[go: up one dir, main page]

DE69724448T2 - Verfahren und sicherheitssystem zur verarbeitung einer sicherheitskritischen tätigkeit - Google Patents

Verfahren und sicherheitssystem zur verarbeitung einer sicherheitskritischen tätigkeit Download PDF

Info

Publication number
DE69724448T2
DE69724448T2 DE69724448T DE69724448T DE69724448T2 DE 69724448 T2 DE69724448 T2 DE 69724448T2 DE 69724448 T DE69724448 T DE 69724448T DE 69724448 T DE69724448 T DE 69724448T DE 69724448 T2 DE69724448 T2 DE 69724448T2
Authority
DE
Germany
Prior art keywords
user
safety
security
processing
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69724448T
Other languages
English (en)
Other versions
DE69724448D1 (de
Inventor
Christian Wettergren
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Myspace AB
Original Assignee
Myspace AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=20404422&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69724448(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Myspace AB filed Critical Myspace AB
Publication of DE69724448D1 publication Critical patent/DE69724448D1/de
Application granted granted Critical
Publication of DE69724448T2 publication Critical patent/DE69724448T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)
  • Emergency Alarm Devices (AREA)
  • Electrotherapy Devices (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Hardware Redundancy (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren, ein Sicherheitssystem und eine Sicherheitsvorrichtung zur Datenverarbeitung einer sicherheitskritischen Tätigkeit.
  • Beschreibung des Standes der Technik
  • Fortschritte in der Computer- und Kommunikationstechnologie haben den Informationsfluß zwischen und innerhalb von Computernetzwerken erhöht. Diese Fähigkeit, zwischen Computern und Netzwerken zu kommunizieren, hat es auch möglich gemacht, eine große Vielzahl von Dienstleistungen zu entwickeln, die von einem eigenen Personalcomputer aus durchgeführt werden können. Solche Dienstleistungen können zum Beispiel sein das Versenden von Post, Einkaufen von zu Hause aus, Bankverkehr von zu Hause aus u.s.w.. Viele dieser Dienstleistungen umfassen sicherheitskritische Tätigkeiten, die durchgeführt werden müssen, wenn der Computer on-line ist, wie zum Beispiel die Überweisung von Geld durch das Internet.
  • Das Durchführen solcher sicherheitskritischer Tätigkeiten ist natürlich mit einer Sicherheitsgefahr verbunden, da auch potentielle Eindringlinge diese sciherheitskritischen Tätigkeiten abhören und/oder verfälschen können, indem sie in den Computer "einbrechen". Einer der Gründe dafür besteht darin, daß die Betriebssysteme von Personalcomputern nicht unter einem Sicherheitsgedanken entwickelt wurden, da sie persönlich und ohne Verbindungen zu irgendwelchen Netzwerken waren. Somit ist es leicht, einen mißbräuchlichen Code, Trojanische Pferde oder dergleichen zu verwenden, um das Betriebssystem eines Personalcomputers und dadurch die darauf durchgeführten sicherheitskritischen Tätigkeiten zu schädigen. Auch mehr sichere Betriebssysteme, wie zum Beispiel Unix, können mit relativ geringer Mühe geschädigt werden. Es besteht heute kein kommerzielles Betriebssystem, das den Benutzer von Trojanischen Pferden schützt.
  • Um die Sicherheit von Betriebssystemen zu erhöhen, wurde vorgeschlagen, sogenannte Feuerwände (firewalls) zwischen dem lokalen Netzwerk und dem öffentlich verfügbaren Netzwerk, das für irgendwelche Eindringlinge offen ist, zu schaffen. Solche Feuerwände filtern die Kommunikation zwischen dem lokalen Netzwerk und der Außenwelt, indem sie nur zulassen, daß gewisse ausgewählte Dienstleistungen durchgehen können. Wenn andere Dienstleistungen angefordert werden, ist der Durchgang durch die Feuerwand nur möglich, wenn ein gültiges Paßwort verwendet wird. Die Kommunikation erreicht dann schließlich entweder einen Personalcomputer oder einen Server-Computer in dem lokalen Netzwerk. Diese Sicherheitsmaßnahme erhöht natürlich die Sicherheit, aber garantiert noch immer nicht, daß die sicherheitskritischen Tätigkeiten in der Weise durchgeführt werden, wie es der Benutzer anfänglich beabsichtigte. Verletzlichkeiten in der Implementierung der zugelassenen, nicht gefilterten Dienstleistungen können es einem Eindringling gestatten, in den Personalcomputer einzudringen.
  • Ein andere mögliche Sicherheitsmaßnahme besteht darin, Sicherheitsmechanismen in das Betriebssystem einzubauen, wie zum Beispiel das Erfordernis von Paßwörtern für den Zugang zu bestimmten Diensten.
  • Der Hauptgrund, warum die oben genannten Sicherheitsmechanismen nicht vollständig sicher sind, besteht darin, daß sie auf Software beruhen. Da Software immer Fehler (bugs) enthält, ist sie korrumpierbar und kann daher geschädigt werden durch das Ausnutzen von Sicherheitslöchern, heimtückische Codes, Trojanische Pferde, die in der Software sitzen, u.s.w.. Auf Software basierende Sicherheitslösungen sind auch zu anfällig, das heißt wenn die Sicherheit des Betriebssystems geschädigt ist, werden alle Daten und alle Anwendungen, die damit durchgeführt werden, auch geschädigt.
  • Eine andere allgemein gebräuchliche Sicherheitsmaßnahme besteht in der Verwendung von sogenannten "aktiven Karten" oder "Smart Cards". Diese Karten enthalten eine kleine Computervorrichtung mit einem Prozessor, einem Speicher und Kommunikationsanschlüssen. Eine solche Vorrichtung kann einen geheimen Schlüssel aufweisen, der verwendet wird, um die Identität des Benutzers in den Netzwerken darzustellen. Die Karte wird zusammen mit einem Host-System verwendet, und das Host-System kann die Karte abfragen, um sicherheitskritische Schritte in den Tätigkeiten mit dem geheimen Schlüssel durchzuführen. Das Host-System kann nicht den geheimen Schlüssel lesen, er ist innerhalb der Smart Card verborgen. Der Prozessor der Smart Card kann nicht direkt mit dem Benutzer kommunizieren, er muß sich auf das Host-System verlassen, um die Kommunikation mit dem Benutzer ohne irgendwelche mißbräuchliche Intervention zu übermitteln. Somit kann eine Smart Card nur wenig dazu beitragen, sich selbst gegen mißbräuchliche Software in einem Host-System zu schützen.
  • In Personalcomputern, die Smart Cards verwenden, kann eine geschädigte Anwendung die Smart Card dazu bringen, irgendeine Aktion durchzuführen, die sie normalerweise durchführen kann, ohne den Benutzer einzuschalten. Die Smart Card kann durch die Anwendung veranlaßt werden, irgendein digitales Dokument zu unterzeichnen, und der Benutzer wird nicht aufgefordert, es zu überprüfen, noch irgendeinen expliziten Willensakt auszudrücken, damit die Signatur an dem Dokument angebracht wird.
