Nothing Special   »   [go: up one dir, main page]

DE102015108543B4 - Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device - Google Patents

Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device Download PDF

Info

Publication number
DE102015108543B4
DE102015108543B4 DE102015108543.7A DE102015108543A DE102015108543B4 DE 102015108543 B4 DE102015108543 B4 DE 102015108543B4 DE 102015108543 A DE102015108543 A DE 102015108543A DE 102015108543 B4 DE102015108543 B4 DE 102015108543B4
Authority
DE
Germany
Prior art keywords
certificate
peripheral device
server
protected peripheral
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015108543.7A
Other languages
German (de)
Other versions
DE102015108543A1 (en
Inventor
Diana Filimon
Jürgen Atzkern
Thilo Cestonaro
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Client Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Client Computing Ltd filed Critical Fujitsu Client Computing Ltd
Priority to DE102015108543.7A priority Critical patent/DE102015108543B4/en
Publication of DE102015108543A1 publication Critical patent/DE102015108543A1/en
Application granted granted Critical
Publication of DE102015108543B4 publication Critical patent/DE102015108543B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zur Authentifizierung eines Computersystems (11) gegenüber einem Server (12), umfassend die Schritte:- Anfordern eines ersten Zertifikats (19) von einem geschützten Peripheriegerät (10) über eine Verbindung;- Erstellen des angeforderten ersten Zertifikats (19) durch das geschützte Peripheriegerät (10) basierend auf einem zweiten Zertifikat (19'), das in dem geschützten Peripheriegerät (19) hinterlegt ist;- Bereitstellen des erstellten ersten Zertifikats (19) über die Verbindung an das Computersystem (11);- Senden des bereitgestellten ersten Zertifikats (19) durch das Computersystem (11) an den Server (12);- Prüfen des gesendeten ersten Zertifikats (19) durch den Server (12) mittels eines dritten Zertifikats (19''); und- Bereitstellen von Daten auf dem Server (12), wenn ein Ergebnis der Prüfung erfolgreich war, wobei das zweite Zertifikat (19') und das dritte Zertifikat (19'') auf einem Hauptzertifikat (24) basieren, wobei die bereitgestellten Daten auf dem Server (10) verschlüsselt sind und wobei die verschlüsselten Daten nach einem Herunterladen von dem geschützten Peripheriegerät (10) entschlüsselbar sind, wobei die verschlüsselten Daten vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät (10) erfordern.Method for authenticating a computer system (11) to a server (12), comprising the steps of:- requesting a first certificate (19) from a protected peripheral device (10) via a connection;- creating the requested first certificate (19) by the protected peripheral device (10) based on a second certificate (19') stored in the protected peripheral device (19);- providing the created first certificate (19) to the computer system (11) via the connection;- sending the provided first certificate (19) by the computer system (11) to the server (12);- checking the sent first certificate (19) by the server (12) using a third certificate (19''); and- providing data on the server (12) if a result of the check was successful, wherein the second certificate (19') and the third certificate (19'') are based on a main certificate (24), wherein the provided data is encrypted on the server (10) and wherein the encrypted data is decryptable after downloading from the protected peripheral device (10), wherein the encrypted data requires decryption by the protected peripheral device (10) before use.

Description

Die Erfindung betrifft ein Verfahren zur Identifizierung eines Computersystems gegenüber einem Server, ein geschütztes Peripheriegerät mit einem Anschluss und einem Speicher, sowie die Verwendung eines geschützten Peripheriegeräts.The invention relates to a method for identifying a computer system to a server, a protected peripheral device with a port and a memory, and the use of a protected peripheral device.

Als Service oder zur Unterstützung bei der Benutzung von Peripheriegeräten und insbesondere geschützten Peripheriegeräten, können Benutzern bestimmte Programme und Software angeboten werden. Ein weiterer Service ist es, sogenannte Software Developer Kits (SDK) anzubieten, mit denen sich Benutzer eigene und spezialisierte Software selber programmieren können, die zu dem Peripheriegerät passt. Es liegt im Interesse des Herstellers, dass Leute, die diese SDKs benutzen, auch ein Peripheriegerät besitzen. Es sind verschiedene Authentifizierungsverfahren bekannt. Diese sind entweder für den Hersteller oder für den Benutzer aufwendig.As a service or to support the use of peripheral devices and especially protected peripheral devices, users can be offered certain programs and software. Another service is to offer so-called software developer kits (SDKs) with which users can program their own, specialized software that suits the peripheral device. It is in the manufacturer's interest that people who use these SDKs also own a peripheral device. Various authentication methods are known. These are either complex for the manufacturer or for the user.

Aus der US 2003/0163700 A1 sind ein Verfahren und ein System für benutzergenerierte Schlüssel und Zertifikate bekannt.From the US 2003/0163700 A1 A procedure and a system for user-generated keys and certificates are known.

Die DE 10 2008 028 701 A1 beschreibt ein Verfahren und ein System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität.The EN 10 2008 028 701 A1 describes a method and system for generating a derived electronic identity from a main electronic identity.

Aus der DE 10 2008 000 067 A1 ist des Weiteren ein Verfahren zum Lesen von Attributen aus einem ID-Token bekannt.From the EN 10 2008 000 067 A1 Furthermore, a method for reading attributes from an ID token is known.

Die US 2013/0167211 A1 beschreibt ein Verfahren für eine erneute Authentifizierung eines Benutzergerätes, bei dem Daten mit einer Datenbank verglichen werden.The US 2013/0167211 A1 describes a method for re-authenticating a user device by comparing data with a database.

Aufgabe der Erfindung ist es, Verfahren und Vorrichtungen aufzuzeigen, die eine vorteilhafte, insbesondere eine einfache und sichere, Authentifizierung eines Computersystems ermöglichen.The object of the invention is to demonstrate methods and devices which enable an advantageous, in particular a simple and secure, authentication of a computer system.

Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zur Authentifizierung eines Computersystems gegenüber einem Server gelöst. In einem ersten Schritt wird ein erstes Zertifikat von einem geschützten Peripheriegerät über eine Verbindung angefordert. Das angeforderte erste Zertifikat wird durch das geschützte Peripheriegerät basierend auf einem zweiten Zertifikat, das in dem geschützten Peripheriegerät hinterlegt ist, erstellt. Das erstellte erste Zertifikat wird über die Verbindung an das Computersystem bereitgestellt. Das Computersystem sendet das bereitgestellte erste Zertifikat an den Server. Der Server prüft das gesendete erste Zertifikat mittels eines dritten Zertifikats und stellt Daten auf dem Server bereit, wenn ein Ergebnis der Prüfung erfolgreich war. Hierbei basieren das zweite Zertifikat und das dritte Zertifikat auf einem Hauptzertifikat. Die bereitgestellten Daten auf dem Server sind verschlüsselt. Die verschlüsselten Daten sind nach einem Herunterladen von dem geschützten Peripheriegerät entschlüsselbar. Die verschlüsselten Daten erfordern vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät.According to a first aspect of the invention, the object is achieved by a method for authenticating a computer system to a server. In a first step, a first certificate is requested from a protected peripheral device via a connection. The requested first certificate is created by the protected peripheral device based on a second certificate that is stored in the protected peripheral device. The created first certificate is provided to the computer system via the connection. The computer system sends the provided first certificate to the server. The server checks the sent first certificate using a third certificate and provides data on the server if the result of the check was successful. The second certificate and the third certificate are based on a main certificate. The data provided on the server is encrypted. The encrypted data can be decrypted after being downloaded from the protected peripheral device. The encrypted data requires decryption by the protected peripheral device before it can be used.

Das zweite Zertifikat ist in dem geschützten Peripheriegerät hinterlegt. Somit kann sich jeder Besitzer des geschützten Peripheriegeräts ein erstes Zertifikat ausgeben lassen. Über die Verknüpfung des zweiten und dritten Zertifikats mit dem Hauptzertifikat teilen sich der Server und das geschützte Peripheriegerät ein Geheimnis, das für die Authentifizierung des Computersystems gegenüber dem Server genutzt werden kann.The second certificate is stored in the protected peripheral device. This means that every owner of the protected peripheral device can have a first certificate issued. By linking the second and third certificates to the main certificate, the server and the protected peripheral device share a secret that can be used to authenticate the computer system to the server.

Durch das Verschlüsseln kann sichergestellt werden, dass die Daten, die vom Server heruntergeladen werden auch von lediglich dem Benutzer genutzt werden können, der das geschützte Peripheriegerät verwendet, über das das erste Zertifikat erstellt wurde.Encryption ensures that the data downloaded from the server can only be used by the user who uses the protected peripheral device through which the first certificate was created.

Werden die verschlüsselten Daten im Peripheriegerät entschlüsselt, so kann damit frei gearbeitet werden. Dies ist beispielsweise in Firmen sinnvoll, bei denen ein Team mit den heruntergeladenen Daten arbeitet. Hierbei können dann verschiedene Computersysteme zum Arbeiten verwendet werden, so dass es nicht erforderlich ist, an jedem Arbeitsplatz ein gesichertes Peripheriegerät zu verwenden.If the encrypted data in the peripheral device is decrypted, it can be used freely. This is useful, for example, in companies where a team works with the downloaded data. Different computer systems can then be used for work, so that it is not necessary to use a secure peripheral device at every workstation.

In einer Ausgestaltung erfordern die bereitgestellten Daten eine aktive Verbindung zu dem geschützten Peripheriegerät oder können lediglich auf dem geschützten Peripheriegerät ausgeführt werden.In one embodiment, the data provided requires an active connection to the protected peripheral device or can only be executed on the protected peripheral device.

Eine Nutzung der bereitgestellten Daten kann so auf eine Plattform beschränkt werden.Use of the data provided can thus be restricted to one platform.

Gemäß einer vorteilhaften Ausgestaltung weist das erste Zertifikat eine Beschränkungsinformation auf, wobei der Server abhängig von der Beschränkungsinformation die bereitgestellten Daten beschränkt zur Verfügung stellt. According to an advantageous embodiment, the first certificate has restriction information, wherein the server makes the provided data available in a restricted manner depending on the restriction information.

Durch die Beschränkung, insbesondere eine zeitliche Beschränkung, kann der Server einen Download für eine beschränkte Zeit zur Verfügung stellen.By restricting, particularly restricting in time, the server can make a download available for a limited period of time.

Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst der Schritt des Anforderns ein Übermitteln von Benutzerdaten an das geschützte Peripheriegerät. Hierbei basiert das erste Zertifikat auf wenigstens einem Teil dieser Benutzerdaten und/oder umfasst wenigstens einen Teil dieser Benutzerdaten.According to a further advantageous embodiment, the requesting step comprises transmitting user data to the protected peripheral device. The first certificate is based on at least part of this user data and/or comprises at least part of this user data.

Sind Benutzerdaten in dem Zertifikat hinterlegt, so ist nicht nur eine Zuordnung zu dem Benutzer möglich, sondern es kann auch eine Beschränkung von Downloads auf dem Server für bestimmte Benutzer erfolgen.If user data is stored in the certificate, it is not only possible to assign it to the user, but downloads on the server can also be restricted for certain users.

Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst das erste Zertifikat Geräteinformationen des geschützten Peripheriegeräts.According to a further advantageous embodiment, the first certificate comprises device information of the protected peripheral device.

Einzelne geschützte Peripheriegeräte können für bestimmte Benutzergruppen bzw. Personenkreise wie zum Beispiel Firmen oder private Endbenutzer gefertigt sein. Dadurch, dass das erste Zertifikat die Geräteinformationen umfasst, können verschiedenen geschützten Peripheriegeräten, die für eine bestimmte Benutzergruppe gefertigt wurden, unterschiedliche Rechte zugewiesen werden.Individual protected peripherals can be manufactured for specific user groups or groups of people, such as companies or private end users. Because the first certificate contains the device information, different protected peripherals manufactured for a specific user group can be assigned different rights.

Gemäß einer weiteren vorteilhaften Ausgestaltung erfordert ein Zugriff auf einen sicheren Bereich auf dem geschützten Peripheriegerät eine Authentifizierung mit dem ersten Zertifikat.According to a further advantageous embodiment, access to a secure area on the protected peripheral device requires authentication with the first certificate.

Lässt sich ein Administrator das erste Zertifikat erstellen, so kann er sicherstellen, dass ausschließlich Personen auf das geschützte Peripheriegerät beziehungsweise auf gesicherte Bereiche des geschützten Peripheriegeräts Zugriff haben, die ebenfalls über das erste Zertifikat verfügen beziehungsweise durch den Administrator legitimiert worden sind.If an administrator has the first certificate created, he can ensure that only people who also have the first certificate or who have been authorized by the administrator have access to the protected peripheral device or to secure areas of the protected peripheral device.

