Patents

Search tools Text Classification Chemistry Measure Numbers Full documents Title Abstract Claims All Any Exact Not Add AND condition These CPCs and their children These exact CPCs Add AND condition
Exact Exact Batch Similar Substructure Substructure (SMARTS) Full documents Claims only Add AND condition
Add AND condition
Application Numbers Publication Numbers Either Add AND condition

Procedure for executing a security-critical activity using a proxy

Abstract

The present invention relates to a method for executing a security critical activity in a security device (40), wherein the security critical activity is executed with user involvement. Each security critical activity is divided into a number of situations/actions, belonging either to a proxy letter group or a user involvement group. The processor (42) of the security device (40) starts the execution of an action of a security critical activity, and then checks if this situation/action can be handled by a proxy letter or shall be handled by a user. If the user or the proxy letter grants the situation/action the execution of the action is continued and ended. This is repeated until all actions of the security critical activity have been executed. If neither the user nor the proxy letter grants the situation/action the execution of the security critical activity will be stopped.

Classifications

G06F21/31 User authentication
View 1 more classifications

Landscapes

Show more

SE520885C2

Sweden

Other languages
Swedish
Inventor
Christian Wettergren

Worldwide applications
1998 SE 1999 EP WO IL AU JP 2001 IL

Application SE9804421A events
Show all events

Description
translated from Swedish

520 885 2 hetskritiska aktiviteterna som exekveras därpå. Även säkrare operativsystem, t.ex. 520 885 2 the critical activities executed thereon. Even more secure operating systems, e.g.

Unix kan påverkas med en relativt liten insats. Det finns idag inte något kommer- siellt operativsystem som skyddar användaren från trojanska hästar.Unix can be affected with a relatively small effort. There is currently no commercial operating system that protects the user from Trojan horses.

Under åren har det funnits många förslag på hur man skall lösa detta säkerhets- problem, t.ex. brandväggar, smarta kort, användningen av lösenord för att komma åt vissa tjänster etc. Många av dessa lösningar är emellertid i huvudsak mjukvaru- baserade. Eftersom mjukvara alltid innehåller vissa programvarufel, kan den för- vanskas, och därmed utnyttjas genom att exploatera säkerhetshål, använda illa- sinnad kod eller resident trojansk mjukvara etc. Mjukvarubaserade säkerhets- lösningar är också synnerligen sårbara, d.v.s. om operativsystemssäkerheten är påverkad kommer också allt data och alla applikationer som exekveras därpå att påverkas.Over the years, there have been many suggestions on how to solve this security problem, e.g. firewalls, smart cards, the use of passwords to access certain services, etc. However, many of these solutions are mainly software-based. Because software always contains certain software bugs, it can be compromised, and thus exploited by exploiting security holes, using malicious code or resident Trojan software, etc. Software-based security solutions are also extremely vulnerable, i.e. if operating system security is affected, all data and all applications executed thereon will also be affected.

Ett annat sätt att öka operativsystemssäkerheten är att bygga operativsystem med flera säkerhetsnivåer (MLS). Sådana system märker objekt och subjekt enligt en säkerhetsklassning, och definierar regler för hur informationen tillåts flyta genom systemet. Klassningen i olika säkerhetsnivåer och bokföringen av vilka användare som har tillgång till de olika säkerhetsnivåema och objekten är mycket tidskräv- ande. Vidare är applikationer för vanliga persondatorer inte kompatibla med operativsystemet för MLS-systemet och alla applikationer måste skräddarsys för MLS-systemet. Detta innebär naturligtvis stora kostnader.Another way to increase operating system security is to build operating systems with fl your security levels (MLS). Such systems label objects and subjects according to a security classification, and define rules for how the information is allowed to flow through the system. The classification in different security levels and the accounting of which users have access to the different security levels and objects is very time-consuming. Furthermore, applications for ordinary personal computers are not compatible with the operating system of the MLS system and all applications must be tailored to the MLS system. This, of course, involves large costs.

WO94/ 0 1821 beskriver ett undersystem med en säker uppkoppling för arbets- stationer, t.ex. persondatorer. Systemet innefattar en nätverksdator, som är en MLS-dator och en arbetsstation. Syftet med uppfinningen är att tillhandahålla en säker kommunikation mellan ett säkert undersystem av MLS-datom och arbets- stationen. För att lösa detta problem är arbetsstationen ansluten till ett under- system med en säker överföringsväg, som mottar krypterat data från det säkra systemet i MLS-datorn och avkodar det utan att involvera arbetsstationen. Applika- tionen som körs på MLS-systemet kommer sålunda vara säker på att det data som mottagits är samma data som sänts från det säkra undersystemet i MLS-datorn, och omvänt. 520 885 3 GB 2 267 986 beskriver en säkerhetsanordning för en dator. Syftet med denna säkerhetsanordning är att isolera datorn från inmatnings/utmatningsanordning- arna, t.ex. tangentbord och mus, när såkerhetskritiska aktiviteter skall utföras.WO94 / 0 1821 describes a subsystem with a secure connection for workstations, e.g. personal computers. The system includes a network computer, which is an MLS computer and a workstation. The object of the invention is to provide a secure communication between a secure subsystem of the MLS computer and the workstation. To solve this problem, the workstation is connected to a subsystem with a secure transmission path, which receives encrypted data from the secure system in the MLS computer and decodes it without involving the workstation. The application running on the MLS system will thus be sure that the data received is the same data sent from the secure subsystem of the MLS computer, and vice versa. 520 885 3 GB 2 267 986 describes a security device for a computer. The purpose of this security device is to isolate the computer from the input / output devices, e.g. keyboard and mouse, when performing security-critical activities.