  • Ein anderer, aber ähnlicher Versuch, die Sicherheit des Betriebssystems zu erhöhen, besteht darin, ein sogenanntes sicheres Mehrebenen-Betriebssystem (MLS) aufzubauen. Solche Systeme kennzeichnen Objekte und Subjekte gemäß einer Sicherheitsklassifizierung, und sie definieren Regeln dafür, wie es einer Information gestattet ist, durch das System zu fließen. Die Klassifikation unterschiedlicher Sicherheitsebenen und die Protokollierung, welche Benutzer Zugang zu unterschiedlichen Sicherheitsebenen und Objekten haben, ist sehr zeitaufwendig aufrechtzuerhalten. Ferner sind herkömmliche Personalcomputer-Anwendungen nicht mit den Betriebssystemen des MLS-Systems kompatibel, und alle Anwendungen müssen für das MLS-System individuell angepaßt werden. Dies ist natürlich sehr kostspielig.
  • WO 94/01 821 offenbart ein Untersystem mit vertrauenswürdigen Pfaden für Arbeitsstationen, wie zum Beispiel Personalcomputer. Das System umfaßt einen Netzwerkcomputer, der ein MLS-Computer ist, und eine Arbeitsstation. Der Gegenstand der Erfindung ist es, eine sichere Kommunikation zwischen einem vertrauenswürdigen Untersystem des MLS-Computers und der Arbeitsstation zu schaffen. Um dieses Problem zu lösen, ist die Arbeitsstation mit einem Subsystem mit vertrauenswürdigem Pfad verbunden, das die verschlüsselten Daten von dem vertrauenswürdigen System des MLS-Computers empfängt und sie entschlüsselt, ohne die Arbeitsstation einzuschalten.
  • Somit ist die Anwendung, die auf dem MLS-System läuft, sicher, daß die empfangenen Daten die gleichen sind wie die Daten, die von dem vertrauenswürdigen Subsystem des MLS-Computers gesendet wurden, und umgekehrt. Jedoch ist dieses System beschränkt auf den sicheren Austausch von Daten zwischen einem vertrauenswürdigen Subsystem eines MLS-Computers und einem Netzwerkcomputer, wobei grundsätzlich verschlüsselte Tastenanschläge und Pixel-Elemente von der Anwendung in dem MLS-System zu dem vertrauenswürdigen Subsystem in der Arbeitsstation getunnelt werden.
  • Ferner wird die ganze Anwendung in einer hoch-sicheren Umgebung, dem MLS-System, durchgeführt. Es wurde ein erheblicher Aufwand betrieben, um sicherzustellen, daß die ganze Anwendung sicher ist. Wenn jedoch die Anwendung geschädigt ist, zum Beispiel durch Sicherheitslöcher in der Anwendung selbst, oder wenn der Systemadministrator die Anwendung angreift, garantiert das vertrauenswürdige Substystem nicht, daß die Anwendung die gleiche Information auf dem "gesichterten" Bildschirm darstellt, wie sie später signiert wird, da Mittel zur Beteiligung des Benutzers fehlen. Somit bestehen hierbei keine Anforderungen für die Anwendung, einen Willensakt von dem Benutzer zu erhalten, um ein digitales Dokument zu signieren.
  • Die UK-Patentanmeldung GB 2 267 986 offenbart eine Sicherheitsvorrichtung für einen Computer. Der Gegenstand dieser Sicherheitsvorrichtung ist es, den Computer von den Eingabe/Ausgabe-Vorrichtungen zu isolieren, wie beispielsweise der Tastatur und der Maus, wenn sicherheitskritische Tätigkeiten durchgeführt werden sollen. Die Sicherheitsvorrichtung weist einen Prozessor auf, der eine Vielzahl von Programmen zum Betätigen der Sicherheitsvorrichtung entweder in einem transparenten Modus oder in einem speziellen Benutzungsmodus speichert. In dem transparenten Modus werden die Daten, die von den Eingabe/ Ausgabe-Vorrichtungen eingegeben werden, durch die Sicherheitsvorrichtung direkt zu dem Computer übertragen, das heißt die Sicherheitsvorrichtung befindet sich in einem passiven Modus. In dem speziellen Benutzungsmodus führt die Sicherheitsvorrichtung selbst die Verarbeitung der Daten durch, indem eines der gespeicherten Programme ohne irgendeine Beteiligung des Computers abläuft.
  • Wenn der Prozessor der Sicherheitsvorrichtung einen Befehl empfängt, der zu einem der Vielzahl von darin gespeicherten Programmen gehört, startet er den speziellen Benut zungsmodus und führt eines der Programme aus. Die verschiedenen Programme, die in dem Prozessor der Sicherheitsvorrichtung gespeichert sind, definieren alle unterschiedliche sicherheitskritische Tätigkeiten. Das Programm kann auch in manchen Fällen ein Paßwort oder dergleichen anfordern, bevor die sicherheitskritische Tätigkeit durchgeführt wird. Sobald ein solches Paßwort empfangen wird, führt das Programm den Rest der sicherheitskritischen Tätigkeit automatisch durch. Neue Programme, die in der Sicherheitsvorrichtung gespeichert werden sollen, können von dem Computer heruntergeladen werden, ohne irgendeine Beteiligung irgendeines Benutzers bei dem Ladevorgang. Daher kann der Benutzer nicht sicher sein, welche Schritte innerhalb der Sicherheitsvorrichtung nach dem Laden eines neuen Programms durchgeführt werden. Somit kann die Anwendung selbst geschädigt werden, und da das Signieren eines Datenblocks nicht irgendeine Überprüfung oder einen Willensakt von dem Benutzer verlangt, ist es möglich, daß Tätigkeiten durchgeführt werden, die der Benutzer ursprünglich nicht beabsichtigte.
  • Selbst wenn dieses System einen hohen Grad von Sicherheit bietet, hat es noch einen wesentlichen Nachteil, nämlich es fehlt die Anforderung der Anwesenheit eines Benutzers während einer sicherheitskritischen Tätigkeit. Es stützt weder die Zuweisung der Sicherheitsvorrichtung noch der Schaltkontrolle zwischen dem Prozessor und der Sicherheitsvorrichtung.
  • ZUSAMMANFASSUNG DER ERFINDUNG
  • Die Beteiligung des Benutzers ist ein wesentlicher Bestandteil bei der Durchführung von sicherheitskritischen Tätigkeiten, wenn zum Beispiel die Aufgabe dieser Tätigkeiten darin besteht, ein rechtlich bindendes Dokument zu schaffen. In dem Fall, wo ein Dokument in traditioneller Weise unterzeichnet werden soll, das heißt auf Papier, ist es erforderlich, daß die Person, die das Papier unterzeichnet, zunächst durch ihre Signatur identifiziert werden kann, zweitens das Papier durchliest und den Inhalt des Papiers verifiziert und dann drittens ihre Signatur als Willensakt auf das Papier setzt. Somit müssen digitale Signatursysteme entwickelt werden, um es dem Benutzer zu gestatten, die gleichen Schritte durchzuführen, wenn ein digitales Dokument signiert wird, wenn dieses rechtlich bindend sein soll.
  • Überraschenderweise hat der Erfinder herausgefunden, daß die heute verwendeten Verfahren zum Durchführen von sicherheitskritischen Tätigkeiten, wie oben beschrieben, im Gegensatz hierzu systemorientiert sind, das heißt es wird erwartet, daß das System die sicherheits kritischen Tätigkeiten durchführt und den Benutzer nur gelegentlich mit weniger wichtigen Aufgaben konsultiert.
  • Mit Systemlösung ist gemeint, daß das System oder die Anwendung in der Lage ist, alles zu tun, was der Benutzer tun kann. Somit ist ein solches System fähig, den Benutzer zu simulieren. In einem System mit Benutzerlösung muß der Benutzer beteiligt werden, um gewisse Schritte durchzuführen, das heißt solche Schritte können nicht durch das System oder die Anwendung simuliert werden.
  • Somit besteht das objektive Problem, das durch die vorliegende Erfindung gelöst werden soll, darin, ein Verfahren, ein System und eine Vorrichtung zum Verarbeiten von sicherheitskritischen Tätigkeiten zu schaffen, das/die benutzerorientiert ist und auf jeden Fall den Benutzer bei der Durchführung der sicherheitskritischen Tätigkeiten beteiligt.