Gemäß einer weiteren vorteilhaften Ausgestaltung überprüft der Server zusätzlich zum ersten Zertifikat auch Standortinformationen, insbesondere eine IP-Adresse. Die Daten werden von dem Server nur dann bereitgestellt, wenn ein Ergebnis der Prüfung des ersten Zertifikats und der Standortinformationen erfolgreich waren.According to a further advantageous embodiment, the server also checks location information, in particular an IP address, in addition to the first certificate. The data is only provided by the server if the result of the check of the first certificate and the location information was successful.

Die Prüfung der Standortinformationen bietet zusätzlich mehr Sicherheit vor illegalen Downloads.Checking location information also provides greater security against illegal downloads.

Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein gestütztes Peripheriegerät mit einem Anschluss und einem Speicher gelöst. In dem Speicher ist ein zweites Zertifikat gespeichert, das auf einem Hauptzertifikat basiert. Das geschützte Peripheriegerät ist dazu eingerichtet, auf eine Aufforderung hin ein auf dem zweiten Zertifikat basierendes erstes Zertifikat zu erstellen und über eine über den Anschluss aufgebaute Verbindung bereitzustellen.According to a second aspect of the invention, the object is achieved by a supported peripheral device with a port and a memory. A second certificate based on a main certificate is stored in the memory. The protected peripheral device is designed to create a first certificate based on the second certificate upon request and to provide it via a connection established via the port.

Das geschützte Peripheriegerät ist weiter dazu eingerichtet, mit einem dritten Zertifikat verschlüsselte Daten zu entschlüsseln, wobei das dritte Zertifikat auf dem Hauptzertifikat basiert.The protected peripheral device is further configured to decrypt data encrypted with a third certificate, where the third certificate is based on the main certificate.

Das geschützte Peripheriegerät kann dazu verwendet werden, eine Authentifizierung gegenüber einem Server mit einem von einem Hauptzertifikat abhängigen dritten Zertifikat zu ermöglichen.The protected peripheral can be used to enable authentication to a server using a third certificate that is dependent on a master certificate.

Ein Benutzer kann mit dem dritten Zertifikat verschlüsselte Daten entschlüsseln, ohne zusätzliche Hardware anschaffen zu müssen.A user can decrypt data encrypted with the third certificate without having to purchase additional hardware.

Gemäß einem dritten Aspekt der Erfindung wird die Aufgabe durch die Verwendung eines geschützten Peripheriegerätes mit einem Speicher gelöst, wobei ein auf einem Hauptzertifikat basierendes zweites Zertifikat in dem Speicher gespeichert ist. Das geschützte Peripheriegerät wird hierbei dazu verwendet, ein erstes Zertifikat zum Authentifizieren eines Computersystems gegenüber einem Server mit einem dritten Zertifikat, das auf dem Hauptzertifikat basiert, zu erstellen.According to a third aspect of the invention, the object is achieved by using a protected peripheral device with a memory, wherein a second certificate based on a main certificate is stored in the memory. The protected peripheral device is used to create a first certificate for authenticating a computer system to a server with a third certificate based on the main certificate.

Eine Zugriffskontrolle auf den Server kann somit durch eine Zertifikatsvergabe durch das geschützte Peripheriegerät geregelt werden.Access control to the server can thus be regulated by issuing a certificate from the protected peripheral device.

Die Erfindung wird im Folgenden anhand von Ausführungsbeispielen und Figuren näher beschrieben.The invention is described in more detail below using embodiments and figures.

In den Figuren zeigen:

  • 1 eine schematische Darstellung eines geschützten Peripheriegeräts zusammen mit einem Computersystem und einem Server;
  • 2 eine Übersicht von Zertifikaten; und
  • 3 ein Ablaufdiagramm für ein Verfahren gemäß einer Ausgestaltung der Erfindung.
In the figures show:
  • 1 a schematic representation of a protected peripheral device together with a computer system and a server;
  • 2 an overview of certificates; and
  • 3 a flow chart for a method according to an embodiment of the invention.

1 zeigt eine schematische Darstellung eines geschützten Peripheriegeräts 10, eines Computersystems 11 und eines Servers 12. Im Ausführungsbeispiel ist das geschützte Peripheriegerät 10 ein Terminal zum Ausführen von finanziellen Transaktionen, für die sich ein Benutzer authentifizieren muss, beispielsweise ein PalmSecure ID Match mit einem Handvenenscanner der Firma Fujitsu. Der Benutzer nutzt das geschützte Peripheriegerät 10 hierbei beispielsweise zum Eingeben personenbezogener Daten. In anderen Ausgestaltungen handelt es sich bei dem geschützten Peripheriegerät 10 um ein Computersystem zur Überprüfung von Zutrittskontrollen, um einem Bankautomaten, um Bordcomputer von Fahrzeugen oder im Allgemeinen um ein Computersystem, das sicherheitsrelevante Daten speichert und/oder verarbeitet. 1 shows a schematic representation of a protected peripheral device 10, a computer system 11 and a server 12. In the exemplary embodiment, the protected peripheral device 10 is a terminal for carrying out financial transactions for which a user must authenticate himself, for example a PalmSecure ID Match with a palm vein scanner from Fujitsu. The user uses the protected peripheral device 10, for example, to enter personal data. In other embodiments, the protected peripheral device 10 is a computer system for checking access controls, an ATM, an on-board computer in vehicles or, in general, a computer system that stores and/or processes security-relevant data.

Das geschützte Peripheriegerät 10 weist einen Anschluss 13 auf, der zum Verbinden des geschützten Peripheriegeräts 10 mit dem Computersystem 11, beispielsweise über eine SSH-Verbindung, eingerichtet ist. Im Ausführungsbeispiel handelt es sich bei dem Anschluss 13 um eine LAN Buchse, in anderen Ausgestaltungen kann es sich jedoch ebenso um eine USB Schnittstelle, einen WLAN-Anschluss oder andere Anschlüsse zum Übertragen von Daten handeln. In weiteren Ausführungsbeispielen handelt es sich bei der Verbindung zwischen dem geschützten Peripheriegerät 10 und dem Computersystem 11 um eine Internetverbindung oder eine andere Datenverbindung.The protected peripheral device 10 has a connection 13 that is set up to connect the protected peripheral device 10 to the computer system 11, for example via an SSH connection. In the exemplary embodiment, the connection 13 is a LAN socket, but in other embodiments it can also be a USB interface, a WLAN connection or other connections for transmitting data. In further exemplary embodiments, the connection between the protected peripheral device 10 and the computer system 11 is an Internet connection or another data connection.

