WO2016189048A1 - Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung - Google Patents
Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung Download PDFInfo
- Publication number
- WO2016189048A1 WO2016189048A1 PCT/EP2016/061830 EP2016061830W WO2016189048A1 WO 2016189048 A1 WO2016189048 A1 WO 2016189048A1 EP 2016061830 W EP2016061830 W EP 2016061830W WO 2016189048 A1 WO2016189048 A1 WO 2016189048A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- computer system
- predetermined file
- server
- file
- security
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
- G06F16/152—File search processing using file content signatures, e.g. hash values
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/164—File meta data generation
- G06F16/166—File name conversion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Definitions
- the invention relates to a method for executing a security-relevant application on a computer system, to a computer system having a data network interface, and to an arrangement comprising a computer system and a server.
- the object of the invention is a method for carrying out a safety-relevant application on a
- the object is achieved by a method for executing a security-relevant application on a computer system in a secure
- a data network connection is established via an internal network of the secure environment between the computer system and a server located in the secure environment.
- at least one predetermined file on the server is searched for by the computer system. If the at least one predetermined file was found, a signature of the at least one predetermined file is checked.
- Verification of the signature successful so will the at least downloaded and executed a predetermined file, wherein by executing the at least one predetermined file, a system file is changed. Following this, the security-relevant application is started.
- the computer system establishes a data network connection to a server. For example, the computer system establishes the data network connection with an update server to look for automatic updates. In this case, the search is for at least one predetermined file.
- Signature of the predefined file is used to verify the security of the file. If the file is authenticated, it will be downloaded and executed.
- the file is authenticated, it will be downloaded and executed.
- Change can be a security-related application, especially a flash of memory, or a
- Execution here comprises installing the at least one predetermined file and subsequently calling the installed file by the file itself or a program.
- the execution of the at least one predetermined file includes a renaming of the system file.
- a particular system file may be renamed or modified to perform maintenance on the computer system.
- a boot file especially a
- bootup file renamed so that one
- the at least one predetermined file is part of a file package and the file package is searched, checked, downloaded and executed.
- the file package can have various predefined files
- Maintenance algorithms can be performed on the computer system.
- the object is achieved by a computer system having a data network interface.
- the computer system here is arranged to establish in a secure environment a data network connection via an internal network to a server located in the secure environment and to search for at least one predetermined file on the server after the data network connection has been established.
- the computer system is further configured to verify a signature of the at least one predetermined file when the at least one predetermined file is on the server
- the computer system is adapted to the at least one predetermined file
- the server can be an update server here.
- Such a computer system can during a search for updates
- the object is achieved by an arrangement comprising a computer system and a server.
- the server is located in a secure environment with an internal network.
- the server provides at least a predetermined file for the
- the computer system is set up to search for at least one predetermined file on the server and, after finding the at least one predetermined file, to verify a signature of the at least one predetermined file. Furthermore, the computer system is set up to be more successful
- the server provides the predetermined file as an update file, for example. Because the server is in a secure environment, it can be assumed that only trusted people have access to the server. Thus, verification of the signature of the predetermined file is sufficient to further ensure security for the computer system.
- the secure environment is a security area in a company. Access to the security area can be secured by a four-eye principle.
- the secured environment is a maintenance center or a service center
- the computer system and the server can connect to the internal network of the maintenance center or Connect service center.
- the server is not accessible from outside the maintenance center or service center.
- a high level of security of the arrangement is ensured.
- a recovery mode is preferably useful for maintaining a computer system. In this case, defects, in particular faulty software, can be repaired.
- Figure 1 is a schematic representation of an arrangement according to an embodiment of the invention.
- FIG. 2 shows a flow diagram of a method according to a
- Figure 1 shows a secure environment 10.
- the secure environment 10 may also be other secure environments, such as, for example, geographically limited terrain.
- the secure environment 10 is on
- a server 11 is arranged.
- the server 11 is for example in a special case
- the access to the server 11 is limited, for example, by an access release for only the selected group of people.
- the server 11 serves to provide service packages and maintenance software for maintenance of the computer systems 12, 12 '.
- In the embodiment is a
- the location of the server 11 is secured by the secure environment 10.
- a cryptographic backup is provided for access to the server 11. For example, an employee must enter a password to open a server cabinet and work on the server 11.
- the computer systems 12, 12 ', 12 " are embedded computer systems in the exemplary embodiment in the form of payment terminals for carrying out financial transactions of a user, for example at supermarket cash desks or in department stores.
- a user uses the computer system 12, 12 ', 12 "to authenticate personal data.
- the computer system 12, 12 ', 12 "to authenticate personal data In other embodiments, the
- the computer system 12 has as data network interface 13 a WLAN module.
- the computer system 12 ' has a LAN connection as the data network interface 13.