Sâkerhetsanordningen kan drivas i antingen en transparent mod eller en special- hanteringsmod. I den transparenta moden överförs data som matas in från inmat- nings/utmatningsanordningarna genom säkerhetsanordningen direkt till datorn, d.v.s. såkerhetsanordningen är i en passiv mod. I den speciella hanteringsmoden kommer säkerhetsanordningen i sig själv att utföra bearbetningen av datat utan någon inblandning av datorn. Bearbetningen av den säkerhetskritiska aktiviteten i säkerhetsanordningen sker automatiskt, utan inblandning av användaren. Använd- aren kan sålunda inte vara säker på vilka steg som utförs i säkerhetsanordningen. Även om systemen som beskrivs i GB 2 267 986 och WO94 / 0182 1 tillhandahåller en hög säkerhetsgrad har de fortfarande en stor nackdel, nämligen att de är sys- temorienterade och saknar användarinblandning under exekveringen av den säker- hetskritiska aktiviteten.The safety device can be operated in either a transparent mode or a special handling mode. In the transparent mode, data input from the input / output devices is transmitted through the security device directly to the computer, i.e. the safety device is in a passive mode. In the special handling mode, the security device itself will perform the processing of the data without any interference from the computer. The processing of the safety-critical activity in the safety device takes place automatically, without the intervention of the user. The user can thus not be sure of which steps are performed in the safety device. Although the systems described in GB 2 267 986 and WO94 / 0182 1 provide a high degree of security, they still have a major disadvantage, namely that they are system-oriented and lack user intervention during the execution of the safety-critical activity.

WO98/ 19243 beskriver ett annat angreppssätt att lösa såkerhetsproblemen, nämligen användarinblandníng. WO98/ 19243 beskriver ett förfarande och ett säkerhetssystem för att bearbeta en säkerhetskritisk aktivitet. Systemet innefattar en säkerhetsanordning ansluten till en persondator och till inmatnings/utmat- ningsanordningar. När applikationen som körs på datorn behöver utföra en säker- hetskritisk aktivitet allokeras såkerhetsanordningen och styrningen av databear- betningen och av inmatnings/utmatningsanordningama överförs från datorn till säkerhetsanordningen. Databearbetningen av den säkerhetskdtiska aktiviteten exekveras sedan på säkerhetsanordningen med användarinblandning, d.v.s. an- vändaren måste bevilja varje såkerhetskritisk aktivitet. Exekveringen av en säker- hetskritisk aktivitet kan även kräva fler än ett användarinblandningssteg, d.v.s. an- vändaren mäste ibland involveras flera gånger för att bevilja olika delar av den säkerhetskritiska aktiviteten. Även om systemet och förfarandet som beskrivs i WO98/ 19243 har ort ett avse- värt bidrag beträffande säkerheten när en såkerhetskritisk aktivitet exekveras så 520 sss;*fïfl'f%- 4 har detta orts till den grad att användaren måste bevilja varje enskild del av den säkerhetskritiska aktiviteten som skall exekveras. Denna kontinuerliga inblandning av användaren kan också leda till en minskad säkerhet, eftersom användaren efter ett tag mekaniskt beviljar varje del av den säkerhetskritiska aktiviteten utan att omsorgsfullt kontrollera vad han beviljar. Det finns sålunda ett behov av ett förfar- ande som inte konstant involverar användaren under bearbetningen av säkerhets- kritiska aktiviteter.WO98 / 19243 describes another approach to solving security problems, namely user intervention. WO98 / 19243 describes a method and a safety system for processing a safety-critical activity. The system comprises a safety device connected to a personal computer and to input / output devices. When the application running on the computer needs to perform a security-critical activity, the security device is allocated and the control of the data processing and of the input / output devices is transferred from the computer to the security device. The data processing of the security hacking activity is then executed on the security device with user intervention, i.e. the user must grant each security-critical activity. The execution of a safety-critical activity may also require more than one user intervention step, i.e. the user must sometimes be involved fl your times to grant different parts of the safety-critical activity. Although the system and method described in WO98 / 19243 have made a significant contribution to security when a security-critical activity is executed so 520 sss; the safety-critical activity to be executed. This continuous interference by the user can also lead to a decrease in security, as after a while the user mechanically grants each part of the safety-critical activity without carefully controlling what he grants. Thus, there is a need for a method that does not constantly involve the user during the processing of safety-critical activities.

SAMMANFATTNING AV UPPFINNINGEN Problemet som den föreliggande uppfinriingen avser lösa år att tillhandahålla ett förfarande för att bearbeta säkerhetskritiska aktiviteter med användarinblandning, men utan det konstanta behovet att störa användaren för varje liten del av den säkerhetskritiska aktiviteten som skall exekveras.SUMMARY OF THE INVENTION The problem of the present invention is to provide a method for processing safety-critical activities with user intervention, but without the constant need to disturb the user for every small part of the safety-critical activity to be executed.

Detta problem löses genom ett förfarande såsom defmierats i patentkrav 1.This problem is solved by a method as defined in claim 1.

Föredragria utföringsforrner av uppfinningen år definierade i de beroende patentkraven 2-9.Preferred embodiments of the invention are defined in the dependent claims 2-9.

Genom att använda förfarandet enligt den föreliggande uppfinningen kommer inte användaren konstant att frågas om att bevilja varje del av en säkerhetskritisk ak- tivitet, eftersom fullmaktsbrevet som skapats av användaren kommer att bevilja alla de såkerhetssteg som definierats av användaren. Genom att avlasta användaren från att utföra beviljandet av varje säkerhetskiitiskt steg kan sålunda användaren fokusera på de viktiga säkerhetsstegen som skall beviljas. På detta sätt kan an- vändaren vara mer koncentrerad varje gång han skall bevilja en åtgärd.By using the method according to the present invention, the user will not be constantly asked to grant each part of a security-critical activity, since the power of attorney letter created by the user will grant all the security steps defined by the user. Thus, by relieving the user from performing the granting of each security step, the user can focus on the important security steps to be granted. In this way, the user can be more concentrated each time he has to grant a measure.