  • Dieses Problem wird gelöst durch ein Verfahren und ein System, wie in den Ansprüchen 1 und 10 definiert.
  • Bevorzugte Ausführungsbeispiele der Erfindung sind definiert in den abhängigen Ansprüchen 2 bis 9 und 11 bis 17.
  • Durch Verwendung des Verfahrens gemäß der vorliegenden Erfindung wird der Benutzer auf jeden Fall jedesmal beteiligt, wenn eine sicherheitskritische Tätigkeit durchgeführt werden soll, das heißt das Verfahren ist benutzerbasiert im Gegensatz zu den systembasierten Verfahren des Standes der Technik. Diese Lösung gemäß der Erfindung garantiert immer, daß der Benutzer die Kontrolle über die sicherheitskritische Tätigkeit hat, die auf dem Sicherheitssystem durchgeführt wird, da ein Willensakt des Benutzers erforderlich ist, um solche Tätigkeiten durchzuführen. Ferner schafft das Verfahren gemäß der Erfindung einen sicheren Raum, in dem die sicherheitskritischen Tätigkeiten durchgeführt werden.
  • Somit ist es mit dem Verfaren gemäß der Erfindung möglich, Aufgaben durchzuführen, wie zum Beispiel das Signieren von rechtlich bindenden Dokumente, das Senden geheimer Post, das Durchführen von Zahlungen, das Laden von Geldkarten, das Durchführen geheimer Telefongespräche u.s.w. in einer zuverlässigen und sicheren Weise, indem man Gebrauch macht von den Schritten mit Benutzerbeteiligung.
  • Durch Schaffen des Sicherheitssystems gemäß der vorliegenden Erfindung mit Schalt- und Verschlüsselungsvorrichtungen ist es möglich, die Daten von und zu den Eingabe/Ausgabe-Vorrichtungen zu verschlüsseln und dadurch die bereits bestehenden Leitungen des Computers zu verwenden, um die Daten zu der Sicherheitsvorrichtung zu tunneln. Somit kann das Sicherheitssystem mit einem Minimum von Veränderungen gegenüber dem normalen Computer gestaltet werden. Die einzige zusätzliche Ausrüstung, die benötigt wird, sind die Sicherheitsvorrichtung, ihre Verbindungsleitungen und die Schalt- und Verschlüsselungsvorrichtungen. Somit benötigt das Sicherheitssystem gemäß der vorliegenden Erfindung nicht eine zusätzliche Abschirmung, um einen sicheren Raum zu schaffen, in dem sicherheitskritische Tätigkeiten durchgeführt werden können.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die vorstehenden und andere Aspekte der vorliegenden Erfindung sind am besten zu verstehen unter Bezugnahme auf die folgende detaillierte Beschreibung eines speziellen Ausführungsbeispiels der Erfindung, die nur beispielsweise gegeben wird, beim Lesen in Verbindung mit den zugehörigen Zeichnungen:
  • 1 zeigt ein Blockdiagramm des Sicherheitssystems gemäß der vorliegenden Erfindung.
  • 2 zeigt ein Blockdiagramm des Sicherheitssystems gemäß einem zweiten Ausführungsbeispiel der Erfindung.
  • 3 zeigt ein Flußdiagramm des allgemeinen Verfahrens gemäß der Erfindung.
  • 4 zeigt ein Flußdiagramm eines Sicherheitsschritts, der die Anwesenheit eines Benutzers nachweist.
  • 5 zeigt ein Flußdiagramm eines Sicherheitsschritts, der Daten verbirgt.
  • 6 zeigt ein Flußdiagramm eines Sicherheitsschritts, der Daten offenbart.
  • 7 zeigt ein Flußdiagramm eines Sicherheitsschritts, der den Ursprung einer Tätigkeit markiert.
  • 8 zeigt ein Flußdiagramm eines Sicherheitsschritts, der die Ursprungsmarkierung von einem beabsichtigen Verursacher verifiziert.
  • 9 zeigt ein Flußdiagramm eines Sicherheitsschritts, der einen nicht-widerrufbaren Schritt durchführt.
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSBEISPIELE
  • 1 zeigt ein Sicherheitssystem gemäß einem Ausführungsbeispiel der Erfindung. Ein solches System wird verwendet, um sicherheitskritische Tätigkeiten durchzuführen, wenn das System mit einem öffentlichen Netzwerk verbunden ist, und es umfaßt einen beliebigen Personalcomputer 2, Eingabe/Ausgabe-Vorrichtungen, wie beispielsweise eine Tastatur 4, eine Maus 6, eine Anzeige 8 und eine Lese/Schreib-Smart Card 12 (r/w smart card). Es ist zu verstehen, daß die Anzahl und die Art der Eingabe/Ausgabe-Vorrichtungen, die in dem System gemäß der Erfindung verwendet werden variieren kann, abhängig davon, welche Art von sicherheitskritischen Tätigkeiten durchzuführen sind. So ist es nicht immer notwendig, die Maus oder die Smart Card zu verwenden, und in einigen Fällen kann es erwünscht sein, andere Eingabe/Ausgabe-Vorrichtungen zu verwenden, wie beispielsweise Lautsprecher, Mikrophone oder dergleichen. Ferner kann der Personalcomputer 2 ersetzt werden durch ein Terminal oder dergleichen, ohne von dem Umfang der Erfindung abzuweichen. Wenn somit Bezug genommen wird auf den Prozessor des Computers 2, umfaßt dies auch einen Prozessor, mit dem ein Terminal verbunden ist, das heißt der Computer/das Terminal und der Prozessor, der die Anwendung zum Laufen bringt, haben nicht notwendigerweise den gleichen physikalischen Ort.
  • Der Personalcomputer 2 ist mit einem Prozessor 14, einem Lesespeicher (ROM) 16 und einem Zufalls-Zugang-Speicher (RAM) 18 versehen. Jede physikalische Eigengabe/Ausgabe-Vorrichtung 4, 6, 8, 12 ist mit dem Computer 2 durch eine geeignete Kommunikationsschnittstelle 20, 22, 24, 26 verbunden, was den Fachleuten dieses Gebiets gut bekannt ist. Wie in 1 zu sehen ist, ist die Anzeige 8 mit dem Computer 2 über eine Schirmvorrichtungssteuerung 10 verbunden. Jede Eingabe/Ausgabe-Vorrichtung 4, 6, 8, 12 ist auch mit einer Schalt- und Verschlüsselungsvorrichtung 28, 30, 32, 34 versehen, deren Funktion unten beschrieben wird. Es ist zu verstehen, daß auch die Eingabe/Ausgabe-Vorrichtungen 4, 6, 12 Vorrichtungssteuerungen haben, die bei dem gezeigten Ausführungsbeispiel in die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32 integriert sind.
  • Die Schirmvorrichtungssteuerung 10 umfaßt einen Schirmsteuerkreis 36 und einen Schirmspeicher 38. In diesem Ausführungsbeispiel der vorliegenden Erfindung ist die Schirmsteuerung 10 mit einer Sicherheitsvorrichtung 40 verbunden, die einen Prozessor 42, ein PROM 44 und ein RAM 46 aufweist. Der Prozessor 42 der Sicherheitsvorrichtung 40 ist mit dem Schirmkreis 36 und mit dem Schirmspeicher 38 und auch mit dem PROM 44 und dem RAM 46 verbunden. Der Prozessor 42 ist auch verbunden mit der und steuert die Schalt- und Verschlüsselungsvorrichtung 34, die in dem Schirmkreis 36 vorgesehen ist. Bei diesem Ausführungsbeispiel dient die Schalt- und Verschlüsselungsvorrichtung 34 als Blockiereinrichtung, das heißt sie hindert den Prozessor 14 des Computers 2 (14) daran, Zugang zu der Schirmvorrichtungssteuerung 10 zu erlangen.