- the computer systems 12 and 12 ' are introduced into the secure environment 10 and have access to an internal network of the sheared environment 10
- Computer system 12 is not inserted in secure environment 10 (dashed line).
- the computer system 12 has no access to the internal network and the server 11.
- the computer systems 12 and 12 ' are connected to the server 11 via the secure secured environment 10's internal network.
- the computer system 12 is wirelessly connected to the server 11 via a WLAN, the computer system 12 'is directly connected to the server 11 via a cable connection, in particular a LAN connection. In not shown
- the internal network of the secure environment 10 is spatially limited to the secure environment 10.
- the WLAN intensity is selected so that the WLAN outside the secure environment 10 can not be accessed.
- Figure 2 shows a flow chart 20.
- step 21 a data network connection is made.
- the computer systems 12 and 12 each register in the internal network of the secure environment 10 and thus build the
- the computer systems 12 and / or 12 ' build a data network in which other computer systems, such as the server 11, can log in to establish the data network connection.
- step 23 the signature 15 of the at least one predetermined file 14 is checked.
- the at least one predetermined file 14 is from a legitimate source. Is the review signature 15 is successful, the at least one predetermined file 14 is downloaded in step 24.
- step 25 the downloaded at least one predetermined file 14 is executed.
- a program is started which is based on a system file of the
- the system file is renamed here.
- a boot file necessary for starting the computer system is changed. This constitutes a safety-critical intervention.
- step 26 a security-relevant application is now executed on the computer system 12, 12 '. in the
- Computer system 12 and 12 ' accessed and changed. Thus, maintenance of the computer system 12, or 12 'can be performed safely and quickly.
- Computer system 12 or 12 ' for example, on
- step 23 If the verification of the signature 15 in step 23 showed that the signature 15 is untrustworthy, then the
- Data network connection to the data network to be disconnected.
- an additional check of the data network and / or of the server 11 in the data network is performed. In this case, a MAC address of the server 11 is checked.
- the at least one predetermined file 14 is installed on the computer system 12 or 12 '. During installation, the at least one predetermined file 14 is changed, in particular renamed.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Library & Information Science (AREA)
- Computer And Data Communications (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem (12, 2'). Hierbei wirdeine Datennetzwerkverbindung zwischen dem Computersystem (12, 12') und einem Server (11) hergestellt. Nachdem die Datennetzwerkverbindung hergestellt wurde, wird auf dem Server (11) durch das Computersystem (12, 12') nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) gesucht. Wurde die wenigstens eine vorbestimmte Datei (14) gefunden, so wird eine Signatur (15) der wenigstens einen vorbestimmten Datei (14) überprüft. Die wenigstenseine vorbestimmte Datei (14) wird heruntergeladen, wenn die Überprüfung der Signatur (15) erfolgreich war. Die heruntergeladene wenigstens eine vorbestimmte Datei (14) wird ausgeführt. Hierbei wird eine Systemdatei geändert. Wurde die wenigstens eine vorbestimmte Datei (14) ausgeführt, so wird im Anschluss die sicherheitsrelevante Anwendunggestartet. Die Erfindung betrifft des Weiteren ein Computersystem (12, 2', 12'') mit einer Datennetzwerkschnittstelle (13) und eine Anordnung umfassend ein Computersystem (12, 12') und einen Server (11).
Description
Beschreibung
Verfahren zum Ausführen einer sicherheitsrelevanten
Anwendung, Computersystem und Anordnung
Die Erfindung betrifft ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem, ein Computersystem mit einer Datennetzwerkschnittstelle sowie eine Anordnung umfassend ein Computersystem und einen Server.
Computersysteme, wie beispielsweise Bezahlterminals zum
Ausführen von finanziellen Transaktionen, bei denen sich ein Benutzer authentifizieren muss, schränken in der Regel einen Zugriff auf Systemdateien stark ein.
Aufgabe der Erfindung ist es, ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem
Computersystem aufzuzeigen. Auch ist es Aufgabe der
Erfindung, Vorrichtungen zum Durchführen des Verfahrens zu beschreiben .
Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem in einer gesicherten
Umgebung gelöst. Hierbei wird eine Datennetzwerkverbindung über ein internes Netzwerk der gesicherten Umgebung zwischen dem Computersystem und einem Server hergestellt, der in der gesicherten Umgebung angeordnet ist. Im Anschluss hieran wird nach wenigstens einer vorbestimmten Datei auf dem Server durch das Computersystem gesucht. Wurde die wenigstens eine vorbestimmte Datei gefunden, so wird eine Signatur der wenigstens einer vorbestimmten Datei überprüft. War die
Überprüfung der Signatur erfolgreich, so wird die wenigstens
eine vorbestimmte Datei heruntergeladen und ausgeführt, wobei durch das Ausführen der wenigstens einen vorbestimmten Datei eine Systemdatei geändert wird. Im Anschluss hieran wird die sicherheitsrelevante Anwendung gestartet.
