WO2016189048A1 - Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung - Google Patents

Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung Download PDF

Info

Publication number
WO2016189048A1
WO2016189048A1 PCT/EP2016/061830 EP2016061830W WO2016189048A1 WO 2016189048 A1 WO2016189048 A1 WO 2016189048A1 EP 2016061830 W EP2016061830 W EP 2016061830W WO 2016189048 A1 WO2016189048 A1 WO 2016189048A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer system
predetermined file
server
file
security
Prior art date
Application number
PCT/EP2016/061830
Other languages
English (en)
French (fr)
Inventor
Diana Filimon
Jürgen Atzkern
Thilo Cestonaro
Original Assignee
Fujitsu Technology Solutions Intellectual Property Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property Gmbh filed Critical Fujitsu Technology Solutions Intellectual Property Gmbh
Priority to US15/577,100 priority Critical patent/US20180181746A1/en
Publication of WO2016189048A1 publication Critical patent/WO2016189048A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • G06F16/148File search processing
    • G06F16/152File search processing using file content signatures, e.g. hash values
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • G06F16/164File meta data generation
    • G06F16/166File name conversion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Definitions

  • the invention relates to a method for executing a security-relevant application on a computer system, to a computer system having a data network interface, and to an arrangement comprising a computer system and a server.
  • the object of the invention is a method for carrying out a safety-relevant application on a
  • the object is achieved by a method for executing a security-relevant application on a computer system in a secure
  • a data network connection is established via an internal network of the secure environment between the computer system and a server located in the secure environment.
  • at least one predetermined file on the server is searched for by the computer system. If the at least one predetermined file was found, a signature of the at least one predetermined file is checked.
  • Verification of the signature successful so will the at least downloaded and executed a predetermined file, wherein by executing the at least one predetermined file, a system file is changed. Following this, the security-relevant application is started.
  • the computer system establishes a data network connection to a server. For example, the computer system establishes the data network connection with an update server to look for automatic updates. In this case, the search is for at least one predetermined file.
  • Signature of the predefined file is used to verify the security of the file. If the file is authenticated, it will be downloaded and executed.
  • the file is authenticated, it will be downloaded and executed.
  • Change can be a security-related application, especially a flash of memory, or a
  • Execution here comprises installing the at least one predetermined file and subsequently calling the installed file by the file itself or a program.
  • the execution of the at least one predetermined file includes a renaming of the system file.
  • a particular system file may be renamed or modified to perform maintenance on the computer system.
  • a boot file especially a
  • bootup file renamed so that one
  • the at least one predetermined file is part of a file package and the file package is searched, checked, downloaded and executed.
  • the file package can have various predefined files
  • Maintenance algorithms can be performed on the computer system.
  • the object is achieved by a computer system having a data network interface.
  • the computer system here is arranged to establish in a secure environment a data network connection via an internal network to a server located in the secure environment and to search for at least one predetermined file on the server after the data network connection has been established.
  • the computer system is further configured to verify a signature of the at least one predetermined file when the at least one predetermined file is on the server
  • the computer system is adapted to the at least one predetermined file
  • the server can be an update server here.
  • Such a computer system can during a search for updates
  • the object is achieved by an arrangement comprising a computer system and a server.
  • the server is located in a secure environment with an internal network.
  • the server provides at least a predetermined file for the
  • the computer system is set up to search for at least one predetermined file on the server and, after finding the at least one predetermined file, to verify a signature of the at least one predetermined file. Furthermore, the computer system is set up to be more successful
  • the server provides the predetermined file as an update file, for example. Because the server is in a secure environment, it can be assumed that only trusted people have access to the server. Thus, verification of the signature of the predetermined file is sufficient to further ensure security for the computer system.
  • the secure environment is a security area in a company. Access to the security area can be secured by a four-eye principle.
  • the secured environment is a maintenance center or a service center
  • the computer system and the server can connect to the internal network of the maintenance center or Connect service center.
