-
Abnehmbare Massespeicherkarten für Mikrocomputer
(oder Personalcomputer oder PC, aus dem Englischen „personal
computer") sind
seit kurzem als Zubehör
für Personalcomputer
aufgetaucht, vor allem für
tragbare Computer. In Zukunft könnten sie
Disketten und andere Massespeichermittel vom magnetischen Typ ersetzen.
Sie können
als Massespeicher mit ebenso großer Kapazität wie Magnetdisketten dienen
(in der Größenordnung
von Millionen Bytes); ihr Platzverbrauch ist nicht größer (Kreditkartenformat,
Stärke
3 bis 5 Millimeter); sie sind sehr viel schneller zugänglich (mehrere
zehntausend Mal schneller).
-
Sie können selbst als direkt vom
Mikrocomputer ausführbarer
Schreib-Lese-Speicher für
Programme dienen. In diesem Fall brauchen sie, im Gegensatz zu den
magnetischen Massespeichern, nicht in den Schreib-Lese-Speicher (RAM) des
PCs heruntergeladen zu werden, um anschließend ausgeführt zu werden. Die Programme,
die er enthält,
sind direkt auf dem PC ausführbar.
-
Massespeicherkarten, die mitunter
auch als PC-Cards
bezeichnet werden, umfassen mehrere Speicherchips und einen Steckverbinder
(weiblicher Steckverbinder mit 68 Stiften gemäß der Norm PCMCIA aus „Personal
Computer Memory Card International Association" 1040B East Duane Avenue Sunnyvale,
Kalifornien). Die Karte kann in einen entsprechenden (männlichen)
Steckverbinder des Computers eingesteckt werden. Die Anschlüsse sind
derart, dass der Speicher durch einen parallelen Eingangs-Ausgangs-Port des
PCs entweder, als ob der Speicher ein magnetischer Massespeicher
wäre, oder
als ob er eine Erweiterung des Lese-Schreib-Speichers des Computer
wäre, adressiert werden
kann.
-
Erfindungsgemäß wurde daran gedacht, dass
es wünschenswert
wäre, die
Massespeichekarten für
Personalcomputer so weit wie möglich
zu sichern. Ihre große
Kapazität
bewirkt nämlich,
dass sie entweder umfangreiche, beim Lesen sowie beim Schreiben
einen Schutz verdienende Datenbanken oder kostspielige Programme
beinhalten können,
die nicht ohne Genehmigung genutzt oder dupliziert werden sollen;
oder sie können
je nach technisch ausgefeilteren Programmen als denen, die derzeitig
existieren, oder die größere Datenmengen
implizieren als die, die einfache Chipkarten, die nur einen Chip
enthalten, für
gesicherte Transaktionen speichern können, auch zur Gewährleistung
von vertraulichen Transaktionen dienen.
-
Die derzeitig verfügbaren Lösungen zur
Gewährleistung
einer derartigen Sicherheit sind:
- – Zunächst können dieselben
Schutztypen wie für Magnetspeicher
verwendet werden; wie z. B. die Möglichkeit, die Dateien durch
Software-Attribute zu verstecken, die sie für den Verwender unsichtbar
machen, wenn dieser versucht, über
den Mikrocomputer einen Zugang darauf zu erhalten. Das ist eine
klassische Lösung
für die
unter DOS arbeitenden PCs. Es ist jedoch bekannt, dass ein findiger
Verwender diesen Schutz auf einfache Weise durch Software-Zugang
zu den Attributen der Dateien und durch deren Änderung außer Kraft setzen kann. Es besteht
also nur ein grober Schutz;
- – Anschließend gibt
es alle von den Softwareherstellern zum Schutz derselben gegen Kopien
eingesetzten klassischen Schutzarten. Diese Lösungen sind mehr oder weniger
wirkungsvoll und dienen auf jeden Fall nicht zum Schutz gegen eine Nutzung;
- – Schließlich ist
der Einsatz von Sicherheitschipkarten zum Schutz eines Computers
(oder anderen Geräten)
gegen eine Nutzung durch einen nicht berechtigten Inhaber bekannt.
Diese Lösung wird
nachstehend in weiteren Einzelheiten wieder aufgeführt.
-
Gemäß der Patentschrift
EP 0 152 024 ist ebenfalls
eine einen Mikroprozessor, einen ersten spezifischen Speicher zum
Speichern der Zugangsregeln in Zonen eines zweiten Speichers der
Chipkarte enthaltende Chipkarte bekannt.