  • Es ist jedoch zu verstehen, daß die Sicherheitsvorrichtung 40 auch in dem Computer 2 oder in einem separaten Raum vorgesehen sein kann, solange die Sicherheitsvorrichtung 40 in der Lage ist, ohne Beteiligung des Prozessors 14, die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 zu steuern, das heißt der Prozessor 14 soll zu keiner Zeit in der Lage sein, die Steuerung der Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 zu übernehmen, was unten beschrieben wird. 2 zeigt ein alternatives Ausführungsbeispiel des Sicherheitssystems, in welchem die Sicherheitsvorrichtung innerhalb des Computers 2 integriert ist. In diesem Ausführungsbeispiel der Erfindung ist die Schirmvorrichtungssteuerung 10 dupliziert, und die Schalt- und Verschlüsselungsvorrichtung 34 wirkt wie ein gewöhnlicher Schalter, der durch die Sicherheitsvorrichtung 40 gesteuert wird, um zwischen den beiden Schirmvorrichtungssteuerungen 10 zu schalten.
  • Wie oben erwähnt, wird das Sicherheitssystem verwendet, um sicherheitskritische Tätigkeiten durchzuführen, wenn das Sicherheitssystem, das heißt der Computer 2, mit einem Netzwerk verbunden und on-line ist. Wenn der Computer ein alleinstehender Computer ist, besteht kein Bedarf für eine Sicherheitsvorrichtung 40, da kein Eindringling in der Lage ist, die verarbeiteten Daten abzuhören oder zu schädigen. Somit ist die vorliegende Erfindung auf Computer gerichtet, die mit Netzwerken on-line sind. Sicherheitskritische Tätigkeiten sind Tätigkeiten, die der Benutzer im Privaten durchzuführen wünscht, das heißt ohne die Gefahr, daß ein Eindringling die sicherheitskritische Tätigkeit abhören oder schädigen kann. Beispiele solcher sicherheitskritischen Tätigkeiten sind das Überweisen von Geld, das Unterzeichnen von Dokumenten, das Vorbereiten oder Versenden von vertraulichen Nachrichten und dergleichen.
  • Die Sicherheissysteme, die eine Konfiguration wie oben beschrieben haben, können in zwei verschiedenen Moden betrieben werden. In einem ersten Modus, der als der Normalmodus definiert ist, arbeitet das Sicherheitssystem wie ein normaler Computer, das heißt die Sicherheitsvorrichtung 40 befindet sich in einem passiven Modus. Wie ein Computer, der mit einem öffentlichen Netzwerk verbunden ist, arbeitet, ist dem Fachmann dieses Gebiets gut bekannt und wird daher nicht weiter beschrieben. In einem zweiten Modus, der als der sicherer Managementmodus definiert ist, übernimmt die Sicherheitsvorrichtung 40 die Steuerung der Datenverarbeitung, um in einer zuverlässigen Weise verschiedene sicherheitskritische Tätigkeiten durchzuführen.
  • Unter Bezugnahme auf 3 wird nun der Betrieb des Sicherheitssystems in dem sicheren Managementmodus (SMM) im einzelnen beschrieben. In Antwort auf einen Ruf bei dem Schritt 200, wenn das Sicherheitssystem in dem normalen Modus arbeitet, von dem Prozessor 14 oder irgendeiner der Eingabe/Ausgabe-Vorrichtungen, das heißt der Tastatur 4, der Maus 6, der Anzeige 8 oder der r/w Smart Card 12 wird die Sicherheitsvorrichtung 40 im Schritt 202 zugewiesen. Die Sicherheitsvorrichtung 40 schaltet dann diejenigen der Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34, die zu den Eingabe/Ausgabevorrichtungen 4, 6, 8, 12 gehören, die während des sicherern Managementmodus verwendet werden sollen, in einen geschützten Modus im Schritt 204. Um die Schaltfunktion durchzuführen, ist die Sicherheitsvorrichtung 40 mit Einrichtungen zum Generieren von Signalen zu den Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 versehen. Diese Einrichtungen sind vorzugsweise der Prozessor 42 und die in dem PROM 44 (42) gespeicherten Programmschritte. Wenn die erforderlichen der Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 in den geschützten Modus geschaltet sind, steuert die Sicherheitsvorrichtung 40 die gewünschten Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12, und der Prozessor 14 des Computers 2 ist nicht länger in der Lage, irgendwelche ungeschützten Daten von dort zu empfangen oder irgendwelche Daten dorthin zu senden.
  • In dem geschützten Modus verschlüsseln die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 alle Daten, die von den Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12 übertragen werden. Die Sicherheitsvorrichtung 40 ist zu allen Zeiten die einzige Vorrichtung, die das Eintreten in den geschützten Modus und das Verlassen des geschützten Modus steuern kann. Unverschlüsselte Anforderungen an die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 34, 36 werden nicht durchgeführt, wenn es sich nicht um eine Anforderung für eine nichtkritische Tätigkeit handelt. Abhängig davon, welche Eingabe/Ausgabe-Vorrichtung 4, 6, 8, 12 zu den Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 gehört, können diese mit speziellen Funktionen versehen sein. Diese Funktion ist nur von der Sicherheitsvorrichtung 40 verfügbar und nicht von dem Prozessor 14, selbst wenn die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 in dem normalen Modus sind. Die zu der r/w Smart Card 12 gehörende Schalt- und Verschlüsselungsvorrichtung 32 hat eine solche Funktion und gestattet nur, das gewisse nicht-kritische Sicherheitsanfragen zu der r/w Smart Card 12 durchgehen. Wenn diese Vorsichtsmaßnahme nicht vorgesehen ist, besteht eine Möglichkeit der Manipulation der r/w Smart Card 12 während des normalen Modus, um die Sicherheitsvorrichtung 40 in dem sicheren Mangagementmodus zu umgehen.
  • Wie oben erwähnt, hat der Prozessor 42 der in der 1 gezeigten Sicherheitsvorrichtung 40 direkten Zugang zu der Schirmvorrichtungssteuerung 10, und daher braucht die Schalt- und Verschlüsselungsvorrichtung 34 nur eine Blockierfunktion und nicht ein Verschlüsseln durchzuführen. In dem in 2 gezeigten Ausführungsbeispiel hat die Schalt- und Verschlüsselungsvorrichtung 34 die Funktion eines gewöhnlichen Schalters.
  • Durch Verschlüsselung der Daten von und zu den Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12 ist es möglich, die bereits vorhandenen Leitungen des Computers 2 zu benutzen, um Daten zu der Sicherheitsvorrichtung 40 zu tunneln. Somit kann das Sicherheitssystem mit einem Minimum von Veränderungen gegenüber dem gewöhnlichen Computer ausgebildet werden. Die einzige zusätzliche Ausrüstung, die notwendig ist, sind die Sicherheitsvorrichtung 40, deren Verbindungsleitungen und die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34. Wie oben erwähnt, kann die Sicherheitsvorrichtung 40 mit dem Computersystem oder innerhalb desselben in einer Anzahl von Möglichkeiten verbunden sein, wie in 2 gezeigt, oder zum Beispiel durch Vorsehen getrennter physikalischer Leitungen zwischen der Sicherheitsvorrichtung 40 und den Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12. Jedoch wird das in 1 gezeigte Ausführungsbeispiel bevorzugt, da die Sicherheitsvorrichtung 40 in diesem Ausführungsbeispiel direkte Kontrolle über den Schirmspeicher 38 und den Schirmsteuerkreis 36 hat, die sonst dupliziert werden müßten.
  • Wenn die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 nicht in dem geschützten Modus sind, wirken sie wie eine normale Verbindung einer Eingabe/Ausgabe-Vorrichtung zu einem Computer.
  • Nach Übernahme der Steuerung der benötigten Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12 übernimmt die Sicherheitsvorrichtung 40 auch die Kontrolle über die gesamte Datenverarbeitung, die in dem sicheren Managementmodus im Schritt 206 durchgeführt werden soll.
