WO2009156108A2 - Freischalten eines dienstes auf einem elektronischen gerät - Google Patents

Freischalten eines dienstes auf einem elektronischen gerät Download PDF

Info

Publication number
WO2009156108A2
WO2009156108A2 PCT/EP2009/004482 EP2009004482W WO2009156108A2 WO 2009156108 A2 WO2009156108 A2 WO 2009156108A2 EP 2009004482 W EP2009004482 W EP 2009004482W WO 2009156108 A2 WO2009156108 A2 WO 2009156108A2
Authority
WO
WIPO (PCT)
Prior art keywords
registration
registration server
service
request
server
Prior art date
Application number
PCT/EP2009/004482
Other languages
English (en)
French (fr)
Other versions
WO2009156108A3 (de
Inventor
Stephan Spitz
Helmut Scherzer
Thorsten Urhahn
Hans Borgs
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to ES09768957.4T priority Critical patent/ES2452699T3/es
Priority to CN200980123842.3A priority patent/CN102171971B/zh
Priority to EP09768957.4A priority patent/EP2332284B1/de
Priority to US12/997,693 priority patent/US8625797B2/en
Publication of WO2009156108A2 publication Critical patent/WO2009156108A2/de
Publication of WO2009156108A3 publication Critical patent/WO2009156108A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the present invention relates to a method for enabling a service provided by an electronic device, to such an electronic device and to a system comprising such an electronic device.
  • protective or an identification enabling mechanisms is often a particularly secure storage area in order to store eg identification data tamper-proof.
  • special isolation mechanisms by which hardware areas and / or accesses to software components of a terminal can be set up for security-critical data and processes and effectively isolated from correspondingly unsecured areas, eg by software solutions such as secure virtual processors or hardware solutions such as dedicated security cores.
  • safety-critical processes can be carried out within such a secure area, for example by means of a secure runtime environment by means of a suitable interpreter.
  • Data relating to individualization or identification of portable data carriers is usually stored for safety and practical reasons during the production process or at least prior to the issue of the relevant data carrier to a user in the data carrier, eg in a secure area of a smart card, Smart Card or the like.
  • a corresponding individualization of any mobile devices in the context of a manufacturing process is associated with considerable costs due to the necessary infrastructure and a resulting lower throughput.
  • cryptographic methods are available for individualizing mobile terminals, for example based on a symmetrical key pair present on the terminal to be individualized, the public key of which is provided by a trustworthy certification authority with an electronic certificate.
  • Certification enables communication partners of the device in question who use their public key to encrypt or verify a signature of the device to ensure that the public key actually originates from the device in question and has not been deferred for fraudulent purposes.
  • WO 2008/049959 A2 proposes a certification method in accordance with the PKCS specification ("Public Key Cryptography Standard") in a mobile radio environment with possibly reduced transmission rate and network security.
  • PKCS Public Key Cryptography Standard
  • the US 2005/0010757 discloses a certification method in a distributed network in which, for security reasons, a certification request of a network node with respect to a certification server is only possible within a predetermined time interval from the initialization of the corresponding network node, which, in connection with mobile terminals, in turn would require an in itself not practical individualization in a timely manner with their usual initialization in the context of production.
  • the receipt of a certificate request from a network node within the permissible time interval is monitored on the basis of the initialization time of the network node and the time interval duration available to the certification server.
  • an electronic device On an electronic device is a provided but not yet for the use -.
  • the execution by a user of the device-enabled service is enabled by a registration process against a registration server.
  • a service to be released can be any functional or resource extension of the electronic device, in particular the activation of an individualized operation on a device which is not initially individualized or of a secure, isolated area for providing further security functionalities of the terminal device.
  • the electronic device under “registration”, the data communication between the electronic device and the registration server is understood, while as a result of the registration, the actual provision As part of a registration process, the electronic device generates a registration request and sends it to the registration server, which generates a registration confirmation in response to the received registration request and to the Finally, the relevant service is unlocked on the device by storing the received registration confirmation in an appropriate manner on the device.
  • a trustworthy third party sets up a time window for the registration process outlined above in such a way that only a registration request received within this time window is processed by the registration server and can lead to a registration of the relevant service with respect to the registration server.
  • the relevant service can therefore only be activated if the registration request is sent to the registration server within the established time window; a registration request that arrives outside of this time window (or even before the time window is established) will at least not be answered by the registration server with a registration confirmation.
  • the time window can be established by the trustworthy entity in principle with any start and end time, e.g. also repeating periodically or the like.
  • the registration and activation of a service within an almost arbitrary time window of the device itself can be carried out with sufficient certainty.
  • This is particularly advantageous for such services, which would be unlocked in the context of the production process only with considerable resources, for example, in the context of time-consuming Initialization processes of certain services, or require an individualization of the electronic device in an environment that is in principle less secure than the most secure production environment.
  • the registration and activation can be set up flexibly, for example depending on specifications or behavior of the user of an electronic device or on the service to be released itself, eg by adjusting the time window to an installation or initialization process of the service on the device.
  • An electronic device consequently comprises at least sufficient resources for providing services, e.g. in the form of software applications, in particular a processor and one or more memories.
  • an electronic device comprises a data communication interface, which enables the data communication with the registration server to be carried out during the registration process, and a registration device, which controls the registration process and the final activation of a service by storing a received registration confirmation.
  • the registration device is set up in such a way that the registration request is sent to the registration server within the time window set up by the trustworthy entity on the registration server, i. the registration facility has or receives sufficient information about the timeslot and adjusts the registration process thereon.
  • the registration facility can ensure a timely registration request to the registration server, for example, by automatically configuring a registration request within a registration device already configured during the manufacture, setup or initialization of the device Time window is sent or by the registration request in response to the time window determining information is sent from the trusted entity or the registration server.
  • a registration system therefore comprises an electronic device, a registration server and a trustworthy entity, each of which is set up and cooperates in such a way that a service provided by the electronic device can be activated in accordance with the registration process described above.
  • the registration server is preferably a central server equipped with a special trustworthiness, e.g. has been set up and authorized by a manufacturer of the electronic device or a similarly trusted entity to register services.
  • the trustworthy entity may be, for example, a communication device of a middleman distributing electronic devices of the invention or services to be installed and released on such devices, or a credit institution, an authority or other such entity.
  • the trustworthiness of this instance or of the corresponding communication device is established by an authentication to the registration server, for example cryptographically or by means of a password. This extends the trustworthiness of the enrollment server to the instance, which is thereby entitled to set up a time window on the enrollment server.
  • the trusted entity may either notify the registration server of a future time window by appropriate time signals, or actively start the time window by a start signal on the registration server. In the latter case, the registration server may close the time window upon receipt of a stop signal or upon expiration of a predetermined period of time.
  • the trustworthy entity can set up a time window with any start time after the production of the electronic device, eg after the electronic device has been issued to a user (eg by the trustworthy entity) or the installation of a service to be released on the electronic device.
  • the registration request generated by the registration device preferably comprises a unique identification of the respective service to be enabled, so that in particular there is the possibility that the registration server can log and account for the activation of this service and thus its usage time by a user.
  • the service to be enabled is not a dedicated software application or the like, but a basic functional extension of the electronic device, instead of a clear identification of the service to be enabled (or in addition thereto) a unique identification of the electronic device in the Registration request to be integrated.
  • the unique device information may be the serial number of the device.
  • This unique service or device information may also be used by the registration server to detect and block a new attempt to unlock by means of a re-registration request based on the service or device identification present to the registration server.
  • an activation only for a given time is effective and that after the expiry of that period a new registration / activation of the service concerned must take place. This can also be detected and managed by means of a service or device identification.
  • Services to be provided by the device may e.g. concern the establishment of a secure, isolated area on the device, which is hardware and software completely decoupled from a remaining unsecured area of the electronic device to store in this isolated area safety-related data and perform security-related processes.
  • such basic functional expansion of the electronic device may also be to establish an individualized operation of the device by providing the device with a third-party verifiable individual identifier through which the identity is identified of the device is determined beyond doubt.
  • the registration device of the electronic device may for example direct a certificate request to a certification server which comprises at least one public key of an asymmetric key pair present on the device or generated by the device.
  • a request is made to the registration server designed as a certification server to certify the public key of the electronic device and thereby transfer the trustworthiness of the certification server to the public key.
  • the electronic device provides a certified public key to a communication partner for cryptographically securing messages or for checking a cryptographic signature, the communication partner concerned can use the certificate to verify whether the public key that is present to him actually exists with the private key present on the electronic device corresponds.
  • the certification server upon receipt of the certificate request, the certification server generates the public key certificate and returns the certificate to the electronic device as a registration confirmation. With the certificate, the device can then prove its own trustworthiness and identity to any communication partners, thereby enabling an individualized operation of the device.
  • the certificate includes a signature that - verifiable for third parties - associates the service or device identification with the generated public key.
  • the registration request thus usually includes a service identification and / or a device identification.
  • the registration confirmation is generated for a service identification and / or a device identification, which are either received with the registration request or determined for the registration request.
  • the registration confirmation may include a digital signature formed via the service identification and / or the device identification and optionally other data such as the generated public key.
  • At least the private key of the asymmetric key pair and any received certificate of the public key are stored in a secure area of the device.
  • This secured area is preferably an isolated and inaccessible from any unsecured area of the device.
  • Hardware and software area Such an isolated area can have a secure runtime environment with a corresponding interpreter for executing safety-critical processes, eg the generation of an asymmetric key pair.
  • the entire described registration process can be executed within such a secure runtime environment, so that the registration device can be an application that can be executed as a process by the runtime environment, an operating system application or another software component of the electronic device.
