[go: up one dir, main page]

DE60203277T2 - Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem - Google Patents

Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem Download PDF

Info

Publication number
DE60203277T2
DE60203277T2 DE60203277T DE60203277T DE60203277T2 DE 60203277 T2 DE60203277 T2 DE 60203277T2 DE 60203277 T DE60203277 T DE 60203277T DE 60203277 T DE60203277 T DE 60203277T DE 60203277 T2 DE60203277 T2 DE 60203277T2
Authority
DE
Germany
Prior art keywords
psd
remote computer
computer system
network
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60203277T
Other languages
English (en)
Other versions
DE60203277D1 (de
Inventor
Louis Yves AUDEBERT
Olivier Ottawa CLEMOT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ActivCard Ireland Ltd
Original Assignee
ActivCard Ireland Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/844,246 external-priority patent/US20020162021A1/en
Priority claimed from US09/844,439 external-priority patent/US7363486B2/en
Application filed by ActivCard Ireland Ltd filed Critical ActivCard Ireland Ltd
Application granted granted Critical
Publication of DE60203277D1 publication Critical patent/DE60203277D1/de
Publication of DE60203277T2 publication Critical patent/DE60203277T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Lock And Its Accessories (AREA)

Description

  • 1. GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Authentifizieren einer persönlichen Sicherheitsvorrichtung (Personal Security Device – PSD) gegenüber mindestens einem Ferncomputersystem (1050). Insbesondere betrifft die Erfindung ein Verfahren und ein System zum Authentifizieren einer persönlichen Sicherheitsvorrichtung (PSD) gegenüber einer Vielzahl von Ferncomputersystemen.
  • 2. ALLGEMEINER STAND DER TECHNIK
  • Eines der einfachsten und am häufigsten verwendeten Authentifizierungsverfahren, das eingesetzt wird, ist das statische Kennwort, wodurch ein Clientrechner von einem Endbenutzer ein vorgegebenes Kennwort abfragt. Sobald der Endbenutzer das richtige Kennwort liefert, wird ihm Zugriff auf geschützte Funktionen oder Daten gewährt, die in einem oder mehreren Ferncomputersystemen verfügbar sind. Eine beträchtliche Einschränkung des derzeitigen Stands der Technik besteht darin, dass örtlich begrenzte Authentifizierungsvorgänge potenziell anfällig für Gefährdungen durch unberechtigte Programme sind, die auf dem lokalen Client laufen, oder durch andere unerlaubte Mittel, die den Authentifizierungsvorgang des Kennworts überwachen sollen. Bei einem Authentifizierungsvorgang über einen einzigen Punkt sind alle Orte, die die gleichen Sicherheitscodes nutzen, im Allgemeinen ebenfalls gefährdet, sobald eine Eintrittsstelle zu einem Netzwerk gefährdet ist.
  • Bei einem Sicherheitsverfahren, das häufig verwendet wird, um Schwierigkeiten durch die Authentifizierung über einen einzigen Punkt zu bewältigen, wird mit getrennten statischen Kennwörtern für jede vorgegebene geschützte Ressource gearbeitet. Obwohl dieses Verfahren eine Verbesserung gegenüber einem einzelnen, mehrfach verwendbaren Kennwort darstellt, ist dieses Verfahren immer noch anfällig für eine unerlaubte Kennwortüberwachung, muss sich ein Endbenutzer mehrere Kennwörter merken und blockiert Netzwerkressourcen, indem der gesamte Authentifizierungsvorgang jedes Mal wiederholt wird, wenn Zugriff auf eine andere geschützte Ressource verlangt wird.
  • Aus praktischer Erwägung führt die Notwendigkeit, dass sich ein Endbenutzer mehrere verschiedene Kennwörter merken muss, üblicherweise auch dazu, dass das gleiche Kennwort für alle geschützten Ressourcen verwendet wird, wodurch der ganze Zweck verfehlt wird, mehrere Authentifizierungen mit statischen Kennwörtern durchzuführen.
  • Bei einem ausgereifteren Ansatz als den zuvor beschriebenen Verfahren werden persönliche Sicherheitsvorrichtungen (PSD) wie Chipkarten verwendet, wodurch die Speicherung mehrerer Berechtigungsnachweise, Kennwörter, Zertifikate, privater Schlüssel usw. möglich ist. Durch die Verwendung von Chipkarten ist die Möglichkeit wesentlich verringert, Kennwörter zu beeinträchtigen. Jedoch sind PSDs immer noch etwas anfällig gegenüber der unerlaubten Überwachung während Vorgängen mit dem lokalen Client. Eine zusätzliche Beschränkung dieses Verfahrens wird deutlich beim Versuch, mehrere Authentifizierungsvorgänge mit einer einzelnen PSD über eine Netzwerkverbindung durchzuführen. Da die PSD ein langsames serielles Gerät ist, kann zu einem Zeitpunkt nur ein Vorgang stattfinden. Zusätzlich werden Konkurrenzsituationen in Netzwerken sowie die Arbeitsgeschwindigkeit der Prozessoren besonders problematisch, wenn Verbindungen geringer Bandbreite (z.B. Wählverbindungen) zwischen einem Client und einem Ferncomputersystem während der Authentifizierung mit der PSD hergestellt werden.
  • In der US-Patentschrift 5,778,071 ist eine tragbare Sicherheitsvorrichtung zum Aufbau einer sicheren Übertragungsverbindung zwischen einem Ferncomputersystem und einer Rechenanlage offenbart, die mit der Vorrichtung verbunden werden kann. Bei dieser Anlage umfasst die tragbare Sicherheitsvorrichtung Authentifizierungsmittel, Verschlüsselungs- und Entschlüsselungsmittel und dient zur Vermittlung der Kommunikation zwischen der lokalen Rechenanlage und dem Ferncomputersystem insoweit, als dass sie abgehende Daten verschlüsselt, die von dieser Rechenanlage über ein Netzwerk an das Ferncomputersystem übertragen werden sollen, und ankommende Daten entschlüsselt, die sie von dem Ferncomputersystem empfangen hat. Die tragbare Vorrichtung benötigt daher eine doppelte Übertragungsschnittstelle: eine Netzschnittstelle zum Netzwerk und einen Übertragungsanschluss zum Computersystem.
  • 3. KURZDARSTELLUNG DER ERFINDUNG
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein sichereres Verfahren zum Authentifizieren einer PSD gegenüber mindestens einem Ferncomputersystem bereitzustellen.
  • Diese Aufgabe wird mit einem Verfahren nach Anspruch 1 oder einem System nach Anspruch 15 gelöst.
  • Bei diesem Verfahren erfolgt die Verarbeitung sensibler Daten nur innerhalb des Ferncomputersystems/der Ferncomputersysteme, d.h. in (einem) sehr sicheren und geschützten Bereich(en), wodurch die Möglichkeit des unberechtigten Zugriffs oder des Abfangens stark verringert ist.
  • Es ist eine weitere Aufgabe der vorliegenden Erfindung, mehrere Authentifizierungsvorgänge zwischen einer einzelnen PSD und einer Vielzahl von Ferncomputersystemen zu erleichtern.
  • Gemäß einer ersten Ausführungsform kann diese weitere Aufgabe der Erfindung mit einem Verfahren zum Authentifizieren der mindestens einen PSD gegenüber mindestens einem nachfolgenden Ferncomputersystem erreicht werden, die in funktioneller Hinsicht mit dem mindestens einen ersten Ferncomputersystem durch ein zweites Netzwerk verbunden ist, wobei das Verfahren zusätzlich zu den zuvor genannten Schritten weiterhin die folgenden Schritte umfasst:
    • – aa) Erzeugen oder Abrufen einer zweiten Authentifizierungsherausforderung in dem mindestens einen nachfolgenden Ferncomputersystem,
    • – ab) Übertragen der zweiten Authentifizierungsherausforderung von dem mindestens einen nachfolgenden Ferncomputersystem zu dem mindestens einen ersten Ferncomputersystem über das zweite Netzwerk,
    • – ac) Umwandeln der zweiten Authentifizierungsherausforderung in eine PSD-formatierte Nachricht,
    • – ad) Übertragen der zweiten Authentifizierungsherausforderung von dem mindestens einen ersten Ferncomputersystem zu der mindestens einen PSD durch den mindestens einen Kommunikationskanal,
    • – ae) Herausfordern der mindestens einen PSD mit der zweiten Authentifizierungsherausforderung und dadurch Erzeugen einer zweiten Authentifizierungsantwort,
    • – af) Übertragen der zweiten Authentifizierungsantwort von der mindestens einen PSD zu dem mindestens einen ersten Ferncomputersystem durch den mindestens einen Kommunikationskanal,
    • – ag) Übertragen der zweiten Authentifizierungsantwort von dem mindestens einen ersten Ferncomputersystem zu dem mindestens einen nachfolgenden Ferncomputersystem über das zweite Netzwerk, und
    • – ah) Authentifizieren der zweiten Authentifizierungsantwort in dem mindestens einen nachfolgenden Ferncomputersystem.
  • Gemäß einer zweiten Ausführungsform kann die weitere Aufgabe der Erfindung mit einem Verfahren zum Authentifizieren der mindestens einen PSD gegenüber mindestens einem nachfolgenden Ferncomputersystem erreicht werden, die in funktioneller Hinsicht mit dem mindestens einen ersten Ferncomputersystem durch ein zweites Netzwerk verbunden ist, wobei das Verfahren zusätzlich zu den zuvor genannten Schritten weiterhin die folgenden Schritte umfasst:
    • – ba) Senden eines Befehls zum Übertragen von Berechtigungsnachweisen an die mindestens eine PSD,
    • – bb) Übertragen der Berechtigungsnachweise von der mindestens einen PSD an das mindestens eine erste Ferncomputersystem durch den mindestens einen Kommunikationskanal,
    • – bc) Speichern der Berechtigungsnachweise in dem mindestens einen ersten Ferncomputersystem,
    • – bd) Erzeugen oder Abrufen einer zweiten Authentifizierungsherausforderung in dem mindestens einen nachfolgenden Ferncomputersystem,
    • – be) Übertragen der zweiten Authentifizierungsherausforderung von dem mindestens einen nachfolgenden Ferncomputersystem zu dem mindestens einen ersten Ferncomputersystem über das zweite Netzwerk,
    • – bf) Herausfordern der gespeicherten Berechtigungsnachweise mit der zweiten Authentifizierungsherausforderung und dadurch Erzeugen einer zweiten Authentifizierungsantwort,
    • – bg) Übertragen der zweiten Authentifizierungsantwort von dem mindestens einen ersten Ferncomputersystem zu dem mindestens einen nachfolgenden Ferncomputersystem über das zweite Netzwerk, und
    • – bh) Authentifizieren der zweiten Authentifizierungsantwort in dem mindestens einen nachfolgenden Ferncomputersystem.
  • Bei der ersten und zweiten Ausführungsform führt das erste Ferncomputersystem, das den Kommunikationskanal mit der PSD herstellt und aufrechterhält, eine Anfangsauthentifizierung durch und dient dann als ein sicherer Hub und Authentifizierungsproxy des Clients für nachfolgende Ferncomputersysteme, die die Authentifizierung des Clients fordern.
  • In einer Multitasking-Betriebssystemumgebung erfolgen mehrere Authentifizierungen als Hintergrundvorgänge, die für den Endbenutzer offenkundig sind. Das Ferncomputersystem, das als ein sicherer Hub dient, kann mehrere Kommunikationskanäle mit anderen Clients bilden, die an ein Netzwerk angeschlossen sind. Die Authentifizierungsvorgänge erfolgen schneller und nahtloser, da Ferncomputersysteme im Allgemeinen mit einer höheren Netzwerkbandbreite und Verarbeitungsleistung ausgestattet sind als lokale Clients.