  • Durch Betrieb des Sicherheitssystems auf diese Weise, das heißt Übertragung der Kontrolle der Datenverarbeitung einer auf dem Prozessor 14 laufenden Anwendung und der Steuerung der Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12 an die Sicherheitsvorrichtung 40, wird ein sicherer Raum geschaffen, in dem die sicherheitskritischen Tätigkeiten durchgeführt werden können. Dann startet beim Schritt 208 die Sicherheitsvorrichtung 40 die Durchführung der sicherheitskritischen Tätigkeiten.
  • Während der Durchführung der sicherheitskritischen Tätigkeiten beteiligt die Sicherheitsvorrichtung 40 den Benutzer, das heißt die Verarbeitungsschritte, die die sicherheitskritischen Tätigkeiten durchführen, die in dem PROM 44 der Sicherheitsvorrichtung 40 gespeichert sind, werden nicht automatisch durchgeführt. Daher prüft im Schritt 210 die Sicherheitsvorrichtung 40, ob der Benutzer beteiligt wurde. Wenn die Antwort im Schritt 210 NEIN ist, prüft die Sicherheitsvorrichtung 40 im Schritt 212 die Zeitdauer, während welcher der Benutzer nicht beteiligt war. Wenn der Benutzer nicht innerhalb einer gewissen Zeitgrenze, nachdem ein Verarbeitungsschritt durchgeführt wurde, beteiligt ist, läuft die Zeit der Sicherheitsvorrichtung 40 ab, und es wird in den normalen Modus im Schritt 214 eingetreten. Wenn die Zeitdauer noch nicht abgelaufen ist, wird die Benutzerbeteiligung wiederum im Schritt 210 geprüft.
  • Wenn die Antwort beim Schritt 210 JA ist, wird eine Prüfung vorgenommen, ob die sicherheitskritische Tätigkeit im Schritt 216 ausgeführt wurde. Wenn die Antwort im Schritt 216 NEIN ist, werden der Verarbeitungsschritt 208 und der Benutzerbeteiligungsschritt 210 so oft wie nötig wiederholt. Somit ist die Sicherheitsvorrichtung 40 gemäß der vorliegenden Erfindung mit Einrichtungen zur Benutzerbeteiligung versehen. Die Einrichtung zur Benutzerbeteiligung ist der Kern der vorliegenden Erfindung. Diese Lösung für die Sicherheit ist vollständig unterschiedlich im Vergleich zu den systemorientierten Lösungen, die beim Stand der Technik wie beispielsweise GB 2 267 986 verwendet werden. Der Schritt der Benutzerbeteiligung wird im einzelnen unten weiter beschrieben.
  • Wenn die Verarbeitung der sicherheitskritischen Tätigkeiten in den Schritten 208 und 210 durch die Sicherheitsvorrichtung 40 und den Benutzer durchgeführt worden ist, wird die Verarbeitung im Schritt 218 beendet, und deren Ergebnis wird im Schritt 220 an den Prozessor 14 des Computers 2 oder an eine Ausgabevorrichtung 12 übertragen oder bleibt zur späteren Verwendung in der Sicherheitsvorrichtung 40.
  • Die Übertragung des Ergebnisses ist der letzte Schritt in dem sicheren Mangagementmodus des Sicherheitssystems. Die Sicherheitsvorrichtung 40 überträgt danach im Schritt 222 die Steuerung der Eingabe/Ausgabe-Vorrichtungen 4, 6, 8, 12, der Schalt- und Verschlüsselungsvorrichtungen und deren Vorrichtungssteuerungen 28, 30, 32, 34 und die Steuerung der Datenverarbeitung von der Sicherheitsvorrichtung 40 an den Computer 2, indem die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 in den normalen Modus geschaltet werden. Dieses Schalten von dem geschützten Modus in den normalen Modus läßt sich, wie oben erwähnt, nur von der Sicherheitsvorrichtung 40 aus durchführen und nicht von dem Prozessor 14.
  • Um die Benutzerbeteiligung weiter zu erhöhen, können die Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 von Hand und nicht durch die Sicherheitsvorrichtung 40 geschaltet werden. In diesem Fall muß die Sicherheitsvorrichtung 40 in der Lage sein, zuverlässig und sicher den Status der Schalt- und Verschlüsselungsvorrichtungen 28, 30, 32, 34 festzustellen, um in der Lage zu sein, zu entscheiden, ob die sicherheitskritische Tätigkeit beginnen kann oder ob sie unterbrochen werden muß.
  • Die Sicherheitsvorrichtung 40 kann ferner mit einer Anzeigeeinrichtung versehen sein, in den Figuren nicht gezeigt, die anzeigt, wenn die Sicherheitsvorrichtung 40 die Steuerung übernommen hat und das System in dem sicheren Managementmodus arbeitet. Eine solche Anzeigeeinrichtung weist den Benutzer darauf hin, wann er in der Lage ist, sicherheitskritische Tätigkeiten durchzuführen.
  • Somit wurde das Sicherheitssystem und das allgemeine Verfahren zum Verarbeiten einer sicherheitskritischen Tätigkeit beschrieben. Wie oben erwähnt, ist der Kern der vorliegenden Erfindung die Benutzerbeteiligung, und um die Erfindung vollständig zu verstehen, werden verschiedene Beispiele von Schritten zur Durchführung der Benutzerbeteiligung nun beschrieben. Dies Schritte sind alle Teil einer sicherheitskritischen Tätigkeit, und die Wechselwirkung mit dem Benutzer wird immer mit den Schalt- und Verschlüsselungsvorichtungen 28, 30, 32, 34 in dem geschützten Modus durchgeführt. Abhängig von der Aufgabe, die durch die sicherheitskritische Tätigkeit durchzuführen ist, können verschiedenen Kombinationen der Schritte verwendet werden, vermischt mit Schritten, die durch die Sicherheitsvorrichtung 40 durchgeführt werden. Es ist zu verstehen, daß, wenn unterschiedliche Schritte mit Benutzerbeteiligung kombiniert werden, der Dialog mit dem Benutzer von verschiedenen Schritten in eine Interaktion vereinigt werden kann. Selbst wenn die unten beschriebenen Beispiele alle Teil einer sicherheitskritischen Tätigkeit sind, ist somit zu verstehen, daß sie nicht Teil jeder oder der gleichen sicherheitskritischen Tätigkeit sein müssen.
  • Ein Schritt in der sicherheitskritischen Tätigkeit, der oft auftritt, ist es, die Anwesenheit des Benutzers zu beweisen. Dieser Schritt ist schematisch in 4 gezeigt und kann durchgeführt werden, indem man dem Benutzer seine Identitätskennung präsentieren läßt, zum Beispiel durch die r/w Smart Card 12, oder indem man den Benutzer ein Paßwort eingeben läßt. Auch kann eine biometrische Maßnahme, wie beispielsweise eine Stimmerkennung oder ein Fingerabdruck, verwendet werden, um die Anwesenheit des Benutzers zu identifizieren. Wenn der Benutzer nicht anwesend ist, wird eine weitere Datenverarbeitung in dem sicheren Managementmodus unterbrochen, und es wird in den normalen Modus eingetreten, sonst geht die Verarbeitung der sicherheitskritischen Tätigkeit weiter. Es ist zu verstehen, daß die Sicherheitsvorrichtung 40 Informationen über verschiedenen Benutzer gespeichert enthalten kann. Dies gestattet es, daß verschiedene Benutzer das gleiche Sicherheitssystem verwenden können.
  • Ein anderer Schritt, der durch die sicherheitskritische Tätigkeit durchgeführt werden kann, besteht darin, Daten zu verbergen oder zu unterdrücken. Dieser Schritt ist schematisch in 5 gezeigt. Bei diesem Schritt verlangt der Benutzer zuerst durch Verwendung der Tastatur 4 oder der Maus 6, daß die sicherheitskritische Tätigkeit mit einem unterdrückten Ergebnis durchgeführt werden soll. Die Anforderung wird dann dem Benutzer auf dem Schirm 8 oder in Lautsprechern dargeboten. Der Benutzer muß dann durch Verwendung der Tastatur 4 oder der Maus 6 Empfänger des unterdrückten Ergebnisses auswählen. Dann wird der Rest der sicherheitskritischen Tätigkeit ausgeführt, und die Ergebnisse werden mit den ausgewählten Empfängern unterdrückt.