-
Zur Gewährleistung einer Zugangsberechtigung
zu einem PC wurde vorgeschlagen, den PCs ein Kartenlesegerät mit Sicherheitschip
zuzuordnen: Das Kartenlesegerät
mit Chip wird an den PC angeschlossen; im Übrigen dienen die Tastatur
und der Bildschirm des Computers als Schnittstelle, um den Datenaustausch
für Genehmigungsoperationen
zu gewährleisten;
die Chipkarte umfasst einen einzigen Chip, der ein Sicherheitsmodul
ist. Die Sicherheit besteht in der Verhinderung der Nutzung des
PCs, wenn der Verwender nicht die entsprechenden vertraulichen Codes
liefert. Diese Codes werden ausgehend von der Tastatur des PCs gemäß einem
speziell zwischen dem PC und der Karte vorgesehenen Austauschprotokoll
eingegeben. Der PC, dessen Nutzung zu schützen ist, kann selbst zur Gewährleistung des
Austauschs dienen. Die Chipkarte gehört nicht zum PC. Der Verwender
nimmt seine Sicherheitskarte nach ihrer Verwendung im Gerät mit, um
einem unberechtigten Dritten nicht die freie Verfügung darüber zu gewähren; die
Sicherheit beruht nämlich
im Wesentlichen auf dem gleichzeitigen Besitz der Karte und einem
dieser Karte zugeordneten vertraulichen Code.
-
Wenn nun nicht der PC als Ganzes
geschützt
werden soll (da er für
laufende Nutzungen auch für
andere dienen können
soll), sondern die Massenspeicherkarte, die an ihn angeschlossen
werden soll, dann muss vorgesehen werden, dass die an das dem PC
zugeordnete Kartenlesegerät
angeschlossene Sicherheitskarte kein totales Betriebsverbot des
PCs hervorruft, sondern selektiv das Betriebsverbot des Ports, an
den die Massenspeicherkarte angeschlossen ist.
-
Man glaubt jedoch, dass diese Lösung Nachteile
aufweist und keine ausreichende Sicherheit gegen eine unerwünschte Nutzung
der Karte gewährleistet.
-
Erfindungsgemäß wird eine in der Einfügung wenigstens
eines zur Zugangskontrolle der Speicherzone des Massespeichers geeigneten
integrierten Sicherheitsschaltkreises in die abnehmbare Massenspeicherkarte
selbst (die mehrere integrierte Speicherschaltkreise umfasst) bestehende
originelle Lösung
angeboten.
-
Die Kontrolle erfolgt in der Tat
im Prinzip in Abhängigkeit
von Berechtigungsinformationen, die der Verwender durch den Computer
liefern muss (vertraulicher, in die Tastatur oder anderes Berechtigungsmittel
eingegebener Code).
-
Unter Sicherheitsschaltkreis wird
hier ein einziger Chip mit integriertem Schaltkreis mit einem nicht
flüchtigen
Speicher mit vertraulichen Informationen verstanden, die nicht auf
die externen Klemmstellen des integrierten Schaltkreises übertragen werden
können,
und ein programmierter, zur Nutzung dieser vertraulichen Informationen
und anderer, vom Verwender gelieferten Informationen geeigneter programmierter
Sicherheitsschaltkreis verstanden, um Bestätigungsanweisungen nach Überprüfung einer
vorgegebenen Beziehung zwischen diesen beiden Informationstypen
auszugeben: Die vertraulichen Daten verlassen den integrierten Schaltkreis nicht.
-
Dieser Sicherheitsschaltkreis ist
bevorzugt derselbe wie der einzige Schaltkreis einer Berechtigungschipkarte
(die, von der weiter oben die Rede war und die zur Genehmigung des
Betriebs eines Computers dienen kann, wenn der Inhaber sie in den Computer
einführt).
Hier jedoch wird keine zur Genehmigung des Betriebs des Computers
oder des Anschlussports mit dem Massespeicher dienende abnehmbare
Berechtigungskarte eingesetzt. Ein Sicherheitschip wird direkt in
den Massespeicher eingesetzt, um den Inhalt derselben zu sichern.
-
Es ist anzumerken, dass die zum Schutz
des Lese- oder Schreibzugriffs
auf die Daten eines Speichers eingesetzten Sicherheitschips bisher
nur zum Schutz des Inhaltes des internen Speichers des Chips selbst
dienten, wobei die Tatsache ausgenutzt wurde, dass die zu schützenden
Daten im Fall eines einzigen Chips nicht außerhalb des Chips übertragen werden.