  • Durch das Verlegen des Authentifizierungsvorgangs auf ein Ferncomputersystem, das als ein sicherer Hub dient, wird ein einfacheres Mittel zum Ausführen einer Ende-zu-Ende-Authentifizierung und zum Pflegen eines Logbuchs von Vorgängen authentifizierter Endbenutzer und von Vorgängen mit nachfolgenden Ferncomputersystemen bereitgestellt, da alle Authentifizierungsvorgänge durch das Ferncomputersystem, das als ein sicherer Hub dient, geleitet werden.
  • Bei der ersten Ausführungsform der Erfindung führt das Ferncomputersystem, das als ein sicherer Hub dient, die Anfangsauthentifizierung des Clients durch und leitet dann nachfolgende Authentifizierungsherausforderungen durch den Kommunikationskanal zur PSD zur Verarbeitung innerhalb der PSD, leitet dann die durch die PSD erzeugte Authentifizierungsantwort über ein Netzwerk zurück durch den Kommunikationskanal und zu dem herausfordernden Ferncomputersystem.
  • Bei der zweiten Ausführungsform der Erfindung führt das Ferncomputersystem, das als ein sicherer Hub dient, die Anfangsauthentifizierung des Clients durch und kopiert dann, wenn nicht bereits vorhanden, die Authentifizierungs-Berechtigungsnachweise der PSD durch den Kommunikationskanal an einen sicheren Speicherort innerhalb des sicheren Hubs. Der sichere Hub, der die übertragenen PSD-Berechtigungsnachweise und entsprechenden Algorithmen verwendet, authentifiziert den Client gegenüber nachfolgenden Ferncomputersystemen durch Emulieren der PSD.
  • Bei beiden Ausführungsformen können bei der Übertragung zwischen lokalen Clients und Ferncomputersystemen über ein oder mehrere Netzwerke sichere Kommunikationsprotokolle wie TCP/IP mit Secure Socket Layer (SSL) Verschlüsselung, IPSec usw. verwendet werden, wodurch die Wahrscheinlichkeit unberechtigten Zugriffs oder Abfangens weiter verringert wird. Bei nicht geschützten Vorgängen mit der PSD ist die sichere Übertragung freigestellt.
  • Zusätzliche Verbesserungen der Sicherheit können durch Aufbau eines sicheren Kommunikationskanals zwischen der PSD und dem Ferncomputersystem, das als ein sicherer Hub dient, erleichtert werden, d.h. einem Kommunikationskanal, der kryptographische Ende-zu-Ende-Mittel umfasst (siehe Abschnitt 5.1.2).
  • Derartige kryptographische Mittel können durch softwaregestützte Sicherheitsabläufe oder durch ein Hardware-Sicherheitsmodul (HSM) ausgeführt sein, das in funktioneller Hinsicht mit dem Ferncomputersystem, das als ein sicherer Hub dient, verbunden ist.
  • Es ist eine weitere Aufgabe der Erfindung, ein System zum Ausführen des zuvor erwähnten Verfahrens bereitzustellen.
  • 4. KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein verallgemeinertes Blockdiagramm des Systems zum Ausführen eines einfachen Kommunikationskanals,
  • 2 ist ein ausführliches Blockdiagramm, das das Erstellen eines einfachen Kommunikationskanals zeigt,
  • 3 ist ein ausführliches Blockdiagramm, das das Herstellen eines einfachen Kommunikationskanals zeigt,
  • 4A ist ein verallgemeinertes Blockdiagramm des Systems zum Ausführen eines sicheren Kommunikationskanals, das softwaregestützte Sicherheitsabläufe umfasst,
  • 4B ist ein verallgemeinertes Blockdiagramm des Systems zum Ausführen eines sicheren Kommunikationskanals, das HSM-gestützte Sicherheitsabläufe umfasst,
  • 5 ist ein ausführliches Blockdiagramm, das das Erstellen eines sicheren Kommunikationskanals zeigt,
  • 6 ist ein ausführliches Blockdiagramm, das das Herstellen eines sicheren Kommunikationskanals zeigt,
  • 7 ist ein allgemeines Blockdiagramm des Systems zum Ausführen der Authentifizierung einer PSD gegenüber mindestens einem Ferncomputersystem,
  • 8 ist ein ausführliches Blockdiagramm, das die Anfangsauthentifizierungsherausforderung veranschaulicht (erste Ausführungsform der Erfindung),
  • 9 ist ein ausführliches Blockdiagramm, das die Anfangsauthentifizierungsantwort veranschaulicht (erste Ausführungsform der Erfindung),
  • 10 ist ein ausführliches Blockdiagramm, das die Fernauthentifizierungsherausforderung veranschaulicht (erste Ausführungsform der Erfindung),
  • 11 ist ein ausführliches Blockdiagramm, das die Fernauthentifizierungsantwort veranschaulicht (erste Ausführungsform der Erfindung),
  • 12 ist ein ausführliches Blockdiagramm, das die Übertragung der Authentifizierungs-Berechtigungsnachweise veranschaulicht (zweite Ausführungsform der Erfindung),
  • 13 ist ein ausführliches Blockdiagramm, das die Fernauthentifizierungsherausforderung veranschaulicht (zweite Ausführungsform der Erfindung),
  • 14 ist ein ausführliches Blockdiagramm, das die Fernauthentifizierungsantwort veranschaulicht (zweite Ausführungsform der Erfindung).
  • 5. AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • In einem ersten Teil (Abschnitt 5.1) wird in der vorliegenden „Ausführlichen Beschreibung der Erfindung" offenbart, wie ein einfacher Kommunikationskanal und ein sicherer Kommunikationskanal zwischen einer PSD und einem Ferncomputersystem im Allgemeinen herzustellen ist.
  • In einem zweiten Teil (Abschnitt 5.2) wird in der vorliegenden „Ausführlichen Beschreibung der Erfindung" offenbart, wie die Sicherheit eines Authentifizierungsvorgangs einer PSD gegenüber einem Ferncomputersystem mithilfe des sicheren Kommunikationskanals verbessert werden kann, und wie das Ferncomputersystem als ein sicherer Hub zur Authentifizierung der PSD gegenüber einer Vielzahl nachfolgender Ferncomputersysteme verwendet werden kann.
  • Der zweite Teil der „Ausführlichen Beschreibung" stützt sich auf die Verwendung eines sicheren Kommunikationskanals, jedoch ist die vorliegende Erfindung nicht auf eine derartige Verwendung beschränkt.
  • Die Verwendung eines einfachen Kommunikationskanals, d.h. eines Kommunikationskanals, der keine kryptographischen Ende-zu-Ende-Mechanismen umfasst, fällt in den Schutzbereich der vorliegenden Erfindung.
  • Es ist auch festzuhalten, dass die folgende Beschreibung der Erfindung auf einer PSD beruht, die APDU-(Anwendungsprotokoll-Dateneinheit)formatierte Nachrichten empfängt und sendet.
  • Das APDU-Übertragungsformat, das an sich im Fachgebiet bekannt ist, ist ein Übertragungsformat einer unteren Ebene, durch das eine PSD mit Anwendungen höherer Ebenen Daten austauschen kann, die sich in Vorrichtungen befinden, mit denen die PSD verbunden werden soll.
  • Es muss eindeutig sein, dass die vorliegende Erfindung nicht auf die Verwendung eines APDU-Übertragungsformats beschränkt ist und dass jedes andere Übertragungsformat einer niedrigen Ebene in den Schutzbereich der vorliegenden Erfindung fällt, das von der PSD verarbeitet werden kann.
  • In den zugehörigen Ansprüchen ist eine Nachricht, die ein derartiges Format aufweist, durch den allgemeinen Ausdruck „PSD-formatierte Nachricht" bezeichnet.
  • 5.1 Aufbau eines Kommunikationskanals
  • 5.1.1 Einfacher Kommunikationskanal
  • Mit Bezug auf 1 ist ein verallgemeinertes Blockdiagramm der Systemarchitektur eines Clients 10 und eines Ferncomputersystems 50 gezeigt. Die unterschiedlichen Schichten, die gezeigt sind, beruhen auf dem Modell für die Kommunikation der offenen Systeme (OSI). Der Einfachheit halber sind einige Schichten, die sowohl dem Client als auch dem Ferncomputersystem gemeinsam sind, nicht gezeigt und sind als vorhanden und in benachbarte Schichten eingebunden anzunehmen. Die Schichten, die sowohl einem Client als auch einem Ferncomputersystem gemeinsam sind, umfassen:
    • – eine Anwendungsschicht 90, die im Allgemeinen Softwareanwendungen höherer Ebene (z.B. Textverarbeitung) und eine Benutzeroberfläche wie eine grafische Benutzeroberfläche (GUI) umfasst,
    • – eine Anwendungsschnittstellenschicht (API) 100 zum Verarbeiten und Bearbeiten von Daten, die entweder von Anwendungen höherer oder unterer Ebenen verwendet werden,
    • – eine Kommunikationsschicht 105, die Kommunikationsprogramme einschließlich sicherer Kommunikationsfähigkeiten umfasst, durch die ein Client in der Lage ist, mit einem Ferncomputersystem Daten auszutauschen, um Informationen gemäß einem vereinbarten Protokoll und umgekehrt auszutauschen,
    • – eine Betriebssystemschicht 110 oder eine entsprechende Laufzeitumgebung, die die Zuordnung und Verwendung von Hardwareressourcen wie Speicher, CPU-Zeit, verfügbarer Speicherplatz, Zuweisung von Eingabe-Ausgabeanschlüssen, Peripheriegeräteverwaltung steuert,
    • – eine Hardwaretreiberschicht 120, durch die das Betriebssystem Daten mit physikalischen Geräten austauschen kann, die an den Eingabe-Ausgabe-Bus des Clients oder dem Ferncomputersystem angeschlossen sind, und sie steuern kann
    • – und eine Schicht 130 physikalischer Geräte, in der Netzwerkkarten (NIC) 140 die physikalische Verbindung zu einem Fernmeldenetz 45 bereitstellen. Es können auch weitere Geräte 80 in dieser Schicht angeschlossen sein.
  • 5.1.1.1 Besondere Merkmale des Clients
  • Ein Spezialprogramm, das in der API-Schicht 100 des Clients enthalten ist und als Pipe Client 15 bezeichnet wird, und die Kommunikationsprogramme, die innerhalb der Kommunikationsschicht 105 enthalten sind, beeinflussen sich gegenseitig. Der Pipe Client 15 dient dazu, eingekapselte APDU-Anfragen zum Verarbeiten durch eine lokal angeschlossene PSD 40 von ankommenden Nachrichtenpaketen zu trennen, die über ein Netzwerk 45 empfangen werden. Wahlweise werden nach außen gerichtete APDU-Antworten, die durch eine lokal angeschlossene PSD 40 erzeugt werden, von dem Pipe Client zum Einkapseln in ein vereinbartes Kommunikationsprotokoll durch die Kommunikationsprogramme, die in der Kommunikationsschicht 105 enthalten sind, verarbeitet.
  • Ein Softwaretreiber, der in der Kommunikationsschicht 105 des Clients enthalten ist und als PSD-Softwareschnittstelle 20 bezeichnet wird, leitet ankommende APDUs, die vom Pipe Client 15 übertragen wurden, in den Eingabe-Ausgabe-Geräteanschluss, der die PSD-Geräteschnittstelle 25 mit der lokal angeschlossenen PSD 40 verbindet. Abgehende APDUs, die durch die PSD erzeugt werden, werden durch die PSD-Geräteschnittstelle 25 durch den Eingabe-Ausgabe-Geräteanschluss zur PSD-Softwareschnittstelle 20 übertragen und anschließend zum Pipe Client 15 übertragen.
  • 5.1.1.2 Besondere Merkmale des Ferncomputersystems