  • Ein noch weiterer Schritt, der schematisch in 6 gezeigt ist, der ein Teil der sicherheitskritischen Tätigkeit sein kann, besteht darin, dem Benutzer Daten zu offenbaren. Wenn unterdrückte Daten durch den Computer 2 empfangen werden, tritt man in den sicheren Managementmodus ein, entweder durch Anforderung des Benutzers oder automatisch, wenn die unterdrückten Daten einen Befehl enthalten, die Sicherheitsvorrichtung 40 aufzurufen und anzusprechen. Bevor die empfangenen unterdrückten Daten in die Sicherheitsvorrichtung 40 geladen werden, hat der Benutzer seine Anwesenheit zu beweisen, um sicherzustellen, daß nur zugelassene Daten in die Sicherheitsvorrichtung 40 geladen werden. Wenn die Identität des Benutzers richtig ist, muß er danach Identifizierungen und Codes, vorzugsweise unter Verwendung der r/w Smart Card 12 eingeben. Wenn diese gültig sind, startet die Sicherheitsvorrichtung 40 die Verarbeitung und entschlüsselt die unterdrückten Daten und stellt die empfangenen Daten an einer geeigneten Ausgabevorrichtung dar, wie beispielsweise dem Schirm 8 oder an Lautsprechern. Wenn die Identitäten und Codes nicht gültig sind, tritt man in den normalen Modus ein. Es ist zu verstehen, daß die Reihenfolge, in welcher die Anwesenheit bewiesen wird und die Identitäten und Codes eingegeben werden, umgekehrt werden kann, ohne das Ergebnis dieses Schrittes zu verändern.
  • Ein weiterer Schritt der sicherheitskritischen Tätigkeit betrifft die Erzeugung und Verifizierung einer Originalitätsmarkierung, schematisch in den 7 und 8 gezeigt. Die Erzeugung der Originalitäts- oder Herkunftsmarkierung startet mit einer Benutzeranforderung für eine Tätigkeit mit Herkunftsmarkierung, beispielweise durch die Tastatur 4 oder die Maus 6. Die Anforderung wird dann dem Benutzer auf dem Schirm 8 oder an einer anderen Ausgabevorrichtung dargestellt, und wenn die Anforderung richtig ist, gestattet der Benutzer die Tätigkeit. Wenn die Anforderung nicht gewährt wird, tritt man in den normalen Modus ein, aber wenn sie gewährt wird, wird die Tätigkeit durchgeführt und ausgewählte Ergebnisse davon werden digital für die Herkunftsmarkierung signiert. Abhängig von der durchgeführten Tätigkeit kann der Benutzer während diese Vorgangs eingreifen.
  • Um die Herkunftsmarkierung zu verifizieren, hat der Benutzer zuerst wenigstens einen beabsichtigten Erzeuger zu bestimmen und einzugeben durch Verwendung einer Eingabevorrichtung, wie beispielsweise die Tastatur 4 oder die Maus 6. Der wenigstens eine beabsichtigte Erzeuger wird dann dem Benutzer auf der Anzeige 8 oder dergleichen dargeboten, und wenn die signierten Ergebnisse empfangen werden, wird jede Signatur überprüft, um den wenigstens einen beabsichtigten Erzeuger zu bestätigen. Wenn die Signatur gültig ist, geht die Verarbeitung in dem sicherem Managementmodus weiter, sonst tritt man in den normalen Modus ein.
  • Ein wichtiger Schritt bei einer sicherheitskritischen Tätigkeit ist es, die Generierung eines unwiderruflichen Schritts zu gestatten, wie beispielsweise das Signieren eines Dokuments. In diesem Fall, der schematisch in 9 gezeigt ist, muß zuerst eine Anforderung zur Durchführung eines solchen Schrittes gemacht werden. Diese Anforderung, zusammen mit den Argumenten dieses Schritts, werden dem Benutzer auf dem Schirm 8 oder dergleichen dargestellt, und dann hat der Benutzer die Wahl, zu ändern oder neue Argumente einzugeben. Danach muß der Benutzer die Anforderung akzeptieren oder zurückweisen. Auf diese Weise ist eine feste Benutzerbeteiligung immer garantiert, bevor ein unwiderruflicher Schritt durchgeführt wird. Wenn der Benutzer seine Annahme durchgeführt hat, geht die Verarbeitung weiter. Wenn der Benutzer seine Annahme nicht innerhalb einer vorbestimmten Zeitgrenze gemacht hat, tritt man in den normalen Modus ein.
  • Somit wurde eine Anzahl von Schritten mit Benutzerbeteiligung beschrieben. Es ist jedoch zu verstehen, daß es zahlreiche andere Schritte und Kombinationen davon gibt, die in den Rahmen der Erfindung fallen. Zum Beispiel beschreiben viele der obigen Schritte, daß der Benutzer Daten eingeben muß, um sicherzustellen, daß der Benutzer tatsächlich beteiligt ist, aber es ist zu verstehen, daß diese Daten stattdessen dem Benutzer als eine Option dargeboten werden können und daß der Benutzer dann mit einem Willensakt zu bestätigen hat, daß diese Daten korrekt sind. Der Kern der Erfindung besteht darin, daß eine Einrichtung zur Beteiligung des Benutzers vorgesehen ist, das heißt in dem oben beschriebenen Ausführungsbeispiel eine Sicherheitsvorrichtung 40, die einen Prozessor 42 und ein PROM 44 hat, in denen die oben erwähnte Schritte der Benutzerbeteiligung gespeichert sind.
  • Auf einem höheren Niveau betreffen die oben beschriebenen Schritte der Benutzerbeteiligung Aufgaben, wie zum Beispiel das Signieren von rechtlich bindenden Dokumenten, das Versenden geheimer Nachrichten, das Durchführen von Zahlungen, das Laden von Geldkarten, das Durchführen geheimer Telefonanrufe u.s.w.. Es wird angenommen, daß es zahlreiche andere Aufgaben auf hohem Niveau gibt, die in einer sicheren Weise durchgeführt werden können durch Verwendung der oben beschriebenen Schritte der Benutzerbeteiligung, und insbesondere auch solche Aufgaben, die sich ergeben, wenn die Technologie fortschreitet.
  • Beim Signieren rechtlich bindender Dokumente oder beim Durchführen von Zahlungen sind die folgenden der oben erwähnten Schritte der Benutzerbeteiligung notwendig: Weise die Anwesenheit des Benutzers nach und gestatte die Generierung. Um die Sicherheit weiter zu steigern, können auch die Schritte der Herkunftsmarkierung und der Unterdrückung integriert werden.
  • Das Versenden geheimer Nachrichten würde die Schritte des Unterdrückens und wahlweise auch der Herkunftsmarkierung beinhalten.
  • Das Laden einer Geldkarte würde die Schritte enthalten, die Generierung und Herkunftsmarkierung zu gestatten, was einer Anforderung zum Laden der Geldkarte entsprechen würde. Wenn die Anforderung bewilligt wird, würde das Laden der Geldkarte die Schritte des Anzeigens des Ergebnisses und der Verifizierung der Herkunftsmarkierung beinhalten.
  • Das Durchführen eines geheimen Telefonanrufs würde die Schritte erfordern, zu unterdrücken, zu offenbaren, die Herkunft zu markieren und die Herkunftsmarkierung zu verifizie ren, wobei diese Schritte kontinuierlich während des geheimen Telefonanrufs in Betracht kommen.
  • Während diese Erfindung in Verbindung mit bevorzugten Ausführungsbeispielen derselben beschrieben wurde, ist einzusehen, daß andere Formen durch einen Fachmann dieses Gebiets leicht adaptiert werden könnten. Demgemäß ist der Umfang dieser Erfindung als nur durch die folgenden Ansprüche begrenzt zu betrachten