Solche Geräte müssen bei Auftreten von Defekten gewartet werden können. Ein Wartungsdienst oder Servicedienst muss sich somit auch Zugang zu sicherheitsrelevanten Bereichen des geschützten Peripheriegeräts verschaffen können. Dies muss in einem sicheren Umfeld, nicht unerlaubt oder aus Versehen erfolgen. Auf den Server ist durch eine Überprüfung eines Nutzerzertifikats kein unautorisierter Zugriff möglich. Das Computersystem stellt eine Datennetzwerkverbindung mit einem Server her. Beispielsweise stellt das Computersystem die Datennetzwerkverbindung mit einem Updateserver her, um nach automatischen Updates zu suchen. Hierbei wird nach wenigstens einer vorbestimmten Datei gesucht. Die Überprüfung der
Signatur der vorbestimmten Datei dient der Verifikation der Sicherheit der Datei. Ist die Datei authentifiziert, so wird sie heruntergeladen und ausgeführt. Hierbei wird eine
Systemdatei des Computersystems verändert. Durch die
Veränderung kann eine sicherheitsrelevante Anwendung, insbesondere ein Flashen des Speichers, bzw. ein
vollständiges Flashen des Computersystems (englisch: complete System reflash) ausgeführt werden. Das Ausführen umfasst hierbei ein Installieren der wenigstens einen vorbestimmten Datei und ein hierauf folgendes Aufrufen der installierten Datei durch die Datei selber oder ein Programm. In einer vorteilhaften Ausgestaltung umfasst das Ausführen der wenigstens einen vorbestimmten Datei ein Umbenennen der Systemdatei .
Eine bestimmte Systemdatei kann umbenannt oder verändert werden, um die Wartung an dem Computersystem durchzuführen. Beispielsweise wird eine Bootdatei, insbesondere ein
sogenanntes bootup-file, neu benannt, sodass ein
Systemflashen möglich wird.
Gemäß einer weiteren vorteilhaften Ausgestaltung ist die wenigstens eine vorbestimmte Datei Teil eines Dateipakets und das Dateipaket wird gesucht, überprüft, heruntergeladen und ausgeführt.
Das Dateipaket kann verschiedene vorbestimmte Dateien
umfassen, durch die verschiedene Funktionen und
Wartungsalgorithmen auf dem Computersystem durchgeführt werden können.
Gemäß einer weiteren vorteilhaften Ausgestaltung wird beim Ausführen der sicherheitsrelevanten Anwendung ein
Flashspeicher des Computersystems programmiert.
Durch das Programmieren beziehungsweise Umprogrammieren des Flashspeichers können Systemeinstellungen des Computersystems verändert werden. Gemäß einer weiteren vorteilhaften Ausgestaltung wird beim Ausführen der sicherheitsrelevanten Anwendung ein
Wiederherstellungsmodus aufgerufen .
Durch das Aufrufen des Wiederherstellungsmodus kann das
Computersystem beispielsweise in einen ursprünglichen
Werkszustand zurückversetzt werden.
Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein Computersystem mit einer Datennetzwerkschnittstelle gelöst. Das Computersystem ist hierbei dazu eingerichtet, in einer gesicherten Umgebung eine Datennetzwerkverbindung über ein internes Netzwerk zu einem Server aufzubauen, der in der gesicherten Umgebung angeordnet ist, und nach wenigstens einer vorbestimmten Datei auf dem Server zu suchen, nachdem die Datennetzwerkverbindung aufgebaut wurde. Das
Computersystem ist weiter dazu eingerichtet, eine Signatur der wenigstens einen vorbestimmten Datei zu überprüfen, wenn die wenigstens eine vorbestimmte Datei auf dem Server
gefunden wurde. Des Weiteren ist das Computersystem dazu eingerichtet, die wenigstens eine vorbestimmte Datei
herunterzuladen, auszuführen und hierauf folgend eine
sicherheitsrelevante Anwendung zu starten. Beim Ausführen der wenigstens einen vorbestimmten Datei wird eine Systemdatei geändert .
Der Server kann hierbei ein Updateserver sein. Ein derartiges Computersystem kann während einer Suche nach Updates
automatisch nach Konfigurationsdateien suchen und diese ausführen. Wird der vorbestimmten Datei hierbei vertraut, so können sicherheitsrelevante Eingriffe in das Computersystem durchgeführt werden. Eine Sicherheit des Servers kann durch eine Überprüfung einer Signatur des Servers und über eine Https-Verbindung mit einem Nutzerzertifikat, das von dem gleichen Aussteller stammt, wie die Signatur des Servers. Ein physikalischer Zugriff auf den Server kann auch durch eine Beschränkung eines Zutritts zu dem Server, beispielsweise einem Sicherheitsbereich, und durch ein vier-Augen-Prinzip abgesichert sein, so dass keine Person alleine physikalisch an dem Server arbeiten kann.