  • Ein erstes Spezialprogamm, das in der API-Schicht 100 des Ferncomputersystems 50 enthalten ist und als eine APDU-Schnittstelle 55 bezeichnet wird, übersetzt Übertragungsformate höherer Ebene in das APDU-Übertragungsformat der unteren Ebene, das erforderlich ist, um mit einer PSD 40 Daten auszutauschen. Wahlweise übersetzt die APDU-Schnittstelle 55 ankommende APDU-Antworten, die sie von einer PSD 40 empfängt, in Übertragungsformate höherer Ebene, die von Programmen in der API-Schicht 100 und der Anwendungsschicht 90 des Ferncomputersystems verwendet werden.
  • Ein zweites Spezialprogramm, das in der API-Schicht 100 des Ferncomputersystems 50 enthalten ist und als ein Pipe Server 70 bezeichnet wird, und die Kommunikationsprogramme, die innerhalb der Kommunikationsschicht 105 enthalten sind, beeinflussen sieh gegenseitig. Der Pipe Server 70 dient dazu, eingekapselte APDU-Anfragen zum Verarbeiten durch die APDU-Schnittstelle 55 von ankommenden Nachrichtenpaketen zu trennen, die von einem Netzwerk 45 empfangen werden. Wahlweise werden nach außen gerichtete APDU-Anfragen, die von der APDU-Schnittstelle 55 übersetzt wurden, von dem Pipe Server zum Einkapseln in ein vereinbartes Kommunikationsprotokoll durch die Kommunikationsprogramme, die in der Kommunikationsschicht 105 enthalten sind, verarbeitet.
  • 5.1.1.3 Weitere Merkmale
  • Die Verbindung 30 zwischen der PSD 40 und der PSD-Hardwareschnittstelle 25 umfasst, ist jedoch nicht beschränkt auf, herkömmliche elektrische oder Glasfaserverbindungen oder drahtlose Mittel einschließlich optischer, funktechnischer, akustischer, magnetischer oder elektromechanischer Mittel. Ebenso können die Verbindung 75 zwischen dem Client 10 und dem Netzwerk 45 und die Verbindung 75 zwischen dem Ferncomputersystem 50 und dem Netzwerk 45 dementsprechend ausgeführt sein.
  • Das Netzwerk, das ganz allgemein unter 45 gezeigt ist, umfasst sowohl öffentliche als auch private Fernmeldenetze, die durch herkömmliche elektrische, optische, elektroakustische (DTMF) oder durch andere drahtlose Mittel verbunden sind. Jedes gemeinsam vereinbarte Kommunikationsprotokoll, das APDU-Befehle einkapseln kann, kann verwendet werden, um einen einfachen Kommunikationskanal herzustellen, einschließlich offener oder sicherer Kommunikationsprotokolle.
  • Mit Bezug auf 2 ist das Erstellen eines einfachen Kommunikationskanals zwischen dem Ferncomputersystem 50 und der PSD 40 gezeigt, die an einen Client 10 angeschlossen ist. Bei dieser Darstellung sendet das Ferncomputersystem 50 eine Anfrage an die PSD 40 bezüglich der ungeschützten, eingebetteten Information 35, zum Beispiel einer Identifikationsnummer. Die PSD 40 ist mithilfe der PSD-Schnittstelle 25 mit dem lokalen Client 10 verbunden 30. Die PSD-Schnittstelle 25 tauscht über den Geräteanschluss 5 Daten mit dem Client 10 aus.
  • Um einen einfachen Kommunikationskanal zwischen dem Ferncomputersystem 50 und der PSD 40 zu erstellen, erzeugt das Ferncomputersystem 50 über die API-Programme 100 eine Anfrage 200, die durch die APDU-Schnittstelle 55 in das APDU-Format 220 übersetzt und zum Einkapseln der Nachricht an den Pipe Server 70 gesendet wird. Die eingekapselten APDUs werden dann zum Einfügen in die abgehenden Nachrichtenpakete 230 an die Kommunikationsprogramme 105S gesendet 210.
  • Die Nachrichtenpakete 230, die die eingekapselten APDUs enthalten, werden über eine Netzwerkkarte (E/A) 130S über das Netzwerk 45 übertragen 75. Der Client 10 empfängt die Nachrichtenpakete 240, die die eingekapselten APDUs enthalten, die über eine Netzwerkkarte (E/A) 130C vom Netzwerk 45 empfangen werden, die auf dem lokalen Client eingebaut ist. Die ankommenden Nachrichten werden von den clientseitigen Kommunikationsprogrammen 105C verarbeitet und zum Extrahieren der APDUs in den Pipe Client 15 geleitet 250. Die extrahierten APDUs werden durch den Geräteanschluss 5 gesendet 260, in die PSD-Schnittstelle 25 geleitet 270 und über die Verbindung 30 an die PSD 40 zum Verarbeiten innerhalb des PSD-Bereichs 35 gesendet.
  • Wahlweise Anfragen zur Bildung eines einfachen Kommunikationskanals 75 zwischen einem Ferncomputersystem 50 und einer PSD 40 können dadurch ausgelöst werden, dass der Client 10 Zugriff auf Informationen verlangt, die auf einem oder mehreren vernetzten lokalen Clients enthalten sind, durch Verbindung einer PSD 40 mit der PSD-Schnittstelle 25, die eine Anfrage zur Bildung eines einfachen Kommunikationskanals 75 auslöst oder dadurch, dass ein weiteres Ferncomputersystem Zugriff auf die PSD 40 verlangt.
  • Mit Bezug auf 3 ist eine Antwort der PSD gezeigt, wodurch der einfache Kommunikationskanal zwischen der PSD 40 und dem Ferncomputersystem 50 hergestellt wird. Bei dieser Darstellung wird die zuvor empfangene Anfrage innerhalb des PSD-Bereichs 35 verarbeitet, der eine Antwortnachricht erzeugt. Die Antwort der PSD wird im APDU-Format von der PSD 40 durch die Verbindung 30 und in die PSD-Schnittstelle 25 gesendet. Die Antwort der PSD wird dann durch den Geräteanschluss 5 geleitet 370 und zum Verarbeiten und zum Einkapseln an den Pipe Client 15 gesendet 360. Die entstehenden Nachrichtenpakete werden dann zum Einfügen in die abgehenden Nachrichtenpakete 340 an die clientseitigen Kommunikationsprogramme 105C gesendet 350. Die Nachrichtenpakete 340, die die eingekapselten APDUs enthalten, werden über die Netzwerkkarte (E/A) 130C über das Netzwerk 45 übertragen 75.
  • Das Ferncomputersystem 50 empfängt die Nachrichtenpakete 330, die die eingekapselten APDUs enthalten, die von dem Netzwerk 45 über die Netzwerkkarte (E/A) 130S empfangen werden, die auf dem Ferncomputersystem eingebaut ist. Die ankommenden Nachrichten werden von den serverseitigen Kommunikationsprogrammen 105S verarbeitet und zum Extrahieren der APDUs in den Pipe Server 70 geleitet 310. Die extrahierten APDUs werden zum Verarbeiten und Übersetzen in ein Format höherer Ebene an die APDU-Schnittstelle 55 gesendet 320 und zum Verarbeiten und auf Wunsch für weitere Vorgänge mit der PSD 40 an die Programme 100 der API-Ebene gesendet 300.
  • 5.1.2 Sicherer Kommunikationskanal
  • Mit Bezug auf 4A ist ein verallgemeinertes Blockdiagramm einer Ausführung eines sicheren Kommunikationskanals des Systems gezeigt. Das allgemeine Blockdiagramm des Systems umfasst ein zusätzliches softwaregestütztes Ver- und Entschlüsselungsmodul 470, das auf dem Ferncomputersystem eingebaut ist, das in 1 nicht gezeigt ist.
  • 4B zeigt eine Wahlmöglichkeit zur Verwendung von softwaregestützten Sicherheitsabläufen. Bei dieser Wahlmöglichkeit wird ein Hardware-Sicherheitsmodul (HSM) 440 eingesetzt, um kryptographische Aufgaben zu erfüllen. Um auf das HSM zuzugreifen, ist in der API-Schicht 100 ein Softwaretreiber enthalten, der als eine HSM-S/W-Schnittstelle 475 bezeichnet wird. Der HSM-Softwaretreiber tauscht Daten mit einer Schnittstelle für physikalische Geräte aus, die in der Schicht 130 physikalischer Geräte enthalten ist. Die Schnittstelle für physikalische Geräte ist auf dem Eingangs-Ausgangs-Bus des Ferncomputersystems eingebaut und wird als eine HSM-H/W-Schnittstelle 485 bezeichnet. Das HSM-Modul 440 ist mit der HSM-H/W-Schnittstelle auf eine Art verbunden 430, die der zuvor beschriebenen Verbindung der PSD mit der PSD-Schnittstelle entspricht. Die Nutzung von HSM-Verfahren bietet Ende-zu-Ende-Sicherheit, durch die die Möglichkeit der unberechtigten Weitergabe kryptographischer oder sensibler Informationen weiter verringert wird.
  • Beide Sicherheitsabläufe zur APDU-Übertragung, die in den 4A und 4B gezeigt sind, werden verwendet, um kryptographische Schlüssel zu erzeugen, die notwendig sind, um den Zugriff auf geschützte Funktionen und Daten zu ermöglichen, die sich in dem sicheren Bereich einer PSD befinden, um abgehende APDUs zu verschlüsseln und ankommende verschlüsselte APDUs zu entschlüsseln. Zu den Sicherheitsabläufen, die bei der Bildung eines sicheren Kanals verwendet werden, können synchrone, asynchrone oder jede Verbindung kryptographischer Verfahren zählen.
  • Sichere Kommunikationsprotokolle, die zur Übertragung über ein Netzwerk verwendet werden, werden durch die Kommunikationsprogramme ausgeführt, die in den Kommunikationsschichten 105 enthalten sind. Bei der Kryptographie, die zur Herstellung einer sicheren Datenübertragung verwendet wird, können die Sicherheitsabläufe eingesetzt werden, die für die APDU-Übertragung beschrieben sind, können besondere Abläufe oder jede Verbindung davon verwendet werden.
  • Mit Bezug auf 5 ist die Erstellung eines sicheren Kanals zwischen dem Ferncomputersystem und der PSD 40 gezeigt, die an den Client 10 angeschlossen ist. Bei dieser Darstellung sendet das Ferncomputersystem 50 eine sichere Anfrage an die PSD 40 bezüglich der geschützten, eingebetteten Information 35, zum Beispiel einem Authentifizierungskennwort. Die PSD 40 ist über die PSD-Schnittstelle 25 mit dem lokalen Client 10 verbunden 30. Die PSD-Schnittstelle 25 tauscht über den Geräteanschluss 5 Daten mit dem Client 10 aus.
  • Um einen sicheren Kommunikationskanal zwischen dem Ferncomputersystem 50 und der PSD 40 zu erstellen, wird eine Anfrage 500 in dem Ferncomputersystem 50 erzeugt, um über die API-Programme 100 auf die PSD 40 zuzugreifen, die durch die APDU-Schnittstelle 55 in das APDU-Format übersetzt wird. Die APDUs werden dann zum Verschlüsseln mithilfe eines vorher festgelegten kryptographischen Verfahrens an ein Sicherheitsmodul 525 gesendet 520. Die geeigneten kryptographischen Parameter können mithilfe einer Nachschlagetabelle oder Datenbank bestimmt werden, wodurch Querverweise zwischen den einzigartigen internen Kenndaten der PSD und einem oder mehreren Codes erstellt werden, der oder die notwendig für die Ausführung des gewählten kryptographischen Verfahrens sind.
  • Die verschlüsselten APDUs werden dann zum Einkapseln der Nachricht an den Pipe Server 70 geleitet 510. Die eingekapselten APDUs werden dann zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in die abgehenden Nachrichtenpakete 535 an die Kommunikationsprogramme 105 gesendet 530. Die sicheren Nachrichtenpakete 535, die die verschlüsselten und eingekapselten APDUs enthalten, werden über eine Netzwerkkarte (E/A) 1305 über das Netzwerk 45 übertragen 75.
  • Der Client 10 empfängt die Nachrichtenpakete 540, die die verschlüsselten und eingekapselten APDUs enthalten, die über eine Netzwerkkarte (E/A) 130C vom Netzwerk 45 empfangen werden, die auf dem lokalen Client 10 eingebaut ist.