Und es handelte sich im Übrigen
nicht um Massespeicher, sondern um sehr kleine Speicher, gerade
weil diese Speicher in den Chip eingesetzt wurden. Und darüber hinaus
wurden die zum Schutz anderer Geräte eingesetzten Sicherheitschips
in eine vom zu schützenden
Gerät getrennte
Sicherheitskarte eingefügt,
welche der berechtigte Verwender bei sich trägt und nicht im zu schützenden
Gerät belässt. Hier
wird keine vom zu schützenden
Gerät getrennte und
vom zu schützenden
Gerät entfernt
zu transportierende Karte verwendet, sondern vielmehr ein nicht abnehmbar
in der Speicherkarte, deren Nutzung geschützt werden soll, angebrachter
Chip mit integriertem Schaltkreis.
-
Durch diese Anordnung wird ein Dateienschutz
vor dem Lese- und/oder Schreibzugriff erreicht, der sehr viel höher ist
als der, der durch Standardschutzmittel (vom Softwaretyp: versteckte
Dateien) für
Dateien von Personalcomputern erreicht wird.
-
Der Sicherheitschip (nachstehend
ebenfalls als Sicherheitsmodul bezeichnet) kontrolliert (direkt oder
indirekt) die Zugangsmittel zu den unterschiedlichen Speicherchips
der Karte.
-
In der Praxis wird der Einsatz eines
Sicherheitschips vom Standardtyp bevorzugt, das heißt vom in
Zugangssicherheitskarten zu Geräten
oder Räumen,
oder auch in den Karten mit gesicherten Transaktionen genutzten
Typ: diese Chips nutzen einen Serienkommunikationsmodus: Sie haben
im Allgemeinen nur sechs oder acht Verbindungssteckstellen mit der
Außenwelt,
davon eine einzige Daten- oder Anweisungs-Kommunikationssteckstelle.
-
Dann wird es vorgezogen, in die Speicherkarte
einen einen Kontrollprozessor der Karte bildenden zusätzlichen
Chip einzusetzen. Die Funktion dieses Prozessors oder Mikrokontrollers
besteht in der Realisierung einer Schnittstelle zwischen dem Steckverbinder
der Karte und dem Sicherheitschip und einer Schnittstelle zwischen
dem Sicherheitschip und den Speicherchips. In der Praxis kann die
Abwicklung eines Überprüfungsprogramms
der Berechtigung eines Inhabers unter der Steuerung des Kontrollprozessors
erfolgen: Dieses Programm kann dann in einem zu demselben Chip wie
der Kontrollprozessor gehörenden
Programmspeicher enthalten sein: oder aber dieses Programm kann
eventuell in einem Teil des Massespeichers selbst enthalten sein, wenn
dieser Teil an einen ausführbaren
Bus des Kontrollprozessors angeschlossen ist.
-
Der Sicherheitschip umfasst selbst
einen Mikroprozessor und Speicher, zu denen elektrisch programmierbare
und eventuell elektrisch löschbare nicht
flüchtige
Speicher gehören.
Das Betriebsprogramm dieses Mikroprozessors wird im Prinzip in einen
Nur-Lesespeicher
des Chips eingespeichert: Er kann jedoch ebenfalls teilweise in
einen elektrisch programmierbaren und löschbaren nicht flüchtigen Speicher
eingespeichert werden. Der Inhalt wenigsten einiger nicht flüchtiger
Speicher ist an den Klemmen außerhalb
des Chips im Lesezugriff nicht zugänglich. Dieser Inhalt wird
ausschließlich
vom Mikrocomputer für
seinen eigenen Bedarf genutzt, und insbesondere für die Ausführung von
auf in diese unzugänglichen
Speicher eingesetzten Geheimcodes zurückgreifenden Sicherheitsprogrammen.
-
Zum Beispiel kann vorgesehen werden,
dass der Speicher vertraulicher Daten des Sicherheitschips ein Berechtigungswort
für jede
Speicherzone des Massespeichers enthält: Wenn es 24 Speicherchips
gibt, kann es 24 unterschiedliche Zugangswörter geben: Auch kann es Zugangshierarchien
für den Zugang
zu mehreren Speicherzonen geben.