Gemäß einem dritten Aspekt der Erfindung wird die Aufgabe durch eine Anordnung umfassend ein Computersystem und einen Server gelöst. Der Server ist hierbei in einer gesicherten Umgebung mit einem internen Netzwerk angeordnet. Der Server bietet wenigstens eine vorbestimmte Datei für das
Computersystem an. Hierbei ist das Computersystem dazu eingerichtet, nach wenigstens einer vorbestimmten Datei auf dem Server zu suchen und nach Finden der wenigstens einen vorbestimmten Datei, eine Signatur der wenigstens einen vorbestimmten Datei zu überprüfen. Des Weiteren ist das Computersystem dazu eingerichtet, nach erfolgreicher
Überprüfung der Signatur die wenigstens eine vorbestimmte Datei herunterzuladen, auszuführen und hierauf folgend eine sicherheitsrelevante Anwendung zu starten.
Der Server stellt die vorbestimmte Datei beispielsweise als Updatedatei zur Verfügung. Dadurch, dass sich der Server in einer gesicherten Umgebung befindet, ist davon auszugehen, dass ausschließlich vertrauenswürdige Personen Zugriff zu dem Server haben. Somit ist eine Überprüfung der Signatur der vorbestimmten Datei ausreichend, um eine Sicherheit für das Computersystem weiter zu gewährleisten. Beispielsweise ist die sichere Umgebung ein Sicherheitsbereich in einer Firma. Ein Zutritt zu dem Sicherheitsbereich kann durch ein vier- Augen-Prinzip abgesichert sein.
Gemäß einer vorteilhaften Ausgestaltung sind der Server und das Computersystem mit einem internen Netzwerk eines
Wartungszentrums oder Servicezentrums verbunden.
Ist die gesicherte Umgebung ein Wartungszentrum oder ein Servicezentrum, so können sich das Computersystem und der Server mit dem internen Netzwerk des Wartungszentrums oder
Servicezentrums verbinden. Der Server ist hierbei nicht von außerhalb des Wartungszentrums oder Servicezentrums zugängig. Somit ist eine hohe Sicherheit der Anordnung gewährleistet. Gemäß einer vorteilhaften Ausgestaltung ist die
sicherheitsrelevante Anwendung dazu eingerichtet einen
Flashspeicher des Computersystems zu programmieren.
Gemäß einer weiteren vorteilhaften Ausgestaltung ist die sicherheitsrelevante Anwendung zum Aufrufen eines
Wiederherstellungsmodus eingerichtet .
Ein Wiederherstellungsmodus eignet sich bevorzugt zur Wartung eines Computersystems. Hierbei können Defekte, insbesondere fehlerhafte Software, repariert werden.
Die Erfindung wird im Folgenden anhand von
Ausführungsbeispielen und Figuren näher erläutert. In den Figuren zeigen:
Figur 1 eine schematische Darstellung einer Anordnung gemäß einer Ausgestaltung der Erfindung; und
Figur 2 ein Ablaufdiagramm eines Verfahrens gemäß einer
Ausgestaltung der Erfindung.
Figur 1 zeigt eine gesicherte Umgebung 10. Bei der
gesicherten Umgebung 10 handelt es sich um ein
Wartungszentrum zum Warten von Computersystemen 12, 12'. In anderen Ausgestaltungen kann es sich bei der gesicherten Umgebung 10 ebenso um andere gesicherte Umgebungen, wie beispielsweise räumlich begrenzte Gelände handeln,
beispielsweise um eine Fertigungsanlage oder Servicezentrum.
Beispielsweise ist die sichere Umgebung 10 ein
Sicherheitsbereich in einer Firma. Ein Zutritt zu dem
Sicherheitsbereich ist durch ein vier-Augen-Prinzip
abgesichert, so dass keine Person alleine physikalisch an dem Server arbeiten kann.
In der gesicherten Umgebung 10 ist ein Server 11 angeordnet. Der Server 11 steht beispielsweise in einem besonders
gesicherten Serverraum in dem Wartungszentrum, zu dem
lediglich ein ausgewählter Personenkreis Zutritt hat. Der Zugriff auf den Server 11 ist beschränkt, beispielsweise durch eine Zugriffsfreigabe für lediglich den ausgewählten Personenkreis. Der Server 11 dient dazu, Servicepakete und Wartungssoftware für eine Wartung der Computersysteme 12, 12' bereitzustellen. Im Ausführungsbeispiel ist ein
Computersystem 12 ' ' von der gesicherten Umgebung
ausgeschlossen. Mitarbeiter des Wartungszentrums oder der gesicherten Umgebung können so indirekt in Computersysteme 12, 12' eingreifen. Der Standort des Servers 11 ist durch die gesicherte Umgebung 10 gesichert. Zusätzlich ist für einen Zugriff auf den Server 11 eine kryptografische Sicherung vorgesehen. Beispielsweise muss ein Mitarbeiter ein Passwort eingeben, um einen Serverschrank zu öffnen und an dem Server 11 arbeiten zu können.