  • Die ankommenden verschlüsselten Nachrichtenpakete werden von den clientseitigen Kommunikationsprogrammen 105C mithilfe der vorher festgelegten kryptographischen Verfahren entschlüsselt und verarbeitet, die in dem sicheren Kommunikationsprotokoll verwendet werden. Die unverschlüsselten Nachrichtenpakete, die immer noch die verschlüsselten APDUs enthalten, werden zum Extrahieren der APDUs in den Kommunikationskanal 15 des Clients geleitet 550. Die extrahierten APDUs werden durch den Geräteanschluss 5 gesendet 560, in die PSD-Schnittstelle 25 geleitet 570 und über die Verbindung 30 an die PSD 40 zum Entschlüsseln und Verarbeiten innerhalb des sicheren Bereichs 35 der PSD 40 gesendet. Mithilfe eines vorher festgelegten kryptographischen Verfahrens werden ankommende sichere APDUs entschlüsselt und Anfragen verarbeitet.
  • Mit Bezug auf 6 ist eine sichere Antwort der PSD gezeigt, wodurch der sichere Kommunikationskanal zwischen der PSD 40 und dem Ferncomputersystem 50 hergestellt wird. Bei dieser Darstellung wird die zuvor empfangene sichere Anfrage innerhalb des sicheren Bereichs 35 der PSD 40 verarbeitet, wodurch die PSD mithilfe eines vorher festgelegten kryptographischen Verfahrens eine sichere Antwortnachricht erzeugt.
  • Die sichere Antwort der PSD wird im APDU-Format von der PSD 40 durch die Verbindung 30 und in die PSD-Schnittstelle 25 gesendet. Die sichere Antwort der PSD wird dann durch den Geräteanschluss 5 geleitet 670 und zum Verarbeiten und zum Einkapseln an den Pipe Client 15 gesendet 660. Die entstehenden Nachrichtenpakete werden dann zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in die abgehenden Nachrichtenpakete 640 an die clientseitigen Kommunikationsprogramme 105 gesendet 650. Die Nachrichtenpakete 640, die die eingekapselten APDUs enthalten, werden über die Netzwerkkarte (E/A) 130C über das Netzwerk 45 übertragen 75.
  • Das Ferncomputersystem 50 empfängt die Nachrichtenpakete 635, die die eingekapselten APDUs enthalten, von dem Netzwerk 45 über die Netzwerkkarte (E/A) 130S, die auf dem Ferncomputersystem eingebaut ist. Die ankommenden Nachrichten werden von den serverseitigen Kommunikationsprogrammen 105 mithilfe des vorher festgelegten kryptographischen Verfahrens verarbeitet und entschlüsselt, das in dem sicheren Kommunikationsprotokoll verwendet wird, und zum sicheren Extrahieren der APDUs in den Pipe Server 70 geleitet 610. Die extrahierten sicheren APDUs werden zum Entschlüsseln der sicheren APDUs mithilfe des vorher festgelegten kryptographischen Verfahrens an das Sicherheitsmodul 525 gesendet 630. Die entschlüsselten APDUs werden dann zum Verarbeiten und Übersetzen in ein Format höherer Ebene an die APDU-Schnittstelle 55 geleitet 620 und auf Wunsch zum Verarbeiten und für weitere Vorgänge mit der PSD 40 an die API-Programme 100 gesendet 600.
  • Durch diesen Schritt wird der sichere „Kanal" für den Datenaustausch mit der PSD hergestellt. Der sichere Kanal wird aufrechterhalten, bis das Ferncomputersystem dem Client anzeigt, den Geräteanschluss 5 zu schließen.
  • Es soll keine Beschränkung in der Anzahl der PSDs und Clients gelten, die die Kommunikationskanäle 75 mit einem oder mehreren Ferncomputersystemen) 50 bilden, noch soll eine Beschränkung in der Anzahl der Ferncomputersysteme 50 aus den Zeichnungen abgeleitet werden, die für die Bildung der Kommunikationskanäle 75 verfügbar sind. Schließlich soll keine Beschränkung hinsichtlich des auslösenden Ereignisses für den Aufbau eines Kommunikationskanals gelten.
  • 5.2 Authentifizierungsverfahren und -system mithilfe eines Kommunikationskanals
  • Wie bereits zuvor erwähnt, beruht die Beschreibung des Authentifizierungsverfahrens und -systems auf dem Einsatz eines sicheren Kommunikationskanals, jedoch ist die vorliegende Erfindung nicht auf einen derartigen Einsatz beschränkt.
  • Der Einsatz eines einfachen Kommunikationskanals fällt in den Schutzbereich der vorliegenden Erfindung.
  • Die Schritte bei der Ausführung einer Authentifizierung durch einen sicheren Kommunikationskanal sind in den 7 bis 14 gezeigt. 7 ist ein verallgemeinertes Blockdiagramm des Systems. Die 8 bis 11 veranschaulichen eine erste Ausführungsform der Erfindung, bei der die Antworten auf die Authentifizierungsherausforderungen innerhalb des sicheren Bereichs einer persönlichen Sicherheitsvorrichtung erzeugt werden. Die 12 bis 14 veranschaulichen eine zweite Ausführungsform der Erfindung, bei der ein Ferncomputersystem, das als sicherer Hub dient, die passende Antwort auf die Authentifizierungsherausforderungen liefert, anstatt die Herausforderungen zur Verarbeitung durch den Kommunikationskanal in die PSD zu leiten. Die Zeichen, die mit einem Strich versehen sind (z.B. C') zeigen ein Doppel eines ursprünglichen Authentifizierungs-Berechtigungsnachweises an. Andere Zeichnungsangaben, die gezeigt, jedoch nicht beschrieben sind, beziehen sich auf Angaben, die im vorigen Abschnitt 5.1 beschrieben sind.
  • Mit Bezug auf 7 ist ein verallgemeinertes Blockdiagramm des Systems der Erfindung dargestellt, in dem eine persönliche Sicherheitsvorrichtung 1040 mit einem Client 1010 verbunden ist, der wiederum selbst mithilfe eines sicheren Kommunikationskanals 1075, wie im vorigen Abschnitt 5.1.2 beschrieben, über ein Netzwerk 1045 mit einem Ferncomputersystem 1050 verbunden ist. Das Ferncomputersystem 1050 arbeitet nach der Anfangsauthentifizierung, wie im Folgenden beschrieben, als ein sicherer Hub, um Authentifizierungsanfragen zu bearbeiten, die von nachfolgenden Ferncomputersystemen erfolgen und über ein Netzwerk 1045 oder 1045A gesendet werden.
  • Das nachfolgende Ferncomputersystem 1150 ist ein Beispiel für ein System, das eine Authentifizierung verlangt, wenn eine Anfrage nach geschützten Funktionen oder Daten von dem Clientrechner 1010 über die Netzwerke 1045 und 1045A gesendet wird. Der sichere Kommunikationskanal 1075 findet Anwendung bei Authentifizierungsvorgängen, schränkt jedoch nicht sichere Vorgänge, die über beide Netzwerke 1045 oder 1045A stattfinden, nicht ein noch steuert er sie.
  • Die Netzwerke 1045 und 1045A können wie in einer virtuellen privaten Netzwerkanordnung ein gemeinsames Netzwerk sein oder getrennte Netzwerke wie im privaten Intranet und dem öffentlichen Internet. Die Netzwerke 1045 und 1045A sind lediglich zur Veranschaulichung getrennt dargestellt. Es soll keine Beschränkung in der Anzahl der PSDs und Clients gelten, die die Kommunikationskanäle 1075 mit einem oder mehreren sicheren Hubs 1050 bilden; noch soll eine Beschränkung der Anzahl der nachfolgenden Ferncomputersysteme 1150 aus der Zeichnung abgeleitet werden, die für die Authentifizierung zur Verfügung stehen. Vorgänge ohne Authentifizierung sind nicht auf den sicheren Hub beschränkt.
  • Der grundlegende Vorgang des sicheren Hubs kann ausgelöst werden, wenn ein Endbenutzer an einem Client Zugriff auf geschützte Funktionen oder Daten verlangt, die ein oder mehrere Ferncomputersysteme enthalten, die durch ein Netzwerk verbunden sind. Ein verfügbares Ferncomputersystem, in dem ein sicherer Kommunikationskanal hergestellt wurde, wie im vorigen Abschnitt 5.1.2 beschrieben, authentifiziert den Endbenutzer und den Client mithilfe der Sicherheitsabläufe, die in dem sicheren Bereich der PSD enthalten sind. Wahlweise kann ein äußeres Ereignis wie die Notwendigkeit, Informationen innerhalb einer PSD auf den neuesten Stand zu bringen, dazu führen, dass ein nachfolgendes Ferncomputersystem den Authentifizierungsvorgang auslöst.
  • Sobald eine Anfangsauthentifizierung des Clients durch das verfügbare Ferncomputersystem ausgeführt ist, werden nachfolgende Authentifizierungsherausforderungen, die über ein Netzwerk 1045 oder 1045A übertragen werden und durch nachfolgende Ferncomputersysteme erfolgen, zu dem Ferncomputersystem 1050 geleitet, das als ein sicherer Hub dient, und werden in Abhängigkeit von der Art der verwendeten Ausführungsform der Erfindung entweder durch den entsprechenden Kommunikationskanal 1075 zur PSD 1040 geleitet oder werden unmittelbar durch das Ferncomputersystem 1050 authentifiziert.
  • 5.2.1 Erste Ausführungsform der Erfindung
  • Um einen sicheren Hub herzustellen, sorgt mit Bezug auf 8 ein Client 1010 dafür, dass eine Authentifizierungsherausforderung in einem Ferncomputersystem 1050 erzeugt wird, indem er Zugriff auf geschützte Funktionen oder Daten über ein Netzwerk 1045 verlangt. Wenn es die Anfrage von dem Client 1010 empfängt, erzeugt das Ferncomputersystem 1050 eine Authentifizierungsherausforderung 1205 innerhalb eines sicheren Bereichs, der als Authentifizierungsprogramm 1065 bezeichnet wird. Die Authentifizierungsherausforderung wird durch ein Programm 1100 auf API-Ebene verarbeitet und zum Übersetzen in ein APDU-Format an eine APDU-Schnittstelle 1055 geleitet 1200. Die APDUs werden dann zum Verschlüsseln an ein Sicherheitsmodul 1225 gesendet 1220. Die verschlüsselten APDUs werden dann zum Einkapseln in die abgehende Übertragung an den Pipe Server 1070 geleitet 1230 und zur Übertragung über den Kommunikationskanal 1075 durch das Netzwerk 1045 in die Netzschnittstelle 1130C des Clients 10 an die Kommunikationsprogramme 1105S gesendet 1210. Die ankommenden Nachrichten werden dann zur Verarbeitung an die Kommunikationsprogramme 1105C geleitet 1240.
  • Nach der Verarbeitung werden die Nachrichten zur Trennung der eingekapselten APDUs an einen Pipe Client 1015 gesendet 1250. Die APDUs werden dann durch einen Geräteanschluss 1005, der einer PSD-Schnittstelle 1025 zugewiesen ist, gesendet 1260. Die PSD-Schnittstelle 1025 leitet die ankommenden APDUs über die Verbindung 1030 in die PSD 1040, wo sie anschließend in ihrem sicheren Bereich 1035 entschlüsselt und verarbeitet werden.
  • Mit Bezug auf 9 wird eine Authentifizierungsantwortnachricht mithilfe eines vorher festgelegten kryptographischen Verfahrens erzeugt, sobald die PSD 1040 die Authentifizierungsherausforderung in dem sicheren Bereich 1035 der PSD verarbeitet hat.
  • Die Authentifizierungsantwort wird im APDU-Format von der PSD 1040 durch die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere Antwort der PSD wird dann durch den Geräteanschluss 1005 geleitet 1370 und zum Verarbeiten und zum Einkapseln an den Pipe Client 1015 gesendet 1360. Die entstehenden Nachrichtenpakete werden dann zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in die abgehenden Nachrichtenpakete 1340 an die clientseitigen Kommunikationsprogramme 1105C gesendet 1350. Die Nachrichtenpakete 1340, die die eingekapselten APDUs enthalten, werden über eine Netzwerkkarte (E/A) 1130C über das Netzwerk 1045 übertragen 1075.