-
Für
eine verstärkte
Sicherheit kann im Übrigen
vorgesehen werden, dass die im Massespeicher gespeicherten Daten
verschlüsselt
werden und dass das Sicherheitsmodul ein Verschlüsselungs- und Entschlüsselungsprogramm
umfasst. Die Daten des Speichers können dann über das Sicherheitsmodul (im
Lese- oder Schreibzugriff) kommuniziert werden. Das Sicherheitsmodul
kann selbst die Verschlüsselung
oder Entschlüsselung
durchführen:
Es kann jedoch auch dem Kontrollprozessor, der dann die Verschlüsselung
und die Entschlüsselung
selbst durchführt
(nur bei einer vom Sicherheitschip anerkannten Berechtigung) einen
Berechnungsschlüssel
liefern.
-
Gegenstand der Erfindung ist ganz
besonders eine Massespeicherkarte gemäß Anspruch 1.
-
Weitere Merkmale und Vorteile der
Erfindung werden bei der Lektüre
der nachstehenden detaillierten Beschreibung unter Bezugnahme auf
die beigefügten
Zeichnungen deutlich, in denen:
-
1 die
Architektur der erfindungsgemäßen Massespeicherkarte
darstellt:
-
2 ein
Schaltkreisdetail darstellt.
-
Die in 1 dargestellt
Karte CC ist zum Einfügen
in einen Personalcomputer (nachstehend bezeichnet als PC für „personal
Computer) bestimmt: Die Karte umfasst einen einsteckbaren Standard-Steckverbinder
CNC, bevorzugt vom durch die Norm PCMCIA definierten Typ, und der
PC umfasst einen entsprechenden Steckverbinder zur Aufnahme der
Karte.
-
Die Karte ist eine Speicherkarte,
das heißt, dass
sie dazu bestimmt ist, hauptsächlich
zum Speichern von Daten zu dienen. Für diese Funktion umfasst die
Karte entweder mehrere Typen unterschiedlicher Speicher (statischer
oder dynamischer RAM, ROM, EPROM, EEPROM, FLASHEPROM sind die geläufigsten
Typen), oder einen einzigen Speichertyp. Wenn die Speicher RAM-Speicher
sind, die im Wesentlichen flüchtig
sind, kann für
die Speicherung der Daten eine Hilfsversorgungsbatterie vorgesehen werden.
-
Zwecks Erhalts einer größeren Speicherkapazität werden
mehrere Chips mit integriertem Schaltkreis vor gesehen, wobei jeder
ein Speicherchip ist. Diese Chips werden allgemein mit der Referenz
MEM bezeichnet. Es kann auf der Karte mehrere Dutzend Chips für große Speicherkapazitäten geben
(zum Beispiel mehrere Megabytes).
-
Die Karte CC ist ein abnehmbares
Peripherieorgan des Computers PC. Sie kann entweder als Massenspeicher-Peripheriegerät oder als
Erweiterung des Lese-Schreibspeichers
eingesetzt werden. Diese Wahl wird vom Computer verwaltet (wenn
eine Wahl möglich
ist, das heißt,
vor allem, wenn es in der Karte mehrere Speichertypen gibt).
-
Neben den Speichern MEM umfasst die
Karte erfindungsgemäß ein Sicherheitsmodul,
das ein Chip mit integriertem Schaltkreis MPS mit einem Mikroprozessor
ist, kleine Speicher und Programme zum Betrieb des Mikroprozessors:
Die wesentliche Funktion dieses Moduls ist die Gewährleistung
der Zugangssicherheit zu den Speichern MEM ausgehend vom Computer.
-
Die Karte CC umfasst bevorzugt außerdem einen
zusätzlichen
Chip, der ein Kontrollprozessor oder Mikrokontroller MPC ist, das
heißt,
ein Mikroprozessor, dem Programmspeicher zugeordnet sind. Die Funktion
dieses Mikrokontrollers MPC ist die Ausgabe von Zugriffskontrollsignalen
an die Speicherchips in Abhängigkeit
von vom Sicherheitsmodul MPS ausgegebenen und in Abhängigkeit
von ausgehend vom PC gestellten Zugriffsanfragen gegebenen Sicherheitsinformationen.
Es ist anzumerken, dass dieser Mikrokontroller parallele Datenausgänge besitzt,
um direkt mehrere, für
die Speicher bestimmte Kontrollsignale zu liefern. Das Sicherheitsmodul
hat seinerseits im Prinzip nur serielle Datenausgänge auf
einer einzigen Eingangs-/Ausgangsklemme, und aus diesem Grund sind
zwei unterschiedliche Chips MPS und MPC vorgesehen, jeder mit einem
Mikroprozessor. Wenn das Modul MPS parallele Datenausgänge hätte, könnte auf
den Chip MPC verzichtet werden: Die Funktionen dieser beiden Schaltkreise
würden durch
einen einzigen Schaltkreis mit Mikroprozessor mit den verschiedenen
zu erfüllenden
Funktionen entsprechenden Programmspeichern erfüllt werden.
