunikationsmitteilungen werden zur Verarbeitung in 2314 gesendet 2312, wo die APDU-formatierte Information, wie in dem vorstehenden Abschnitt 5.2. beschrieben, abgetrennt wird. Die abgetrennten APDUs werden dann über den Hardwaregeräteausgang 2005 und in 2318 die PSD-Schnittstelle 2025 weitergeleitet 2316. Die eingehenden APDUs werden dann in den sicheren Bereich 2035 der PSD 2040 weitergeleitet 2030, wo die Information durch mindestens einen eingebetteten Algorithmus verarbeitet und gespeichert wird.
-
Wie vorstehend beschrieben, wird für frisch ausgegebene persönliche Sicherheitsvorrichtungen, denen proprietäre Information fehlt, der eingebettete Algorithmus von dem PSD-Ausgeber installiert und dient dazu, die anfängliche Installation proprietärer Information zu verwalten. Für bereits proprietäre Information enthaltende persönliche Sicherheitsvorrichtungen kann der Algorithmus der gleiche oder ein verschiedener Algorithmus sein, welcher kryptographische Fähigkeiten beinhalten kann.
-
Die vorstehend beschriebenen Ausführungsformen der Erfindung werden als Veranschaulichungen und Schilderungen bereitgestellt. Sie sind nicht dazu gedacht, die Erfindung auf die genaue, beschriebene Form zu beschränken. Insbesondere ist zu bedenken, dass funktionsfähige Ausübung der hierin beschriebenen Erfindung in gleichwertiger Weise in Hardware, Software, Firmware und/oder anderen, verfügbaren Funktionskomponenten oder Baublöcken realisiert werden kann. Andere Variationen und Ausführungsformen sind im Lichte der vorstehenden Lehren möglich, und es wird nicht beabsichtigt, dass der Umfang der Erfindung durch die ausführliche Beschreibung beschränkt wird, vielmehr durch die hierin nachfolgenden Ansprüche.