Das geschützte Peripheriegerät 10 weist des Weiteren einen Speicher 14 auf, in dem ein Gerätezertifikat 22 als zweites Zertifikat 19' gespeichert ist (eine hierarchische Übersicht der beschriebenen Zertifikate ist in 2 dargestellt). Das Gerätezertifikat 22 wird bei der Fertigung des geschützten Peripheriegeräts 10 in den Speicher eingespeichert. Aus dem Gerätezertifikat 22 kann sich ein Benutzer, insbesondere ein Administrator ein Nutzerzertifikat 21 als erstes Zertifikat 19 erstellen lassen. Das Nutzerzertifikat 21 kann sowohl zum Herunterladen von Daten von dem Server 12 als auch zum beschränken des Zugriffs auf das geschützte Peripheriegerät 10 verwendet werden. Beispielsweise ist ein Zugriff auf Administratoreinstellungen nur nach Übersendung des Nutzerzertifikats 21 an das geschützte Peripheriegerät 10 möglich. In einem weiteren Ausführungsbeispiel werden eines oder mehrere nutzerspezifische Gerätezertifikate 22' während der Fertigung des geschützten Peripheriegeräts 10 in dem geschützten Peripheriegerät 10 gespeichert. Beispielsweise werden einer Firma mehrere verschiedene geschützte Peripheriegeräte 10 mit identischen nutzerspezifischen Gerätezertifikaten 22' verkauft.The protected peripheral device 10 further comprises a memory 14 in which a device certificate 22 is stored as a second certificate 19' (a hierarchical overview of the described certificates is shown in 2 shown). The device certificate 22 is stored in the memory during production of the protected peripheral device 10. From the device certificate 22, a user, in particular an administrator, can have a user certificate 21 created as the first certificate 19. The user certificate 21 can be used both to download data from the server 12 and to restrict access to the protected peripheral device 10. For example, access to administrator settings is only possible after the user certificate 21 has been sent to the protected peripheral device 10. In a further embodiment, one or more user-specific device certificates 22' are stored in the protected peripheral device 10 during production of the protected peripheral device 10. For example, a company is sold several different protected peripheral devices 10 with identical user-specific device certificates 22'.

In einem weiteren Ausführungsbeispiel werden mehrere verschiedene geschützte Peripheriegeräte 10 mit unterschiedlichen nutzerspezifischen Gerätezertifikaten 22' angeboten, die alle ein gemeinsames Merkmal teilen, so dass eine Zuordnung zu einem Benutzer, beziehungsweise einer Firma, gewährleistet ist. Diese nutzerspezifischen Gerätezertifikaten 22' kann eine entsprechende Kennung auch an ein spezifisches Nutzerzertifikat 21' weitergeben. Das Computersystem 11 kann sich mit diesem spezifisches Nutzerzertifikat 21', das auf dem nutzerspezifischen Gerätezertifikaten 22' mit der Nutzerkennung basiert gegenüber dem Server 12 authentifizieren und als Firmenrechner zu erkennen geben. Diesem spezifisches Nutzerzertifikat 21' wird ein besonderes Downloadrecht eingeräumt.In a further embodiment, several different protected peripheral devices 10 are offered with different user-specific device certificates 22', all of which share a common feature, so that an assignment to a user or a company is guaranteed. These user-specific device certificates 22' can also pass on a corresponding identifier to a specific user certificate 21'. The computer system 11 can use this specific user certificate 21', which is based on the user-specific device certificate 22' with the user identifier, to authenticate itself to the server 12 and identify itself as a company computer. This specific user certificate 21' is granted a special download right.

Das Computersystem 11 ist im Ausführungsbeispiel ein Desktop Computer, der von einer Softwarefirma zum Programmieren von Softwareapplikationen für das geschützte Peripheriegerät 10 eingesetzt wird.In the exemplary embodiment, the computer system 11 is a desktop computer that is used by a software company to program software applications for the protected peripheral device 10.

Selbstverständlich kann es sich bei dem Computersystem 11 in weiteren Ausgestaltungen auch um andere Computersysteme handeln, die beispielsweise eine Datennetzwerkverbindung aufbauen können.Of course, in further embodiments, the computer system 11 may also be other computer systems that can, for example, establish a data network connection.

Der Server 12 ist im Ausführungsbeispiel ein Downloadserver, über den von einem Hersteller des geschützten Peripheriegeräts 10 Daten, insbesondere Softwareprodukte wie ein sogenanntes Software Developer Kitt (SDK) bereitgestellt werden.In the exemplary embodiment, the server 12 is a download server via which data, in particular software products such as a so-called Software Developer Kit (SDK), are provided by a manufacturer of the protected peripheral device 10.

Das Computersystem 11 weist einen Anschluss 15 und einen Datennetzwerkanschluss 16 auf. Das Computersystem 11 ist über den Anschluss 15 mit dem Anschluss 13 des geschützten Peripheriegeräts 10 verbunden. Über den Datennetzwerkanschluss 16 ist das Computersystem 11 an das Internet angeschlossen. Der Server weist einen Datennetzwerkanschluss 17 auf, der ebenfalls mit dem Internet und somit mit dem Computersystem 11 verbunden ist. In anderen Ausgestaltungen sind der Server 12 und das Computersystem 11 direkt oder über ein anderes Netzwerk miteinander verbunden.The computer system 11 has a connection 15 and a data network connection 16. The computer system 11 is connected to the connection 13 of the protected peripheral device 10 via the connection 15. The computer system 11 is connected to the Internet via the data network connection 16. The server has a data network connection 17, which is also connected to the Internet and thus to the computer system 11. In other embodiments, the server 12 and the computer system 11 are connected to one another directly or via another network.

Der Server 12 weist einen Speicher 18 auf. In dem Speicher 18 ist ein Serverzertifikat 23 als drittes Zertifikat 19'' gespeichert. Das Serverzertifikat 23 und das Gerätezertifikat 22 gehen beide direkt auf ein einziges Hauptzertifikat 24 zurück.The server 12 has a memory 18. A server certificate 23 is stored in the memory 18 as a third certificate 19''. The server certificate 23 and the device certificate 22 both go back directly to a single main certificate 24.