Med förfarandet enligt uppfinningen är det sålunda möjligt att bibehålla eller till och med öka säkerheten som kan erhållas genom att använda en säkerhetsanord- ning såsom beskrivs i WO98 / 19243, men utan den konstanta användarinbland- ningen. Arbetssituationen för användaren kommer naturligtvis också bli mera 520 885 i. -H ergonomiskt, eftersom fullmaktsbrevet som definierats i sâkerhetsanordningen beviljar många monotona steg.With the method according to the invention it is thus possible to maintain or even increase the safety which can be obtained by using a safety device as described in WO98 / 19243, but without the constant user intervention. The working situation for the user will of course also be more 520 885 in. -H ergonomic, since the power of attorney letter as they fi initiated in the security device grants many monotonous steps.

KORT BESKRIVNING AV RITNINGARNA Ovanstående och andra aspekter av den föreliggande uppfiririingen kommer att förstås bäst med hänvisning till den följande detaljerade beskrivningen av en specifik utföringsform av uppfinningen, given endast som ett exempel, när den läses tillsammans med de bifogade ritningarna, i vilka Figur 1 visar ett blockschema på ett säkerhetssystem i vilket förfarandet enligt den föreliggande uppfinningen kan utföras.BRIEF DESCRIPTION OF THE DRAWINGS The above and other aspects of the present invention will be best understood by reference to the following detailed description of a specific embodiment of the invention, given by way of example only, when read in conjunction with the accompanying drawings, in which Figure 1 shows a block diagram of a security system in which the method of the present invention can be performed.

Figur 2 visar ett blockschema för ett annat säkerhetssystem i vilket förfarandet enligt den föreliggande uppfinningen kan utföras.Figure 2 shows a block diagram of another security system in which the method according to the present invention can be carried out.

Figur 3 visar ett flödesschema för förfarandet enligt uppfinningen.Figure 3 shows a fate diagram for the method according to the invention.

Figur 4 visar ett flödesschema för ett direkt anvåndarinblandningssteg enligt den föreliggande uppñnningen.Figure 4 shows a flow chart for a direct user intervention step according to the present invention.

BESKRIVNING AV DE FÖRDRAGNA UTFÖRINGSFORMERNA Även om den föreliggande uppfinningen kommer att beskrivas tillsammans med en specifik sâkerhetsanordning eller ett säkerhetssystem, anses det att varje säker- hetssystem som har följande särdrag kan anvândas. Ett sådant generiskt system definieras genom att det har ett skyddat bearbetningsutrymme med ett skyddat dataminne, organ för säker kommunikation med användaren genom inmatnings/- utmatnirigsanordningarna, organ för att kommunicera med en dators vanliga bearbetningsutrymme och programrnerade användarinblandningssteg lagrade i det skyddade dataminnet. 520 885 6 Förfarandet enligt uppfmningen kommer emellertid att beskrivas tillsammans med säkerhetssystemet som beskrivs i WO98/ 19243, som härmed är införlivad som referens. Sålunda kommer ett sådant system att beskrivas först.DESCRIPTION OF THE PREFERRED EMBODIMENTS Although the present invention will be described in conjunction with a specific security device or system, it is contemplated that any security system having the following features may be used. Such a generic system is defined in that it has a protected processing space with a protected data memory, means for secure communication with the user through the input / output devices, means for communicating with a computer's standard processing space and programmed user intervention steps stored in the protected data memory. However, the method of the invention will be described in conjunction with the security system described in WO98 / 19243, which is hereby incorporated by reference. Thus, such a system will be described first.

Figur l visar en utföringsform av ett säkerhetssystem i vilket den föreliggande upp- finningen kan utföras. Ett sådant system används för att utföra säkerhetskritiska aktiviteter när systemet är anslutet till ett publikt nätverk och innefattar en god- tycklig persondator 2, inmatnings /ut1natningsanordningar, t.ex. ett tangentbord 4, en mus 6, en bildskärm 8 och en smartkortsläsare/ skrivare (r / W) l2.Figure 1 shows an embodiment of a safety system in which the present invention can be carried out. Such a system is used to perform safety-critical activities when the system is connected to a public network and comprises an arbitrary personal computer 2, input / output devices, e.g. a keyboard 4, a mouse 6, a monitor 8 and a smart card reader / printer (r / W) l2.

Persondatorn 2 är försedd med en processor 14, ett läsminne (ROM) 16 och ett direktåtkomstrninne (RAM) 18. Varje fysisk inmatnings/utmatningsanordning 4, 6, 8, 12 är ansluten till datorn 2 genom ett lämpligt kommunikationsgränssnitt 20, 22, 24, 26. Såsom framgår av Figur l är bildskärmen 8 ansluten till datorn 2 via en bildskârmsstyrenhet 10. Varje inmatnings/utmatningsenhet 4, 6, 8, 12 är också försedd med en kopplings- och krypteringsanordning 28, 30, 32, 34 vars funktion kommer att beskrivas nedan. Det skall förstås att även inmatnings/utmatnings- anordningarna 4, 6, 12 har styrenheter, som i den visade utföringsformen är inför- livade i kopplings- och krypteringsanordningania 28, 30, 32.The personal computer 2 is provided with a processor 14, a read only memory (ROM) 16 and a direct access memory (RAM) 18. Each physical input / output device 4, 6, 8, 12 is connected to the computer 2 by a suitable communication interface 20, 22, 24, 26. As shown in Figure 1, the monitor 8 is connected to the computer 2 via a monitor controller 10. Each input / output unit 4, 6, 8, 12 is also provided with a switching and encryption device 28, 30, 32, 34 whose function will be described below. It is to be understood that the input / output devices 4, 6, 12 also have control units, which in the embodiment shown are incorporated in the switching and encryption devices 28, 30, 32.