Claims (17)

  1. Verfahren zur Datenverarbeitung einer sicherheitskritischen Tätigkeit in einem sicheren Management-Modus, wobei die sicherheitskritische Tätigkeit Teil einer Anwendung ist, die auf einem System läuft, das einen Prozessor (14), Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) und eine Sicherheitsvorrichtung (40) aufweist, wobei das Verarbeitungsverfahren die folgenden Schritte aufweist. – Zuordnen der Sicherheitsvorrichtung (40) in Abhängigkeit von einem Ruf von dem Prozessor (14) oder irgendeiner der Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12), wenn man sich in einem normalen Modus befindet. – Übertragen der Steuerung der Datenverarbeitung von der Anwendung und der Steuerung der angeforderten Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) von dem Prozessor (14) zu der Sicherheitsvorrichtung (40) und dadurch Eintreten in den sicheren Management-Modus, in welchem Modus der Prozessor (14) unfähig ist, auf irgendeine der angeforderten Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) zuzugreifen. – Verarbeiten, mit Eingriff eines Benutzers, der sicherheitskritischen Tätigkeit auf der Sicherheitsvorrichtung (40), wobei der Eingriff des Benutzers den Schritt eines Willensaktes des Benutzers mittels einer Eingabe in die Sicherheitsvorrichtung umfaßt, was die Anwesenheit des Benutzers beweist, während der sichere Management-Modus vorherrscht und, wenn der Benutzer nicht anwesend ist, Unterbrechen des Verarbeitens der sicherheitskritischen Tätigkeit und Eintritt in den normalen Modus, – Übertragen des Ergebnisses der Datenverarbeitung der sicherheitskritischen Tätigkeit zu dem Prozessor 14, den Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) oder innerhalb der Sicherheitsvorrichtung (40), und – Übertragen der Steuerung der Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) und der Steuerung der Datenverarbeitung von der Sicherheitsvorrichtung (40) zu dem Prozessor (14) und dadurch Eintreten in den normalen Modus.
  2. Verfahren nach Anspruch 1, bei dem der Schritt des Übertragens der Steuerung der angeforderten Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) ferner den Schritt des Schaltens jeder angeforderten Eingabe/Ausgabe-Vorrichtung in einen geschützten Modus aufweist.
  3. Verfahren nach Anspruch 1 oder 2, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, ferner die Schritte aufweist – Prüfen der Zeitdauer, während welcher der Benutzer nicht eingegriffen hat, und, wenn der Benutzer innerhalb einer vorbestimmten Zeitgrenze nicht eingegriffen hat, – Setzen einer Zeitsperre der Sicherheitsvorrichtung (40) und Eintreten in den normalen Modus, und sonst – Fortsetzen der Verarbeitung der sicherheitskritischen Tätigkeit.
  4. Verfahren nach irgendeinem der vorhergehenden Ansprüche, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist: – den Benutzer die Berechtigungsmarke (das Kennwort) präsentieren lassen, um die Anwesenheit des Benutzers zu beweisen, und wenn der Benutzer anwesend ist, – Fortsetzen der Verarbeitung der sicherheitskritischen Tätigkeit, und sonst – Eintreten in den normalen Modus.
  5. Verfahren nach irgendeinem der Ansprüche 1 bis 3, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist – Anfordern, daß die sicherheitskritische Tätigkeit mit einem verborgenem Ergebnis durchgeführt werden soll, – Darstellen der Anforderung für den Benutzer an einer Ausgabevorrichtung, – den Benutzer Empfänger des verborgenen Ergebnisses durch eine Eingabevorrichtung wählen oder akzeptieren lassen, und wenn nicht gewählt, – Eintreten in den normalen Modus, und sonst – Durchführen der sicherheitskritischen Tätigkeit und – Verbergen des Ergebnisses der Durchführung zur Lieferung an die gewählten Empfänger.
  6. Verfahren nach irgendeinem der Ansprüche 1 bis 3, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist – Nachweis der Anwesenheit eines Benutzers, und wenn der Benutzer anwesend ist, – Laden empfangener verborgener Daten in die Sicherheitsvorrichtung (40), – Nachweisen der Gültigkeit der eingegebenen Identitäten und Suchbegriffe, und, falls gültig, – Entschlüsseln der verborgenen Daten und Darstellen der empfangenen Daten an einer geeigneten Ausgabevorrichtung für den Benutzer, und sonst Eintreten in den normalen Modus.
  7. Verfahren nach irgendeinem der Ansprüche 1 bis 3, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist – Anfordern einer Tätigkeit mit Herkunftsmarkierung, – Darstellen der Anforderung für den Benutzer an einer geeigneten Ausgabevorrichtung, – den Benutzer die Anforderung bewilligen lassen, und falls bewilligt, – Durchführen der Tätigkeit und dann Markieren der Herkunft der daraus gewählten Ergebnisse, und sonst – Eintreten in den normalen Modus.
  8. Verfahren nach irgendeinem der Ansprüche 1 bis 3, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist – den Benutzer wenigstens einen beabsichtigten Verursacher verifizieren und verriegeln lassen, – wenigstens einen beabsichten Verursacher dem Benutzer darstellen, – Prüfen der Signatur der empfangenen signierten Ergebnisse, um den wenigstens einen beabsichtigten Verursacher zu bestätigen, und falls bestätigt, – Fortsetzen der Verarbeitung und sonst, – Eintreten in den normalen Modus.
  9. Verfahren nach irgendeinem der Ansprüche 1 bis 3, bei dem der Schritt des Verarbeitens der sicherheitskritischen Tätigkeit, mit Eingriff eines Benutzers, die Schritte aufweist – Anfordern der Erzeugung eines nicht widerrufbaren Schritts, – Darstellen der Anforderung zusammen mit den Argumenten dieses Schritts, – dem Benutzer die Option geben, die Argumente zu ändern oder neue Argumente einzugeben, – den Benutzer die Anforderung der Erzeugung akzeptieren oder verwerfen lassen, und falls akzeptiert, – Fortsetzen des Verarbeitens einschließlich des nicht widerrufbaren Schritts, und falls verworfen, – Eintreten in den normalen Modus.
  10. Sicherheitssystem zur Datenverarbeitung einer sicherheitskritischen Tätigkeit, wobei die sicherheitskritische Tätigkeit Teil einer Anwendung ist, die auf dem Sicherheitssystem läuft, welches aufweist – einen Prozessor (14), – Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12), – eine Sicherheitsvorrichtung (40), – Einrichtungen (28, 30, 32, 34) zum Übertragen der Steuerung der Datenverarbeitung von der Anwendung und der Steuerung der Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) von dem Prozessor (14) zu der Sicherheitsvorrichtung (40) und dadurch Eintreten in einen sicheren Management-Modus, in welchem Modus der Prozessor (14) unfähig ist, auf irgendeine der angeforderten Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) zuzugreifen, – Einrichtungen (42, 44) zum Verarbeiten, mit Eingriff eines Benutzers, der sicherheitskritischen Tätigkeit an der Sicherheitsvorrichtung (40), wobei der Eingriff des Benutzers den Schritt eines Willensaktes des Benutzers mittels einer Eingabe in die Sicherheitsvorrichtung umfaßt, die die Anwesenheit des Benutzers beweist, während der sichere Management-Modus vorherrscht, und, wenn der Benutzer nicht anwesend ist, Unterbrechen der Verarbeitung der sicherheitskritischen Tätigkeit und Eintreten in den normalen Modus, – Einrichtungen (42) zum Übertragen des Ergebnisses der Datenverarbeitung der sicherheitskritischen Tätigkeit zu dem Prozessor (14), den Eingabe/Ausgabe-Vorrichtungen (4, 6, 8, 12) oder innerhalb der Sicherheitsvorrichtung (40), – Einrichtungen (28, 30, 32, 34) zum Übertragen der Steuerung der Eingabe/ Ausgabe-Vorrichtungen (4, 6, 8, 12) und der Steuerung der Datenverarbeitung von der Sicherheitsvorrichtung zu dem Prozessor (14).
  11. Sicherheitssystem nach Anspruch 10, bei dem die Einrichtungen zum Eingreifen eines Benutzers einen Prozessor (42) aufweisen, der in der Sicherheitsvorrichtung (40) vorgesehen ist, und ein PROM (44), das in der Sicherheitsvorrichtung vorgesehen ist und programmierte Schritte für den Benutzereingriff aufweist.
  12. Sicherheitssystem nach irgendeinem der Ansprüche 10 oder 11, bei dem die Sicherheitsvorrichtung (40) mit einer Schirmvorrichtung-Regeleinrichtung (10) verbunden ist.
  13. Sicherheitssystem nach irgendeinem der Ansprüche 10 bis 12, die zwei Schirmvorrichtung-Regeleinrichtungen (10) aufweist und wobei der Prozessor (14) und die Sicherheitsvorrichtung (40) jeweils mit einer separaten der Schirmvorrichtung-Regeleinrichtungen verbunden sind.
  14. Sicherheitssystem nach irgendeinem der Ansprüche 10 bis 13, bei dem die Einrichtungen zum Übertragen der Steuerung der Eingabe/Ausgabevorrichtungen (4, 6, 8, 12) von dem Prozessor (14) zu der Sicherheitsvorrichtung (40), und umgekehrt, Schalt- und Verschlüsselungs-Vorrichtungen (28, 30, 32, 34) sind.
  15. Sicherheitssystem nach irgendeinem der Ansprüche 10 bis 14, bei dem die Einrichtungen (40, 42) für den Benutzereingriff einen Prozessor (42) und ein PROM (44) aufweisen, das programmierte Schritte für den Benutzereingriff hat, die durchgeführt werden, wenn die Vorrichtung eine sicherheitskritische Tätigkeit laufen läßt.
  16. Sicherheitssystem nach Anspruch 15, bei dem das System ferner Einrichtungen zum Erzeugen von Schaltsignalen aufweist, die auf die Schalt- und Verschlüsselungs-Vorrichtungen (28, 30, 32, 40) anzuwenden sind.
  17. Sicherheitssystem nach Anspruch 16, bei dem die Einrichtungen zum Erzeugen von Schaltsignalen einen Prozessor (42) und ein PROM (44) aufweisen, das mit programmierten Schalterzeugungsschritten versehen ist.
DE69724448T 1996-10-30 1997-10-30 Verfahren und sicherheitssystem zur verarbeitung einer sicherheitskritischen tätigkeit Expired - Lifetime DE69724448T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE9603962 1996-10-30
SE9603962A SE9603962D0 (sv) 1996-10-30 1996-10-30 Device and method for communication
PCT/SE1997/001817 WO1998019243A2 (en) 1996-10-30 1997-10-30 Method and security system for processing a security critical activity