  • Das Ferncomputersystem 1050 empfängt die Nachrichtenpakete 1335, die die eingekapselten APDUs enthalten, von dem Netzwerk 1045 über eine Netzwerkkarte (E/A) 1130S, die auf dem Ferncomputersystem eingebaut ist. Die ankommenden Nachrichten werden von den serverseitigen Kommunikationsprogrammen 1105S verarbeitet und mithilfe des vorher festgelegten kryptographischen Verfahrens entschlüsselt, das bei dem sicheren Kommunikationsprotokoll verwendet wird, und zum sicheren Extrahieren der APDUs in den Pipe Server 1070 geleitet 1310. Die extrahierten sicheren APDUs werden zum Entschlüsseln der sicheren APDUs mithilfe des vorher festgelegten kryptographischen Verfahrens zum Sicherheitsmodul 1325 gesendet 1330. Die entschlüsselten APDUs werden dann zum Verarbeiten und zum Übersetzen in ein Format höherer Ebene an die APDU-Schnittstelle 1055 geleitet und zum Verarbeiten an die Programme 1100 der API-Ebene gesendet 1300. Ist die Authentifizierung erfolgreich, erlaubt das Ferncomputersystem 1050 den Zugriff auf geschützte Funktionen oder Daten und richtet sich selbst als einen sicheren Hub ein. Ist die Authentifizierung nicht erfolgreich, kann der Endbenutzer nicht auf geschützte Funktionen oder Daten zugreifen.
  • Mit Bezug auf 10 kann die Fernauthentifizierung nachfolgender Ferncomputersysteme ausgeführt werden, sobald der sichere Hub eingerichtet ist, wie zuvor beschrieben. Die Fernauthentifizierung kann entweder durch eine Anforderung des Clients nach Zugriff auf geschützte Funktionen oder Daten ausgelöst werden oder durch andere Ferncomputersysteme, um Vorgänge innerhalb des sicheren Bereichs einer PSD auszuführen.
  • Um eine Fernauthentifizierung durchzuführen, wird eine Herausforderung 1085 von einem nachfolgenden Ferncomputersystem 1150 abgegeben. Die Herausforderung wird über ein Netzwerk 1045 in den sicheren Hub 1050 geleitet. Die ankommende Herausforderung von den serverseitigen Kommunikationsprogrammen 1105S wird in dem sicheren Hub 1050 verarbeitet und mithilfe des vorher festgelegten kryptographischen Verfahrens entschlüsselt, das bei dem sicheren Kommunikationsprotokoll verwendet wird, und an ein Programm 1100 auf API-Ebene geleitet 1085, wo sie verarbeitet wird, und zum Übersetzen in ein APDU-Format an eine APDU-Schnittstelle 1055 geleitet 1400. Die APDUs werden dann zum Verschlüsseln an ein Sicherheitsmodul 1425 gesendet 1420. Die verschlüsselten APDUs werden dann zum Einkapseln in die abgehende Übertragung an den Pipe Server 1070 geleitet 1430 und zur Übertragung über den Kommunikationskanal 1075 durch das Netzwerk 1045 in die Netzschnittstelle 1130C des Clients 1010 an die Kommunikationsprogramme 1105S gesendet 1410.
  • Die ankommenden Nachrichten werden dann zur Verarbeitung an die Kommunikationsprogramme 1105C geleitet 1440. Nach der Verarbeitung werden die Nachrichten zur Trennung der eingekapselten APDUs an einen Pipe Client 1015 gesendet 1450. Die APDUs werden dann durch einen Geräteanschluss 1005, der einer PSD-Schnittstelle 1025 zugewiesen ist, gesendet 1460. Die PSD-Schnittstelle 1025 leitet die ankommenden APDUs über die Verbindung 1030 in die PSD 1040, wo sie anschließend in ihrem sicheren Bereich 1035 entschlüsselt und verarbeitet werden.
  • Mit Bezug auf 11 wird eine Authentifizierungsantwortnachricht mithilfe eines vorher festgelegten kryptographischen Verfahrens erzeugt, sobald die PSD 1040 die Authentifizierungsherausforderung in ihrem sicheren Bereich 1035 verarbeitet hat. Die Authentifizierungsantwort wird im APDU-Format von der PSD 1040 durch die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere Antwort der PSD wird dann durch den Geräteanschluss 1005 geleitet 1570 und zum Verarbeiten und zum Einkapseln an den Pipe Client 1015 gesendet 1560. Die entstehenden Nachrichtenpakete werden dann zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in die abgehenden Nachrichtenpakete 1540 an die clientseitigen Kommunikationspregramme 1105C gesendet 1550. Die Nachrichtenpakete 1540, die die eingekapselten APDUs enthalten, werden über die Netzwerkkarte (E/A) 1130C über das Netzwerk 1045 übertragen 1075.
  • Der sichere Hub 1050 empfängt die Nachrichtenpakete 1535, die die eingekapselten APDUs enthalten, von dem Netzwerk 1045 über die Netzwerkkarte (E/A) 1130S. Die ankommenden Nachrichten werden von den serverseitigen Kommunikationsprogrammen 1105S verarbeitet und mithilfe des vorher festgelegten kryptographischen Verfahrens entschlüsselt, das bei dem sicheren Kommunikationsprotokoll verwendet wird, und zum sicheren Extrahieren der APDUs in den Pipe Server 1070 geleitet 1510. Die extrahierten sicheren APDUs werden zum Entschlüsseln der sicheren APDUs mithilfe des vorher festgelegten kryptographischen Verfahrens zum Sicherheitsmodul 1525 gesendet 1530. Die entschlüsselten APDUs werden dann zum Verarbeiten und zum Übersetzen in ein Format höherer Ebene an die APDU-Schnittstelle 1055 geleitet 1520 und zum Verarbeiten an die Programme 1100 der API-Ebene gesendet 1500. Das Authentifizierungsmodul 1065 innerhalb des sicheren Hubs 1050 bleibt während der Übertragung der Authentifizierungsinformationen inaktiv. Die Authentifizierungsantwortnachricht wird dann in die Kommunikationsprogramme 11055 geleitet 1085, wo die Antwort über das Netzwerk 1045 gemäß einem vorher festgelegten sicheren Kommunikationsprotokoll an das herausfordernde nachfolgende Ferncomputersystem 1150 gesendet wird.
  • Die ankommende Antwortnachricht wird entschlüsselt und an ein Authentifizierungsmodul 1095 gesendet. Ist die Authentifizierung erfolgreich, erlaubt das nachfolgende Ferncomputersystem 1150 den Zugriff auf geschützte Funktionen oder Daten. Ist die Authentifizierung nicht erfolgreich, kann der Endbenutzer nicht auf geschützte Funktionen oder Daten zugreifen.
  • 5.2.2 Zweite Ausführungsform der Erfindung
  • Mit Bezug auf 12 ist eine wahlweise Ausführungsform der vorliegenden Erfindung dargestellt, bei der das Ferncomputersystem 1050 Kopien der PSD-Berechtigungsnachweise C 1035 überträgt, wenn sie auf dem Ferncomputersystem 1050 nicht bereits vorhanden sind. Um eine Übertragung von Berechtigungsnachweisen durchzuführen, wird von dem Ferncomputersystem 1050 ein Anfangsauthentifizierungsvorgang ausgeführt, wie zuvor beschrieben. Nach der Authentifizierung, werden zusätzliche Befehle von dem Ferncomputersystem 1050 gesendet, um die festgelegten Berechtigungsnachweise zu übertragen.
  • Die Berechtigungsnachweise werden mithilfe eines vorher festgelegten kryptographischen Verfahrens erzeugt und im APDU-Format von der PSD 1040 durch die Verbindung 1030 und in die PSD-Schnittstelle 1025 gesendet. Die sichere Antwort der PSD wird dann durch den Geräteanschluss 1005 geleitet 1670 und zum Verarbeiten und zum Einkapseln an den Pipe Client 1015 gesendet 1660. Die entstehenden Nachrichtenpakete werden dann zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in die abgehenden Nachrichtenpakete 1640 an die clientseitigen Kommunikationsprogramme 1105C gesendet 1650. Die Nachrichtenpakete 640, die die eingekapselten APDUs enthalten, werden über eine Netzwerkkarte (E/A) 1130C über das Netzwerk 1045 übertragen 1075.
  • Das Ferncomputersystem 1050 empfängt die Nachrichtenpakete 1635, die die eingekapselten APDUs enthalten, von dem Netzwerk 1045 über die Netzwerkkarte (E/A) 1130S, die auf dem Ferncomputersystem eingebaut ist.
  • Die ankommenden Nachrichten werden von den serverseitigen Kommunikationsprogrammen 1105S verarbeitet und mithilfe des vorher festgelegten kryptographischen Verfahrens entschlüsselt, das bei dem sicheren Kommunikationsprotokoll verwendet wird, und zum sicheren Extrahieren der APDUs in den Pipe Server 1070 geleitet 1610. Die extrahierten sicheren APDUs werden zum Entschlüsseln der sicheren APDUs mithilfe des vorher festgelegten kryptographischen Verfahrens zum Sicherheitsmodul 1625 gesendet 1630. Die entschlüsselten APDUs werden dann zum Verarbeiten und zum Übersetzen in ein Format höherer Ebene an die APDU-Schnittstelle 1055 geleitet 1620 und zum Verarbeiten an die Programme 1100 der API-Ebene gesendet 1600 und anschließend zur sicheren Speicherung und weiteren Verwendung an das Authentifizierungsmodul 1065 gesendet 1605. Die übertragene Authentifizierungsinformation ist in 12 als C' gezeigt.
  • In 13 wird eine Authentifizierungsherausforderung 1085 von einem nachfolgenden Ferncomputersystem 1150 über ein Netzwerk 1045 gesendet. Das Ferncomputersystem 1050, das als ein sicherer Hub dient, empfängt die ankommende Herausforderung 1085 von dem Netzwerk 1045 über die Netzwerkkarte 1130S, die auf dem Ferncomputersystem 1050 eingebaut ist. Die ankommenden Herausforderungen 1085 werden von den serverseitigen Kommunikationsprogammen 1105S verarbeitet und mithilfe des vorher festgelegten kryptogaphischen Verfahrens entschlüsselt, das bei dem sicheren Kommunikationsprotokoll verwendet wird, und zum Verarbeiten an die Programme 1100 der API-Ebene geleitet. Die verarbeitete Herausforderung wird dann zur Authentifizierung an das Authentifizierungsmodul 1065 gesendet 1705, unter Verwendung der übertragenen Berechtigungsnachweise C' 1035' der PSD. Der Kommunikationskanal 1075 kann während dieses Vorgangs bestehen bleiben, damit andere Vorgänge stattfinden können.
  • Mit Bezug auf 14 erzeugt der sichere Hub 1050 eine Authentifizierungsantwort in dem Authentifizierungsmodul 1065, die zum Verarbeiten an die Programme 1100 der API-Ebene gesendet 1805 wird und anschließend zum Verarbeiten, Verschlüsseln mithilfe eines vorher festgelegten sicheren Kommunikationsprotokolls und zum Einfügen in abgehende Nachrichtenpakete an die serverseitigen Kommunikationsprogramme 1105S geleitet 1810 wird. Die Nachrichtenpakete werden über das Netzwerk 1045 an das herausfordernde nachfolgende Ferncomputersystem 1150 geleitet. Die ankommenden Nachrichten werden dann entschlüsselt und die Authentifizierungsantwort durch ein internes Authentifizierungsmodul 1095 verarbeitet. Ist die Authentifizierung erfolgeich, erlaubt das nachfolgende Ferncomputersystem 1150 den Zugriff auf geschützte Funktionen oder Daten. Ist die Authentifizierung nicht erfolgeich, kann der Endbenutzer nicht auf geschützte Funktionen oder Daten zugreifen.
  • Die vorstehend beschriebenen Ausführungsformen der Erfindung dienen der Veranschaulichung und Beschreibung. Sie sollen die Erfindung nicht auf genau die Formen beschränken, die beschrieben sind. Insbesondere ist beabsichtigt, dass die funktionelle Ausführung der Erfindung, die hier beschrieben ist, gleichwertig in Hardware-, Software-, Firmware- und/oder weiteren verfügbaren Funktionsbausteinen oder Baueinheiten ausgeführt sein kann. Weitere Abwandlungen und Ausführungsformen sind angesichts der vorgenannten Lehren möglich, und der Schutzumfang der Erfindung soll nicht durch diese „Ausführliche Beschreibung" beschränkt werden, sondern vielmehr durch die nachfolgenden Ansprüche.