  • the server is not accessible from outside the maintenance center or service center.
  • a high level of security of the arrangement is ensured.
  • a recovery mode is preferably useful for maintaining a computer system. In this case, defects, in particular faulty software, can be repaired.
  • Figure 1 is a schematic representation of an arrangement according to an embodiment of the invention.
  • FIG. 2 shows a flow diagram of a method according to a
  • Figure 1 shows a secure environment 10.
  • the secure environment 10 may also be other secure environments, such as, for example, geographically limited terrain.
  • the secure environment 10 is on
  • a server 11 is arranged.
  • the server 11 is for example in a special case
  • the access to the server 11 is limited, for example, by an access release for only the selected group of people.
  • the server 11 serves to provide service packages and maintenance software for maintenance of the computer systems 12, 12 '.
  • In the embodiment is a
  • the location of the server 11 is secured by the secure environment 10.
  • a cryptographic backup is provided for access to the server 11. For example, an employee must enter a password to open a server cabinet and work on the server 11.
  • the computer systems 12, 12 ', 12 " are embedded computer systems in the exemplary embodiment in the form of payment terminals for carrying out financial transactions of a user, for example at supermarket cash desks or in department stores.
  • a user uses the computer system 12, 12 ', 12 "to authenticate personal data.
  • the computer system 12, 12 ', 12 "to authenticate personal data In other embodiments, the
  • the computer system 12 has as data network interface 13 a WLAN module.
  • the computer system 12 ' has a LAN connection as the data network interface 13.
  • the computer systems 12 and 12 ' are introduced into the secure environment 10 and have access to an internal network of the sheared environment 10
  • Computer system 12 is not inserted in secure environment 10 (dashed line).
  • the computer system 12 has no access to the internal network and the server 11.
  • the computer systems 12 and 12 ' are connected to the server 11 via the secure secured environment 10's internal network.
  • the computer system 12 is wirelessly connected to the server 11 via a WLAN, the computer system 12 'is directly connected to the server 11 via a cable connection, in particular a LAN connection. In not shown
  • the internal network of the secure environment 10 is spatially limited to the secure environment 10.
  • the WLAN intensity is selected so that the WLAN outside the secure environment 10 can not be accessed.
  • Figure 2 shows a flow chart 20.
  • step 21 a data network connection is made.
  • the computer systems 12 and 12 each register in the internal network of the secure environment 10 and thus build the
  • the computer systems 12 and / or 12 ' build a data network in which other computer systems, such as the server 11, can log in to establish the data network connection.
  • step 23 the signature 15 of the at least one predetermined file 14 is checked.
  • the at least one predetermined file 14 is from a legitimate source. Is the review signature 15 is successful, the at least one predetermined file 14 is downloaded in step 24.
  • step 25 the downloaded at least one predetermined file 14 is executed.
  • a program is started which is based on a system file of the
  • the system file is renamed here.
  • a boot file necessary for starting the computer system is changed. This constitutes a safety-critical intervention.
  • step 26 a security-relevant application is now executed on the computer system 12, 12 '. in the
  • Computer system 12 and 12 ' accessed and changed. Thus, maintenance of the computer system 12, or 12 'can be performed safely and quickly.
  • Computer system 12 or 12 ' for example, on
  • step 23 If the verification of the signature 15 in step 23 showed that the signature 15 is untrustworthy, then the
  • Data network connection to the data network to be disconnected.
  • an additional check of the data network and / or of the server 11 in the data network is performed. In this case, a MAC address of the server 11 is checked.
  • the at least one predetermined file 14 is installed on the computer system 12 or 12 '. During installation, the at least one predetermined file 14 is changed, in particular renamed.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Library & Information Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem (12, 2'). Hierbei wirdeine Datennetzwerkverbindung zwischen dem Computersystem (12, 12') und einem Server (11) hergestellt. Nachdem die Datennetzwerkverbindung hergestellt wurde, wird auf dem Server (11) durch das Computersystem (12, 12') nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) gesucht. Wurde die wenigstens eine vorbestimmte Datei (14) gefunden, so wird eine Signatur (15) der wenigstens einen vorbestimmten Datei (14) überprüft. Die wenigstenseine vorbestimmte Datei (14) wird heruntergeladen, wenn die Überprüfung der Signatur (15) erfolgreich war. Die heruntergeladene wenigstens eine vorbestimmte Datei (14) wird ausgeführt. Hierbei wird eine Systemdatei geändert. Wurde die wenigstens eine vorbestimmte Datei (14) ausgeführt, so wird im Anschluss die sicherheitsrelevante Anwendunggestartet. Die Erfindung betrifft des Weiteren ein Computersystem (12, 2', 12'') mit einer Datennetzwerkschnittstelle (13) und eine Anordnung umfassend ein Computersystem (12, 12') und einen Server (11).