  • a registration device that generates and sends a certificate request and receives and deposits the certificate is implemented as a boot loader or as part of a multi-stage boot loader of the electronic device.
  • a registration device designed as a boot loader can be involved, in particular, in a multilevel boot process of the electronic device or the secure area and the secure runtime environment.
  • the individualized operation of the electronic device is performed at a first-time booting after delivery of the device to a dealer or user.
  • the activation of a service in the context of a (initial) boot process can also be provided for any other services, in particular for basic functional extensions of the device, e.g. unlocking a secure, isolated area on the electronic device.
  • FIG. 1 shows a flowchart of a method according to the invention
  • FIG. 2 shows a registration system according to the invention
  • Figure 3 shows a particular embodiment of a registration device according to the invention.
  • the initialization or customization of an electronic device 100 can be implemented via a cryptographic infrastructure by: a public key of an asymmetric key pair present on the electronic device is certified by a designated and authorized entity, for example a certification server 300.
  • a certification server 300 e.g. a public key of an asymmetric key pair present on the electronic device is certified by a designated and authorized entity, for example a certification server 300.
  • the certification system illustrated in Figures 1 and 2 comprises a trusted entity 200 , eg a computer of an authority or other trustworthy entity or the like.
  • the electronic device 100 generates an asymmetrical key pair (GEN KEYPAIR) in step S1, wherein the private key of the asymmetrical key pair is stored in a possibly tamper-proof, secured area 112 of the electronic key pair in step S2.
  • device 100 is stored (SAVE PRIVKEY).
  • the private key is firmly associated with the electronic device 100, so that a message encrypted by a communication partner of the electronic device 100 with the corresponding public key can only be decrypted by the electronic device 100.
  • the electronic device 100 may generate a cryptographic signature by which the origin of a sent message may be checked by the recipient by means of the public key of the device 100.
  • a communication partner of the electronic device can assume that the present public key actually originates from the relevant electronic device (ie that the electronic device has the corresponding private key) and not within the framework of a Fraud attempt was postponed.
  • the electronic device must be individualized, ie set up for an individualized operation.
  • Verification of a unique association of the public key with the device 100 can be ensured by providing the public key from the certification server 300 with an electronic certificate 305, i. is uniquely associated with the identity of the electronic device 100.
  • a communication partner of the device 100, which has the public key, can then use the certificate 305 to check whether the public key actually originates from the electronic device 100.
  • the device 100 generates in step S3 a certification request 114 which includes at least the public key to be certified, preferably also a unique identification of the electronic device, eg its IMEI. Number, includes (GEN REQUEST).
  • the certification request 114 is accepted by the registration server 300 exclusively within a predetermined time window and answered with the desired certificate 305, so that the device 100 can only carry out the step S7 of sending the certificate request 114 (SEND REQUEST) if the corresponding time window on the Registration Server 300 is open.
  • the time window is established by a trusted entity 200 on the certification server 300.
  • the instance 200 first authenticates in step S4 to the certification server 300, e.g. cryptographically or with a password (AUTH) to get the trusted certificate from the certification server 300 and thus acquire the authorization to set up the time window.
  • the time window is then opened by sending a start signal 201 in step S5 (START) on the certification server 300 in step S6 (START TIMEFRAME).
  • the certification server 300 receives a certification request 114 sent in step S7 after the start of the time window, the registration server 300 generates a public key received certificate (GEN CERT) 305 in step S8 and sends the certificate 305 to the electronic device 100 in step S9 back (SEND CERT).
  • GEN CERT public key received certificate
  • the device 100 preferably stores the received certificate 305 in step S0O in the same secure area (SAVE CERT) in which the private key was already stored in step S2, and may in the future submit its public key together with the certificate 305 to potential communication partners and thereby prove his identity.
  • the unique device identification for example the IMEI number, which the certification server 300 has received in connection with the certificate request 114 is stored in order to recognize a renewed certification attempt by the same device 100 and block it as a misuse attempt (BLOCK IMEI ), since any further certification request with a different public key can be considered fraudulent.
  • the end of the time window can either be effected by the trusted entity (END) by an explicit end signal 202 in step S12, as illustrated in FIG.
  • time window is closed in step S13 (END TIMEFRAME). It is likewise possible for the time window to be automatically closed immediately after transmission of the certificate 305 to the electronic device 100 in step S8, or for the trusted entity to already transmit the duration of the time window to the registration server 300 in the context of the start signal 115 in step S5 after which the time window automatically closes.
  • the device 100 may already be equipped with a corresponding time information (eg already stored during the production of the device 100) about the time window to be opened on the registration server 300 and therefore needs no explicit notification of the start of the time window in step S5.
  • the electronic device 100 it is also possible for the electronic device 100 to be informed either by the trustworthy entity 200 (in a step S5a) or by the registration server 300 (in a step S6a) of the start of the time window and, if appropriate, of its duration or end becomes.
  • FIG. 2 details the architecture of an electronic device 100.
  • the electronic device 100 may, for example, be any mobile terminal, eg a mobile radio terminal, a portable data carrier, such as a smart card, mobile communication card or the like, an embedded system or a single-chip system.
  • a mobile terminal eg a mobile radio terminal
  • a portable data carrier such as a smart card, mobile communication card or the like
  • an embedded system or a single-chip system.
  • Such an electronic device 100 basically includes all necessary resources and components for executing applications and services, in particular a processor CPU
  • the device 100 comprises a data communication interface
  • the electronic device 100 also includes a secure, isolated area 112 (TRUSTZONE) that forms an area of the hardware and software equipment of the electronic device 100 completely isolated by isolation mechanisms, in particular a secure RAM memory 107 (SEC RAM) to store safety-critical data and to carry out safety-critical processes.
  • a secure runtime environment 113 (“Runtime Environment”) 113 running in the secure area 112 runs safety-critical processes in the secure RAM 107.
  • Initialization and individualization of the electronic device 100 are initiated by a registration device 108 which is preferably set up in the secured area 112
  • the isolation of the secure area 112 from the remaining resources of the electronic device 100 may be accomplished via known technologies, eg, through virtualization in an embedded system or through a stand-alone security system. processor on the same chip as the actual application processor 104.
  • the registration device 108 of the electronic device 100 is realized as a specialized boot loader 108 (boot loader), which may be e.g. may represent an extension of conventional boot loaders used to boot (“boot") an operating system from a "bootable” storage medium or to boot (start up) an embedded system or any other mobile terminal.
  • boot loader e.g. may represent an extension of conventional boot loaders used to boot (“boot") an operating system from a "bootable” storage medium or to boot (start up) an embedded system or any other mobile terminal.
  • the entire certification process is carried out by the boot loader 108 as part of the boot process of the device 100, whereby the certification or individualization can take place at the earliest possible but nevertheless arbitrary time after production of the device 100 or output to a user.
  • the individualization of the device 100 is performed during the initial booting of the device 100.
  • the registration device can also be embodied as a separate registration module stored in a secure area of the flash memory 102 or as an operating system module 115 located in the ROM memory 103, which becomes active at any time after booting the device 100.
  • the boot loader 108 generates and stores the private key 109 of the cryptographic key pair in the secure area of the flash memory 102. Also stored there is the certificate 305 received from the registration server 300.
  • the boot loader 108 sends the certification request 114 via the communication interface interface 105 to the registration server 300, which has at least one data communication interface. 301, a processor 302, a memory 303 and a processor 304 executable by the certification device 304 comprises.
  • the certification facility 304 receives the certification request 114, generates the certificate 305 and sends it back to the electronic device 100 or its boot loader 108.
  • the registration server 300 can communicate with the trusted entity 200, for example as part of an authentication of the trusted entity 200 to the registration server 300 and the subsequent establishment of the time window on the certification server 300 by start and end signals 201, 202.
  • the trusted Instance 200 may in principle represent any arbitrary intermediate instance between the manufacturer of the device 100 and the user of the device 100, for example a merchant, a bank, an agency or the like.
  • FIG. 3 illustrates a boot process performed by the boot loader 108 within the secure RAM memory 107.
  • the boot process outlined in FIG. 3 is multi-level and is performed by a plurality of different boot loaders, which preferably boot different system components, for example the electronic device 100 or its hardware and operating system, the secured area 112 and the secure runtime environment 113.
  • the individualization of the electronic device 100 is performed by certification to the certification server 300.
  • the customary multistage booting process carried out in conjunction with a secure runtime environment 113 is therefore extended by a cryptographic initialization or customization which is optionally provided by the boot loader 108 when the electronic boot device is first booted. device 100 is performed. Subsequently, the operating system 115 is loaded into the unsecured portion of the RAM memory 101 in a conventional manner.
  • any services can be registered on the device 100 by means of a corresponding registration process with respect to a registration server 300 and enabled on the device.
  • a service to be released by means of a registration can in particular also be the use and installation of the secure, isolated area 112 or the secure runtime environment 113, or also any other software application or hardware resource available to the user.
  • a registration request 114 relates to the activation of multiple services and correspondingly several service identifications are contained in the registration request, which in turn can be answered individually or jointly by the registration server 300. Accordingly, re-registration of this service by the registration server 300 is then blocked.
  • the time window may be established by the trusted entity 200 in almost any manner on the registration server 300, and is not limited to booting the device 100 as described in FIGS. 2 and 3.
  • An independent of the boot process of the device 100 time window is particularly useful if it is not a fundamental function extension, as the cryptographic customization is the service to be unlocked, but the activation of one or more arbitrary applications, prior to execution on the processor 104 of the device 100, for example, to be registered with the registration server 300 for billing purposes.
  • a registration can be provided at any time (eg also after consultation with the user) in order to allow the user of the electronic device, on the one hand, maximum operating freedom with regard to the services used and, on the other hand, by setting up a time restriction Using a time window to meet the safety requirements.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Es wird ein Verfahren zum Freischalten eines von einem elektronischen Gerät (100) bereitgestellten Dienstes vorgeschlagen, bei dem eine Registrierungsanfrage (114) durch das Gerät (100) erzeugt (S3) und an den Registrierungsserver (300) gesendet wird (S7). Der Registrierungsserver (300) erzeugt (S8) daraufhin eine Registrierungsbestätigung (305) und sendet (S9) diese an das Gerät (100), wo der Dienst schließlich durch Empfangen und Abspeichern (S10) der Registrierungsbestätigung (305) auf dem Gerät (100) freigeschaltet wird. Hierbei richtet eine vertrauenswürdige Instanz (200) ein Zeitfenster derart auf dem Registrierungsserver (300) ein (S6, S12), dass der Registrierungsserver (300) eine Registrierungsbestätigung (305) nur für eine innerhalb des Zeitfensters empfangene Registrierungsanfrage (114) versendet (S9), und das Gerät (100) die Registrierungsanfrage (114) innerhalb des Zeitfensters an den Registrierungsserver (300) sendet (ST).