Bildskärmsstyrenheten 10 innefattar en bildskärmsstyrkrets 36 och ett bildskärms- minne 38. I denna utföringsform är bildskärmsstyrenheten 10 ansluten till en säkerhetsanordning 40, innefattande en processor 42, ett PROM 44 och ett RAM 46. Processorn 42 i säkerhetsanordningen 40 är ansluten till bildskärmskretsen 36 och till bildskårmsmirlnet 38 och också till PROM 44 och till RAM 46. Processorn 42 är också ansluten till och styr, kopplings- och krypteringsanordningen 34 som är anordnad i bildskärmskretsen 36. I denna utföringsform används kopplings- och krypteringsanordningen 34 som blockeringsorgan, d.v.s. förhindrar processorn 14 i datorn 2 från åtkomst till bildskärmsstyrenheten 10.The display controller 10 includes a display controller 36 and a display memory 38. In this embodiment, the display controller 10 is connected to a security device 40, including a processor 42, a PROM 44 and a RAM 46. The processor 42 of the security device 40 is connected to the display circuit 36 and to the monitor mirror 38 and also to the PROM 44 and to the RAM 46. The processor 42 is also connected to and controls, the switching and encryption device 34 which is arranged in the monitor circuit 36. In this embodiment, the switching and encryption device 34 is used as a blocking means, i.e. prevents the processor 14 in the computer 2 from accessing the display controller 10.

Figur 2 visar en alternativ utföringsform av säkerhetssystemet, i vilket säkerhets- anordningen 40 är införlivad inuti datorn 2. I en sådan utföringsform dubbleras bildskärmsstyrenheten 10 och kopplings- och krypteringsanordnirigen 34 agerar 520 885 som en vanlig strömbrytare, som styrs av såkerhetsanordningen 40, för att växla mellan de två bildskärmsstyrenheterna 10.Figure 2 shows an alternative embodiment of the security system, in which the security device 40 is incorporated inside the computer 2. In such an embodiment, the monitor control unit 10 is doubled and the switching and encryption device 34 acts 520 885 as a standard switch, which is controlled by the security device 40, to switch between the two monitor controllers 10.

Såsom nämnts ovan används säkerhetssystemet för att utföra säkerhetskritiska aktiviteter när systemet, d.v.s. datorn 2, är ansluten och uppkopplad till ett nät- verk. Om datorn är en enskild ej uppkopplad dator finns det inte något behov av en säkerhetsanordning 40, eftersom ingen intrångsgörare kan lyssna på eller påverka datat som bearbetas. Den föreliggande uppfinningen är sålunda riktad mot datorer som år uppkopplade till nätverk. Säkerhetskritiska aktiviteter är aktiviteter som användaren önskar utföra privat, d.v.s. utan risk att en intrångsgörare lyssnar på eller påverkar den säkerhetskritiska aktiviteten. Exempel på sådana säkerhets- kritiska aktiviteter är att överföra pengar, signera dokument och utarbeta konfidentiella mail och liknande.As mentioned above, the safety system is used to perform safety-critical activities when the system, i.e. computer 2, is connected and connected to a network. If the computer is an individual unconnected computer, there is no need for a security device 40, as no intruder can listen to or influence the data being processed. The present invention is thus directed to computers which are connected to networks. Safety-critical activities are activities that the user wishes to perform privately, i.e. without the risk of an intruder listening to or influencing the safety-critical activity. Examples of such security-critical activities are transferring money, signing documents and preparing confidential emails and the like.

Exekveringen av en säkerhetskritisk aktivitet kan också, såsom nämnts ovan, kräva mer än ett användarinblandningssteg, d.v.s. en säkerhetskritisk aktivitet kan delas upp i olika delar som var och en måste beviljas av användaren. I den föreliggande uppfinningen definieras varje sådan del som en åtgärd. I samband med den före- liggande uppfirmingen betyder sålunda beviljandet av en säkerhetskritisk aktivitet beviljandet av den säkerhetskritiska aktiviteten som helhet, om den endast inne- fattar en åtgärd, eller beviljandet av en kedja med åtgärder, om flera användar- inblandningssteg krävs. Det bör emellertid noteras att det inte år själva åtgärden i sig som beviljas, utan situationen i vilken åtgärden kan beviljas. I samband med den föreliggande uppfinningen betyder sålunda beviljandet av en åtgärd beviljandet av åtgärden under vissa omständigheter, vilket kommer att beskrivas i detalj nedan.The execution of a safety-critical activity may also, as mentioned above, require more than one user intervention step, i.e. a safety-critical activity can be divided into different parts, each of which must be approved by the user. In the present invention, each such part is defined as a measure. Thus, in the context of the present entry, the granting of a safety-critical activity means the granting of the safety-critical activity as a whole, if it involves only one measure, or the granting of a chain of measures, if several user intervention steps are required. It should be noted, however, that it is not the measure itself that is granted, but the situation in which the measure can be granted. Thus, in the context of the present invention, the granting of a measure means the granting of the measure in certain circumstances, which will be described in detail below.

Situationen under vilken varje åtgärd utförs kan vidare delas upp i två under- grupper, nämligen en fullmaktsgrupp och en användarinblandningsgrupp.The situation during which each action is performed can be further divided into two subgroups, namely a proxy group and a user intervention group.

Beroende på situationen kan sålunda samma åtgärd återfmnas flera gånger i en grupp eller i båda gruppema. Det år kombinationen av åtgärden och situationen i vilken den utförs som är grunden för att dela upp de två grupperna. De två grupp- erna kommer att förklaras i större detalj nedan. 1 « | ~ - « . n. u. . . .I .. , , , , ,. - -; t. .f .. - « i. n «- », ._ .. l . -. . r-f f i ~ H. J., i ..Depending on the situation, the same action can thus be repeated fl times in a group or in both groups. It is the combination of the measure and the situation in which it is carried out that is the basis for dividing the two groups. The two groups will be explained in greater detail below. 1 «| ~ - «. now. . . .I ..,,,,,. - -; t. .f .. - «i. n« - », ._ .. l. -. . r-f f i ~ H. J., i ..