Description

Beschreibung
Verfahren zum Ausführen einer sicherheitsrelevanten
Anwendung, Computersystem und Anordnung
Die Erfindung betrifft ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem, ein Computersystem mit einer Datennetzwerkschnittstelle sowie eine Anordnung umfassend ein Computersystem und einen Server.
Computersysteme, wie beispielsweise Bezahlterminals zum
Ausführen von finanziellen Transaktionen, bei denen sich ein Benutzer authentifizieren muss, schränken in der Regel einen Zugriff auf Systemdateien stark ein.
Aufgabe der Erfindung ist es, ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem
Computersystem aufzuzeigen. Auch ist es Aufgabe der
Erfindung, Vorrichtungen zum Durchführen des Verfahrens zu beschreiben .
Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem in einer gesicherten
Umgebung gelöst. Hierbei wird eine Datennetzwerkverbindung über ein internes Netzwerk der gesicherten Umgebung zwischen dem Computersystem und einem Server hergestellt, der in der gesicherten Umgebung angeordnet ist. Im Anschluss hieran wird nach wenigstens einer vorbestimmten Datei auf dem Server durch das Computersystem gesucht. Wurde die wenigstens eine vorbestimmte Datei gefunden, so wird eine Signatur der wenigstens einer vorbestimmten Datei überprüft. War die
Überprüfung der Signatur erfolgreich, so wird die wenigstens eine vorbestimmte Datei heruntergeladen und ausgeführt, wobei durch das Ausführen der wenigstens einen vorbestimmten Datei eine Systemdatei geändert wird. Im Anschluss hieran wird die sicherheitsrelevante Anwendung gestartet.
Solche Geräte müssen bei Auftreten von Defekten gewartet werden können. Ein Wartungsdienst oder Servicedienst muss sich somit auch Zugang zu sicherheitsrelevanten Bereichen des geschützten Peripheriegeräts verschaffen können. Dies muss in einem sicheren Umfeld, nicht unerlaubt oder aus Versehen erfolgen. Auf den Server ist durch eine Überprüfung eines Nutzerzertifikats kein unautorisierter Zugriff möglich. Das Computersystem stellt eine Datennetzwerkverbindung mit einem Server her. Beispielsweise stellt das Computersystem die Datennetzwerkverbindung mit einem Updateserver her, um nach automatischen Updates zu suchen. Hierbei wird nach wenigstens einer vorbestimmten Datei gesucht. Die Überprüfung der
Signatur der vorbestimmten Datei dient der Verifikation der Sicherheit der Datei. Ist die Datei authentifiziert, so wird sie heruntergeladen und ausgeführt. Hierbei wird eine
Systemdatei des Computersystems verändert. Durch die
Veränderung kann eine sicherheitsrelevante Anwendung, insbesondere ein Flashen des Speichers, bzw. ein
vollständiges Flashen des Computersystems (englisch: complete System reflash) ausgeführt werden. Das Ausführen umfasst hierbei ein Installieren der wenigstens einen vorbestimmten Datei und ein hierauf folgendes Aufrufen der installierten Datei durch die Datei selber oder ein Programm. In einer vorteilhaften Ausgestaltung umfasst das Ausführen der wenigstens einen vorbestimmten Datei ein Umbenennen der Systemdatei . Eine bestimmte Systemdatei kann umbenannt oder verändert werden, um die Wartung an dem Computersystem durchzuführen. Beispielsweise wird eine Bootdatei, insbesondere ein
sogenanntes bootup-file, neu benannt, sodass ein
Systemflashen möglich wird.
Gemäß einer weiteren vorteilhaften Ausgestaltung ist die wenigstens eine vorbestimmte Datei Teil eines Dateipakets und das Dateipaket wird gesucht, überprüft, heruntergeladen und ausgeführt.
Das Dateipaket kann verschiedene vorbestimmte Dateien
umfassen, durch die verschiedene Funktionen und
Wartungsalgorithmen auf dem Computersystem durchgeführt werden können.
Gemäß einer weiteren vorteilhaften Ausgestaltung wird beim Ausführen der sicherheitsrelevanten Anwendung ein
Flashspeicher des Computersystems programmiert.
Durch das Programmieren beziehungsweise Umprogrammieren des Flashspeichers können Systemeinstellungen des Computersystems verändert werden. Gemäß einer weiteren vorteilhaften Ausgestaltung wird beim Ausführen der sicherheitsrelevanten Anwendung ein
Wiederherstellungsmodus aufgerufen .
Durch das Aufrufen des Wiederherstellungsmodus kann das
Computersystem beispielsweise in einen ursprünglichen