Description

Freischalten eines Dienstes auf einem elektronischen Gerät
Die vorliegende Erfindung betrifft ein Verfahren zum Freischalten eines von einem elektronischen Gerät bereitgestellten Dienstes, ein derartiges elektronisches Gerät sowie ein System, welches ein derartiges elektronisches Gerät umfasst.
Für portable Datenträger und mobile elektronische Geräte sind vielfältige Sicherheitsmechanismen bekannt, die die Integrität des Geräts und der darauf gespeicherten Daten oder die eindeutige Identifizierung des Datenträgers oder seines Besitzers sicherstellen sollen.
Die technische Basis solcher, die Integrität schützender bzw. eine Identifizierung ermöglichender Mechanismen ist oft ein besonders abgesicherter Speicherbereich, um darin z.B. Identifikationsdaten manipulationssicher abzulegen. Es existieren beispielsweise besondere Isolationsmechanismen, durch die Hardwarebereiche und/ oder Zugänge zu Softwarekomponenten eines Endgeräts für sicherheitskritische Daten und Prozesse eingerichtet und von entsprechend ungesicherten Bereichen wirksam abgeschottet werden können, z.B. durch Softwarelösungen, wie sichere virtuelle Prozessoren, oder Hardwarelösungen, wie dezidierte Sicherheitskerne. Innerhalb eines solchen abgesicherten Bereichs können insbesondere sicherheitskritische Prozesse ausgeführt werden, z.B. in durch eine sichere Laufzeitumgebung mittels eines geeigneten Interpreters. Daten, die eine Individualisierung oder Identifizierung von portablen Datenträgern betreffen, werden aus Sicherheits- und Praktikabilitätsgründen zumeist während des Herstellungsprozesses bzw. zumindest vor der Ausgabe des betreffen Datenträgers an einen Benutzer in dem Datenträger abgespei- chert, z.B. in einen abgesicherten Bereich einer Chipkarte, Smart Card oder dergleichen. Eine entsprechende Individualisierung von beliebigen mobilen Endgeräten im Rahmen eines Herstellungsprozesses ist jedoch mit erheblichen Kosten aufgrund der dafür notwendigen Infrastruktur und einem daraus resultierenden geringeren Durchsatz verbunden.
Prinzipiell stehen zur Individualisierung von mobilen Endgeräten kryp- tographische Verfahren zur Verfügung, beispielsweise basierend auf einem auf dem zu individualisierenden Endgerät vorliegenden symmetrischen Schlüsselpaar, dessen öffentlicher Schlüssel von einer vertrauenswürdigen Zertifizierungsinstanz mit einem elektronischen Zertifikat versehen wird. Durch eine Zertifizierung können Kommunikationspartner des betreffenden Geräts, die dessen öffentlichen Schlüssel zur Verschlüsselung oder zur Prüfung einer Signatur des Geräts verwenden, sicherstellen, dass der öffentliche Schlüssel auch tatsächlich von dem betreffenden Gerät stammt und nicht zu Betrugszwecken untergeschoben wurde.
In diesem Zusammenhang schlägt die WO 2008/049959 A2 ein Zertifizierungsverfahren gemäß der PKCS-Spezifikation („Public Key Cryptography Standard") in einer Mobilfunkumgebung mit möglicherweise eingeschränk- ter Übertragungsrate und Netzsicherheit vor. Die US 2005/0010757 offenbart ein Zertifizierungsverfahren in einem verteilten Netzwerk, bei dem eine Zertifizierungsanfrage eines Netzwerkknotens gegenüber einem Zertifizierungsserver aus Sicherheitsgründen nur innerhalb eines vorgegebenen Zeitintervalls ab der Initialisierung des entsprechenden Netzwerkknotens möglich ist, was im Zusammenhang mit mobilen Endgeräten wiederum eine an sich nicht praktikable Individualisierung zeitnah mit deren üblicher Initialisierung im Rahmen der Herstellung erfordern würde. Der Eingang einer Zertifikatanfrage eines Netzknotens innerhalb des zulässigen Zeitintervalls wird anhand der dem Zertifizierungsserver vorliegenden Initialisierungszeit des Netzknotens und der Zeitintervalldauer überwacht.
Es die Aufgabe der vorliegenden Erfindung, eine sichere, praktikable und kostengünstige Möglichkeit zur Individualisierung von elektronischen, mo- bilen Endgeräten bereitzustellen.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren, ein elektronisches Gerät sowie ein System mit den Merkmalen der unabhängigen Ansprüche gelöst. Die davon abhängigen Ansprüche beschreiben vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung.
Auf einem elektronischen Gerät wird ein bereitgestellter aber noch nicht für die Inanspruchnahme - z.B. die Ausführung durch einen Benutzer des Geräts - freigeschalteter Dienst durch einen Registrierungsvorgang gegenüber einem Registrierungsserver freigeschaltet. Ein solcher freizuschaltender Dienst kann prinzipiell jede beliebige Funktions- oder Ressourcenerweiterung des elektronischen Geräts sein, insbesondere die Freischaltung eines individualisierten Betriebs auf einem zunächst nicht individualisierten Gerät oder eines abgesicherten, isolierten Bereichs zur Bereitstellung weiterer Si- cherheitsfunktionalitäten des Endgeräts.
Hierbei wird im folgenden unter „Registrierung" die Datenkommunikation zwischen dem elektronischen Gerät und dem Registrierungsserver verstanden, während als Ergebnis der Registrierung die eigentliche Bereitstellung des betreffenden Diensts auf dem Gerät zu Nutzung durch den Benutzer als „Freischaltung" bezeichnet wird. Insofern erzeugt das elektronische Gerät im Rahmen eines Registrierungsvorgangs eine Registrierungsanfrage und sendet diese an den Registrierungsserver, welcher in Beantwortung der emp- fangenen Registrierungsanfrage eine Registrierungsbestätigung erzeugt und an das Gerät zurücksendet. Schließlich wird der betreffende Dienst auf dem Gerät freigeschaltet, indem die empfangene Registrierungsbestätigung in einer vorgesehenen Weise auf dem Gerät abgespeichert wird.
Erfindungsgemäß richtet eine vertrauenswürdige dritte Instanz für den oben skizzierten Registrierungsvorgang ein Zeitfenster derart ein, dass ausschließlich eine innerhalb dieses Zeitfensters empfangene Registrierungsanfrage durch den Registrierungsserver bearbeitet wird und zu einer Registrierung des betreffenden Dienstes gegenüber dem Registrierungsserver führen kann. Der betreffende Dienst kann also nur dann freigeschaltet werden, wenn die Registrierungsanfrage innerhalb des eingerichteten Zeitfensters an den Registrierungsserver gesendet wird; eine außerhalb dieses Zeitfensters (oder sogar vor dem Einrichten des Zeitfensters) beim Registrierungsserver eintreffende Registrierungsanfrage wird von dem Registrierungsserver zumindest nicht mit einer Registrierungsbestätigung beantwortet. Hierbei kann das Zeitfenster von der vertrauenswürdigen Instanz prinzipiell mit beliebigem Start- und Endzeitpunkt eingerichtet werden, z.B. auch periodisch wiederholend oder dergleichen.
Insofern kann die Registrierung und Freischaltung eines Dienstes innerhalb eines nahezu beliebigen Zeitfensters von dem Gerät selbst mit hinreichender Sicherheit durchgeführt werden. Dies ist insbesondere bei solchen Diensten von Vorteil, die im Rahmen des Produktionsprozesses nur unter erheblichem Ressourcenaufwand freizuschalten wären, z.B. im Rahmen zeitaufwändiger Initialisierungsprozesse von bestimmten Diensten, oder die eine Individualisierung des elektronischen Geräts in einer Umgebung erfordern, die prinzipiell unsicherer ist, als die weitestgehend abgesicherte Produktionsumgebung. Weiter kann die Registrierung und Freischaltung flexibel eingerichtet werden, z.B. in Abhängigkeit von Vorgaben oder Verhaltensweisen des Benutzers eines elektronischen Geräts oder vom freizuschaltenden Dienst selbst, z.B. indem das Zeitfenster auf einen Installations- oder Initialisierungsvorgang des Dienstes auf dem Gerät abgestimmt wird.
Ein erfindungsgemäßes elektronisches Gerät umfasst demzufolge zumindest ausreichende Ressourcen zum Bereitstellen von Diensten, z.B. in Form von Softwareapplikationen, insbesondere einen Prozessor und einen oder mehrere Speicher. Darüber hinaus umfasst ein elektronisches Gerät eine Datenkommunikationsschnittstelle, die die im Rahmen des Registrierungsvor- gangs durchzuführende Datenkommunikation mit dem Registrierungsserver ermöglicht, und eine Registrierungseinrichtung, die den Registrierungspro- zess und das abschließende Freischalten eines Dienstes durch Abspeichern einer empfangenen Registrierungsbestätigung steuert. Die Registrierungseinrichtung ist erfindungsgemäß derart eingerichtet, dass die Registrierungsan- frage innerhalb des von der vertrauenswürdigen Instanz auf dem Registrierungsserver eingerichteten Zeitfensters an den Registrierungsserver gesendet wird, d.h. die Registrierungseinrichtung besitzt oder erhält das ausreichende Informationen über das Zeitfenster und stimmt den Registrierungsvorgang hierauf ab.