' ~ I « »f m' ,. ..- Säkerhetssystemet som har konfigurationen enligt ovan kan drivas i två olika moder. I en första mod, som definieras som den normala moden, arbetar säker- hetssystemet som en vanlig dator, d.v.s. säkerhetsanordningen 40 år i en passiv mod. I en andra mod, som definieras som den säkra hanteringsmoden, tar säker- hetsanordningen 40 över styrningen av databearbetningen för att på ett pålitligt sätt utföra olika säkerhetskritiska aktiviteter.'~ I «» f m',. ..- The safety system that has the configuration as above can be operated in two different modes. In a first mode, which they are called as the normal mode, the security system works like a normal computer, i.e. the safety device 40 years in a passive mode. In a second mode, which is defined as the secure handling mode, the security device 40 takes over the control of the data processing in order to reliably perform various security-critical activities.

Förfarandet enligt den föreliggande uppfinningen är applícerbart när säkerhets- systemet drivs i den säkra hanteringsmoden. Det är i denna mod som användaren måste bevilja, på något sätt, varje åtgärd i den säkerhetskritiska aktiviteten. Om användaren måste bevilja varje åtgärd själv direkt kan detta leda till en minskad säkerhet, eftersom såsom nämnts ovan användaren efter ett tag kanske mekaniskt beviljar varje åtgärd, utan att omsorgsfullt kontrollera vad han egentligen beviljar.The method of the present invention is applicable when the safety system is operated in the safe handling mode. It is in this mode that the user must grant, in some way, every action in the safety-critical activity. If the user has to grant each action himself directly, this can lead to a reduced security, because as mentioned above, after a while the user may mechanically grant each action, without carefully checking what he is actually granting.

Nu kommer förfarandet enligt den föreliggande uppfinningen att beskrivas till- sammans med Figur 3. Det första steget 100 av förfarandet är att definiera i vilka situationer åtgärden eller åtgärderna i den säkerhetskritiska aktiviteten kan be- viljas indirekt av användaren. Ett exempel på en sådan situation kan vara betalning av ett belopp som är mindre än ett på förhand bestämt belopp, t.ex. 10 $ till ett på förhand bestämt konto. Det som i detta fall beviljas är begäran av t.ex. 6 $ så länge som det begärda beloppet är mindre än 10 $. Det bör återigen noteras att det är situationen och inte åtgärden i sig själv som fastställer om åtgärden kan beviljas direkt eller indirekt av användaren. Om t.ex. åtgärden betalning i exemplet ovan är en situation där 10 OOO $ skall överföras måste användaren bevilja detta direkt.Now, the method of the present invention will be described in conjunction with Figure 3. The first step 100 of the method is to define in which situations the action or actions in the safety-critical activity may be granted indirectly by the user. An example of such a situation may be the payment of an amount that is less than a predetermined amount, e.g. $ 10 to a pre-determined account. What is granted in this case is the request of e.g. $ 6 as long as the amount requested is less than $ 10. It should again be noted that it is the situation and not the measure itself that determines whether the measure can be granted directly or indirectly by the user. If e.g. The payment action in the example above is a situation where $ 10,000 is to be transferred, the user must grant this immediately.

Situationer där en åtgärd kan beviljas indirekt genom användaren definieras enligt den föreliggande uppfinningen i en fullmakt, som kan lagras i PROM 44 i säkerhets- anordningen 40. Fullmakten kan självklart också lagras i ett skyddat RAM 46 i säkerhetsanordningen 40. I samband med denna ansökan betyder ett säkert minne antingen de ovan nämnda minnena 44, 46 eller något annat säkert minne tillhöran- de säkerhetsanordningen. 520 885 9 Situationerna i vilka åtgärderna kan utföras, såsom de definieras av fullmakten kommer sålunda tillhöra en fullmaktsgrupp. Alla andra situationer, som ej är definierade av fullmakten kommer att vara en del av en anvåndarinblandnings- gfuPP- Skapandet av en fullmakt, d.v.s. defmitionen av mindre kritiska situationer kan göras på ett antal olika sätt. Ett sätt år att intrådai den säkra hanteringsmoden och definiera de situationer, som kan anses mindre kritiska och sedan lagra dessai det säkra minnet. Eftersom fullmakten har skapats inuti säkerhetsanordningen 40 kan användaren vara helt säker på att fullmakten endast innehåller situationer som definierats av honom. Ett annat sätt år att skapa fullmakter någonstans utan- för säkerhetsanordningen och sedan ladda in dem i det säkra minnet tillhörande detta. Nedladdningsprocessen för en sådan fullmakt måste sedan självklart över- vakas och beviljas av användaren med användarinblandning, steg för steg, för att säkerställa att fullmakten inte innehåller något som är mot användarens vilja. Före- trâdesvis är fullmakten skriven eller definierad med varilig text, d.v.s. den skapas på samma sätt som när användaren beviljar en åtgärd direkt. Skapandet av full- makten kan därför ses som ett användarinblandningssteg med en tidsfördröjning.Situations where an action can be granted indirectly by the user are denoted according to the present invention in a power of attorney, which can be stored in PROM 44 in the security device 40. The power of attorney can of course also be stored in a protected RAM 46 in the security device 40. In connection with this application, a secure memory either the above-mentioned memories 44, 46 or some other secure memory associated with the security device. 520 885 9 The situations in which the measures can be carried out, such as those fi initiated by the power of attorney, will thus belong to a group of proxies. All other situations, which are not defined by the power of attorney, will be part of a user intervention- gfuPP- The creation of a power of attorney, i.e. The definition of less critical situations can be made in a number of different ways. One way is to enter the safe handling mode and de iera nier the situations, which can be considered less critical, and then store these safe memory. Since the power of attorney has been created inside the security device 40, the user can be completely sure that the power of attorney only contains situations as they have been initiated by him. Another way is to create proxies somewhere outside the security device and then load them into the secure memory associated with it. The download process for such a power of attorney must then of course be monitored and granted by the user with user intervention, step by step, to ensure that the power of attorney does not contain anything that is against the user's will. Preferably, the power of attorney is written or defined with a permanent text, i.e. it is created in the same way as when the user grants an action directly. The creation of the power of attorney can therefore be seen as a user intervention step with a time delay.