Die Computersysteme 12, 12', 12'' sind im Ausführungsbeispiel eingebettete Computersysteme in Form von Bezahlterminals zum Durchführen finanzieller Transaktionen eines Benutzers, beispielsweise an Supermarktkassen oder in Kaufhäusern. Ein Benutzer benutzt das Computersystem 12, 12', 12'' hierbei beispielsweise zum Authentifizieren personenbezogener Daten. In anderen Ausgestaltungen handelt es sich bei den
Computersystemen 12, 12', 12'' um Computersysteme zur
Überprüfung von Zutrittskontrollen, um Bankautomaten,
Bordcomputer von Fahrzeugen oder im Allgemeinen um
Computersysteme, die sicherheitsrelevante Daten speichern und/oder verarbeiten.
Die Computersysteme 12, 12', 12'' können eine
Datennetzwerkverbindung aufbauen. Hierzu verfügten sie über eine Datennetzwerkschnittstelle 13. Das Computersystem 12 weist als Datennetzwerkschnittstelle 13 ein WLAN-Modul auf. Das Computersystem 12' weist als Datennetzwerkschnittstelle 13 einen LAN-Anschluss auf. In der schematischen Darstellung gemäß Figur 1 sind die Computersysteme 12 und 12 ' in die gesicherte Umgebung 10 eingebracht und haben Zugriff auf ein internes Netzwerk der gescherten Umgebung 10. Das
Computersystem 12'' ist nicht in die gesicherte Umgebung 10 eingebracht (gestrichelte Darstellung) . Das Computersystem 12 ' ' hat keinen Zugriff auf das interne Netzwerk und den Server 11. Die Computersysteme 12 und 12' sind mit dem Server 11 über das interne Netzwerk der gesicherten Umgebung 10 verbunden. Das Computersystem 12 ist drahtlos über ein WLAN mit dem Server 11 verbunden, das Computersystem 12' ist über eine Kabelverbindung, insbesondere eine LAN-Verbindung, mit dem Server 11 direkt verbunden. In nicht dargestellten
Ausführungen sind die Computersysteme 12 und 12' indirekt, beispielsweise über einen Router mit dem Server 11 verbunden.
Das interne Netzwerk der gesicherten Umgebung 10 ist räumlich auf die gesicherte Umgebung 10 begrenzt. Im Falle einer WLAN- Verbindung ist die WLAN-Intensität so gewählt, dass auf das WLAN außerhalb der gesicherten Umgebung 10 nicht zugegriffen werden kann.
Figur 2 zeigt ein Ablaufdiagramm 20. In Schritt 21 wird eine Datennetzwerkverbindung hergestellt. Die Computersysteme 12 und 12' melden sich jeweils in dem internen Netzwerk der gesicherten Umgebung 10 an und bauen so die
Datennetzwerkverbindung über die Datennetzwerkschnittstelle
13 auf. In einem alternativen Ausführungsbeispiel bauen die Computersysteme 12 und/oder 12' ein Datennetzwerk auf, in dem sich andere Computersysteme, wie der Server 11 anmelden können, um die Datennetzwerkverbindung herzustellen.
Wurde die Datennetzwerkverbindung hergestellt, so sucht das Computersystem 12, bzw. 12' in Schritt 22 nach durch den Server 11 bereitgestellten Dateien. Im Ausführungsbeispiel sucht das Computersystem 12, bzw. 12' nach Updatedateien, um das Computersystem 12, bzw. 12' auf einem aktuellen Stand zu halten. Insbesondere sucht das Computersystem 12, bzw. 12' nach einer Datei oder einem Dateipaket mit einem
vorbestimmten Namen der wenigstens einen vorbestimmten Datei
14 auf allen Servern, die mit dem Computersystem 12, bzw. 12' verbunden sind. Wird eine Datei oder ein Dateipaket mit dem vorbestimmten Namen gefunden, beispielsweise ein
"set_to_manufacturing_mode"-Paket , so wird in Schritt 23 eine Signatur 15 der gefundenen wenigstens einen vorbestimmten Datei 14 überprüft.
In Schritt 23 wird die Signatur 15 der wenigstens einen vorbestimmten Datei 14 überprüft. Im Ausführungsbeispiel wird eine Prüfsumme (Hash-Wert) der Signatur 15 von dem
Computersystem 12, bzw. 12' überprüft. Somit wird
sichergestellt, dass die wenigstens eine vorbestimmte Datei 14 aus einer legitimierten Quelle stammt. Ist die Überprüfung
der Signatur 15 erfolgreich, so wird die wenigstens eine vorbestimmte Datei 14 in Schritt 24 heruntergeladen.