Die Registrierungseinrichtung kann eine zeitgerechte Registrierungsanfrage an den Registrierungsserver sicherstellen, indem z.B. eine Registrierungsanfrage automatisch innerhalb eines auf der Registrierungseinrichtung bereits bei der Herstellung, Einrichtung oder Initialisierung des Gerät konfigurierten Zeitfensters gesendet wird, oder indem die Registrierungsanfrage in Reaktion auf eine das Zeitfenster bestimmende Information von der vertrauenswürdigen Instanz oder dem Registrierungsserver gesendet wird.
Ein erfindungsgemäßes Registrierungssystem umfasst demnach ein elektronisches Gerät, einen Registrierungsserver und eine vertrauenswürdige Instanz, die jeweils derart eingerichtet sind und zusammenwirken, dass ein von dem elektronischen Gerät bereitgestellter Dienst gemäß dem oben beschriebenen Registrierungsvorgang freigeschaltet werden kann.
Hierbei ist der Registrierungsserver vorzugsweise ein mit einer besonderen Vertrauenswürdigkeit ausgestatteter Zentralserver, der z.B. von einem Hersteller des elektronischen Geräts oder einer ähnlich vertrauenswürdigen Stelle eingerichtet und autorisiert wurde, die Registrierung von Diensten vorzu- nehmen.
Die vertrauenswürdige Instanz kann beispielsweise eine Kommunikationsvorrichtung eines Zwischenhändlers sein, der erfindungsgemäße elektronische Geräte oder auf solchen Geräten zu installierende und freizuschaltende Dienste vertreibt, oder ein Kreditinstitut, eine Behörde oder eine sonstige derartige Instanz. Die Vertrauenswürdigkeit dieser Instanz bzw. des entsprechenden Kommunikationsvorrichtung wird durch eine Authentifizierung gegenüber dem Registrierungsserver hergestellt, beispielsweise kryp- tographisch oder mittels eines Kennworts. Dadurch wird die Vertrauens- Würdigkeit des Registrierungsservers auf die Instanz ausgeweitet, die dadurch berechtigt wird, ein Zeitfenster auf dem Registrierungsserver einzurichten. Die vertrauenswürdige Instanz kann dem Registrierungsserver entweder ein in der Zukunft liegendes Zeitfenster durch entsprechende Zeitsignale mitteilen oder das Zeitfenster durch ein Startsignal aktiv auf den Registrierungsserver starten. Im letztgenannten Fall kann der Registrierungsserver das Zeitfenster bei Empfang eines Stoppsignals oder bei Ablauf einer vorgegebenen Zeitdauer schließen. Insbesondere kann die vertrauenswürdige Instanz ein Zeitfenster mit einem beliebigen Startzeitpunkt nach der Herstellung des elektronischen Geräts einrichten, z.B. nach der Ausgabe des elektronischen Geräts an einen Benutzer (z.B. durch die vertrauenswürdige Instanz) oder der Installation eines freizuschaltenden Dienstes auf dem elektronischen Gerät.
Die von der Registrierungseinrichtung erzeugte Registrierungsanfrage um- fasst vorzugsweise eine eindeutige Identifikation des jeweils freizuschalten- den Dienstes, so dass insbesondere die Möglichkeit besteht, dass der Registrierungsserver die Freischaltung dieses Dienstes und insofern dessen Benutzungszeit durch einen Benutzer protokollieren und abrechnen kann. Insbesondere sofern es sich bei dem freizuschaltenden Dienst nicht um eine dezi- dierte Softwareapplikation oder dergleichen handelt, sondern um eine grundlegende Funktionserweiterung des elektronischen Geräts, kann anstelle einer eindeutigen Identifikation des freizuschaltenden Dienstes (oder zusätzlich hierzu) auch eine eindeutige Identifikation des elektronischen Geräts in die Registrierungsanfrage integriert werden. Die eindeutige Geräteinformation kann die Seriennummer des Gerätes sein. Diese eindeutige Dienst- oder Geräteinformation kann von dem Registrierungsserver auch dazu verwendet werden, einen erneuten Freischaltversuch mittels einer erneuten Registrierungsanfrage anhand der dem Registrierungsserver vorliegenden Dienst- oder Geräteidentifikation zu erkennen und zu blockieren. Natürlich ist es auch möglich, dass eine Freischaltung nur für einen vorgegebenen Zeit- raum wirksam ist und nach Ablauf dieses Zeitraums eine erneute Registrierung/Freischaltung des betreffenden Dienstes erfolgen muss. Auch dies kann anhand einer Dienst- oder Geräteidentifikation erkannt und verwaltet werden.
Von dem Gerät bereitzustellende Dienste, die grundlegende Funktionserweiterungen des elektronischen Geräts repräsentieren, können z.B. die Einrichtung eines abgesicherten, isolierten Bereichs auf dem Gerät betreffen, der hardware- und softwaremäßig vollständig gegenüber einem verbleibenden ungesicherten Bereich des elektronischen Geräts abgekoppelt ist, um in diesem isolierten Bereich sicherheitsrelevante Daten zu speichern und sicherheitsrelevante Prozesse auszuführen.
Andererseits kann eine solche grundlegende Funktionserweiterung des e- lektronischen Geräts, wie bereit oben angesprochen, auch darin bestehen, einen individualisierten Betrieb des Geräts einzurichten, indem das Gerät im Rahmen des Registrierungsvorgangs mit einer von Dritten verifizierbaren, individuellen Kennung ausgestattet wird, durch die die Identität des Geräts zweifelsfrei feststellbar ist.
Zum Freischalten eines solchen individualisierten Betriebs des elektronischen Geräts kann die Registrierungseinrichtung des elektronischen Geräts beispielsweise eine Zertifikatanfrage an einen Zertifizierungsserver richten, die zumindest einen öffentlichen Schlüssel eines auf dem Gerät vorliegenden oder von dem Gerät erzeugten asymmetrischen Schlüsselpaars umfasst. Mit der Zertifikatanfrage wird also ein Antrag an den als Zertifizierungsserver ausgestalteten Registrierungsserver gestellt, den öffentlichen Schlüssel des elektronischen Geräts zu zertifizieren und dadurch die Vertrauenswürdigkeit des Zertifizierungsserver auf den öffentlichen Schlüssel zu übertragen. Falls das elektronische Gerät einen zertifizierten öffentlichen Schlüssel einem Kommunikationspartner zur kryptographischen Sicherung von Nachrichten oder zur Überprüfung einer kryptographischen Signatur zur Verfügung stellt, kann der betreffende Kommunikationspartner anhand des Zertifikats verifizieren, ob der ihm vorliegende öffentliche Schlüssel tatsächlich mit dem auf dem elektronischen Gerät vorliegenden privaten Schlüssel korrespondiert. Dementsprechend erstellt der Zertifizierungsserver bei Eingang der Zertifikatanfrage das Zertifikat für den öffentlichen Schlüssel und schickt das Zertifikat als Registrierungsbestätigung an das elektronische Gerät zurück. Durch das Zertifikat kann das Gerät dann seine eigene Vertrauenswürdigkeit und Identität gegenüber beliebigen Kommunikationspartnern nachweisen, wodurch ein individualisierter Betrieb des Geräts ermöglicht wird. Das Zertifikat umfasst eine Unterschrift, die - für Dritte verifizierbar - die Dienst- oder Geräteidentifikation mit dem erzeugten öffentlichen Schlüssel verknüpft.
Die Registrierungsanfrage umfasst also in der Regel eine Dienstidentifikation und/ oder eine Geräteidentifikation. Die Registrierungsbestätigung wird für eine Dienstidentifikation und/ oder eine Geräteidentifikation erstellt, die entweder mit der Registrierungsanfrage empfangen oder für die Registrie- rungsanfrage ermittelt werden. Die Registrierungsbestätigung kann eine digitale Signatur enthalten, die über die Dienstidentifikation und/ oder die Geräteidentifikation und gegebenenfalls über weitere Daten, wie den erzeugten öffentlichen Schlüssel, gebildet wird.
Vorzugsweise wird zumindest der private Schlüssel des asymmetrischen Schlüsselpaars und ein etwaiges empfangenes Zertifikat des öffentlichen Schlüssels in einem abgesicherten Bereich des Geräts hinterlegt. Dieser abgesicherte Bereich ist vorzugsweise ein isolierter und ausgehend von einem etwaigen ungesicherten Bereich des Geräts nicht zugänglicher, abgeschotte- ter Hardware- und Softwarebereich. Ein solcher isolierter Bereich kann zur Ausführung von sicherheitskritischen Prozessen, z.B. die Erzeugung eines asymmetrischen Schlüsselpaars, eine sichere Laufzeitumgebung mit einem entsprechenden Interpreter aufweisen. Insbesondere kann der gesamte be- schriebene Registrierungsprozess innerhalb einer derartigen sicheren Laufzeitumgebung ausgeführt werden, so dass die Registrierungseinrichtung eine als Prozess von der Laufzeitumgebung ausführbare Applikation, Betriebssystemapplikation oder eine sonstige Softwarekomponente des elektronischen Geräts sein kann.