Claims (17)

  1. Verfahren zum Authentifizieren von mindestens einer persönlichen Sicherheitsvorrichtung PSD (1040) gegenüber mindestens einem ersten Ferncomputersystem (1050) über ein erstes Netzwerk (1045) mittels mindestens einem Client (1010) als Hostrechner für die mindestens eine PSD (1040), wobei das Verfahren die folgenden Schritte umfasst: – a) Herstellen von mindestens einem Kommunikationskanal (1075) zum Übertragen von PSD-formatierten Nachrichten über das erste Netzwerk (1045) zwischen der mindestens einen PSD (1040) und dem mindestens einen ersten Ferncomputersystem (1050), – b) Erzeugen oder Abrufen einer ersten Authentifizierungsherausforderung (1205) als mindestens eine erste PSD-formatierte Nachricht (1220) in dem mindestens einen ersten Ferncomputersystem (1050), – c) Übertragen der ersten Authentifizierungsherausforderung (1205) von dem mindestens einen ersten Ferncomputersystem (1050) zu der mindestens einen PSD (1040) durch den mindestens einen Kommunikationskanal (1075), – d) Herausfordern der mindestens einen PSD (1040) mit der ersten Authentifizierungsherausforderung und dadurch Erzeugen einer ersten Authentifizierungsantwort als mindestens eine zweite PSD-formatierte Nachricht (1370), – e) Übertragen der ersten Authentifizierungsantwort von der mindestens einen PSD (1040) zu dem mindestens einen ersten Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075), und – f) Authentifizieren der ersten Authentifizierungsantwort (1305) in dem mindestens einen ersten Ferncomputersystem (1050), wobei das mindestens eine erste Ferncomputersystem die mindestens eine erste PSD-formatierte Nachricht in mindestens ein erstes Nachrichtendatenpaket gemäß einem Übertragungsprotokoll des ersten Netzwerks vor dem Übertragen an den mindestens einen ersten Client über das erste Netzwerk einkapselt und wobei der mindestens eine erste Client sie aus dem mindestens einen Nachrichtendatenpaket vor dem Übertragen an die PSD extrahiert, und wobei die mindestens eine zweite PSD-formatierte Nachricht im PSD-Format von der mindestens einen PSD (1040) an den mindestens einen ersten Client übertragen ist, von dem mindestens einen ersten Client in mindestens ein zweites Nachrichtendatenpaket gemäß einem Übertragungsprotokoll des ersten Netzwerks vor dem Übertragen über das Netzwerk an den mindestens einen ersten Fernrechner eingekapselt ist, und aus dem mindestens einen zweiten Nachrichtendatenpaket von dem mindestens einen ersten Fernrechner extrahiert ist.
  2. Verfahren nach Anspruch 1, das weiterhin die folgenden Schritte umfasst: – b1) Verschlüsseln der ersten Authentifizierungsabfrage (1205) in dem mindestens einen ersten Ferncomputersystem (1050) nach dem Schritt b) und vor dem Schritt c), – c1) Entschlüsseln der ersten Authentifizierungsabfrage in der mindestens einen PSD (1040) nach dem Schritt c) und vor dem Schritt d), – d1) Verschlüsseln der ersten Authentifizierungsantwort in der mindestens einen PSD (1040) nach dem Schritt d) und vor dem Schritt e), und – e1) Entschlüsseln der ersten Authentifizierungsantwort in dem mindestens einen ersten Ferncomputersystem (1050) nach dem Schritt e) and vor dem Schritt f).
  3. Verfahren nach Anspruch 1 oder 2 zum Authentifizieren der mindestens einen PSD (1040) gegenüber mindestens einem nachfolgenden Ferncomputersystem (1150), die in funktioneller Hinsicht mit dem mindestens einen ersten Ferncomputersystem (1050) durch ein zweites Netzwerk verbunden ist, wobei das Verfahren weiterhin die folgenden Schritte umfasst: – aa) Erzeugen oder Abrufen einer zweiten Authentifizierungsabfrage (1085) in dem mindestens einen nachfolgenden Ferncomputersystem (1150), – ab) Übertragen der zweiten Authentifizierungsabfrage (1085) von dem mindestens einen nachfolgenden Ferncomputersystem (1150) zu dem mindestens einen ersten Ferncomputersystem (1050) über das zweite Netzwerk, – ac) Umwandeln der zweiten Authentifizierungsabfrage (1085) in eine PSD-formatierte Nachricht, – ad) Übertragen der zweiten Authentifizierungsabfrage (1085) von dem mindestens einen ersten Ferncomputersystem (1050) zu der mindestens einen PSD (1040) durch den mindestens einen Kommunikationskanal (1075), – ae) Abfragen der mindestens einen PSD (1040) mit der zweiten Authentifizierungsabfrage und dadurch Erzeugen einer zweiten Authentifizierungsantwort, – af) Übertragen der zweiten Authentifizierungsantwort von der mindestens einen PSD (1040) zu dem mindestens einen ersten Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075), – ag) Übertragen der zweiten Authentifizierungsantwort von dem mindestens einen ersten Ferncomputersystem (1050) zu dem mindestens einen nachfolgenden Ferncomputersystem (1150) über das zweite Netzwerk, und – ah) Authentifizieren der zweiten Authentifizierungsantwort in dem mindestens einen nachfolgenden Ferncomputersystem (1150).
  4. Verfahren nach Anspruch 3, das weiterhin die folgenden Schritte umfasst: – ac1) Verschlüsseln der zweiten Authentifizierungsabfrage (1085) in dem mindestens einen ersten Ferncomputersystem (1050) nach dem Schritt ac) und vor dem Schritt ad), – ad1) Entschlüsseln der zweiten Authentifizierungsabfrage in der mindestens einen PSD (1045) nach dem Schritt ad) und vor dem Schritt ae), – ae1) Verschlüsseln der zweiten Authentifizierungsantwort in der mindestens einen PSD (1040) nach dem Schritt ae) und vor dem Schritt af), und – af1) Entschlüsseln der zweiten Authentifizierungsantwort in dem mindestens einen ersten Ferncomputersystem (1050) nach dem Schritt af) und vor dem Schritt ag).
  5. Verfahren nach Anspruch 1 oder 2 zum Authentifizieren der mindestens einen PSD (1040) gegenüber mindestens einem nachfolgenden Ferncomputersystem (1150), die in funktioneller Hinsicht mit dem mindestens einen ersten Ferncomputersystem (1050) durch ein zweites Netzwerk verbunden ist, wobei das Verfahren weiterhin die folgenden Schritte umfasst: – ba) Senden eines Befehls zum Übertragen von Berechtigungsnachweisen von dem mindestens einen erste Ferncomputersystem (1050) an die mindestens eine PSD (1040), – bb) Übertragen der Berechtigungsnachweise (C) von der mindestens einen PSD (1040) an das mindestens eine erste Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075), – bc) Speichern der Berechtigungsnachweise (C, C') in dem mindestens einen ersten Ferncomputersystem (1050), – bd) Erzeugen oder Abrufen einer zweiten Authentifizierungsabfrage (1085) in dem mindestens einen nachfolgenden Ferncomputersystem (1050), – be) Übertragen der zweiten Authentifizierungsabfrage (1085) von dem mindestens einen nachfolgenden Ferncomputersystem (1150) zu dem mindestens einen Ferncomputersystem (1010) über das zweite Netzwerk, – bf) Abfragen der gespeicherten Berechtigungsnachweise (C') mit der zweiten Authentifizierungsabfrage (1085) und dadurch Erzeugen einer zweiten Authentifizierungsantwort, – bg) Übertragen der zweiten Authentifizierungsantwort von dem mindestens einen ersten Ferncomputersystem (1050) zu dem mindestens einen nachfolgenden Ferncomputersystem (1150) über das zweite Netzwerk, und – bh) Authentifizieren, der zweiten Authentifizierungsantwort in dem mindestens einen nachfolgenden Ferncomputersystem (1150).
  6. Verfahren nach Anspruch 3, das weiterhin die folgenden Schritte umfasst: – ba1) Verschlüsseln der Berechtigungsnachweise (C) in der mindestens einen PSD (1040) nach dem Schritt ba) und vor dem Schritt bb), und – bb1) Entschlüsseln der Berechtigungsnachweise in dem mindestens einen ersten Ferncomputersystem (1050) nach dem Schritt bb) und vor dem Schritt bc).
  7. Verfahren nach Anspruch 1 oder 2, das den Schritt des Erstellens des Kommunikationskanals (1075) bei einer Anfrage umfasst, die der mindestens eine Client (1010) erzeugt.
  8. Verfahren nach Anspruch 1 oder 2, das den Schritt des Erstellens des Kommunikationskanals (1075) durch mindestens ein vernetztes Ferncomputersystem umfasst.
  9. Verfahren nach Anspruch 1, wobei die PSD-formatierten Nachrichten Nachrichten auf der Ebene der Anwendungsprotokoll-Dateineinheit nach dem OSI-Modell sind.