Bei einer Fertigung des geschützten Peripheriegerätes 10 werden das Gerätezertifikat 22 und das nutzerspezifische Gerätezertifikat 22' aus dem Hauptzertifikat 24 erstellt. Im Ausführungsbeispiel werden die Zertifikate mit einem OpenSSL-Verfahren aus dem Hauptzertifikat 24 erstellt, so dass eine hierarchische Vertrauenskette (engl.: chain of trust) gebildet wird.When manufacturing the protected peripheral device 10, the device certificate 22 and the user-specific device certificate 22' are created from the main certificate 24. In the exemplary embodiment, the certificates are created from the main certificate 24 using an OpenSSL process, so that a hierarchical chain of trust is formed.

3 zeigt ein Ablaufdiagramm 30 eines Arbeitsverfahrens gemäß einem Ausführungsbeispiel der Erfindung. 3 shows a flow chart 30 of a working method according to an embodiment of the invention.

In Schritt 31 wird über das Computersystem 11 von einem Benutzer von dem geschützten Peripheriegerät 10 das Nutzerzertifikat 21 zum Authentifizieren des Computersystems 11 gegenüber dem Server 12 angefordert. Hierzu wird die Anforderung von dem Computersystem 11 über den Anschluss 15 an den Anschluss 13 des geschützten Peripheriegeräts 10 gesendet. Beispielsweise wird zum Anfordern ein Webservice verwendet, der auf das geschützte Peripheriegerät 10 zugreift.In step 31, a user requests the user certificate 21 from the protected peripheral device 10 via the computer system 11 in order to authenticate the computer system 11 to the server 12. To do this, the request is sent from the computer system 11 via the port 15 to the port 13 of the protected peripheral device 10. For example, a web service that accesses the protected peripheral device 10 is used to make the request.

Hierbei übermittelt der Benutzer zusätzlich zu der Anforderung persönliche Daten, wie Name oder Anschrift. Der Webservice enthält hierfür ein Formular zur Eingabe der persönlichen Daten. In alternativen Ausgestaltungen können weitere persönliche Daten oder keine persönlichen Daten übermittelt werden.In addition to the request, the user submits personal data such as name or address. The web service contains a form for entering personal data. In alternative configurations, additional personal data or no personal data can be submitted.

Im Schritt 32 wird das Nutzerzertifikat 21 durch das geschützte Peripheriegerät 10 erstellt. Hierzu wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat 22 erstellt. Zusätzlich enthält das Nutzerzertifikat 21 die in Schritt 31 übermittelten personenbezogenen Daten des Benutzers.In step 32, the user certificate 21 is created by the protected peripheral device 10. For this purpose, the user certificate 21 is created based on the device certificate 22. In addition, the user certificate 21 contains the user's personal data transmitted in step 31.

Das Nutzerzertifikat 21 enthält in weiteren Ausführungsbeispielen Geräteinformationen des geschützten Peripheriegeräts 10. Diese Geräteinformationen umfassen beispielsweise eine Seriennummer, ein Fertigungsdatum oder ein Herstellungsland.In further embodiments, the user certificate 21 contains device information of the protected peripheral device 10. This device information includes, for example, a serial number, a manufacturing date or a country of manufacture.

Bei der Erstellung des Zertifikats werden Informationen in vordefinierten Feldern erfasst. Die vordefinierten Felder können einen an unterschiedliche Geräte und/oder Kunden angepassten Inhalt aufweisen. Im Ausführungsbeispiel umfassen diese Informationen in den vordefinierten Feldern personenbezogene Daten oder Geräteinformationen.When the certificate is created, information is recorded in predefined fields. The predefined fields can have content adapted to different devices and/or customers. In the example, this information in the predefined fields includes personal data or device information.

In weiteren Ausführungsbeispielen wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat und den personenbezogenen Daten und/oder den Geräteinformationen erstellt. Die personenbezogenen Daten und die Geräteinformationen sind in diesem Ausführungsbeispiel nicht auslesbar in dem Nutzerzertifikat 21 enthalten, beispielsweise durch einen Prüfwert.In further embodiments, the user certificate 21 is created based on the device certificate and the personal data and/or the device information. In this embodiment, the personal data and the device information are not contained in the user certificate 21 in a readable manner, for example by a check value.

Das Nutzerzertifikat 21 kann von dem Nutzer mehrmals angefordert werden, um beispielsweise verschiedenen Computersysteme 11 nutzen zu können. In einem anderen Ausführungsbeispiel kann das Nutzerzertifikat 21 nur ein einziges Mal erstellt werden. Dies erhöht die Sicherheit des geschützten Peripheriegeräts 10. Soll hierbei ein weiteres Nutzerzertifikat 21 erstellt werden, muss der Nutzer einen Kundenservice kontaktieren, der dem Nutzer das geschützte Peripheriegerät 10 wieder freischalten kann. Hierzu kann der Kundenservice das geschützte Peripheriegerät 10 auf Werkseinstellungen zurücksetzen.The user certificate 21 can be requested by the user several times, for example in order to be able to use different computer systems 11. In another embodiment, the user certificate 21 can only be created once. This increases the security of the protected peripheral device 10. If another user certificate 21 is to be created, the user must contact customer service, which can re-enable the protected peripheral device 10 for the user. To do this, customer service can reset the protected peripheral device 10 to factory settings.

Im Schritt 33 stellt das geschützt Peripheriegerät 10 das erstellte Nutzerzertifikat 21 dem Computersystem 11 über den Anschluss 13 bereit. Das Nutzerzertifikat 21 wird in den Webbrowser auf dem Computersystem 11 importiert.In step 33, the protected peripheral device 10 provides the created user certificate 21 to the computer system 11 via the port 13. The user certificate 21 is imported into the web browser on the computer system 11.

Das Nutzerzertifikat 21, das dem Computersystem 11 bereitgestellt wurde, wird in Schritt 34 von dem Computersystem 11 über den Datennetzwerkanschluss 16 und eine https-Verbindung aus dem Webbrowser heraus an den Server 12 gesendet. Hierzu speichert das Computersystem 11 das Nutzerzertifikat 21 in einem in 1 nicht dargestellten Speicher. Das gespeicherte Nutzerzertifikat 21 wird zum Senden ausgelesen.The user certificate 21 that was provided to the computer system 11 is sent in step 34 from the computer system 11 via the data network connection 16 and an https connection from the web browser to the server 12. For this purpose, the computer system 11 stores the user certificate 21 in a 1 not shown memory. The stored user certificate 21 is read out for sending.