Vorzugsweise ist eine Registrierungseinrichtung, die eine Zertifikatanfrage erstellt und versendet sowie das Zertifikat empfängt und ablegt, als Bootlader bzw. als Teil eines mehrstufigen Bootladers des elektronischen Geräts realisiert. Bei Vorhandensein eines abgesicherten, isolierten Bereichs mit ei- ner sicheren Laufzeitumgebung kann eine als Bootlader ausgebildete Registrierungseinrichtung insbesondere in einen mehrstufigen Bootvorgang des elektronischen Geräts bzw. des abgesicherten Bereichs und der sicheren Laufzeitumgebung eingebunden sein.
Vorzugsweise wird der individualisierte Betrieb des elektronischen Geräts bei einem erstmaligen Bootvorgang nach Auslieferung des Geräts an einen Händler oder Benutzer durchgeführt. Selbstverständlich kann das Freischalten eines Dienstes im Rahmen eines (erstmaligen) Bootvorgangs auch für beliebige andere Dienste vorgesehen sein, insbesondere auch für grundle- gende Funktionserweiterungen des Geräts, z.B. das Freischalten eines abgesicherten, isolierten Bereichs auf dem elektronischen Gerät.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung von erfindungsgemäßen Ausführungsbeispielen sowie weiteren Ausführungsalternativen im Zusammenhang mit den beiliegenden Zeichnungen, die zeigen:
Figur 1 ein Flussdiagramm eines erfindungsgemäßen Verfahrens;
Figur 2 ein erfindungsgemäßes Registrierungssystem; und
Figur 3 eine besondere Ausführungsform einer erfindungsgemäßen Registrierungseinrichtung.
Die Initialisierung bzw. Individualisierung eines elektronischen Geräts 100, z.B. eines mobilen (Telekommunikations-) Endgeräts, eines eingebetteten Systems, eines Einchipsystems („System on a Chip") oder eines portablen Datenträgers, wie z.B. einer Chipkarte, Mobilfunkkarte, sicheren Multime- diakarte oder dergleichen, kann über eine kryptographische Infrastruktur durchgeführt werden, indem ein öffentlicher Schlüssel eines auf dem elektronischen Gerät vorliegenden asymmetrischen Schlüsselpaars von einer hierzu eingerichteten und autorisierten Stelle, beispielsweise einem Zertifizierungsserver 300, zertifiziert wird. Neben dem elektronischen Gerät 100 und dem Zertifizierungsserver 300 umfasst das in den Figuren 1 und 2 illustrierte Zertifizierungssystem eine vertrauenswürdige Instanz 200, z.B. einen entsprechend eingerichteten Computer einer Behörde oder sonstigen vertrauenswürdigen Instanz oder dergleichen.
Der Ablauf des von dem Zertifizierungssystem durchgeführten Zertifizierungsprozesses ist in Fig. 1 skizziert. Zunächst erzeugt das elektronische Gerät 100 in Schritt Sl ein asymmetrisches Schlüsselpaar (GEN KEYPAIR), wobei der private Schlüssel des asymmetrischen Schlüsselpaares in Schritt S2 in einem möglichst manipulationssicheren, abgesicherten Bereich 112 des elekt- ronischen Geräts 100 abgespeichert wird (SAVE PRIVKEY). Auf diese Weise ist der private Schlüssel mit dem elektronischen Gerät 100 fest assoziiert, so dass eine Nachricht, die ein Kommunikationspartner des elektronischen Geräts 100 mit dem korrespondierenden öffentlichen Schlüssel verschlüsselt ausschließlich von dem elektronischen Gerät 100 entschlüsselt werden kann. Ebenso kann das elektronische Gerät 100 durch Verschlüsseln einer Nachricht mit dem privaten Schlüssel eine kryptographische Signatur erzeugen, anhand derer die die Herkunft einer gesendeten Nachricht von dem Empfänger mittels des öffentlichen Schlüssels des Geräts 100 geprüft werden kann. Dies ist beides jedoch nur dann mit hinreichender Sicherheit möglich, wenn ein Kommunikationspartner des elektronischen Geräts davon ausgehen kann, dass der vorliegende öffentliche Schlüssel tatsächlich von dem betreffenden elektronischen Gerät stammt (d.h. dass das elektronische Gerät den korrespondierenden privaten Schlüssel besitzt) und nicht im Rahmen eines Betrugsversuches untergeschoben wurde. Mit anderen Worten muss das elektronische Gerät individualisiert, d.h. für einen individualisierten Betrieb eingerichtet sein.
Die Verifikation einer eindeutigen Zuordnung des öffentlichen Schlüssels zu dem Gerät 100 kann sichergestellt werden, indem der öffentliche Schlüssel von dem Zertifizierungsserver 300 mit einem elektronischen Zertifikat 305 versehen wird, d.h. eindeutig der Identität des elektronischen Geräts 100 zugeordnet wird. Ein Kommunikationspartner des Geräts 100, dem der öffentliche Schlüssel vorliegt, kann dann anhand des Zertifikats 305 prüfen, ob der öffentliche Schlüssel tatsächlich von dem elektronischen Gerät 100 stammt.
Dazu erzeugt das Gerät 100 in Schritt S3 eine Zertifizierungsanfrage 114, die zumindest den zu zertifizierenden öffentlichen Schlüssel, vorzugsweise auch eine eindeutige Identifikation des elektronischen Geräts, z.B. dessen IMEI- Nummer, umfasst (GEN REQUEST). Die Zertifizierungsanfrage 114 wird von dem Registrierungsserver 300 jedoch ausschließlich innerhalb eines vorgegebenen Zeitfensters entgegengenommen und mit dem gewünschten Zertifikat 305 beantwortet, so dass das Gerät 100 den Schritt S7 des Sendens der Zertifikatanfrage 114 erst durchführen kann (SEND REQUEST), wenn das entsprechende Zeitfenster auf dem Registrierungsserver 300 geöffnet ist.
Das Zeitfenster wird von einer vertrauenswürdigen Instanz 200 auf dem Zertifizierungsserver 300 eingerichtet. Dazu authentisiert sich die Instanz 200 in Schritt S4 zunächst gegenüber dem Zertifizierungsserver 300, z.B. kryp- tographisch bzw. mit einem Kennwort (AUTH), um die Vertrauenswürdigkeit von dem Zertifizierungsserver 300 attestiert zu bekommen und somit die Autorisierung zum Einrichten des Zeitfensters zu erwerben. Das Zeitfenster wird dann durch Senden eines Startsignals 201 in Schritt S5 (START) auf dem Zertifizierungsserver 300 in Schritt S6 geöffnet (START TIMEFRAME). Nachdem der Zertifizierungsserver 300 eine in Schritt S7 gesendete Zertifizierungsanfrage 114 nach dem Beginn des Zeitfensters empfängt, erzeugt der Registrierungsserver 300 in Schritt S8 ein Zertifikat 305 zu den empfangenen öffentlichen Schlüssel (GEN CERT) und sendet das Zertifikat 305 in Schritt S9 an das elektronische Gerät 100 zurück (SEND CERT).
Das Gerät 100 speichert das empfangene Zertifikat 305 in Schritt SlO vorzugsweise in dem gleichen abgesicherten Bereich (SAVE CERT), in dem bereits der private Schlüssel in Schritt S2 gespeichert wurde, und kann zukünf- tig seinen öffentlichen Schlüssel potenziellen Kommunikationspartnern zusammen mit dem Zertifikat 305 vorlegen und dadurch seine Identität nachweisen. In Schritt Sil wird die eindeutige Geräteidentifikation, z.B. die IMEI- Nummer, die der Zertifizierungsserver 300 im Zusammenhang mit der Zertifikatanfrage 114 erhalten hat, abgespeichert, um einen erneuten Zertifizierungsversuch des gleichen Geräts 100 zu erkennen und als Missbrauchsver- such blockieren zu können (BLOCK IMEI), da jede weitere Zertifizierungsanfrage mit einem unterschiedlichen öffentlichen Schlüssel als Betrugsversuch gewertet werden kann. Das Ende des Zeitfensters kann entweder, wie in Figur 1 illustriert, durch ein explizites Endsignal 202 in Schritt S12 durch die vertrauenswürdige Instanz bewirkt werden (END), woraufhin das Zeitfens- ter in Schritt S13 geschlossen wird (END TIMEFRAME). Ebenso ist es möglich, dass das Zeitfenster unmittelbar nach Senden des Zertifikats 305 an das elektronische Gerät 100 in Schritt S8 automatisch geschlossen wird oder dass die vertrauenswürdige Instanz im Rahmen des Startsignals 115 in Schritt S5 bereits die Dauer des Zeitfensters an den Registrierungsserver 300 übermit- telt hat, nach deren Ablauf das Zeitfenster von dieser automatisch geschlossen wird.