Såsom närrmts ovan betecknas omedelbar användarinblandning som direkt an- vändarinblandning och användar-inblandning medelst en fullmakt betecknas som en indirekt användarinblandning.As mentioned above, immediate user intervention is referred to as direct user intervention and user intervention by proxy is referred to as indirect user intervention.

Det bör noteras att detta första steg 100 i förfarandet inte alltid måste utföras när förfarandet enligt uppfinningen används. En fullmakt måste emellertid definieras innan förfarandet kan appliceras, men finns det redan existerande definierade full- makter så kan dessa användas. Det första steget 100 utförs endast initialt innan förfarandet används eller när en fullmakt eller fullmakter måste uppdateras.It should be noted that this first step 100 of the method does not always have to be performed when the method of the invention is used. However, a power of attorney must be signed before the procedure can be applied, but if there are already defined powers of attorney, these can be used. The first step 100 is performed only initially before the procedure is used or when a power of attorney or proxies must be updated.

Under förutsättning att åtminstone en fullmakt enligt användarens önskemål redan har laddats ned i det säkra minnet tillhörande säkerhetsanordningen 40 så är det första steget 102 i förfarandet att starta exekveringen av den första åtgärden av den säkerhetskritiska aktiviteten. Därefter kommer mikroprocessorn 42 i säkerhets- anordningen 40 kontrollera i vilken situation denna åtgärd skall utföras, d.v.s. .n ..» 520 885 " 10 kontrollera om situationen tillhör fullmaktsgruppen vid steg 104. Detta görs genom att läsa fullmakterna och se om någon fullmakt tillåts bevilja åtgärden i den rådande situationen. Om det fmns en fullmakt tillhör åtgärden i denna situation till fullmaktsgruppen och om så inte är fallet tillhör åtgärden användarinblandnings- gruppen.Provided that at least one power of attorney as desired by the user has already been downloaded to the secure memory associated with the security device 40, the first step 102 in the process is to start the execution of the first action of the security critical activity. Thereafter, the microprocessor 42 in the safety device 40 will check in which situation this action is to be performed, i.e. .n .. »520 885" 10 check if the situation belongs to the proxy group at step 104. This is done by reading the proxies and seeing if any proxy is allowed to grant the measure in the current situation. If there is a power of attorney, the measure in this situation belongs to the proxy group and if not, the action belongs to the user intervention group.

Beroende på vilken grupp situationen ivilken åtgärden skall utföras tillhör kommer olika steg att utföras av förfarandet enligt den föreliggande uppfmningen. Om situationen/ åtgärden tillhör fullmaktsgruppen betyder detta att fullmakten kan be- vilja åtgärden utan direkt användarinblandning. Det bör emellertid noteras att även om användaren inte är direkt inblandad så är det han som har skapat fullmakten och åtgärden utförs sålunda med indirekt användarinblandning. Om å andra sidan situationen/ åtgärden tillhör användarinblandningsgruppen så måste åtgärden beviljas direkt av användaren. Det bör förstås att användaren alltid styr exekver- ingen av de säkerhetskritiska aktiviteterna och att han vid varje tidpunkt kan dra tillbaks en fullmakt eller ta en direkt kontroll över åtgärden som skall exekveras.Depending on which group the situation to which the action is to belong belongs, different steps will be performed by the method according to the present invention. If the situation / measure belongs to the power of attorney group, this means that the power of attorney can grant the measure without direct user intervention. It should be noted, however, that even if the user is not directly involved, it is he who has created the power of attorney and the action is thus carried out with indirect user involvement. If, on the other hand, the situation / measure belongs to the user intervention group, the measure must be granted directly by the user. It should be understood that the user always controls the execution of the safety-critical activities and that he can at any time withdraw a power of attorney or take direct control of the measure to be executed.

Om det vid steg 104 fastställs att situationen/ åtgärden inte kan beviljas av full- makten måste användaren blandas in för att fortsätta bearbetningen av den säker- hetskritiska aktiviteten och förfarandet fortskrider till steg 106. Användarinbland- ningssteget 106 kommer att beskrivas i detalj i samband med Figur 4 nedan. Om användaren inte är inblandad inom en på förhand bestämd tid kommer emellertid exekveringen av åtgärden att avbrytas och den säkra hanteringsmoden kommer att lämnas vid steg 116.If it is determined at step 104 that the situation / action cannot be granted by the proxy, the user must be involved in order to continue the processing of the safety-critical activity and the procedure proceeds to step 106. The user intervention step 106 will be described in detail in connection with Figure 4 below. However, if the user is not involved within a predetermined time, the execution of the action will be interrupted and the safe handling mode will be provided at step 116.

Efter det att situationen/ åtgärden har beviljats antingen av fullmakten, vid steg 104, eller av användaren, vid steg 106, kommer processorn 42 att fortsätta exe- kveringen av åtgärden vid steg 108. Därefter, vid steg llO, kontrollerar processom om alla åtgärder i den säkerhetskritiska aktiviteten har exekverats. Om svaret är nej kommer exekveringen av nästa åtgärd i den säkerhetskritiska aktiviteten att startas upp, vid steg 112, och stegen 104 till l 10 såsom beskrivits ovan kommer att repeteras. Detta kommer att fortgå ända tills alla åtgärder i den säkerhetskritiska i . . . < . 520 885 11 aktiviteten har exekverats och den säkerhetskritiska aktiviteten avslutas sedan vid steg 114.After the situation / action has been granted either by the proxy, at step 104, or by the user, at step 106, the processor 42 will continue the execution of the action at step 108. Then, at step 1010, the processor checks if all actions in the safety-critical activity has been executed. If the answer is no, the execution of the next action in the safety critical activity will be started, at step 112, and steps 104 to 10 as described above will be repeated. This will continue until all actions in the safety-critical i. . . <. The activity has been executed and the safety critical activity is then terminated at step 114.