-
Das Sicherheitsmodul MPS fungiert
als „Slave" (Nebenrechner) im
Verhältnis
zu einem „Master" (Hauptrechner),
der der Mikrokontroller MPC ist.
-
Die Speicher MEM sind mittels mehrer
Busse an den PC angeschlossen: ein Adressbus, ein Datenbus und ein
Kontrollsignalbus. Diese Busse werden jedoch durch einen Verriegelungsschaltkreis
CV kontrolliert, der seinerseits durch den Mikrokontroller MPC kontrolliert
wird, so dass der Zugang zu den Speichern nicht völlig frei
ist, es sei denn, die Genehmigung dazu wird vom Mikrokontroller
MPC erteilt.
-
Im dargestellten Beispiel wurde davon
ausgegangen, dass der Verriegelungsschaltkreis CP auf den Ad ressbus
und auf den Kontrollsignalbus einwirkt, aber nicht auf den Datenbus.
Dennoch sind weitere Lösungen
möglich.
-
Deshalb wurde einerseits ein direkt
vom Steckverbinder CNC zum Speicher MEM gehender Datenbus BD1 dargestellt:
andererseits ein vom Steckverbinder zum Speicher gehender und durch den
Verriegelungsschaltkreis CV unterbrochener Adressbus: Dieser Bus
wird oberhalb des Verriegelungskreislaufs (auf der Seite des Steckverbinders) mit
AD1 und unterhalb (auf der Seite des Speichers) mit AD3 bezeichnet:
schließlich
einen ebenfalls durch den Verriegelungsschaltkreis CV unterbrochenen
Kontrollsignalbus (SC1 oberhalb, SC3 unterhalb). Vorläufig ist
festzustellen, dass ein anderer Schaltkreis (Verzweigungsschaltkreis
AA) zwischen dem Bus SC3 und dem Speicher zwischengeschaltet ist.
Seine Funktion besteht in der Führung
entweder der Kontrollsignale des aus dem PC kommenden Busses SC3
oder der Kontrollsignale des aus dem Mikrokontroller MPC kommenden
Busses SC2 zum Speicher hin. Auf diesen Punkt wieder später noch eingegangen.
Der schließlich
im Speicher endende Kontrollsignalbus wird unterhalb des Verzweigungsschaltkreises
durch SC bezeichnet.
-
Als vereinfachtes darstellendes Beispiel kann
zum Beispiel in Betracht gezogen werden, dass die Kontrollbusse
SC1 oder SC2 oder SC3 oder SC Signale transportieren, wie zum Beispiel
Lesebefehle (RD1, RD2, RD3, RD) oder Schreibbefehle (WR1, WR2, WR3,
WR) oder Aus wahlbefehle eines Chips unter mehreren (CEa1, CEa2,
CEa3, CEa für
die Auswahl eines Speicherchips A unter mehreren Chips A, B, C;
oder CEb1, CEb2, CEb3, CEb für
den Chip B, usw.).
-
Der Verriegelungsschaltkreis CV wird
direkt durch einen aus dem Mikrokontroller MPC hervorgegangen Berechtigungsbus
SH kontrolliert. Dieser Bus transportiert Genehmigungs- oder Verbotssignale
für den
Durchgang der Kontroll- oder Adresssignale, die durch den Verriegelungsschaltkreis
CV hindurchgehen. Beispielhaft kann man sich vorstellen, dass es
ein Lese-Berechtigungssignal
SHR, ein Schreib-Berechtigungssignal
SHW, Berechtigungssignale für
jeden Speicherchip, SHA für
den Chip A, SHB für
den Chip B, SHC für
den Chip C gibt.
-
Die Besonderheit ist, dass, die Berechtigungssignale
direkt aus dem Mikrokontroller MPC hervorgegangen sind.
-
Der Mikrokontroller MPC hat also
die Möglichkeit,
elektronisch und selektiv den Lese- oder Schreibzugriff auf bestimmte
Teile des Speichers MEM der Karte zu untersagen.