Hinsichtlich der Koordination zwischen dem Senden der Zertifikatanfrage 114 in Schritt S6 und dem Öffnen/ Schließen des Zeitfensters in den Schritten S5 und S12 sind mehrere Varianten denkbar. Einerseits kann das Gerät 100 bereits mit einer entsprechenden (z.B. bereits während der Herstellung des Geräts 100 abgespeicherten) Zeitinformation über das auf dem Registrierungsserver 300 zu öffnende Zeitfenster ausgestattet sein und braucht deshalb keiner expliziten Benachrichtigung über den Start des Zeitfensters in Schritt S5. Andererseits ist es auch möglich, dass das elektronische Gerät 100 entweder von der vertrauenswürdigen Instanz 200 (in einem Schritt S5a) o- der von dem Registrierungsserver 300 (in einem Schritt S6a) über den Start des Zeitfensters und gegebenenfalls über dessen Dauer bzw. Ende informiert wird. Fig. 2 beschreibt die Architektur eines elektronischen Geräts 100 genauer. Das elektronische Gerät 100 kann beispielsweise ein beliebiges mobiles Endgerät, z.B. ein Mobilfunkendgerät, ein portabler Datenträger, wie z.B. eine Chipkarte, Mobilfunkkarte oder dergleichen, ein eingebettetes System oder ein Einchipsystem sein. Ein derartiges elektronisches Gerät 100 umfasst prinzipiell sämtliche notwendigen Ressourcen und Komponenten zur Ausführung von Applikationen und Diensten, insbesondere einen Prozessor CPU
104 sowie eine Speichereinrichtung bestehend aus einem RAM- Arbeitsspeicher 101, einem wiederbeschreibbaren Flash- oder EEPROM- Speicher 102 und einem ROM-Speicher 103 mit einem Betriebssystem 115 (OS). Ferner umfasst das Gerät 100 eine Datenkommunikationsschnittstelle
105 zur Datenkommunikation mit zumindest dem Zertifizierungsserver 300.
Vorzugsweise umfasst das elektronische Gerät 100 auch einen abgesicherten, isolierten Bereich 112 (TRUSTZONE), der einen durch Isolationsmechanismen vollständig abgeschotteten Bereich der Hardware- und Software- Ausstattung des elektronischen Geräts 100 bildet, insbesondere einen sicheren RAM-Speicher 107 (SEC RAM), um darin sicherheitskritische Daten ab- zuspeichern und sicherheitskritische Prozesse ausführen zu können. Insbesondere läuft in dem abgesicherten Bereich 112 eine sichere Laufzeitumgebung 113 (RTE; „Runtime Environment"), die in dem sicheren RAM 107 sicherheitskritische Prozesse ausführt. Durch eine vorzugsweise in dem abgesicherten Bereich 112 eingerichtete Registrierungseinrichtung 108 wird eine Initialisierung und Individualisierung des elektronischen Geräts 100 bzw. des abgesicherten, isolierten Bereichs 112 erreicht. Die Isolierung des abgesicherten Bereichs 112 von den übrigen Ressourcen des elektronischen Geräts 100 kann über bekannte Technologien erreicht werden, z.B. durch Virtuali- sierung in einem eingebetteten System oder durch einen eigenständigen, si- cheren Prozessor auf dem selben Chip wie der eigentliche Applikationsprozessor 104.
Bei der in Fig. 2 skizzierten Ausführungsform ist die Registrierungseinrich- tung 108 des elektronischen Geräts 100 als spezialisierter Bootlader 108 (Urlader) realisiert, der z.B. eine Erweiterung herkömmlicher Bootlader darstellen kann, die zum Starten („Booten") eines Betriebssystems von einem „bootbaren" Speichermedium bzw. zum Starten („Booten") eines eingebettetes Systems oder eines beliebigen anderen mobilen Endgeräts eingesetzt werden.
Bei dieser Ausführungsform wird der gesamte Zertifizierungsvorgang von dem Bootlader 108 im Rahmen des Bootvorgangs des Geräts 100 durchgeführt, wodurch die Zertifizierung bzw. Individualisierung zu einem mög- liehst frühen aber dennoch beliebigen Zeitpunkt nach Herstellung des Geräts 100 bzw. Ausgabe an einen Benutzer erfolgen kann. Vorzugsweise wird die Individualisierung des Geräts 100 im Rahmen des erstmaligen Bootens des Geräts 100 durchgeführt. Selbstverständlich kann die Registrierungseinrichtung auch als eigenständiges, in einem gesicherten Bereich des Flash- Speichers 102 abgelegtes Registrierungsmodul oder als im ROM-Speicher 103 liegendes Betriebssystemmodul 115 ausgestaltet sein, das zu einem beliebigen Zeitpunkt nach dem Booten des Geräts 100 aktiv wird.
Der Bootlader 108 erzeugt und speichert den privaten Schlüssel 109 des kryptographischen Schlüsselpaars in den abgesicherten Bereich des Flash- Speichers 102. Ebenso wird dort das von dem Registrierungsserver 300 empfangene Zertifikat 305 abgespeichert. Der Bootlader 108 sendet über die Da- tenkommunikationsschnittschnelle 105 die Zertifizierungsanfrage 114 an den Registrierungsserver 300, der zumindest eine Datenkommunikationsschnitt- stelle 301, einen Prozessor 302, einen Speicher 303 sowie eine von dem Prozessor 302 ausführbare Zertifizierungseinrichtung 304 umfasst. Die Zertifizierungseinrichtung 304 nimmt die Zertifizierungsanfrage 114 entgegen, erzeugt das Zertifikat 305 und schickt es an das elektronische Gerät 100 bzw. dessen Bootlader 108 zurück.
Ebenso über die Datenkommunikationsschnittstelle 301 kann der Registrierungsserver 300 mit der vertrauenswürdigen Instanz 200 kommunizieren, beispielsweise im Rahmen einer Authentisierung der vertrauenswürdigen Instanz 200 gegenüber dem Registrierungsserver 300 und dem nachfolgenden Einrichten des Zeitfensters auf dem Zertifizierungsserver 300 durch Start- und Endsignale 201, 202. Die vertrauenswürdige Instanz 200 kann prinzipiell jede beliebige Zwischeninstanz zwischen dem Hersteller des Geräts 100 und dem Benutzer des Geräts 100 repräsentieren, beispielsweise ei- nen Händler, ein Kreditinstitut, eine Behörde oder dergleichen.
Fig. 3 illustriert einen Bootvorgang, der von dem Bootlader 108 innerhalb des sicheren RAM-Speichers 107 durchgeführt wird. Der in Fig. 3 skizzierte Bootvorgang ist mehrstufig und wird durch mehrere verschiedene Bootlader durchgeführt, die vorzugsweise jeweils verschiedene Systemkomponenten booten, beispielsweise das elektronische Gerät 100 bzw. dessen Hardware und Betriebssystem, den abgesicherten Bereich 112 und die sichere Laufzeitumgebung 113. Im Rahmen des Bootens des abgesicherten Bereichs 112 bzw. der sicheren Laufzeitumgebung 113 wird die Individualisierung des elektro- nischen Geräts 100 durch eine Zertifizierung gegenüber dem Zertifizierungsserver 300 durchgeführt. Der übliche im Zusammenhang mit einer sicheren Laufzeitumgebung 113 durchgeführte mehrstufige Bootvorgang wird also um eine kryptographische Initialisierung bzw. Individualisierung erweitert, die von dem Bootlader 108 optional beim erstmaligen Booten des elektroni- schen Geräts 100 durchgeführt wird. Anschließend wird das Betriebssystem 115 auf herkömmliche Weise in den ungesicherten Teil des RAM-Speichers 101 geladen.
Neben der im Zusammenhang mit den Fig. 1 bis 3 beschriebenen Individualisierung der Geräts 100 können prinzipiell beliebige Dienste auf dem Gerät 100 mittels eines entsprechenden Registrierungsvorgangs gegenüber einem Registrierungsserver 300 registriert und auf dem Gerät freigeschaltet werden. Ein derartiger mittels einer Registrierung freizuschaltender Dienst kann insbesondere auch die Verwendung und Einrichtung des abgesicherten, isolierten Bereichs 112 bzw. der sicheren Laufzeitumgebung 113 sein, oder auch jeder andere dem Benutzer bereitstehende Softwareapplikation oder Hardware-Ressource. So ist es beispielsweise auch möglich, dass eine Registrierungsanfrage 114 die Freischaltung mehrerer Dienste betrifft und entspre- chend mehrere Dienstidentifikationen in der Registrierungsanfrage enthalten sind, die von dem Registrierungsserver 300 wiederum einzeln oder gemeinsam beantwortet werden können. Entsprechend wird dann eine erneute Registrierung dieser Dienst durch den Registrierungsserver 300 blockiert.
Das Zeitfenster kann von der vertrauenswürdigen Instanz 200 in einer nahezu beliebigen Art und Weise auf dem Registrierungsserver 300 eingerichtet werden, und ist nicht auf einen Bootvorgang des Geräts 100 wie in Fig. 2 und 3 beschrieben beschränkt. Ein von dem Bootvorgang des Geräts 100 unabhängiges Zeitfenster ist insbesondere dann sinnvoll, wenn es sich bei dem freizuschaltenden Dienst nicht um eine grundsätzliche Funktionserweiterung, wie die kryptographische Individualisierung handelt, sondern um die Freischaltung eines oder mehrerer beliebiger Applikationen, die vor einer Ausführung auf dem Prozessor 104 des Geräts 100 z.B. zu Abrechnungszwecken gegenüber dem Registrierungsserver 300 registriert werden sollen. Hierbei kann durch entsprechendes Einrichten des Zeitfensters eine Registrierung zu einem beliebigen Zeitpunkt (z.B. auch nach Absprache mit dem Benutzer) vorgesehen werden, um dem Benutzer des elektronischen Geräts einerseits eine maximale Bedienungsfreiheit hinsichtlich der in Anspruch genommenen Dienste zu ermöglichen und andererseits durch Einrichten einer zeitlichen Beschränkung mittels eines Zeitfensters den Sicherheitsanforderungen gerecht zu werden.