Nu kommer användarinblandningssteget 106 att beskrivas i detalj tillsammans med Figur 4. Om, vid steg 104, det fastställs att fullmakten inte kan bevilja situation- en/ åtgärden, kommer flödesdiagrammet i Figur 4 att påbörjas. Stegen 200 till 204 i Figur 4 motsvarar sålunda steg 106 i Figur 3.Now, the user intervention step 106 will be described in detail together with Figure 4. If, at step 104, it is determined that the power of attorney cannot grant the situation / action, the fate diagram in Figure 4 will be started. Thus, steps 200 to 204 in Figure 4 correspond to step 106 in Figure 3.

Med start vid steg 200 begärs att användaren skall bevilja situationen/ åtgärden.Starting at step 200, the user is requested to grant the situation / action.

Processorn 42 kontrollerar sedan vid steg 202 om användaren har beviljat begäran, d.v.s. om användaren har varit inblandad. Om svaret år ja lärnnas flödesschemat i Figur 4 och förfarandet fortskrider med steg 108 i Figur 3. Om användaren ej har beviljat begäran startas emellertid en klocka. Klockan är satt på en på förhand bestämd tid. Om användaren inte under denna tid beviljar begäran kommer bear- betningen av den såkerhetskritiska aktiviteten att avslutas. Vid steg 204 kon- trollerar sålunda processorn 42 om klockan har löpt ut. Om svaret är nej kommer processom att vänta på att användaren beviljar begäran tills klockan har löpt ut.The processor 42 then checks at step 202 whether the user has granted the request, i.e. if the user has been involved. If the answer is yes, the fate diagram is learned in Figure 4 and the procedure proceeds to step 108 in Figure 3. However, if the user has not granted the request, a clock is started. The clock is set to a predetermined time. If the user does not grant the request during this time, the processing of the security-critical activity will be completed. Thus, at step 204, the processor 42 checks if the clock has expired. If the answer is no, the processor will wait for the user to grant the request until the clock expires.

När klockan har löpt ut avslutas bearbetningen av den säkerhetskritiska aktiviteten vid steg 1 16.When the clock has expired, the processing of the safety-critical activity is completed at step 1 16.

I en föredragen utföringsform av uppfinningen kommer processorn 42 att hålla reda på vem av fullmakten eller användaren som har beviljat varje situation/ åtgärd.In a preferred embodiment of the invention, the processor 42 will keep track of which of the proxies or the user has granted each situation / action.

Denna information samlas och lagras som en loggfil. Detta kan vara en fördel om det föreligger olika meningar om vem som har beviljat vilken åtgärd. Detta ger också användaren ett pålitligt kvitto på vad han har ort.This information is collected and stored as a log file. This can be an advantage if there are different opinions about who has granted which measure. This also gives the user a reliable receipt of what he has found.

Ett exempel enligt den föreliggande uppfinningen kommer nu att beskrivas. En säkerhetskritisk aktivitet som ofta utförs är att öppna en fil. Antagande att alla filer på hårddisken i datorn är krypterade så måste användaren använda sin privata nyckel för att öppna en fil. Denna nyckel är lagrad i såkerhetsanordningen och kan endast kommas åt om användaren tillåter detta, under körning i den säkra hanter- ingsmoden. 520 885 i; ..- 12 Vaije gång en applikation som körs på datorn behöver läsa en fil så måste använd- aren bevilja filöppning. Detta kan inträffa ofta eftersom en applikation kan använda många filer. Om detta händer för ofta finns det en risk att användaren beviljar alla filöppriingar utan att noggrant kontrollera att dessa filer verkligen tillhör de filer som användaren önskar öppna.An example according to the present invention will now be described. A security-critical activity that is often performed is to open a file. Assuming that all the files on the hard drive of the computer are encrypted, the user must use his private key to open a file. This key is stored in the security device and can only be accessed if the user allows it, while driving in the safe handling mode. 520,885 i; ..- 12 Whenever an application running on the computer needs to read a file, the user must grant file opening. This can happen frequently because an application can use many files. If this happens too often, there is a risk that the user will grant all file openings without carefully checking that these files really belong to the files that the user wishes to open.

Det är i en sådan situation som denna uppfinning är kraftfull. Istället för att direkt bevilja varje situation/ åtgärd kan användaren definiera en fullmakt som tillåter att applikationen som körs på datorn öppnar vissa filer. En sådan fullmakt kan t.ex. definiera att alla filer i biblioteket C: \my documents\public\*.* kan beviljas utan direkt användarinblandning, d.v.s. bevilja filöppning/ avkodning om situationen är att filnamnet matchar biblioteket C: \my documents\public\*.*.It is in such a situation that this invention is powerful. Instead of directly granting each situation / action, the user can define a power of attorney that allows the application running on the computer to open certain files. Such a power of attorney can e.g. de iera niera that all files in the library C: \ my documents \ public \ *. * can be granted without direct user intervention, i.e. grant file opening / decoding if the file name matches the directory C: \ my documents \ public \ *. *.

På detta sätt kan beslutet att öppna en fil göras på två nivåer, nämligen genom fullmakten om de definierade villkoren är uppfyllda eller direkt av användaren.In this way, the decision to open a file can be made on two levels, namely through the power of attorney if the conditions stipulated are met or directly by the user.