  10. Client (1010) zum Authentifizieren mindestens einer PSD (1040) gegenüber mindestens einem ersten Ferncomputersystem (1050) durch mindestens einen Kommunikationskanal (1075), der über ein erstes Netzwerk (1045) hergestellt ist, wobei der Client (1010) als Hostrechner für die mindestens eine PSD (1040) dient, mittels des Authentifizierungsverfahrens nach Anspruch 1, wobei der Client Folgendes umfasst: – Mittel zum Herstellen des mindestens einen Kommunikationskanals (1075) zum Übertragen von PSD-formatierten Nachrichten über das erste Netzwerk (1045) zwischen der mindestens einen PSD (1040) und des mindestens einen ersten Ferncomputersystem (1050), wobei die Mittel zum Herstellen des Kommunikationskanals Folgendes umfassen: – Mittel zum Empfangen der mindestens einen ersten PSD-formatierten Nachricht von der PSD, – Mittel zum Einkapseln der mindestens einen ersten PSD-formatierten Nachricht, die von der PSD empfangen ist, in mindestens ein erstes Nachrichtendatenpaket gemäß einem Übertragungsprotokoll des ersten Netzwerks, – Mittel zum Übertragen des mindestens einen ersten Nachrichtendatenpakets über das erste Netzwerk an das mindestens eine erste Ferncomputersystem, – Mittel zum Empfangen von mindestens einem zweiten Nachrichtendatenpakets gemäß einem Übertragungsprotokoll des ersten Netzwerks, wobei das mindestens eine Nachrichtendatenpaket die mindestens eine zweite PSD-formatierte Nachricht einkapselt, – Mittel zum Extrahieren der mindestens einen zweiten PSD-formatierten Nachricht aus dem mindestens einen zweiten Nachrichtendatenpaket, das von dem mindestens einen ersten Ferncomputersystem empfangen ist, – Mittel zum Übertragen der mindestens einen zweiten PSD-formatierten Nachricht nach dem Extrahieren aus der mindestens einen zweiten Nachricht an die mindestens eine PSD (1040).
  11. Ferncomputersystem (1050) zum Authentifizieren von mindestens einer PSD (1040) gegenüber dem Ferncomputersystem (1050) durch mindestens einen Kommunikationskanal (1075), der über ein erstes Netzwerk (1045) hergestellt ist, wobei der Client (1010) als Hostrechner für die mindestens eine PSD (1040) dient, mittels des Authentifizierungsverfahrens nach Anspruch 1, wobei das Ferncomputersystem (1050) Folgendes umfasst: – Mittel zum Herstellen des mindestens einen Kommunikationskanals (1075) über das erste Netzwerk (1045) zum Übertragen von PSD-formatierten Nachrichten zwischen der mindestens einen PSD (1040) und dem mindestens einen ersten Ferncomputersystem (1050), – Mittel zum Erzeugen oder Abfragen einer ersten Authentifizierungsabfrage (1205) als mindestens eine abgehende PSD-formatierte Nachricht (1220), – Mittel zum Übertragen der ersten Authentifizierungsabfrage (1205) zu der mindestens einen PSD (1040) durch den mindestens einen Kommunikationskanal (1075), – Mittel zum Authentifizieren einer ersten Authentifizierungsantwort (1305) auf die erste Authentifizierungsabfrage (1205), wobei die erste Authentifizierungsantwort (1305) von der mindestens einen PSD (1040) als mindestens eine ankommende PSD-formatierte Nachricht erzeugt ist und an das Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075) übertragen ist, wobei die Mittel zum Herstellen des Kommunikationskanals Folgendes umfassen – Mittel zum Einkapseln der mindestens einen abgehenden PSD-formatierten Nachricht in mindestens ein abgehendes Nachrichtendatenpaket gemäß einem Übertragungsprotokoll des ersten Netzwerks, – Mittel zum Übertragen des mindestens einen ersten Nachrichtendatenpakets über das erste Netzwerk an den mindestens einen ersten Client, – Mittel zum Empfangen von mindestens einem ankommenden Nachrichtendatenpaket durch das erste Netzwerk von dem mindestens einen ersten Client, wobei das mindestens eine ankommende Nachrichtendatenpaket die mindestens eine ankommende PSD-formatierte Nachricht einkapselt, – Mittel zum Extrahieren der mindestens einen ankommenden PSD-formatierten Nachricht aus dem mindestens einen ankommenden Nachrichtendatenpaket.
  12. Ferncomputersystem (1050) nach Anspruch 11, weiterhin umfassend Schlüsselmittel (1225, 1325, 1425, 1525, 1625; 1725, 1825) zum Verschlüsseln der mindestens einen abgehenden PSD-formatierten Nachricht (1220, 1420) und zum Entschlüsseln der mindestens einen ankommenden PSD-formatierten Nachricht (1320, 1520; 1620).
  13. Ferncomputersystem (1050) nach Anspruch 11, weiterhin umfassend Mittel zum: – Verarbeiten von mindestens einer zweiten Authentifizierungsabfrage (1085), die über ein zweites Netzwerk von mindestens einer nachfolgenden Ferncomputersystem (1150) empfangen ist, und Weiterleiten an die mindestens eine PSD (1040) durch den mindestens einen Kommunikationskanal (1075) als eine abgehende PSD-formatierte Nachricht, und zum – Verarbeiten von mindestens einer zweiten Authentifizierungsantwort auf die mindestens eine zweite Authentifizierungsabfrage (1085) und Weiterleiten an das mindestens eine nachfolgende Ferncomputersystem (1150), wobei die mindestens eine zweite Authentifizierungsantwort von der mindestens einen PSD (1040) erzeugt ist und an das mindestens eine nachfolgende Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075) als eine ankommende PSD-formatierte Nachricht (1520) übertragen ist.
  14. Ferncomputersystem (1050) nach Anspruch 11, weiterhin umfassend Mittel zum Speichern von Berechtigungsnachweisen (C'), die von der mindestens einen PSD (1040) durch den mindestens einen Kommunikationskanal (1075) als eine ankommende PSD-formatierte Nachricht (1620) importiert sind, und Mittel zum Abrufen der gespeicherten Berechtigungsnachweise (C') mit mindestens einer zweiten Authentifizierungsabfrage (1085), die über ein zweites Netzwerk von mindestens einem nachfolgenden Ferncomputersystem (1150) empfangen ist.
  15. Authentifizierungssystem zum Durchführen des Verfahrens aus Anspruch 1, das mindestens eine PSD (1040) umfasst, mindestens einen Client (1010) nach Anspruch 10 und mindestens ein erstes Ferncomputersystem (1050) nach einem der Ansprüche 11 bis 14 zum Authentifizieren der mindestens einen PSD (1040) gegenüber des mindestens einen ersten Ferncomputersystem (1050) über ein erstes Netzwerk (1045) mittels mindestens einem Client (1010) als Hostrechner für die mindestens eine PSD (1040), wobei die mindestens eine PSD (1040) Folgendes umfasst – Mittel zum Erzeugen einer ersten Authentifizierungsantwort auf die erste Authentifizierungsabfrage (1205) als mindestens eine zweite PSD-formatierte Nachricht (1370), und – Mittel zum Übertragen der ersten Authentifizierungsantwort auf das mindestens eine erste Ferncomputersystem (1050) durch den mindestens einen Kommunikationskanal (1075).
  16. Authentifizierungssystem nach Anspruch 15, das weiterhin das mindestens eine nachfolgende Ferncomputersystem (1150) umfasst, die in funktioneller Hinsicht mit dem mindestens einen ersten Ferncomputersystem (1050) durch das zweite Netzwerk verbunden ist, wobei das mindestens eine nachfolgende Ferncomputersystem (1150) Mittel (1095) zum Erzeugen der mindestens einen zweiten Authentifizierungsabfrage (1085) umfasst, zum Übertragen der mindestens einen zweiten Authentifizierungsabfrage (1085) an das mindestens eine erste Ferncomputersystem (1050) durch das zweite Netzwerk und zum Authentifizieren der mindestens einen zweiten Authentifizierungsantwort auf die mindestens eine zweite Authentifizierungsabfrage (1085).
  17. Authentifizierungssystem nach Anspruch 16, wobei das erste (1045) und das zweite Netzwerk ein gemeinsames Netzwerk bilden.
DE60203277T 2001-04-30 2002-04-09 Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem Expired - Lifetime DE60203277T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US844246 2001-04-30
US09/844,246 US20020162021A1 (en) 2001-04-30 2001-04-30 Method and system for establishing a remote connection to a personal security device
US09/844,439 US7363486B2 (en) 2001-04-30 2001-04-30 Method and system for authentication through a communications pipe
US844439 2001-04-30
PCT/EP2002/003929 WO2002089444A1 (en) 2001-04-30 2002-04-09 Method and system for authenticating a personal security device vis-a-vis at least one remote computer system