Werkszustand zurückversetzt werden. Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein Computersystem mit einer Datennetzwerkschnittstelle gelöst. Das Computersystem ist hierbei dazu eingerichtet, in einer gesicherten Umgebung eine Datennetzwerkverbindung über ein internes Netzwerk zu einem Server aufzubauen, der in der gesicherten Umgebung angeordnet ist, und nach wenigstens einer vorbestimmten Datei auf dem Server zu suchen, nachdem die Datennetzwerkverbindung aufgebaut wurde. Das
Computersystem ist weiter dazu eingerichtet, eine Signatur der wenigstens einen vorbestimmten Datei zu überprüfen, wenn die wenigstens eine vorbestimmte Datei auf dem Server
gefunden wurde. Des Weiteren ist das Computersystem dazu eingerichtet, die wenigstens eine vorbestimmte Datei
herunterzuladen, auszuführen und hierauf folgend eine
sicherheitsrelevante Anwendung zu starten. Beim Ausführen der wenigstens einen vorbestimmten Datei wird eine Systemdatei geändert .
Der Server kann hierbei ein Updateserver sein. Ein derartiges Computersystem kann während einer Suche nach Updates
automatisch nach Konfigurationsdateien suchen und diese ausführen. Wird der vorbestimmten Datei hierbei vertraut, so können sicherheitsrelevante Eingriffe in das Computersystem durchgeführt werden. Eine Sicherheit des Servers kann durch eine Überprüfung einer Signatur des Servers und über eine Https-Verbindung mit einem Nutzerzertifikat, das von dem gleichen Aussteller stammt, wie die Signatur des Servers. Ein physikalischer Zugriff auf den Server kann auch durch eine Beschränkung eines Zutritts zu dem Server, beispielsweise einem Sicherheitsbereich, und durch ein vier-Augen-Prinzip abgesichert sein, so dass keine Person alleine physikalisch an dem Server arbeiten kann. Gemäß einem dritten Aspekt der Erfindung wird die Aufgabe durch eine Anordnung umfassend ein Computersystem und einen Server gelöst. Der Server ist hierbei in einer gesicherten Umgebung mit einem internen Netzwerk angeordnet. Der Server bietet wenigstens eine vorbestimmte Datei für das
Computersystem an. Hierbei ist das Computersystem dazu eingerichtet, nach wenigstens einer vorbestimmten Datei auf dem Server zu suchen und nach Finden der wenigstens einen vorbestimmten Datei, eine Signatur der wenigstens einen vorbestimmten Datei zu überprüfen. Des Weiteren ist das Computersystem dazu eingerichtet, nach erfolgreicher
Überprüfung der Signatur die wenigstens eine vorbestimmte Datei herunterzuladen, auszuführen und hierauf folgend eine sicherheitsrelevante Anwendung zu starten.
Der Server stellt die vorbestimmte Datei beispielsweise als Updatedatei zur Verfügung. Dadurch, dass sich der Server in einer gesicherten Umgebung befindet, ist davon auszugehen, dass ausschließlich vertrauenswürdige Personen Zugriff zu dem Server haben. Somit ist eine Überprüfung der Signatur der vorbestimmten Datei ausreichend, um eine Sicherheit für das Computersystem weiter zu gewährleisten. Beispielsweise ist die sichere Umgebung ein Sicherheitsbereich in einer Firma. Ein Zutritt zu dem Sicherheitsbereich kann durch ein vier- Augen-Prinzip abgesichert sein.
Gemäß einer vorteilhaften Ausgestaltung sind der Server und das Computersystem mit einem internen Netzwerk eines
Wartungszentrums oder Servicezentrums verbunden.
Ist die gesicherte Umgebung ein Wartungszentrum oder ein Servicezentrum, so können sich das Computersystem und der Server mit dem internen Netzwerk des Wartungszentrums oder Servicezentrums verbinden. Der Server ist hierbei nicht von außerhalb des Wartungszentrums oder Servicezentrums zugängig. Somit ist eine hohe Sicherheit der Anordnung gewährleistet. Gemäß einer vorteilhaften Ausgestaltung ist die
sicherheitsrelevante Anwendung dazu eingerichtet einen
Flashspeicher des Computersystems zu programmieren.
Gemäß einer weiteren vorteilhaften Ausgestaltung ist die sicherheitsrelevante Anwendung zum Aufrufen eines
Wiederherstellungsmodus eingerichtet .
Ein Wiederherstellungsmodus eignet sich bevorzugt zur Wartung eines Computersystems. Hierbei können Defekte, insbesondere fehlerhafte Software, repariert werden.
Die Erfindung wird im Folgenden anhand von
Ausführungsbeispielen und Figuren näher erläutert. In den Figuren zeigen:
Figur 1 eine schematische Darstellung einer Anordnung gemäß einer Ausgestaltung der Erfindung; und
Figur 2 ein Ablaufdiagramm eines Verfahrens gemäß einer