In Schritt 35 gleicht der Server 12 das empfangene Nutzerzertifikat 21 mit dem in dem Speicher 18 hinterlegten Serverzertifikat 23 ab. Der Abgleich erfolgt hierbei basierend auf einem https-Standard. Hierbei werden das Serverzertifikat 23 und das Nutzerzertifikat 21 als übereinstimmend angesehen, wenn der Abgleich ergibt, dass das Serverzertifikat 23 und das Nutzerzertifikat 21 direkt oder indirekt auf dem Hauptzertifikat 24 basieren.In step 35, the server 12 compares the received user certificate 21 with the server certificate 23 stored in the memory 18. The comparison is carried out based on an https standard. The server certificate 23 and the user certificate 21 are considered to be consistent if the comparison shows that the server certificate 23 and the user certificate 21 are based directly or indirectly on the main certificate 24.

In einer alternativen Ausgestaltung sind entsprechende Vergleichswerte basierend auf dem Hauptzertifikat 24 in einer Hashwerttabelle hinterlegt. In diesem Fall prüft der Server 12 das Nutzerzertifikat 21 über einen hinterlegten Hashwert in der Hashwerttabelle.In an alternative embodiment, corresponding comparison values are stored in a hash value table based on the main certificate 24. In this case, the server 12 checks the user certificate 21 using a stored hash value in the hash value table.

Der Server 12 protokolliert den Zugriff auf den Downloadbereich mit den bereitgestellten Daten. Hierzu werden Zertifikatsinformationen und eine Gerätenummer des geschützten Peripheriegeräts 10 gespeichert.The server 12 logs access to the download area with the data provided. For this purpose, certificate information and a device number of the protected peripheral device 10 are stored.

Zeigt die Prüfung in Schritt 35 eine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 in Schritt 36 Daten bereit. Das Computersystem 11 kann nun die bereitgestellten Daten von dem Server 12 herunterladen. Im Ausführungsbeispiel lädt das Computersystem 11 ein SDK von dem Server 12 herunter.If the check in step 35 shows a match, the server 12 provides data to the computer system 11 in step 36. The computer system 11 can now download the provided data from the server 12. In the exemplary embodiment, the computer system 11 downloads an SDK from the server 12.

Der Server 12 gibt dem Nutzer abhängig von dem Nutzerzertifikat 21 Zugriff auf unterschiedliche Softwareprodukte, wie beispielsweise verschiedene Versionen einer Firmware. In dem Nutzerzertifikat 21 sind hierbei Informationen zu dem Software- und Gerätestand des geschützten Peripheriegeräts 10 gespeichert. Die übermittelten Geräteinformationen werden von dem Server 12 aus dem Nutzerzertifikat 21 ausgelesen.Depending on the user certificate 21, the server 12 gives the user access to different software products, such as different versions of a firmware. Information about the software and device status of the protected peripheral device 10 is stored in the user certificate 21. The transmitted device information is read by the server 12 from the user certificate 21.

Im beschriebenen Ausführungsbeispiel umfasst das Nutzerzertifikat 21 einen Zeitstempel. Anhand des Zeitstempels kann der Server 12 erkennen, wann das Nutzerzertifikat 21 ausgestellt wurde. Der Server 12 stellt die Daten nun für einen vorbestimmten Zeitraum, beispielsweise eine Woche ab dem Ausstellungsdatum des Nutzerzertifikat 21, bereit.In the described embodiment, the user certificate 21 includes a time stamp. The server 12 can use the time stamp to identify when the user certificate 21 was issued. The server 12 then makes the data available for a predetermined period of time, for example one week from the date of issue of the user certificate 21.

In einer alternativen Ausgestaltung stellt der Server 12 die Daten ab einem Anfragezeitpunkt für einen vorbestimmten Zeitraum bereit.In an alternative embodiment, the server 12 provides the data from a request time for a predetermined period of time.

In einem weiteren alternativen oder zusätzlichen Ausführungsbeispiel stellt der Server 12 die Daten lediglich dem Computersystem 11 bereit. Hierzu speichert der Server 12 eine Kennung, beispielsweise eine MAC-Adresse, des Computersystems 11. Nachfolgende Downloads können so von dem Computersystem 11 durchgeführt werden, ohne das Nutzerzertifikat 21 zu übermitteln.In a further alternative or additional embodiment, the server 12 only provides the data to the computer system 11. For this purpose, the server 12 stores an identifier, for example a MAC address, of the computer system 11. Subsequent downloads can thus be carried out by the computer system 11 without transmitting the user certificate 21.

Im beschriebenen Ausführungsbeispiel verschlüsselt der Server 12 die Daten. Die Daten werden hierbei mit dem Serverzertifikat 23 verschlüsselt. In einem weiteren Ausführungsbeispiel werden die Daten von dem Server 12 mit einem dem Serverzertifikat 23 zugeordneten Schlüssel verschlüsselt.In the described embodiment, the server 12 encrypts the data. The data is encrypted with the server certificate 23. In a further embodiment, the data is encrypted by the server 12 with a key assigned to the server certificate 23.

Ein Entschlüsseln ist mit dem Nutzerzertifikat 21 möglich. Hierzu muss das geschützte Peripheriegerät 10 mit dem Computersystem 11 beziehungsweise mit einem Computersystem, auf dem die verschlüsselten Daten gespeichert sind, verbunden sein. In einem weiteren Ausführungsbeispiel muss das geschützte Peripheriegerät 10 nicht mit dem Computersystem 11 verbunden sein. In diesem Ausführungsbeispiel ist eine Entschlüsselung mit dem gespeicherten Nutzerzertifikat 21 von dem Computersystem 11 aus möglich.Decryption is possible with the user certificate 21. For this purpose, the protected peripheral device 10 must be connected to the computer system 11 or to a computer system on which the encrypted data is stored. In a further embodiment, the protected peripheral device 10 does not have to be connected to the computer system 11. In this embodiment, decryption is possible with the stored user certificate 21 from the computer system 11.