-
Um die allgemeine Beschreibung der
Architektur der 1 abzuschließen, werden
noch die folgenden Punkte angemerkt:
- – Der Mikrokontroller
MPC kann beliebig auf den Speicher MEM zugreifen: Am einfachsten
ist es, vorzusehen, dass dieser Speicher einen doppelten Zugang
hat, und deshalb wurde zwischen dem Mikrokontroller und dem Speicher
ein Adressbus AD2 und ein Datenbus BD2 dargestellt: Diese Lösung ist
jedoch nicht obligatorisch, da ein Speicher mit einfachem Zugang
ebenfalls möglich
ist:
- – Der
Zugang durch den Mikrokontroller MPC zum Speicher erfolgt mithilfe
eines aus dem Mikrokontroller hervorgegangenen Kontrollsignalbusses SC2,
aber, wie bereits gesagt, geht dieser Bus durch den Verzweigungsschaltkreis
AA hindurch: Diese Anordnung zielt darauf ab, einen Betrieb des
Mikrokontrollers im geschlossenen Kreislauf mit dem Speicher MEM
während
bestimmter Programmphasen zu erlauben.
- – Ein
aus dem Mikrokontroller MPC hervorgegangenes allgemeines Verzweigungssignal
SGA steuert die Verzweigung AA.
- – In
dem allgemeinen Fall schließlich,
in dem die vom externen PC gestellten Anfragen systematisch durch
den Speicher MEM hindurchgehen, bevor sie im Mikrokontroller eintreffen,
um interpretiert und ausgeführt
zu werden, ist es sinnvoll vorzusehen, dass die aus dem PC stammenden Schreibbefehle
WR1 direkt auf den Mikrokontroller MPC angewendet werden: Auf diese
Weise kann letzterer wissen, dass eine Anfrage erfolgt ist und kann
eventuell eine zu interpretierende Anweisung abholen: Deshalb wurde
eine direkte Verbindung WR1 zwischen dem Steckverbinder CNC und
dem Mikrokontroller dargestellt.
-
Der Zugang zu bestimmten Speicherzonen (zum
Beispiel bestimmte Chips oder bestimmte Chipzonen) wird durch den
Mikrokontroller MPC in Abhängigkeit
von vordefinierten Sicherheitskriterien und in Abhängigkeit
von durch das Sicherheitsmodul gegebenen Datenbestätigungen
genehmigt.
-
Das Sicherheitsmodul ist zum Beispiel
der Chip mit integriertem Schaltkreis der von SGS THOMSON unter
der Referenz ST16612 verkaufte Komponente, der das Programm mit
nicht flüchtigem Speicher
MCOS der Firma GEMPLUS eingefügt wird.
Diese Komponente besitzt die folgenden Besonderheiten: Die Speicherdaten
sind für
den Verwender unsichtbar, denn sie gehen nicht durch die Eingänge/Ausgänge des
Chips hindurch. Sie sind auch optisch unsichtbar (verdeckt). Der
Chip umfasst einen Mikroprozessor, und nur er kann die Daten im Speicher
abholen und verarbeiten. Die Programme mit Nur-Lesespeicher werden
durch Verdecken realisiert. Sie sind daher nicht veränderbar.
Diese Programme lassen nicht den Zugriff auf alle Speicherzonen
des Chips zu. Wenn ein Berechtigungsgeheimcode an den Eingängen des
Chips präsentiert
wird, wird er vom Mikroprozessor verarbeitet, der als Antwort Berechtigungs-
und Verbotssignale liefer, und zu keinem Zeitpunkt kann die Art der Überprüfungsverarbeitung
auf den Eingangs-/Ausgangsklemmen des Chips festgestellt werden.
-
Das Verfahren läuft zum Beispiel auf folgende
Weise ab: Das Einführen
der Massenspeicherkarte in den Computer löst die folgenden Operationen aus:
Anfrage des Berechtigungsgeheimcodes des Inhabers durch den PC;
dieser Code wird durch den Verwender auf der Tastatur des PCs gemäß eines parallelen
Standard-Kommunikationsprotokolls
für den
PC eingegeben. Er wird an den Kontrollprozessor MPC der Karte übertragen
und von diesem zum Sicherheitsmodul MPS in einem für dieses
verständlichen
Format zurückübertragen
(infolgedessen im Prinzip in serieller Form allein auf der auf dem
Chip verfügbares
MPS Eingangs-/Ausgangsklemme). Das Sicherheitsmodul überprüft den vertraulichen
Code und überträgt ein den
Zustand der gegebenen Genehmigungen (zum Beispiel völliges Verbot,
uneingeschränkte
Genehmigung, teilweise Genehmigung bestimmter Speicherzonen) ausdrückendes
Kontrollwort an den Kontrollprozessor. Der Kontrollprozessor MPC
empfängt
dieses Wort in serieller Form und erstellt dann auf dem Bus SH die
entsprechenden Berechtigungssignale (SHA, SHB, SHC, SHR, SHW, usw.),
die den Zugriff auf verschiedene Speicherchips steuern. Dann schickt
der Kontrollprozessor ein Zustandswort zum PC zurück, das
anzeigt, dass das Sicherheitsverfahren durchgeführt wurde und das das Ergebnis
dieses Verfahrens anzeigt.