Claims

P a t e n t a n s p r ü c h e
1. Verfahren zum Freischalten eines von einem elektronischen Gerät (100) bereitgestellten Dienstes, umfassend die Schritte:
Erzeugen (S3) einer Registrierungsanfrage (114) durch das Gerät (100) und Senden (ST) der Registrierungsanfrage (114) an einen Registrierungsserver (300);
Erzeugen (S8) einer Registrierungsbestätigung (305) durch den Regist- rierungsserver (300) und Senden (S9) der Registrierungsbestätigung
(305) an das Gerät (100); und
Empfangen der Registrierungsbestätigung (305) durch das Gerät (100) und Freischalten des Dienstes durch Abspeichern (SlO) der Registrierungsbestätigung (305); dadurch gekennzeichnet, dass eine vertrauenswürdige Instanz (200) ein Zeitfenster derart einrichtet (S5, Sl 2), dass der Registrierungsserver (300) eine Registrierungsbestätigung (305) nur für eine innerhalb des Zeitfensters empfangene Registrierungsanfrage (114) sendet (S9) und dass das Gerät (100) die Registrierungsanfrage (114) innerhalb des Zeitfensters an den Registrie- rungsserver (300) sendet (S7).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass sich die vertrauenswürdige Instanz (200) gegenüber dem Registrierungsserver (300) authentifiziert (S4) und anschließend das Zeitfenster auf dem Registrierungs- Server (300) einrichtet (S5, S12).
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die vertrauenswürdige Instanz (200) zum Einrichten (S5, S12) des Zeitfensters Zeitsignale (201, 202) an den Registrierungsserver (300) schickt, die einen Startzeitpunkt (S6) und einen Endzeitpunkt (S13) des Zeitfensters bestimmen.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die vertrauenswürdige Instanz (200) das Zeitfenster zu einem beliebigen
Startzeitpunkt (S6) nach der Ausgabe des Geräts (100) an einen Benutzer einrichten kann (S5).
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Gerät (100) eine Registrierungsanfrage (114) erzeugt (S3), die eine eindeutige Identifikation des freizuschaltenden Dienstes umfasst, und der Registrierungsserver (300) die Freischaltung des Dienstes anhand der eindeutigen Identifikation protokolliert.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass als von dem Gerät (100) bereitzustellender Dienst ein abgesicherter Bereich (112) auf dem Gerät (100) oder ein individualisierter Betrieb des Geräts (100) freigeschaltet wird .
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass zum Freischalten des individualisierten Betriebs als Registrierungsanfrage eine Zertifikatanfrage (114) erzeugt wird (S3), die zumindest einen öffentlichen Schlüssel eines auf dem Gerät (100) vorliegenden oder von dem Gerät erzeugten asymmetrischen Schlüsselpaars umfasst, und als Registrierungsbestätigung ein Zertifikat (305) für den öffentlichen Schlüssel erzeugt wird (S8).
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das Gerät (100) eine Zertifikatanfrage (114) erzeugt (S3), die eine eindeutige Geräteidentifikation umfasst, und der Registrierungsserver (300) eine erneute Zerti- fikatanfrage des Geräts (100) anhand der eindeutigen Geräteidentifikation erkennt und blockiert (Sil).
9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass auf dem Gerät (100) ein abgesicherter Bereich (112) mit einer sicheren Laufzeitumgebung (113) eingerichtet ist und in dem abgesicherten Bereich (112) zumindest ein privater Schlüssel (109) des asymmetrischen Schlüsselpaars und das Zertifikat (305) abgespeichert werden (S2, SlO).
10. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass das Freischalten des individualisierten Betriebs des Geräts (100) von einem Bootlader (108) des Geräts (100) durchgeführt wird, der im Rahmen eines mehrstufigen Bootvorgangs des Geräts (100) ausgeführt wird.
11. Verfahren nach einem der Ansprüche 6 bis 10, dadurch gekennzeichnet, dass das Zeitfenster derart eingerichtet wird (S5, S12), dass das Freischalten des individualisierten Betriebs des Geräts (100) während eines erstmaligen Bootvorgangs des Geräts (100) erfolgt.
12. Elektronisches Gerät (100), umfassend einen Prozessor (104) und einen Speicher (101, 102) zum Bereitstellen eines Dienstes, eine Kommunikations- schnittstelle (105) zur Datenkommunikation mit einem Registrierungsserver (300) und eine Registrierungseinrichtung (108), die eingerichtet ist, eine Freischaltung des Dienstes durch Erzeugung einer Registrierungsanfrage (114), Senden der Registrierungsanfrage (114) an den Registrierungsserver (300) und Abspeichern einer von dem Registrierungsserver (300) empfangenen Registrierungsbestätigung (305) zu bewirken, dadurch gekennzeichnet, dass die Registrierungseinrichtung (108) eingerichtet ist, die Registrierungsanfrage (114) innerhalb eines von einer vertrauenswürdigen Instanz (200) auf dem Registrierungsserver (300) eingerichteten Zeitfensters an den Registrierungsserver (300) zu senden.
13. Gerät (100) nach Anspruch 12, dadurch gekennzeichnet, dass die Re- gistrierungseinrichtung (108) eingerichtet ist, eine Freischaltung eines individualisierten Betriebs des Geräts (100) durch Erzeugung einer zumindest einen öffentlichen Schlüssel eines auf dem Gerät (100) vorliegenden asymmetrischen Schlüsselpaars umfassenden Zertifikatanfrage (114) und Abspeichern eines von dem Registrierungsserver (300) empfangenen Zertifikats (305) zu bewirken.
14. Gerät (100) nach Anspruch 13, dadurch gekennzeichnet, dass das Gerät (100) ein mobiles Endgerät, ein eingebettetes System oder ein Einchipsystem ist, in dem ein abgesicherter Bereich (112) mit einer sicheren Laufzeitumge- bung (113) eingerichtet ist, und die Registrierungseinrichtung als Bootlader (108) realisiert ist, der eingerichtet ist, im Rahmen eines erstmaligen Bootvorgangs des Geräts (100) und/ oder des abgesicherten Bereichs (112) die Freischaltung eines individualisierten Betriebs des Geräts (100) zu bewirken, wobei der private Schlüssel (109) des asymmetrischen Schlüsselpaars und das Zertifikat (305) des öffentlichen Schlüssels in dem abgesicherten Bereich (112) gespeichert werden.
15. System, umfassend ein elektronisches Gerät (100) nach einem der Ansprüche 12 bis 14, einen Registrierungsserver (300) und eine vertrauenswür- dige Instanz (200), wobei diese Systemkomponenten derart eingerichtet sind und zusammenwirken, dass ein von dem elektronischen Gerät (100) bereitgestellter Dienst gemäß einem Verfahren nach einem der Ansprüche 1 bis 11 freigeschaltet werden kann.
PCT/EP2009/004482 2008-06-23 2009-06-22 Freischalten eines dienstes auf einem elektronischen gerät WO2009156108A2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
ES09768957.4T ES2452699T3 (es) 2008-06-23 2009-06-22 Habilitación de un servicio en un equipo electrónico
CN200980123842.3A CN102171971B (zh) 2008-06-23 2009-06-22 电子设备上业务的开通
EP09768957.4A EP2332284B1 (de) 2008-06-23 2009-06-22 Freischalten eines Dienstes auf einem elektronischen Gerät
US12/997,693 US8625797B2 (en) 2008-06-23 2009-06-22 Releasing a service on an electronic appliance