In Schritt 25 wird die heruntergeladene wenigstens eine vorbestimmte Datei 14 ausgeführt. Beispielsweise wird beim Ausführen der wenigstens einen vorbestimmten Datei 14 ein Programm gestartet, das auf eine Systemdatei des
Computersystems 12, bzw. 12' eingreifen kann. Die Systemdatei wird hierbei umbenannt. Im Ausführungsbeispiel wird eine Bootdatei, die zum Starten des Computersystems notwendig ist, verändert. Dies stellt einen sicherheitskritischen Eingriff dar. Durch die vorherige Authentifizierung der wenigstens einen vorbestimmten Datei 14 in dem Netzwerk in der
gesicherten Umgebung 10 ist sichergestellt, dass es sich nicht um Schadsoftware handelt.
In Schritt 26 wird nun eine sicherheitsrelevante Anwendung auf dem Computersystem 12, 12' ausgeführt. Im
Ausführungsbeispiel handelt es sich bei der
sicherheitsrelevanten Anwendung um einen kompletten
Systemflash. In einer alternativen Ausgestaltung können auf weitere, einzelne Firmware- oder Softwaredateien des
Computersystems 12 bzw. 12' zugegriffen und diese verändert werden. Somit kann eine Wartung des Computersystems 12, bzw. 12' sicher und schnell durchgeführt werden. Das
Computersystem 12 bzw. 12' kann beispielsweise auf
Werkseinstellungen zurückgesetzt werden.
Ergab die Überprüfung der Signatur 15 in Schritt 23, dass die Signatur 15 nicht vertrauenswürdig ist, so wird die
vorbestimmte Datei 14 nicht heruntergeladen. In einer
weiteren Ausgestaltung kann zusätzlich die
Datennetzwerkverbindung zu dem Datennetzwerk getrennt werden.
In einem weiteren Ausführungsbeispiel wird bei der Herstellung der Datennetzwerkverbindung in Schritt 21 zusätzlich eine Überprüfung des Datennetzwerks und/oder des Servers 11 in dem Datennetzwerk durchgeführt. Hierbei wird eine MAC-Adresse des Servers 11 überprüft. In weiteren
Ausführungsbeispielen werden weitere oder alternative
Überprüfungen durchgeführt, wie beispielsweise die
Überprüfung eines Serverzertifikats oder eines
Netzwerknamens.
Tritt bei dieser Überprüfung eine Unregelmäßigkeit oder ein Hinweis auf eine Manipulation auf, so wird die
Datennetzwerkverbindung nicht aufgebaut bzw. unterbrochen. Das Computersystem 12 bzw. 12' ist somit vor Zugriffen geschützt .
In einem weiteren Ausführungsbeispiel wird in Schritt 25 die wenigstens eine vorbestimmte Datei 14 auf dem Computersystem 12 bzw. 12' installiert. Während des Installierens wird die wenigstens eine vorbestimmte Datei 14 verändert, insbesondere umbenannt .
In einem weiteren Ausführungsbeispiel sind die
Computersysteme 12, 12', 12'' zusätzlich wartungsfreie
Computersysteme. In solchen Computersystemen sind Defekte üblicherweise nicht reparierbar. Durch das oben beschriebene Verfahren, können derartige Computersysteme 12, 12', 12'' wiederhergestellt werden. Sind die Computersysteme gemäß dem in Figur 1 gezeigten Ausführungsbeispiel wartungsfrei, so können die Computersysteme 12 und 12 ' in der gesicherten Umgebung 10 wiederhergestellt werden.
Bezugs zeichenliste
10 gesicherte Umgebung
11 Server
12, 12', 12' ComputerSystem
13 Datennetzwerkschnittstelle 14 vorbestimmte Datei
15 Signatur
20 Flussdiagramm
21-27 Verfahrensschritte
Claims
Patentansprüche
Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem (12, 12') in einer gesicherten Umgebung (10), umfassend die Schritte:
- Herstellen einer Datennetzwerkverbindung über ein
internes Netzwerk der gesicherten Umgebung (10) zwischen dem Computersystems (12, 12') und einem Server (11), der in der gesicherten Umgebung (10) angeordnet ist;
- Suchen nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) durch das Computersystem (12,
12 ' ) , nachdem die Datennetzwerkverbindung hergestellt wurde ;
- Überprüfen einer Signatur (15) der wenigstens einen vorbestimmten Datei (14), wenn die wenigstens eine vorbestimmte Datei (14) gefunden wurde;
- Herunterladen der wenigstens einen vorbestimmten Datei (14), wenn die Überprüfung der Signatur (15)
erfolgreich war;
- Ausführen der wenigstens einen vorbestimmte Datei
(14) nach dem Herunterladen, wobei durch das Ausführen der wenigstens einen vorbestimmten Datei (14) eine Systemdatei geändert wird; und
- Starten der sicherheitsrelevanten Anwendung, nachdem die wenigstens eine vorbestimmte Datei (14)
erfolgreich ausgeführt wurde.