-
In diesem System wird deutlich, dass
es der Mikrokontroller MPC ist, der die Sicherheitsprogramme der
Speicherkarte verwaltet. Er definiert die Genehmigungen und Verbote
und nutzt das Sicherheitsmodul als spezialisiertes Überprüfungsorgan
einer Berechtigung durch einen vertraulichen Code. Vom PC wird keine
Zugriffssicherheitsoperation verwaltet.
-
Die Verriegelungs- und Verzweigungsschaltkreise
CV und AA sind verkabelte, logische, extrem einfache Schaltkreise.
Ein Beispiel dafür
wird in 2 gegeben, um
das Verständnis
des Prinzips der Erfindung zu erleichtern.
-
Zum Beispiel wird angenommen, dass
der Lese- und Schreibzugriff zu den verschiedenen Speicherchips
das Vorhandensein von Chipauswahlsignalen („chip enable") CEa, CEb, CEc jeweils
für die Chips
A, B, C und das Vorhandensein von Lesebefehlen RD oder Schreibbefehlen
WR erfordert. Die Signale CEa, CEb, CEc bilden daher in diesem Beispiel
den Inhalt des im Speicher MEM endenden Kontrollbusses SC.
-
Zugriffsanfragen werden durch den
externen PC in Form von Signalen CEa1, CEb1, CEc1, RD1, WR1 auf
dem Bus SC1 gestellt. Signale SHA, SHB, SHC, SHR, SHW sind auf dem
Berechtigungsbus SH vorhanden. Jedes dieser Signale steuert die Öffnung oder
das Verschließen
einer jeweiligen Tür
UND: Jede Tür
erhält
ein jeweiliges Kontrollsignal. Die Ausgänge dieser Türen bilden
den die Kontrollsignale in ihrer vom PC erhaltenen Form gemäß den vom
Mikrokontroller gegebenen Genehmigungen transportierenden oder nicht
transportierenden Bus SC3 der 1.
-
Die auf dem Bus SC3 transportierten
Kontrollsignale werden auf den Verzweigungsschaltkreis AA angewendet,
der teilweise in 2 dargestellt wurde.
-
Der Verzweigungsschaltkreis wird
durch ein Verzweigungssignal SGA kontrolliert. Gemäß dem Zustand
dieses Signals werden entweder aus dem Bus SC3 und damit dem PC
unter der Kontrolle des Mikrokontrollers hervorgegangene Kontrollsignale (zum
Beispiel RD3, WR3, usw.) zum Bus SC übertragen (das heißt, zum
Speicher MEM), oder aus dem Mikrokontroller selbst hervorgegangene
Kontrollsignale (RD2, WR2, usw.)
-
Für
die Verzweigung der Lesekontrollsignale RD zum Beispiel empfängt eine
Tür UND
RD3 und wird durch das Signal SGA gesteuert; eine andere empfängt RD2
und wird durch den logischen Zusatz von SGA gesteuert, und eine
Tür ODER
empfängt die
Ausgänge
dieser beiden Türen
und liefert das Lesesignal RD; dieses Signal ist entweder RD2 oder RD3,
je nach Zustand von SGA.
-
Die Aktion des Verriegelungsschaltkreises CV
wurde lediglich auf den Kontrollsignalen dargestellt, es ist jedoch
gemäß der in 1 eingezeichneten Archi tektur
klar, dass sie auch auf die vom PC verschickten Adressbits ausgeübt werden
kann.