Ausgestaltung der Erfindung.
Figur 1 zeigt eine gesicherte Umgebung 10. Bei der
gesicherten Umgebung 10 handelt es sich um ein
Wartungszentrum zum Warten von Computersystemen 12, 12'. In anderen Ausgestaltungen kann es sich bei der gesicherten Umgebung 10 ebenso um andere gesicherte Umgebungen, wie beispielsweise räumlich begrenzte Gelände handeln,
beispielsweise um eine Fertigungsanlage oder Servicezentrum. Beispielsweise ist die sichere Umgebung 10 ein
Sicherheitsbereich in einer Firma. Ein Zutritt zu dem
Sicherheitsbereich ist durch ein vier-Augen-Prinzip
abgesichert, so dass keine Person alleine physikalisch an dem Server arbeiten kann.
In der gesicherten Umgebung 10 ist ein Server 11 angeordnet. Der Server 11 steht beispielsweise in einem besonders
gesicherten Serverraum in dem Wartungszentrum, zu dem
lediglich ein ausgewählter Personenkreis Zutritt hat. Der Zugriff auf den Server 11 ist beschränkt, beispielsweise durch eine Zugriffsfreigabe für lediglich den ausgewählten Personenkreis. Der Server 11 dient dazu, Servicepakete und Wartungssoftware für eine Wartung der Computersysteme 12, 12' bereitzustellen. Im Ausführungsbeispiel ist ein
Computersystem 12 ' ' von der gesicherten Umgebung
ausgeschlossen. Mitarbeiter des Wartungszentrums oder der gesicherten Umgebung können so indirekt in Computersysteme 12, 12' eingreifen. Der Standort des Servers 11 ist durch die gesicherte Umgebung 10 gesichert. Zusätzlich ist für einen Zugriff auf den Server 11 eine kryptografische Sicherung vorgesehen. Beispielsweise muss ein Mitarbeiter ein Passwort eingeben, um einen Serverschrank zu öffnen und an dem Server 11 arbeiten zu können.
Die Computersysteme 12, 12', 12'' sind im Ausführungsbeispiel eingebettete Computersysteme in Form von Bezahlterminals zum Durchführen finanzieller Transaktionen eines Benutzers, beispielsweise an Supermarktkassen oder in Kaufhäusern. Ein Benutzer benutzt das Computersystem 12, 12', 12'' hierbei beispielsweise zum Authentifizieren personenbezogener Daten. In anderen Ausgestaltungen handelt es sich bei den
Computersystemen 12, 12', 12'' um Computersysteme zur Überprüfung von Zutrittskontrollen, um Bankautomaten,
Bordcomputer von Fahrzeugen oder im Allgemeinen um
Computersysteme, die sicherheitsrelevante Daten speichern und/oder verarbeiten.
Die Computersysteme 12, 12', 12'' können eine
Datennetzwerkverbindung aufbauen. Hierzu verfügten sie über eine Datennetzwerkschnittstelle 13. Das Computersystem 12 weist als Datennetzwerkschnittstelle 13 ein WLAN-Modul auf. Das Computersystem 12' weist als Datennetzwerkschnittstelle 13 einen LAN-Anschluss auf. In der schematischen Darstellung gemäß Figur 1 sind die Computersysteme 12 und 12 ' in die gesicherte Umgebung 10 eingebracht und haben Zugriff auf ein internes Netzwerk der gescherten Umgebung 10. Das
Computersystem 12'' ist nicht in die gesicherte Umgebung 10 eingebracht (gestrichelte Darstellung) . Das Computersystem 12 ' ' hat keinen Zugriff auf das interne Netzwerk und den Server 11. Die Computersysteme 12 und 12' sind mit dem Server 11 über das interne Netzwerk der gesicherten Umgebung 10 verbunden. Das Computersystem 12 ist drahtlos über ein WLAN mit dem Server 11 verbunden, das Computersystem 12' ist über eine Kabelverbindung, insbesondere eine LAN-Verbindung, mit dem Server 11 direkt verbunden. In nicht dargestellten
Ausführungen sind die Computersysteme 12 und 12' indirekt, beispielsweise über einen Router mit dem Server 11 verbunden.
Das interne Netzwerk der gesicherten Umgebung 10 ist räumlich auf die gesicherte Umgebung 10 begrenzt. Im Falle einer WLAN- Verbindung ist die WLAN-Intensität so gewählt, dass auf das WLAN außerhalb der gesicherten Umgebung 10 nicht zugegriffen werden kann. Figur 2 zeigt ein Ablaufdiagramm 20. In Schritt 21 wird eine Datennetzwerkverbindung hergestellt. Die Computersysteme 12 und 12' melden sich jeweils in dem internen Netzwerk der gesicherten Umgebung 10 an und bauen so die
Datennetzwerkverbindung über die Datennetzwerkschnittstelle
13 auf. In einem alternativen Ausführungsbeispiel bauen die Computersysteme 12 und/oder 12' ein Datennetzwerk auf, in dem sich andere Computersysteme, wie der Server 11 anmelden können, um die Datennetzwerkverbindung herzustellen.