2. Verfahren nach Anspruch 1, wobei das Ausführen der
wenigstens einen vorbestimmten Datei (14) ein Umbenennen der Systemdatei umfasst.
Verfahren nach einem der Ansprüche 1 oder 2, wobei die wenigstens eine vorbestimmte Datei (14) Teil eines
Dateipakets ist und das Dateipaket gesucht, überprüft, heruntergeladen und ausgeführt wird.
Verfahren nach einem der Ansprüche 1 bis 3, wobei beim Ausführen der sicherheitsrelevanten Anwendung ein
Flashspeicher des Computersystems (12, 12') programmiert wird .
Verfahren nach einem der Ansprüche 1 bis 4, wobei beim Ausführen der sicherheitsrelevanten Anwendung ein
Wiederherstellungsmodus aufgerufen wird.
Computersystem (12, 12', 12'') mit einer
Datennetzwerkschnittstelle (13), wobei das
Computersystem (12, 12', 12'') dazu eingerichtet ist, in einer gesicherten Umgebung (10) eine
Datennetzwerkverbindung über ein internes Netzwerk über die Datennetzwerkschnittstelle (13) zu einem Server (11) aufzubauen, der in der gesicherten Umgebung (10)
angeordnet ist und nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) zu suchen, nachdem die Datennetzwerkverbindung aufgebaut wurde, und eine
Signatur (15) der wenigstens einen vorbestimmten Datei (14) zu überprüfen, wenn die wenigstens eine
vorbestimmte Datei (14) auf dem Server (11) gefunden wurde, und die wenigstens eine vorbestimmte Datei (14) herunterzuladen, auszuführen und hierauf folgend eine sicherheitsrelevante Anwendung zu starten, wobei beim Ausführen der wenigstens einen vorbestimmten Datei (14) eine Systemdatei geändert wird.
7. Anordnung umfassend ein Computersystem (12, 12') und einen Server (11), wobei der Server (11) in einer gesicherten Umgebung (10) mit einem internen Netzwerk angeordnet ist und wenigstens eine vorbestimmte Datei (14) für das Computersystem (12, 12') anbietet, wobei das Computersystem (12, 12') dazu eingerichtet ist, nach der wenigstens einen vorbestimmten Datei (14) auf dem Server (11) zu suchen und nach Finden der wenigstens einen vorbestimmten Datei (14), eine Signatur (15) der wenigstens einen vorbestimmten Datei (14) zu überprüfen und nach erfolgreicher Überprüfung der Signatur (15) die wenigstens eine vorbestimmte Datei (14) herunterzuladen, auszuführen und hierauf folgend eine
sicherheitsrelevante Anwendung zu starten.
8. Anordnung nach Anspruch 7, wobei der Server (11) und das Computersystem (12, 12') mit einem internen Netzwerk eines Wartungszentrums oder Servicezentrums verbunden sind .
9. Anordnung nach einem der Ansprüche 7 oder 8, wobei die sicherheitsrelevante Anwendung dazu eingerichtet ist, einen Flashspeicher des Computersystems (12, 12') zu programmieren .
10. Anordnung nach einem der Ansprüche 7 bis 9, wobei die sicherheitsrelevante Anwendung zum Aufrufen eines
Wiederherstellungsmodus eingerichtet ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/577,100 US20180181746A1 (en) | 2015-05-27 | 2016-05-25 | Method of executing a security-relevant application, computer system, and arrangement |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015108336.1A DE102015108336A1 (de) | 2015-05-27 | 2015-05-27 | Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung, Computersystem und Anordnung |
DE102015108336.1 | 2015-05-27 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016189048A1 true WO2016189048A1 (de) | 2016-12-01 |
Family
ID=56087259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2016/061830 WO2016189048A1 (de) | 2015-05-27 | 2016-05-25 | Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung |
Country Status (3)
Country | Link |
---|---|
US (1) | US20180181746A1 (de) |
DE (1) | DE102015108336A1 (de) |
WO (1) | WO2016189048A1 (de) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130185548A1 (en) * | 2012-01-12 | 2013-07-18 | Gueorgui Djabarov | Multiple System Images for Over-The-Air Updates |
US20130326494A1 (en) * | 2012-06-01 | 2013-12-05 | Yonesy F. NUNEZ | System and method for distributed patch management |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4099039B2 (ja) * | 2002-11-15 | 2008-06-11 | 松下電器産業株式会社 | プログラム更新方法 |
US7698698B2 (en) * | 2004-09-30 | 2010-04-13 | Smith Micro Software, Inc. | Method for over-the-air firmware update of NAND flash memory based mobile devices |
US8359645B2 (en) * | 2005-03-25 | 2013-01-22 | Microsoft Corporation | Dynamic protection of unpatched machines |