Publications (2)

Publication Number Publication Date
DE60203277D1 DE60203277D1 (de) 2005-04-21
DE60203277T2 true DE60203277T2 (de) 2006-03-30

Family

ID=27126490

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60203277T Expired - Lifetime DE60203277T2 (de) 2001-04-30 2002-04-09 Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem

Country Status (5)

Country Link
US (1) US7316030B2 (de)
EP (1) EP1384370B1 (de)
AT (1) ATE291319T1 (de)
DE (1) DE60203277T2 (de)
WO (1) WO2002089444A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014004917A1 (de) * 2014-04-07 2015-10-08 Certgate Gmbh Bereitstellen einer virtuellen Verbindung zum Übertragen von Anwendungsdateneinheiten

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8209753B2 (en) 2001-06-15 2012-06-26 Activcard, Inc. Universal secure messaging for remote security tokens
US20040218762A1 (en) 2003-04-29 2004-11-04 Eric Le Saint Universal secure messaging for cryptographic modules
US7702916B2 (en) * 2003-03-31 2010-04-20 Visa U.S.A. Inc. Method and system for secure authentication
US7907935B2 (en) * 2003-12-22 2011-03-15 Activcard Ireland, Limited Intelligent remote device
US20050138380A1 (en) 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US7921062B2 (en) * 2004-01-29 2011-04-05 Neopost Technologies Sa Dynamic allocation of postal security devices
DE102004039547A1 (de) * 2004-08-13 2006-02-23 Deutsche Post Ag Verfahren und Vorrichtung zur Frankierung von Postsendungen
KR100651717B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 스마트 카드를 이용한 원격 단말기와 홈 네트워크 간의인증방법 및 홈 네트워크 시스템
US8344851B2 (en) * 2006-05-31 2013-01-01 Samsung Electronics Co., Ltd. Method for providing remote mobile device access and control
KR100808986B1 (ko) * 2006-11-09 2008-03-04 삼성전자주식회사 이동통신단말기의 콘텐츠 파일 실행방법 및 장치
DE102007040872A1 (de) * 2007-08-29 2009-03-05 Giesecke & Devrient Gmbh Datenkommunikationsverfahren und Datenträger dafür
US8447977B2 (en) 2008-12-09 2013-05-21 Canon Kabushiki Kaisha Authenticating a device with a server over a network
RU2698767C2 (ru) * 2010-01-19 2019-08-29 Виза Интернэшнл Сервис Ассосиэйшн Обработка аутентификации удаленной переменной
EP3404601A1 (de) 2010-01-19 2018-11-21 Visa International Service Association Token-basierte transaktionsauthentifizierung
AU2010230088B2 (en) * 2010-02-25 2012-09-20 Idondemand, Inc. Authentication system and method in a contactless environment
US20110219096A1 (en) * 2010-03-05 2011-09-08 Telefonica, S.A. Method and system for operations management in a telecommunications terminal with a state machine
US8756655B2 (en) * 2012-07-13 2014-06-17 International Business Machines Corporation Integrated physical access control and information technology (IT) security
US9253179B2 (en) 2012-07-13 2016-02-02 International Business Machines Corporation Managing security restrictions on a resource in a defined environment
US10243731B2 (en) 2017-01-27 2019-03-26 Accenture Global Solutions Limited Hardware blockchain acceleration
SG11202009997QA (en) 2018-04-10 2020-11-27 Visa Int Service Ass Method, system, and computer program product for authenticating a device

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US39587A (en) * 1863-08-18 Improved soda-water cooler
US45451A (en) * 1864-12-13 Eichaed smith
US7028187B1 (en) 1991-11-15 2006-04-11 Citibank, N.A. Electronic transaction apparatus for electronic commerce
US5276735A (en) 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
AU675550B2 (en) 1993-06-02 1997-02-06 Hewlett-Packard Company System and method for revaluation of stored tokens in IC cards
US5455863A (en) 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
US5434919A (en) 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5778071A (en) * 1994-07-12 1998-07-07 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
EP0727894B1 (de) 1994-08-30 2004-08-04 Kokusai Denshin Denwa Co., Ltd Beglaubigungseinrichtung
EP0723355A1 (de) 1995-01-18 1996-07-24 T.R.T. Telecommunications Radioelectriques Et Telephoniques Datenübertragungssystem mit Datenkompression
DE19522527A1 (de) 1995-06-23 1997-01-02 Ibm Verfahren zur Vereinfachung der Kommunikation mit Chipkarten
FR2739242B1 (fr) 1995-09-25 1997-10-24 Gemplus Card Int Modem equipe d'un lecteur de carte a puce
US5991407A (en) 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US5944821A (en) 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
US6101254A (en) 1996-10-31 2000-08-08 Schlumberger Systemes Security method for making secure an authentication method that uses a secret key algorithm
US6192473B1 (en) 1996-12-24 2001-02-20 Pitney Bowes Inc. System and method for mutual authentication and secure communications between a postage security device and a meter server
US6144671A (en) 1997-03-04 2000-11-07 Nortel Networks Corporation Call redirection methods in a packet based communications network
WO1998043212A1 (en) 1997-03-24 1998-10-01 Visa International Service Association A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US6101255A (en) 1997-04-30 2000-08-08 Motorola, Inc. Programmable cryptographic processing system and method
US6385723B1 (en) 1997-05-15 2002-05-07 Mondex International Limited Key transformation unit for an IC card
DE19720431A1 (de) 1997-05-15 1998-11-19 Beta Research Ges Fuer Entwick Vorrichtung und Verfahren zur Personalisierung von Chipkarten
DE19724901A1 (de) 1997-06-12 1998-12-17 Siemens Nixdorf Inf Syst Mobilfunktelefon sowie solche mit gekoppeltem Rechner für Internet- bzw. Netzanwendungen und Verfahren zum Betreiben einer solchen Gerätekombination
US6422459B1 (en) 1997-10-15 2002-07-23 Citicorp Development Center, Inc. Method and system for off-line loading of stored value cards using a batch-load terminal
US6105008A (en) 1997-10-16 2000-08-15 Visa International Service Association Internet loading system using smart card
US6711166B1 (en) 1997-12-10 2004-03-23 Radvision Ltd. System and method for packet network trunking
US6018779A (en) 1997-12-15 2000-01-25 Emc Corporation System for encapsulating a plurality of selected commands within a single command and transmitting the single command to a remote device over a communication link therewith
US6108789A (en) 1998-05-05 2000-08-22 Liberate Technologies Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority
FR2779018B1 (fr) 1998-05-22 2000-08-18 Activcard Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees
US6385729B1 (en) 1998-05-26 2002-05-07 Sun Microsystems, Inc. Secure token device access to services provided by an internet service provider (ISP)
US6131811A (en) 1998-05-29 2000-10-17 E-Micro Corporation Wallet consolidator
FR2782435B1 (fr) 1998-08-13 2000-09-15 Bull Cp8 Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre
US20010039587A1 (en) 1998-10-23 2001-11-08 Stephen Uhler Method and apparatus for accessing devices on a network
WO2000025278A1 (en) 1998-10-27 2000-05-04 Visa International Service Association Delegated management of smart card applications
US6602469B1 (en) 1998-11-09 2003-08-05 Lifestream Technologies, Inc. Health monitoring and diagnostic device and network-based health assessment and medical records maintenance system
US6195700B1 (en) 1998-11-20 2001-02-27 International Business Machines Corporation Application protocol data unit management facility
TW449991B (en) 1999-01-12 2001-08-11 Ibm Method and system for securely handling information between two information processing devices
FR2791159B1 (fr) 1999-03-15 2001-05-04 Bull Cp8 Procede d'acces a un objet a l'aide d'un navigateur de type "web" cooperant avec une carte a puce et architecture pour la mise en oeuvre du procede
HRP20020180A2 (en) 1999-08-31 2004-06-30 American Express Travel Relate Methods and apparatus for conducting electronic transactions
AU3844900A (en) * 1999-09-22 2001-04-24 Ba Cards And Security B.V. (Bacs) Method and system for performing a transaction between a client and a server over a network
FR2804816B1 (fr) * 2000-02-03 2003-10-31 Gemplus Card Int Transport d'unites de protocole d'objet electronique portable par protocole pour peripheriques de micro- ordinateur
AUPQ549200A0 (en) 2000-02-08 2000-03-02 Keycorp Limited A method of operating a remote terminal
US20010045451A1 (en) 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
EP1202208A4 (de) 2000-04-06 2006-04-12 Sony Corp Verfahren zur speicherbereichsteillung für tragbares gerät
US20020025046A1 (en) * 2000-05-12 2002-02-28 Hung-Yu Lin Controlled proxy secure end to end communication
US6993131B1 (en) 2000-09-12 2006-01-31 Nokia Corporation Method and system for managing rights in digital information over a network
US6807561B2 (en) 2000-12-21 2004-10-19 Gemplus Generic communication filters for distributed applications
US20020194499A1 (en) * 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
US7249373B2 (en) * 2003-01-15 2007-07-24 Microsoft Corporation Uniformly representing and transferring security assertion and security response information
US20050195809A1 (en) * 2004-03-05 2005-09-08 Zanaty Farouk M. SS7 full duplex transverser
US20060046693A1 (en) * 2004-08-31 2006-03-02 Hung Tran Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014004917A1 (de) * 2014-04-07 2015-10-08 Certgate Gmbh Bereitstellen einer virtuellen Verbindung zum Übertragen von Anwendungsdateneinheiten

Also Published As

Publication number Publication date
EP1384370A1 (de) 2004-01-28
DE60203277D1 (de) 2005-04-21
US7316030B2 (en) 2008-01-01
WO2002089444A1 (en) 2002-11-07
US20040143762A1 (en) 2004-07-22
ATE291319T1 (de) 2005-04-15
EP1384370B1 (de) 2005-03-16

Similar Documents

Publication Publication Date Title
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
DE60220665T3 (de) Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem
DE60024319T2 (de) Vereinter einloggungsprozess
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE60221113T3 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
DE69637505T2 (de) Verfahren zur Authentifizierung eines Teilnehmers in einer verteilten Client/Server Netzwerkumgebung
DE60314060T2 (de) Verfahren und Vorrichtung zur Schlüsselverwaltung für gesicherte Datenübertragung
DE60217962T2 (de) Benutzerauthentisierung quer durch die Kommunikationssitzungen
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE69416809T2 (de) Verbesserungen der Sicherheit in Datenverarbeitungssystemen
DE69433771T2 (de) Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
DE69213062T2 (de) Authentisierungsprotokolle für Kommunikationsnetzwerke
EP2494759B1 (de) Verfahren und vorrichtung zum sicheren übertragen von daten
DE69326775T2 (de) Verfahren und einrichtung zur authentifizierung einer benutzer-anbieter-kommunikation
DE69613648T2 (de) System und Verfahren zur Bereitstellung von Schutz gegen Betrüger in einem Rechnernetz durch Verwendung von Sitzungsschlüsseln
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
DE112015002927B4 (de) Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage
DE112008001436T5 (de) Sichere Kommunikation
EP3854022B1 (de) Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system
WO2015082123A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP3506144A1 (de) Verfahren und system zum überprüfen einer integrität einer kommunikation
EP3970337A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1384370

Country of ref document: EP

Representative=s name: HAUCK PATENT- UND RECHTSANWAELTE, DE