Wurde die Datennetzwerkverbindung hergestellt, so sucht das Computersystem 12, bzw. 12' in Schritt 22 nach durch den Server 11 bereitgestellten Dateien. Im Ausführungsbeispiel sucht das Computersystem 12, bzw. 12' nach Updatedateien, um das Computersystem 12, bzw. 12' auf einem aktuellen Stand zu halten. Insbesondere sucht das Computersystem 12, bzw. 12' nach einer Datei oder einem Dateipaket mit einem
vorbestimmten Namen der wenigstens einen vorbestimmten Datei
14 auf allen Servern, die mit dem Computersystem 12, bzw. 12' verbunden sind. Wird eine Datei oder ein Dateipaket mit dem vorbestimmten Namen gefunden, beispielsweise ein
"set_to_manufacturing_mode"-Paket , so wird in Schritt 23 eine Signatur 15 der gefundenen wenigstens einen vorbestimmten Datei 14 überprüft.
In Schritt 23 wird die Signatur 15 der wenigstens einen vorbestimmten Datei 14 überprüft. Im Ausführungsbeispiel wird eine Prüfsumme (Hash-Wert) der Signatur 15 von dem
Computersystem 12, bzw. 12' überprüft. Somit wird
sichergestellt, dass die wenigstens eine vorbestimmte Datei 14 aus einer legitimierten Quelle stammt. Ist die Überprüfung der Signatur 15 erfolgreich, so wird die wenigstens eine vorbestimmte Datei 14 in Schritt 24 heruntergeladen.
In Schritt 25 wird die heruntergeladene wenigstens eine vorbestimmte Datei 14 ausgeführt. Beispielsweise wird beim Ausführen der wenigstens einen vorbestimmten Datei 14 ein Programm gestartet, das auf eine Systemdatei des
Computersystems 12, bzw. 12' eingreifen kann. Die Systemdatei wird hierbei umbenannt. Im Ausführungsbeispiel wird eine Bootdatei, die zum Starten des Computersystems notwendig ist, verändert. Dies stellt einen sicherheitskritischen Eingriff dar. Durch die vorherige Authentifizierung der wenigstens einen vorbestimmten Datei 14 in dem Netzwerk in der
gesicherten Umgebung 10 ist sichergestellt, dass es sich nicht um Schadsoftware handelt.
In Schritt 26 wird nun eine sicherheitsrelevante Anwendung auf dem Computersystem 12, 12' ausgeführt. Im
Ausführungsbeispiel handelt es sich bei der
sicherheitsrelevanten Anwendung um einen kompletten
Systemflash. In einer alternativen Ausgestaltung können auf weitere, einzelne Firmware- oder Softwaredateien des
Computersystems 12 bzw. 12' zugegriffen und diese verändert werden. Somit kann eine Wartung des Computersystems 12, bzw. 12' sicher und schnell durchgeführt werden. Das
Computersystem 12 bzw. 12' kann beispielsweise auf
Werkseinstellungen zurückgesetzt werden.
Ergab die Überprüfung der Signatur 15 in Schritt 23, dass die Signatur 15 nicht vertrauenswürdig ist, so wird die
vorbestimmte Datei 14 nicht heruntergeladen. In einer
weiteren Ausgestaltung kann zusätzlich die
Datennetzwerkverbindung zu dem Datennetzwerk getrennt werden. In einem weiteren Ausführungsbeispiel wird bei der Herstellung der Datennetzwerkverbindung in Schritt 21 zusätzlich eine Überprüfung des Datennetzwerks und/oder des Servers 11 in dem Datennetzwerk durchgeführt. Hierbei wird eine MAC-Adresse des Servers 11 überprüft. In weiteren
Ausführungsbeispielen werden weitere oder alternative
Überprüfungen durchgeführt, wie beispielsweise die
Überprüfung eines Serverzertifikats oder eines
Netzwerknamens.
Tritt bei dieser Überprüfung eine Unregelmäßigkeit oder ein Hinweis auf eine Manipulation auf, so wird die
Datennetzwerkverbindung nicht aufgebaut bzw. unterbrochen. Das Computersystem 12 bzw. 12' ist somit vor Zugriffen geschützt .
In einem weiteren Ausführungsbeispiel wird in Schritt 25 die wenigstens eine vorbestimmte Datei 14 auf dem Computersystem 12 bzw. 12' installiert. Während des Installierens wird die wenigstens eine vorbestimmte Datei 14 verändert, insbesondere umbenannt .
In einem weiteren Ausführungsbeispiel sind die
Computersysteme 12, 12', 12'' zusätzlich wartungsfreie
Computersysteme. In solchen Computersystemen sind Defekte üblicherweise nicht reparierbar. Durch das oben beschriebene Verfahren, können derartige Computersysteme 12, 12', 12'' wiederhergestellt werden. Sind die Computersysteme gemäß dem in Figur 1 gezeigten Ausführungsbeispiel wartungsfrei, so können die Computersysteme 12 und 12 ' in der gesicherten Umgebung 10 wiederhergestellt werden. Bezugs zeichenliste
10 gesicherte Umgebung
11 Server
12, 12', 12' ComputerSystem
13 Datennetzwerkschnittstelle 14 vorbestimmte Datei
15 Signatur
20 Flussdiagramm
21-27 Verfahrensschritte