Publications (2)

Publication Number Publication Date
DE69724448D1 DE69724448D1 (de) 2003-10-02
DE69724448T2 true DE69724448T2 (de) 2004-06-09

Family

ID=20404422

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69724448T Expired - Lifetime DE69724448T2 (de) 1996-10-30 1997-10-30 Verfahren und sicherheitssystem zur verarbeitung einer sicherheitskritischen tätigkeit

Country Status (12)

Country Link
US (1) US6618809B1 (de)
EP (1) EP0939926B1 (de)
JP (1) JP2001508892A (de)
CN (1) CN1161695C (de)
AT (1) ATE248395T1 (de)
AU (1) AU735711B2 (de)
CA (1) CA2270076A1 (de)
DE (1) DE69724448T2 (de)
HK (1) HK1024317A1 (de)
NO (1) NO992040D0 (de)
SE (1) SE9603962D0 (de)
WO (1) WO1998019243A2 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6557104B2 (en) * 1997-05-02 2003-04-29 Phoenix Technologies Ltd. Method and apparatus for secure processing of cryptographic keys
US6996840B1 (en) 1998-12-18 2006-02-07 Myspace Ab Method for executing a security critical activity
SE520885C2 (sv) * 1998-12-18 2003-09-09 Myspace Ab Förfarande för att exekvera en säkerhetskritisk aktivitet med hjälp av en fullmakt
US6317835B1 (en) * 1998-12-23 2001-11-13 Radiant Systems, Inc. Method and system for entry of encrypted and non-encrypted information on a touch screen
US6577229B1 (en) * 1999-06-10 2003-06-10 Cubic Corporation Multiple protocol smart card communication device
FR2795198B1 (fr) * 1999-06-18 2001-08-31 Gemplus Card Int Interface carte a puce pour clavier d'ordinateur
GB2352370B (en) * 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
DE10027051A1 (de) 2000-06-02 2001-12-13 Deutsche Telekom Mobil Verfahren und Anordnung zur Absicherung eines Mensch-Maschine-Dialogs
US7793111B1 (en) 2000-09-28 2010-09-07 Intel Corporation Mechanism to handle events in a machine with isolated execution
US20050132229A1 (en) * 2003-11-12 2005-06-16 Nokia Corporation Virtual private network based on root-trust module computing platforms
US8719591B1 (en) 2004-05-14 2014-05-06 Radix Holdings, Llc Secure data entry
US8645683B1 (en) 2005-08-11 2014-02-04 Aaron T. Emigh Verified navigation
US8250151B2 (en) 2005-10-12 2012-08-21 Bloomberg Finance L.P. System and method for providing secure data transmission
TW200929974A (en) * 2007-11-19 2009-07-01 Ibm System and method for performing electronic transactions
EP2406718A4 (de) * 2009-03-13 2012-08-15 Assa Abloy Ab Sicheres kartenzugangsmodul für chipkartenanwendungen
KR102204247B1 (ko) 2014-02-19 2021-01-18 삼성전자 주식회사 전자 장치의 생체 정보 처리 방법 및 장치

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6507909B1 (en) * 1990-02-13 2003-01-14 Compaq Information Technologies Group, L.P. Method for executing trusted-path commands
US5272754A (en) * 1991-03-28 1993-12-21 Secure Computing Corporation Secure computer interface
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
IL103062A (en) 1992-09-04 1996-08-04 Algorithmic Res Ltd Data processor security system
US5355414A (en) * 1993-01-21 1994-10-11 Ast Research, Inc. Computer security system
US5369707A (en) * 1993-01-27 1994-11-29 Tecsec Incorporated Secure network method and apparatus

Also Published As

Publication number Publication date
EP0939926B1 (de) 2003-08-27
EP0939926A2 (de) 1999-09-08
US6618809B1 (en) 2003-09-09
AU4890197A (en) 1998-05-22
WO1998019243A2 (en) 1998-05-07
ATE248395T1 (de) 2003-09-15
CN1161695C (zh) 2004-08-11
DE69724448D1 (de) 2003-10-02
NO992040L (no) 1999-04-28
SE9603962D0 (sv) 1996-10-30
JP2001508892A (ja) 2001-07-03
CA2270076A1 (en) 1998-05-07
CN1242847A (zh) 2000-01-26
HK1024317A1 (en) 2000-10-05
NO992040D0 (no) 1999-04-28
AU735711B2 (en) 2001-07-12
WO1998019243A3 (en) 1998-06-18

Similar Documents

Publication Publication Date Title
DE69724448T2 (de) Verfahren und sicherheitssystem zur verarbeitung einer sicherheitskritischen tätigkeit
DE102004062203B4 (de) Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE69132809T2 (de) Verfahren und Anordnung zur Ausführung von Sicherheitswegbefehlen
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
DE69929043T2 (de) Verbesserung bezüglich elektronischer badges
DE19827659B4 (de) System und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff
DE69130461T2 (de) Zugriffsteuerung in einem verteilten Rechnersystem
DE69838378T2 (de) Verfahren und gerät um sicherheit, für server die anwenderprogramme ausführen, die über's netzwerk empfangen wurden, zu gewährleisten
DE60200323T2 (de) Verfahren zum Schutz der Integrität von Programmen
EP1818844A1 (de) Verfahren zur Benutzung von Sicherheitstoken
DE69330743T2 (de) Verfahren zur Beurkundung einer Informationseinheit durch eine andere
DE102007030622A1 (de) Verfahren und Anwendung zum Verknüpfen zwischen Systemen auf der Grundlage von Hardware-Sicherheits-Einheiten
DE102015003236A1 (de) Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln
WO2003013167A1 (de) Vorrichtung zur digitalen signatur eines elektronischen dokuments
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE69032346T2 (de) Verfahren und System zur Sicherung von Datenendgeräten
DE60315284T2 (de) Verfahren und Arrangement zum automatischen Steuern eines Zugriffs zwischen einem Computer und einem Kommunikationsnetzwerk
DE112013002396T5 (de) Anwendungsprogrammausführungsgerät
DE60029379T2 (de) Verfahren und Gerät, die einem Rechnerbenutzer erlauben, vor der Eingabe von privilegierten Informationen ein System zu authentifizieren
DE10146361A1 (de) Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten System
DE19961838A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Datei
DE69629941T2 (de) Verfahren und einrichtung zur datenkommunikation

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: WIESE KONNERTH FISCHER PATENTANWAELTE PARTNERSCHAF