Im beschriebenen Ausführungsbeispiel muss das geschützte Peripheriegerät 10 zum Arbeiten mit den heruntergeladenen Daten dauerhaft mit dem Computersystem 11 verbunden sein.In the described embodiment, the protected peripheral device 10 must be permanently connected to the computer system 11 in order to work with the downloaded data.

In einem weiteren Ausführungsbeispiel schaltet das geschützte Peripheriegerät 10 mit dem Entschlüsseln der heruntergeladenen Daten die Daten frei, so dass diese auf beliebigen Computersystemen auch ohne eine Verbindung zu einem geschützten Peripheriegerät 10 nutzbar sind. Hierbei löscht das geschützte Peripheriegerät 10 eine Information in den Dateien, die eine Nutzung ohne ein an das Computersystem 11 angeschlossenes geschütztes Peripheriegerät 10 unmöglich macht.In a further embodiment, the protected peripheral device 10 unlocks the data by decrypting the downloaded data so that it can be used on any computer system even without a connection to a protected peripheral device 10. In doing so, the protected peripheral device 10 deletes information in the files that makes use impossible without a protected peripheral device 10 connected to the computer system 11.

Zeigt die Prüfung in Schritt 35 keine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 keine Daten bereit. Das Verfahren endet in Schritt 37 beispielsweise mit dem Unterbrechen der Datennetzwerkverbindung zwischen dem Computersystem 11 und dem Server 12 durch den Server 12.If the check in step 35 does not show a match, the server 12 does not provide any data to the computer system 11. The method ends in step 37, for example, with the server 12 interrupting the data network connection between the computer system 11 and the server 12.

BezugszeichenlisteList of reference symbols

1010
geschütztes Peripheriegerätprotected peripheral device
1111
ComputersystemComputer system
1212
Serverserver
13, 1513, 15
AnschlussConnection
16, 1716, 17
DatennetzwerkanschlussData network connection
14, 1814, 18
Speichermemory
1919
erstes Zertifikatfirst certificate
19'19'
zweites Zertifikatsecond certificate
19''19''
drittes Zertifikatthird certificate
21, 21'21, 21'
NutzerzertifikatUser certificate
22, 22'22, 22'
GerätezertifikatDevice certificate
2323
ServerzertifikatServer certificate
2424
HauptzertifikatMain certificate
3030
AblaufdiagrammFlowchart
31-3731-37
VerfahrensschritteProcess steps

Claims (10)

Verfahren zur Authentifizierung eines Computersystems (11) gegenüber einem Server (12), umfassend die Schritte: - Anfordern eines ersten Zertifikats (19) von einem geschützten Peripheriegerät (10) über eine Verbindung; - Erstellen des angeforderten ersten Zertifikats (19) durch das geschützte Peripheriegerät (10) basierend auf einem zweiten Zertifikat (19'), das in dem geschützten Peripheriegerät (19) hinterlegt ist; - Bereitstellen des erstellten ersten Zertifikats (19) über die Verbindung an das Computersystem (11); - Senden des bereitgestellten ersten Zertifikats (19) durch das Computersystem (11) an den Server (12); - Prüfen des gesendeten ersten Zertifikats (19) durch den Server (12) mittels eines dritten Zertifikats (19''); und - Bereitstellen von Daten auf dem Server (12), wenn ein Ergebnis der Prüfung erfolgreich war, wobei das zweite Zertifikat (19') und das dritte Zertifikat (19'') auf einem Hauptzertifikat (24) basieren, wobei die bereitgestellten Daten auf dem Server (10) verschlüsselt sind und wobei die verschlüsselten Daten nach einem Herunterladen von dem geschützten Peripheriegerät (10) entschlüsselbar sind, wobei die verschlüsselten Daten vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät (10) erfordern.Method for authenticating a computer system (11) to a server (12), comprising the steps: - Requesting a first certificate (19) from a protected peripheral device (10) via a connection; - Creating the requested first certificate (19) by the protected peripheral device (10) based on a second certificate (19') stored in the protected peripheral device (19); - Providing the created first certificate (19) to the computer system (11) via the connection; - Sending the provided first certificate (19) by the computer system (11) to the server (12); - Checking the sent first certificate (19) by the server (12) using a third certificate (19''); and - providing data on the server (12) if a result of the check was successful, wherein the second certificate (19') and the third certificate (19'') are based on a main certificate (24), wherein the provided data is encrypted on the server (10) and wherein the encrypted data is decryptable after downloading from the protected peripheral device (10), wherein the encrypted data requires decryption by the protected peripheral device (10) before use. Verfahren nach Anspruch 1, wobei die entschlüsselten Daten unabhängig von dem geschützten Peripheriegerät (10) verwendbar sind.Procedure according to Claim 1 , wherein the decrypted data can be used independently of the protected peripheral device (10). Verfahren nach Anspruch 1, wobei die bereitgestellten Daten für eine Benutzung eine aktive Verbindung zu dem geschützten Peripheriegerät (10) erfordern oder lediglich auf dem geschützten Peripheriegerät (10) ausgeführt werden können.Procedure according to Claim 1 , wherein the data provided requires an active connection to the protected peripheral device (10) for use or can only be executed on the protected peripheral device (10). Verfahren nach einem der Ansprüche 1 bis 3, wobei das erste Zertifikat (19) eine Beschränkungsinformation aufweist und der Server (12) abhängig von der Beschränkungsinformation die bereitgestellten Daten beschränkt zur Verfügung stellt.Procedure according to one of the Claims 1 until 3 , wherein the first certificate (19) has restriction information and the server (12) makes the provided data available in a restricted manner depending on the restriction information. Verfahren nach einem der Ansprüche 1 bis 4, wobei der Schritt des Anforderns ein Übermitteln von Benutzerdaten an das geschützte Peripheriegerät (10) umfasst und wobei das erste Zertifikat (19) auf wenigstens einem Teil dieser Benutzerdaten basiert und/oder wenigstens einen Teil dieser Benutzerdaten umfasst.Procedure according to one of the Claims 1 until 4 , wherein the step of requesting comprises transmitting user data to the protected peripheral device (10), and wherein the first certificate (19) is based on at least a portion of this user data and/or comprises at least a portion of this user data. Verfahren nach einem der Ansprüche 1 bis 5, wobei das erste Zertifikat (19) Geräteinformationen des geschützten Peripheriegeräts (10) umfasst.Procedure according to one of the Claims 1 until 5 , wherein the first certificate (19) comprises device information of the protected peripheral device (10). Verfahren nach einem der Ansprüche 1 bis 6, wobei ein Zugriff auf einen sicheren Bereich auf dem geschützten Peripheriegerät (10) eine Authentifizierung mit dem ersten Zertifikat (19) erfordert.Procedure according to one of the Claims 1 until 6 , wherein access to a secure area on the protected peripheral device (10) requires authentication with the first certificate (19). Verfahren nach einem der Ansprüche 1 bis 7, wobei der Server zusätzlich zum ersten Zertifikat (19) auch Standortinformationen, insbesondere eine IP-Adresse, überprüft und die Daten nur dann bereitstellt, wenn ein Ergebnis der Prüfung des ersten Zertifikats (19) und der Standortinformationen erfolgreich waren.Procedure according to one of the Claims 1 until 7 , wherein the server also checks location information, in particular an IP address, in addition to the first certificate (19) and only provides the data if a result of the check of the first certificate (19) and the location information was successful. Geschütztes Peripheriegerät (10) mit einem Anschluss (13) und einem Speicher (14), wobei ein zweites Zertifikat (19') auf einem Hauptzertifikat (24) basiert und in dem Speicher (14) gespeichert ist und wobei das geschützte Peripheriegerät (10) dazu eingerichtet ist, auf eine Aufforderung hin ein auf dem zweiten Zertifikat (19') basierendes erstes Zertifikat (19) zu erstellen und über eine über den Anschluss (13) aufgebaute Verbindung bereitzustellen, wobei das geschützte Peripheriegerät (10) weiter dazu eingerichtet ist, mit einem dritten Zertifikat (19'') verschlüsselte Daten zu entschlüsseln, wobei das dritte Zertifikat (19'') auf dem Hauptzertifikat (24) basiert.Protected peripheral device (10) with a port (13) and a memory (14), wherein a second certificate (19') is based on a main certificate (24) and is stored in the memory (14), and wherein the protected peripheral device (10) is configured to create a first certificate (19) based on the second certificate (19') upon a request and to provide it via a connection established via the port (13), wherein the protected peripheral device (10) is further configured to decrypt data encrypted with a third certificate (19''), wherein the third certificate (19'') is based on the main certificate (24). Verwendung eines geschützten Peripheriegerätes (10) nach Anspruch 9, zum Erstellen eines ersten Zertifikats (19) zum Authentifizieren eines Computersystems (11) gegenüber einem Server (12) mit einem dritten Zertifikat (19''), das auf dem Hauptzertifikat (24) basiert.Use of a protected peripheral device (10) according to Claim 9 , for creating a first certificate (19) for authenticating a computer system (11) to a server (12) with a third certificate (19'') based on the main certificate (24).
DE102015108543.7A 2015-05-29 2015-05-29 Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device Active DE102015108543B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015108543.7A DE102015108543B4 (en) 2015-05-29 2015-05-29 Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015108543.7A DE102015108543B4 (en) 2015-05-29 2015-05-29 Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device