Claims

Patentansprüche
Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung auf einem Computersystem (12, 12') in einer gesicherten Umgebung (10), umfassend die Schritte:
- Herstellen einer Datennetzwerkverbindung über ein
internes Netzwerk der gesicherten Umgebung (10) zwischen dem Computersystems (12, 12') und einem Server (11), der in der gesicherten Umgebung (10) angeordnet ist;
- Suchen nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) durch das Computersystem (12,
12 ' ) , nachdem die Datennetzwerkverbindung hergestellt wurde ;
- Überprüfen einer Signatur (15) der wenigstens einen vorbestimmten Datei (14), wenn die wenigstens eine vorbestimmte Datei (14) gefunden wurde;
- Herunterladen der wenigstens einen vorbestimmten Datei (14), wenn die Überprüfung der Signatur (15)
erfolgreich war;
- Ausführen der wenigstens einen vorbestimmte Datei
(14) nach dem Herunterladen, wobei durch das Ausführen der wenigstens einen vorbestimmten Datei (14) eine Systemdatei geändert wird; und
- Starten der sicherheitsrelevanten Anwendung, nachdem die wenigstens eine vorbestimmte Datei (14)
erfolgreich ausgeführt wurde.
2. Verfahren nach Anspruch 1, wobei das Ausführen der
wenigstens einen vorbestimmten Datei (14) ein Umbenennen der Systemdatei umfasst. Verfahren nach einem der Ansprüche 1 oder 2, wobei die wenigstens eine vorbestimmte Datei (14) Teil eines
Dateipakets ist und das Dateipaket gesucht, überprüft, heruntergeladen und ausgeführt wird.
Verfahren nach einem der Ansprüche 1 bis 3, wobei beim Ausführen der sicherheitsrelevanten Anwendung ein
Flashspeicher des Computersystems (12, 12') programmiert wird .
Verfahren nach einem der Ansprüche 1 bis 4, wobei beim Ausführen der sicherheitsrelevanten Anwendung ein
Wiederherstellungsmodus aufgerufen wird.
Computersystem (12, 12', 12'') mit einer
Datennetzwerkschnittstelle (13), wobei das
Computersystem (12, 12', 12'') dazu eingerichtet ist, in einer gesicherten Umgebung (10) eine
Datennetzwerkverbindung über ein internes Netzwerk über die Datennetzwerkschnittstelle (13) zu einem Server (11) aufzubauen, der in der gesicherten Umgebung (10)
angeordnet ist und nach wenigstens einer vorbestimmten Datei (14) auf dem Server (11) zu suchen, nachdem die Datennetzwerkverbindung aufgebaut wurde, und eine
Signatur (15) der wenigstens einen vorbestimmten Datei (14) zu überprüfen, wenn die wenigstens eine
vorbestimmte Datei (14) auf dem Server (11) gefunden wurde, und die wenigstens eine vorbestimmte Datei (14) herunterzuladen, auszuführen und hierauf folgend eine sicherheitsrelevante Anwendung zu starten, wobei beim Ausführen der wenigstens einen vorbestimmten Datei (14) eine Systemdatei geändert wird.
7. Anordnung umfassend ein Computersystem (12, 12') und einen Server (11), wobei der Server (11) in einer gesicherten Umgebung (10) mit einem internen Netzwerk angeordnet ist und wenigstens eine vorbestimmte Datei (14) für das Computersystem (12, 12') anbietet, wobei das Computersystem (12, 12') dazu eingerichtet ist, nach der wenigstens einen vorbestimmten Datei (14) auf dem Server (11) zu suchen und nach Finden der wenigstens einen vorbestimmten Datei (14), eine Signatur (15) der wenigstens einen vorbestimmten Datei (14) zu überprüfen und nach erfolgreicher Überprüfung der Signatur (15) die wenigstens eine vorbestimmte Datei (14) herunterzuladen, auszuführen und hierauf folgend eine
sicherheitsrelevante Anwendung zu starten.
8. Anordnung nach Anspruch 7, wobei der Server (11) und das Computersystem (12, 12') mit einem internen Netzwerk eines Wartungszentrums oder Servicezentrums verbunden sind .
9. Anordnung nach einem der Ansprüche 7 oder 8, wobei die sicherheitsrelevante Anwendung dazu eingerichtet ist, einen Flashspeicher des Computersystems (12, 12') zu programmieren .
10. Anordnung nach einem der Ansprüche 7 bis 9, wobei die sicherheitsrelevante Anwendung zum Aufrufen eines
Wiederherstellungsmodus eingerichtet ist.
PCT/EP2016/061830 2015-05-27 2016-05-25 Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung WO2016189048A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/577,100 US20180181746A1 (en) 2015-05-27 2016-05-25 Method of executing a security-relevant application, computer system, and arrangement

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015108336.1A DE102015108336A1 (de) 2015-05-27 2015-05-27 Verfahren zum Ausführen einer sicherheitsrelevanten Anwendung, Computersystem und Anordnung
DE102015108336.1 2015-05-27

Publications (1)

Publication Number Publication Date
WO2016189048A1 true WO2016189048A1 (de) 2016-12-01

Family

ID=56087259

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/061830 WO2016189048A1 (de) 2015-05-27 2016-05-25 Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung

Country Status (3)

Country Link
US (1) US20180181746A1 (de)
DE (1) DE102015108336A1 (de)
WO (1) WO2016189048A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130185548A1 (en) * 2012-01-12 2013-07-18 Gueorgui Djabarov Multiple System Images for Over-The-Air Updates
US20130326494A1 (en) * 2012-06-01 2013-12-05 Yonesy F. NUNEZ System and method for distributed patch management

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4099039B2 (ja) * 2002-11-15 2008-06-11 松下電器産業株式会社 プログラム更新方法
US7698698B2 (en) * 2004-09-30 2010-04-13 Smith Micro Software, Inc. Method for over-the-air firmware update of NAND flash memory based mobile devices
US8359645B2 (en) * 2005-03-25 2013-01-22 Microsoft Corporation Dynamic protection of unpatched machines
DE102005030590B4 (de) * 2005-06-30 2011-03-24 Advanced Micro Devices, Inc., Sunnyvale Sicheres Patchsystem
JP2011145947A (ja) * 2010-01-15 2011-07-28 Kyocera Mita Corp ファームウェア更新制御プログラム、電子機器、及び可搬型記憶媒体
US8924952B1 (en) * 2012-06-27 2014-12-30 Amazon Technologies, Inc. Updating software utilizing multiple partitions

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130185548A1 (en) * 2012-01-12 2013-07-18 Gueorgui Djabarov Multiple System Images for Over-The-Air Updates
US20130326494A1 (en) * 2012-06-01 2013-12-05 Yonesy F. NUNEZ System and method for distributed patch management

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MENEZES A ET AL: "Handbook of Applied Cryptography, Chapter 11: Digital Signatures; Signatures with additional functionality ED - Menezes A J; Van Oorschot P C; Vanstone S A", 1 January 1997, HANDBOOK OF APPLIED CRYPTOGRAPHY; [CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS], CRC PRESS, BOCA RATON, FL, US, PAGE(S) 476 - 488, ISBN: 978-0-8493-8523-0, XP001091097 *
MENEZES A ET AL: "Handbook of applied cryptography, chapter 9, HASH FUNCTIONS AND DATA INTEGRITY", 1 January 1997, HANDBOOK OF APPLIED CRYPTOGRAPHY; [CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS], CRC PRESS, BOCA RATON, FL, US, PAGE(S) 321 - 383, ISBN: 978-0-8493-8523-0, XP002414177 *

Also Published As

Publication number Publication date
DE102015108336A1 (de) 2016-12-01
US20180181746A1 (en) 2018-06-28

Similar Documents

Publication Publication Date Title
DE102016215915A1 (de) Sicheres Konfigurieren eines Gerätes
EP2898714A1 (de) Teilnehmeridentitätsmodul zum authentisieren eines teilnehmers an einem kommunikationsnetzwerk
DE102013108022A1 (de) Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE102016009232A1 (de) Integriertes Teilnehmeridentitätsmodul mit Core-OS und Anwendungs-OS
DE602004009639T2 (de) Verfahren oder Vorrichtung zur Authentifizierung digitaler Daten mittels eines Authentifizierungs-Plugins
DE102008046639A1 (de) Serversystem und Verfahren zur Bereitstellung mindestens einer Leistung
DE60305315T2 (de) Originalitätsgesichertes herausnehmbares medium mit ausführbarem kode
EP2885907B1 (de) Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE102015225270A1 (de) Verfahren und Sicherheitsmodul zum Bereitstellen einer Sicherheitsfunktion für ein Gerät
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
WO2016189048A1 (de) Verfahren zum ausführen einer sicherheitsrelevanten anwendung, computersystem und anordnung
WO2016096118A1 (de) Verfahren zum betreiben einer computereinheit sowie eine solche computereinheit
DE102019130067B4 (de) Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
DE102018217432A1 (de) Prüfung der Integrität von eingebetteten Geräten
DE102015208176A1 (de) Gerät und Verfahren zur Autorisierung eines privaten kryptographischen Schlüssels in einem Gerät
DE102015207004A1 (de) Verfahren zum geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems
DE102019210625A1 (de) Steuergerät und Verfahren zum Betreiben desselben
EP3673614B1 (de) Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
EP4141722A1 (de) Sicheres betreiben einer industriellen steuerungsvorrichtung zusammen mit einem ai-modul
DE102014209037A1 (de) Vorrichtung und Verfahren zum Schutz der Integrität von Betriebssysteminstanzen
DE102015015212B4 (de) Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul
DE102021125750A1 (de) Recheneinheit für ein Fahrzeug und Verfahren und Computerprogramm für eine Recheneinheit für ein Fahrzeug
DE102021113961A1 (de) Verfahren zur Kommunikation eines Heizgerätes mit einem Netzwerk

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16725837

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15577100

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16725837

Country of ref document: EP

Kind code of ref document: A1