Detta kommer att göra arbetssituationen mycket mera bekväm eftersom använd- aren inte konstant behöver avbrytas av rutinuppgifter. Användaren har alltid kontroll eftersom han vid varje tidpunkt kan återkalla en fullmakt. Även om denna uppñnning har beskrivits i termer av föredragna utföringsformer därav, bör det förstås att andra former enkelt kan anpassas av fackrnannen på området. Även om en utföringsforrn har beskrivits där fullmakten definierar vilka åtgärder/ situationer som tillåts att bli beviljade bör det förstås att en fullmakt också kan definiera åtgärder/ situationer som skall förhindras från att exekveras utan ytterligare användarinblandning. T.ex. kan applikationen begära att ett belopp på 10 000 $ skall överföras till ett visst konto. Under antagandet att en överföring av ett sådant belopp eller till ett sådant konto aldrig kommer att vara fallet kan användaren i fullmakten definiera sådana fall. Fullmakten kommer då att avbryta ytterligare exekvering av sådana åtgärder/ situationer utan ytterligare användar- inblandning. Genom att definiera situationer/ åtgärder som aldrig kan komma ifråga för exekvering och hindra dessa med en fullmakt kommer vidare att ytter- w. .H 520 885 §Ffï姿}¿¥W. « , » . . . . . , , 13 ligare avlasta användaren. Omfattningen av denna uppfinning skall följaktligen endast begränsas av de bifogade patentlcraven.This will make the work situation much more comfortable because the user does not have to be constantly interrupted by routine tasks. The user is always in control because he can revoke a power of attorney at any time. Although this invention has been described in terms of preferred embodiments thereof, it should be understood that other forms may be readily adapted by those skilled in the art. Although an embodiment has been described in which the power of attorney defines which measures / situations are permitted to be granted, it should be understood that a power of attorney can also specify measures / situations that are to be prevented from being executed without further user intervention. For example. the application may request that an amount of $ 10,000 be transferred to a specific account. Assuming that a transfer of such an amount or to such an account will never be the case, the user may authorize such cases. The power of attorney will then interrupt further execution of such measures / situations without further user intervention. By defining situations / measures that can never be considered for execution and preventing them with a power of attorney, further w. .H 520 885 §Ffï姿} ¿¥ W. «,». . . . . ,, 13 ligare relieve the user. Accordingly, the scope of this invention is to be limited only by the appended claims.

Claims (9)
Hide Dependent
translated from Swedish

520 885 14 PATENTKRAV520 885 14 PATENT REQUIREMENTS 1. Förfarande för att exekvera en säkerhetskritisk aktivitet i en säkerhets- anordning, ivilket den sâkerhetskritiska aktiviteten exekveras med användar- inblandning, innefattande stegen i) att starta exekvering av en åtgärd i en säkerhetskritisk aktivitet, ii) kontrollera om denna åtgärd, under rådande omständigheter kan hanteras av en fullmakt eller om den skall hanteras av en användare, och om åtgärden kan beviljas av antingen fullmakten eller användaren, iii) fortsätta och slutföra exekveringen av åtgärden, och iv) repetera stegen i) till iii) tills alla åtgärder i den säkerhetskritiska aktiviteten har exekverats eller annars v) avbryta exekveringen av den säkerhetskritiska aktiviteten.A method for executing a safety-critical activity in a safety device, in which the safety-critical activity is executed with user intervention, comprising the steps i) to start executing an action in a safety-critical activity, ii) checking whether this action, in the prevailing circumstances can be handled by a proxy or if it is to be handled by a user, and if the action can be granted by either the proxy or the user, iii) continue and complete the execution of the action, and iv) repeat steps i) to iii) until all actions in the safety-critical the activity has been executed or otherwise v) interrupt the execution of the safety-critical activity. 2. Förfarande enligt patentkrav 1, ytterligare innefattande steget att i full- makten definiera i vilken situation eller i vilka situationer varje fullmakt tillåts att hantera åtgärder.The method of claim 1, further comprising the step of defining in the power of attorney in which situation or in which situations each power of attorney is allowed to handle actions. 3. Förfarande enligt patentkrav 2, i vilket definitionen i fullmakten definierar i vilka situationer fullmakten tillåts att bevilja åtgärder.A method according to claim 2, in which the definition in the power of attorney defines in which situations the power of attorney is allowed to grant measures. 4. Förfarande enligt patentkrav 2 eller 3, i vilket definitionen i fullmakten ytterligare definierar i vilka situationer fullmakten tillåts att förhindra åtgärder från att exekveras.A method according to claim 2 or 3, wherein the definition in the power of attorney further defines in which situations the power of attorney is allowed to prevent measures from being executed. 5. Förfarande enligt något av patentkraven 1-4, i vilket steget att kontrollera om situationen/ åtgärden kan beviljas ytterligare innefattar stegen att läsa fullmakterna och se om någon fullmakt är tillåten att bevilja situationen/ åtgärden och om inte begära att användaren skall bevilja åtgärden. 520 885 15A method according to any one of claims 1-4, wherein the step of checking whether the situation / measure can be granted further comprises the steps of reading the proxies and seeing if any power of attorney is permitted to grant the situation / measure and if not requesting the user to grant the measure. 520 885 15 6. Förfarande enligt patentkrav 5, ytterligare innefattande steget att kontrollera om någon fullmakt är tillåten att förhindra åtgärden /situationen från att exekveras och avbryta exekveringen om det finns en sådan åtgärd/ situation.The method of claim 5, further comprising the step of checking whether any power of attorney is permitted to prevent the action / situation from being executed and interrupting the execution if there is such an action / situation. 7. F örfarande enligt patentkrav 5, ivilket steget att begära att användaren skall bevilja åtgärden ytterligare innefattar stegen att fråga användaren om be- viljande av åtgärden, vänta en på förhand bestämd tidsperiod för att motta ett svar som beviljar åtgärden.The method of claim 5, wherein the step of requesting the user to grant the measure further comprises the steps of asking the user for approval of the measure, waiting for a predetermined period of time to receive a response granting the measure. 8. Förfarande enligt något av föregående patentkrav, i vilket steget att avbryta exekveringen av åtgärden innefattar steget att logga om fullmakten eller användar- en har beviljat situationen/ åtgärden.A method according to any one of the preceding claims, in which the step of interrupting the execution of the measure comprises the step of logging if the power of attorney or the user has granted the situation / measure. 9. Förfarande enligt något av patentkraven 3 till 8, i vilket definitionen av situationerna/ åtgärderna som fullmakten tillåts bevilja endast innefattar defini- tionen av mindre säkerhetskritiska åtgärder. v, v.,A method according to any one of claims 3 to 8, in which the definition of the situations / measures that the power of attorney is allowed to grant only includes the fi nation of less security-critical measures. v, v.,