Publications (2)

Publication Number Publication Date
DE102015108543A1 DE102015108543A1 (en) 2016-12-01
DE102015108543B4 true DE102015108543B4 (en) 2024-09-19

Family

ID=57281509

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015108543.7A Active DE102015108543B4 (en) 2015-05-29 2015-05-29 Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device

Country Status (1)

Country Link
DE (1) DE102015108543B4 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163700A1 (en) 2002-02-28 2003-08-28 Nokia Corporation Method and system for user generated keys and certificates
DE102008000067A1 (en) 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Method for reading attributes from an ID token
DE102008028701A1 (en) 2008-06-17 2009-12-24 Giesecke & Devrient Gmbh A method and system for generating a derived electronic identity from an electronic master identity
US20130167211A1 (en) 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163700A1 (en) 2002-02-28 2003-08-28 Nokia Corporation Method and system for user generated keys and certificates
DE102008000067A1 (en) 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Method for reading attributes from an ID token
DE102008028701A1 (en) 2008-06-17 2009-12-24 Giesecke & Devrient Gmbh A method and system for generating a derived electronic identity from an electronic master identity
US20130167211A1 (en) 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Wikipedia: Zertifizierungsstelle, 17.12.2014, URL: https://de.wikipedia.org/w/index.php?title=Zertifizierungsstelle&oldid=136864505.

Also Published As

Publication number Publication date
DE102015108543A1 (en) 2016-12-01

Similar Documents

Publication Publication Date Title
EP3488555B1 (en) Secure processing of an authorisation verification request
EP3057025B1 (en) Computer-implemented method for controlling access
DE112011100182B4 (en) Data security device, computing program, terminal and system for transaction verification
DE60119834T2 (en) Method and system for secured legacy enclaves in a public key infrastructure
EP2454703B1 (en) Method for reading attributes from an id token
EP3292496B1 (en) Apparatus and method for using a customer device certificate on a device
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
DE102010028133A1 (en) A method of reading an attribute from an ID token
EP3125492A1 (en) Method and system for generating a secure communication channel for terminals
WO2010031698A2 (en) Method for storing data, computer programme product, id token and computer system
DE112008001436T5 (en) Secure communication
DE10244727B4 (en) System and method for secure data transmission
EP3908946B1 (en) Method for securely providing a personalized electronic identity on a terminal
EP2620892A1 (en) Method for generating a pseudonym with the help of an ID token
EP2631837B1 (en) Method for generating a pseudonym with the help of an ID token
DE102015108543B4 (en) Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device
DE102014210058B4 (en) Information processing server system, control method and program
DE202022101844U1 (en) A system for encrypting and decrypting data for secure communication
DE102020107805A1 (en) User authentication using two independent security elements
DE10242673B4 (en) Procedure for identifying a user
DE102010021655A1 (en) A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
DE102021117792A1 (en) Method, devices and system for accessing a production facility
WO2022002502A1 (en) Providing a service anonymously
WO2023131518A1 (en) Verification method and verification computer system having an nft-generating device and a verification device
DE102012106081A1 (en) Method for encrypted and anonymous storing and managing personal data and codes on separate systems, involves authorizing third parties by encrypted and transaction-referred transferred authorization request by user for transactions

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: FUJITSU CLIENT COMPUTING LIMITED, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

Owner name: FUJITSU CLIENT COMPUTING LIMITED, KAWASAKI-SHI, JP

Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE

R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

R018 Grant decision by examination section/examining division