DE102005030590B4 (de) * | 2005-06-30 | 2011-03-24 | Advanced Micro Devices, Inc., Sunnyvale | Sicheres Patchsystem |
JP2011145947A (ja) * | 2010-01-15 | 2011-07-28 | Kyocera Mita Corp | ファームウェア更新制御プログラム、電子機器、及び可搬型記憶媒体 |
US8924952B1 (en) * | 2012-06-27 | 2014-12-30 | Amazon Technologies, Inc. | Updating software utilizing multiple partitions |
-
2015
- 2015-05-27 DE DE102015108336.1A patent/DE102015108336A1/de not_active Withdrawn
-
2016
- 2016-05-25 US US15/577,100 patent/US20180181746A1/en not_active Abandoned
- 2016-05-25 WO PCT/EP2016/061830 patent/WO2016189048A1/de active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130185548A1 (en) * | 2012-01-12 | 2013-07-18 | Gueorgui Djabarov | Multiple System Images for Over-The-Air Updates |
US20130326494A1 (en) * | 2012-06-01 | 2013-12-05 | Yonesy F. NUNEZ | System and method for distributed patch management |
Non-Patent Citations (2)
Title |
---|
MENEZES A ET AL: "Handbook of Applied Cryptography, Chapter 11: Digital Signatures; Signatures with additional functionality ED - Menezes A J; Van Oorschot P C; Vanstone S A", 1 January 1997, HANDBOOK OF APPLIED CRYPTOGRAPHY; [CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS], CRC PRESS, BOCA RATON, FL, US, PAGE(S) 476 - 488, ISBN: 978-0-8493-8523-0, XP001091097 * |
MENEZES A ET AL: "Handbook of applied cryptography, chapter 9, HASH FUNCTIONS AND DATA INTEGRITY", 1 January 1997, HANDBOOK OF APPLIED CRYPTOGRAPHY; [CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS], CRC PRESS, BOCA RATON, FL, US, PAGE(S) 321 - 383, ISBN: 978-0-8493-8523-0, XP002414177 * |
Also Published As
Publication number | Publication date |
---|---|
DE102015108336A1 (de) | 2016-12-01 |
US20180181746A1 (en) | 2018-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102016215915A1 (de) | Sicheres Konfigurieren eines Gerätes | |
EP2898714A1 (de) | Teilnehmeridentitätsmodul zum authentisieren eines teilnehmers an einem kommunikationsnetzwerk | |
DE102013108022A1 (de) | Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts | |
DE102016009232A1 (de) | Integriertes Teilnehmeridentitätsmodul mit Core-OS und Anwendungs-OS | |
DE602004009639T2 (de) | Verfahren oder Vorrichtung zur Authentifizierung digitaler Daten mittels eines Authentifizierungs-Plugins | |
DE102008046639A1 (de) | Serversystem und Verfahren zur Bereitstellung mindestens einer Leistung | |
DE60305315T2 (de) | Originalitätsgesichertes herausnehmbares medium mit ausführbarem kode | |
EP2885907B1 (de) | Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät | |
EP3695337B1 (de) | Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems | |
DE102018217431A1 (de) | Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät | |
DE102015225270A1 (de) | Verfahren und Sicherheitsmodul zum Bereitstellen einer Sicherheitsfunktion für ein Gerät | |
EP3767513B1 (de) | Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem | |
WO2016189048A1 (de) | Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung | |
WO2016096118A1 (de) | Verfahren zum betreiben einer computereinheit sowie eine solche computereinheit | |
DE102019130067B4 (de) | Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät | |
DE102018217432A1 (de) | Prüfung der Integrität von eingebetteten Geräten | |
DE102015208176A1 (de) | Gerät und Verfahren zur Autorisierung eines privaten kryptographischen Schlüssels in einem Gerät | |
DE102015207004A1 (de) | Verfahren zum geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems | |
DE102019210625A1 (de) | Steuergerät und Verfahren zum Betreiben desselben | |
EP3673614B1 (de) | Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats | |
EP4141722A1 (de) | Sicheres betreiben einer industriellen steuerungsvorrichtung zusammen mit einem ai-modul | |
DE102014209037A1 (de) | Vorrichtung und Verfahren zum Schutz der Integrität von Betriebssysteminstanzen | |
DE102015015212B4 (de) | Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul | |
DE102021125750A1 (de) | Recheneinheit für ein Fahrzeug und Verfahren und Computerprogramm für eine Recheneinheit für ein Fahrzeug | |
DE102021113961A1 (de) | Verfahren zur Kommunikation eines Heizgerätes mit einem Netzwerk |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16725837 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15577100 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 16725837 Country of ref document: EP Kind code of ref document: A1 |