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008029636.8 2008-06-23
DE102008029636A DE102008029636A1 (de) 2008-06-23 2008-06-23 Freischalten eines Dienstes auf einem elektronischen Gerät

Publications (2)

Publication Number Publication Date
WO2009156108A2 true WO2009156108A2 (de) 2009-12-30
WO2009156108A3 WO2009156108A3 (de) 2011-06-16

Family

ID=41335008

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/004482 WO2009156108A2 (de) 2008-06-23 2009-06-22 Freischalten eines dienstes auf einem elektronischen gerät

Country Status (7)

Country Link
US (1) US8625797B2 (de)
EP (1) EP2332284B1 (de)
KR (1) KR101564478B1 (de)
CN (1) CN102171971B (de)
DE (1) DE102008029636A1 (de)
ES (1) ES2452699T3 (de)
WO (1) WO2009156108A2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102043713A (zh) * 2009-10-26 2011-05-04 鸿富锦精密工业(深圳)有限公司 计时电路与计时方法
US9374244B1 (en) * 2012-02-27 2016-06-21 Amazon Technologies, Inc. Remote browsing session management
EP2842258B1 (de) * 2012-03-08 2017-03-01 Intel Corporation Mehrfaktor-zertifikat-autorisierung
JP5867361B2 (ja) * 2012-10-11 2016-02-24 富士ゼロックス株式会社 認証システム及び認証プログラム
US9635014B2 (en) * 2014-02-21 2017-04-25 Samsung Electronics Co., Ltd. Method and apparatus for authenticating client credentials
DE102014105866A1 (de) * 2014-04-25 2015-10-29 Bundesdruckerei Gmbh Verfahren zum Versehen eines Identifikationsausweises einer Person mit einem kryptographischen Zertifikat
US20160134929A1 (en) * 2014-11-07 2016-05-12 Qualcomm Incorporated Collaborative Distributed/Unstructured Service Management Framework for Wireless-Display Platform
US11082849B2 (en) 2015-08-07 2021-08-03 Qualcomm Incorporated Validating authorization for use of a set of features of a device
KR102385552B1 (ko) * 2015-12-29 2022-04-12 삼성전자주식회사 시스템-온-칩 및 이를 포함하는 전자 장치
CN108092939A (zh) * 2016-11-22 2018-05-29 北京京东尚科信息技术有限公司 智能设备的入网认证方法及装置
US11770373B2 (en) 2017-09-25 2023-09-26 Telefonaktiebolaget Lm Ericsson (Publ) Provisioning of vendor credentials
KR102155515B1 (ko) * 2018-11-05 2020-09-14 기초과학연구원 오일-오일 이차항을 갖는 센트럴 맵에 기초한 양자 컴퓨터에 안전한 다변수 이차식 전자서명 스킴
TWI788594B (zh) * 2019-10-07 2023-01-01 系微股份有限公司 安全執行可延伸韌體應用程式的方法及計算機設備
KR102510506B1 (ko) * 2021-11-18 2023-03-15 삼성전자주식회사 스토리지 장치 및 스토리지 장치의 동작 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001042889A2 (en) 1999-12-10 2001-06-14 Microsoft Corporation Client-side boot domains and boot rules

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5454000A (en) * 1992-07-13 1995-09-26 International Business Machines Corporation Method and system for authenticating files
DE19607017C2 (de) * 1996-02-24 2000-06-29 Daimler Chrysler Ag Fernbedienungseinrichtung und Betriebsverfahren hierfür, insbesondere zur Ansteuerung von kraftfahrzeugbezogenen Einrichtungen
US5757919A (en) * 1996-12-12 1998-05-26 Intel Corporation Cryptographically protected paging subsystem
US6560706B1 (en) * 1998-01-26 2003-05-06 Intel Corporation Interface for ensuring system boot image integrity and authenticity
CN1226688C (zh) * 2002-07-04 2005-11-09 张东旭 自动随机一次性密码提高网络交易安全的认证方法
US8019989B2 (en) 2003-06-06 2011-09-13 Hewlett-Packard Development Company, L.P. Public-key infrastructure in network management
US7738868B2 (en) * 2004-11-24 2010-06-15 Research In Motion Limited System and method for managing secure registration of a mobile communications device
US7720981B2 (en) * 2005-05-11 2010-05-18 Sony Corporation Processing device, method for establishing processing device communication session, program, and recording medium
US8201240B2 (en) * 2005-09-16 2012-06-12 Nokia Corporation Simple scalable and configurable secure boot for trusted mobile phones
IL171963A0 (en) * 2005-11-14 2006-04-10 Nds Ltd Secure read-write storage device
CN1905448A (zh) 2006-08-03 2007-01-31 代飞 计算机网络账号安全防护方法及服务系统
CN101155030B (zh) * 2006-09-29 2010-10-06 维豪信息技术有限公司 基于注册鉴权的网络资源整合访问方法
FI124424B (fi) * 2006-10-23 2014-08-29 Valimo Wireless Oy Menetelmä ja järjestelmä PKCS-rekisteröinnin käyttämiseksi matkaviestinympäristössä
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
GB2458047B (en) * 2006-11-29 2011-11-09 Hewlett Packard Development Co IP based notification of device management operations in a network
CN100481119C (zh) * 2007-05-30 2009-04-22 张盛 一种实现多业务软件智能卡芯片的方法与装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001042889A2 (en) 1999-12-10 2001-06-14 Microsoft Corporation Client-side boot domains and boot rules

Also Published As

Publication number Publication date
US20110091039A1 (en) 2011-04-21
ES2452699T3 (es) 2014-04-02
EP2332284A2 (de) 2011-06-15
CN102171971A (zh) 2011-08-31
EP2332284B1 (de) 2014-02-12
DE102008029636A1 (de) 2009-12-24
CN102171971B (zh) 2014-04-23
WO2009156108A3 (de) 2011-06-16
US8625797B2 (en) 2014-01-07
KR20110022694A (ko) 2011-03-07
KR101564478B1 (ko) 2015-10-29

Similar Documents

Publication Publication Date Title
EP2332284B1 (de) Freischalten eines Dienstes auf einem elektronischen Gerät
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
EP2533172B2 (de) Gesicherter Zugriff auf Daten in einem Gerät
DE102006015212B4 (de) Verfahren zum Schutz eines beweglichen Gutes, insbesondere eines Fahrzeugs, gegen unberechtigte Nutzung
CN109379369A (zh) 单点登录方法、装置、服务器及存储介质
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
DE102012208834A1 (de) Authentisierung eines Produktes gegenüber einem Authentisierer
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
WO2012010380A1 (de) Verfahren zum kryptographischen schutz einer applikation
EP3595237B1 (de) Nachladen kryptographischer programminstruktionen
WO2017167498A1 (de) Nachweisen einer authentizität eines gerätes mithilfe eines berechtigungsnachweises
EP1668466B1 (de) Einräumung eines zugriffs auf ein computerbasiertes objekt
EP2885907B1 (de) Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät
DE102016222170A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
EP1801724A2 (de) Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine
EP3449655B1 (de) Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz
DE102010004786A1 (de) Verfahren zum rechnergestützten Bereitstellen einer Entwicklungsumgebung zur Implementierung von Sicherheitsanwendungen in einer Fahrzeug-Architektur
EP1924945B1 (de) Verfahren zur verbesserung der vertrauenswürdigkeit von elektronischen geräten und datenträger dafür
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP3288215A1 (de) Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul
EP3336736B1 (de) Hilfs-id-token zur multi-faktor-authentifizierung
EP1993054B1 (de) Verfahren zum Ausführen einer Software aus einem Endgerät
EP4115584B1 (de) Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200980123842.3

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 2009768957

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12997693

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 20117001660

Country of ref document: KR

Kind code of ref document: A