-
In einer verstärkten Sicherheitsstruktur werden
die im Speicher gespeicherten Daten mittels eines geheimen Schlüssels verschlüsselt. Der
geheime Verschlüsselungsschlüssel ist
dem Verwender nicht bekannt. Er ist im Sicherheitsmodul enthalten. Gegen
Vorlage eines gültigen
Berechtigungscodes liefert das Sicherheitsmodul den Geheimschlüssel dem
Mikrokontroller MPC, der dann ein Entschlüsselungsprogramm der Speicherdaten
ausführen
und sie dem PC in entschlüsselter
Form zuführen
kann. Somit wird gewährleistet,
dass die im Speicher gespeicherten Daten von einer nicht berechtigten
Person nicht verwertbar kopierbar sind. Das Einschreiben von Daten
im Speicher kann auch auf verschlüsselte Weise mit demselben
Verschlüsselungsschlüssel erfolgen,
und auch hier nur nach Anerkennung der Berechtigung des Verwenders.
-
Es ist anzumerken, dass keine Daten
in verschlüsselter
Form herausgegeben werden, wie dies in bestimmten Sicherheitsanwendungen
der Fall ist, sondern die im Innern der Speicherkarte gespeicherten
Daten werden verschlüsselt,
damit eine Kopie dieser Daten durch jemanden, der keine Berechtigung
hat, nicht verwertbar sind.
-
Das bedeutet insbesondere, dass,
selbst wenn das Signal SGA oder die Signale RD, WR in betrügerischer Weise
aufgebrochen würden,
um die Daten der Karte zu lesen, diese Daten nicht verwertbar bleiben
würden.
-
Varianten der Erfindung sind möglich: Zum Beispiel
kann entweder vorgesehen werden, dass die Adressen und Daten frei
vom PC zu den Speichern übergehen
und umgekehrt, wenn die Berechtigung gegeben wurde, oder dass die
Adressen und/oder die Daten immer durch den Mikrokontroller durchgehen.
-
In dieser Realisierung wurde aus
praktischen Gründen
einer schnellen Kommunikation mit dem PC davon ausgegangen, dass
die Eingänge/Ausgänge der
Karte eine parallele Steckverbindung nach der Norm PCMCIA bilden.
Aber in bestimmten Fällen kann
man sich vorstellen, dass der Ausgang auf einem Steckverbinder mit
bündig
eingelassenen Kontakten nach der Norm ISO 7816 erfolgt und nur einige Kontakt
umfasst, davon ein einziger Eingangs-/Ausgangskontakt im seriellen
Kommunikationsmodus. Somit wird eine gesicherte Speicherkarte mit
großer Kapazität nach dem
Standard der Kreditkarten erhalten, die unter der einzigen Bedingung
in ein klassisches Kreditkartenlesegerät einführbar ist, dass die Stärke der
Karte in dem Bereich, der eingeführt
werden soll, dünn
genug ist, um in den Schlitz des Lesegeräts hineinzupassen. Ein verdünnter Kartenbereich
kann vorgesehen werden, wenn dies notwendig ist; dieser Bereich
trägt die
bündig
eingelassenen Kontakte nach der Norm ISO 7816.
-
Um diese Beschreibung abzuschließen, kann
ein Betriebsbeispiel mit verstärkter
Sicherheit gegeben werden, in dem bestimmte Dateien des Speichers
MEM noch stärker
geschützt
werden. Jeder geschützten
Datei wird eine bestimmte „Unterschrift" zugeordnet, die
diese Datei repräsentiert
und die verändert
wird, wenn die Datei abgeändert
wird. Diese Unterschrift wird ausgehend vom Inhalt der Datei selbst
gebildet: Das ist zum Beispiel die Verkettung aller Bits der Datei.
Diese Unterschrift wird in einem nicht flüchtigen und vom Sicherheitsmodul
nicht zugänglichen
Speicher gespeichert. Wenn die Datei genutzt werden soll (und ganz
besonders in dem Fall, in dem sie als ausführbares Programm vom Mikrokontroller
MPC dient), wird zunächst überprüft, ob keine Änderung
der Datei stattgefunden hat. Hat eine Änderung stattgefunden, wird
jede Verwendung verhindert. Zu diesem Zweck berechnet der Mikrokontroller
zunächst
die Unterschrift der Datei (auf die er Zugriff hat); er wird das
Sicherheitsmodul fragen, welches die erwartete Unterschrift ist;
dann wird er den Vergleich anstellen und die Verwendung nur bestätigen, wenn
die Unterschriften einander entsprechen. Der Vergleich könnte auch
im Innern des Sicherheitsmoduls erfolgen. Es kann im Sicherheitsmodul
so viele gespeicherte Unterschriften geben, wie Dateien zu schützen sind.
Im Sicherheitsmodul gibt es also ein „Bild" der zu schützenden Dateien des Speichers MEM
in Form einer der verschiedenen zu schützenden Teilen entsprechenden
Unterschriftendatei.