DE102015108543B4 - Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device - Google Patents
Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device Download PDFInfo
- Publication number
- DE102015108543B4 DE102015108543B4 DE102015108543.7A DE102015108543A DE102015108543B4 DE 102015108543 B4 DE102015108543 B4 DE 102015108543B4 DE 102015108543 A DE102015108543 A DE 102015108543A DE 102015108543 B4 DE102015108543 B4 DE 102015108543B4
- Authority
- DE
- Germany
- Prior art keywords
- certificate
- peripheral device
- server
- protected peripheral
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002093 peripheral effect Effects 0.000 title claims abstract description 94
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Verfahren zur Authentifizierung eines Computersystems (11) gegenüber einem Server (12), umfassend die Schritte:- Anfordern eines ersten Zertifikats (19) von einem geschützten Peripheriegerät (10) über eine Verbindung;- Erstellen des angeforderten ersten Zertifikats (19) durch das geschützte Peripheriegerät (10) basierend auf einem zweiten Zertifikat (19'), das in dem geschützten Peripheriegerät (19) hinterlegt ist;- Bereitstellen des erstellten ersten Zertifikats (19) über die Verbindung an das Computersystem (11);- Senden des bereitgestellten ersten Zertifikats (19) durch das Computersystem (11) an den Server (12);- Prüfen des gesendeten ersten Zertifikats (19) durch den Server (12) mittels eines dritten Zertifikats (19''); und- Bereitstellen von Daten auf dem Server (12), wenn ein Ergebnis der Prüfung erfolgreich war, wobei das zweite Zertifikat (19') und das dritte Zertifikat (19'') auf einem Hauptzertifikat (24) basieren, wobei die bereitgestellten Daten auf dem Server (10) verschlüsselt sind und wobei die verschlüsselten Daten nach einem Herunterladen von dem geschützten Peripheriegerät (10) entschlüsselbar sind, wobei die verschlüsselten Daten vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät (10) erfordern.Method for authenticating a computer system (11) to a server (12), comprising the steps of:- requesting a first certificate (19) from a protected peripheral device (10) via a connection;- creating the requested first certificate (19) by the protected peripheral device (10) based on a second certificate (19') stored in the protected peripheral device (19);- providing the created first certificate (19) to the computer system (11) via the connection;- sending the provided first certificate (19) by the computer system (11) to the server (12);- checking the sent first certificate (19) by the server (12) using a third certificate (19''); and- providing data on the server (12) if a result of the check was successful, wherein the second certificate (19') and the third certificate (19'') are based on a main certificate (24), wherein the provided data is encrypted on the server (10) and wherein the encrypted data is decryptable after downloading from the protected peripheral device (10), wherein the encrypted data requires decryption by the protected peripheral device (10) before use.
Description
Die Erfindung betrifft ein Verfahren zur Identifizierung eines Computersystems gegenüber einem Server, ein geschütztes Peripheriegerät mit einem Anschluss und einem Speicher, sowie die Verwendung eines geschützten Peripheriegeräts.The invention relates to a method for identifying a computer system to a server, a protected peripheral device with a port and a memory, and the use of a protected peripheral device.
Als Service oder zur Unterstützung bei der Benutzung von Peripheriegeräten und insbesondere geschützten Peripheriegeräten, können Benutzern bestimmte Programme und Software angeboten werden. Ein weiterer Service ist es, sogenannte Software Developer Kits (SDK) anzubieten, mit denen sich Benutzer eigene und spezialisierte Software selber programmieren können, die zu dem Peripheriegerät passt. Es liegt im Interesse des Herstellers, dass Leute, die diese SDKs benutzen, auch ein Peripheriegerät besitzen. Es sind verschiedene Authentifizierungsverfahren bekannt. Diese sind entweder für den Hersteller oder für den Benutzer aufwendig.As a service or to support the use of peripheral devices and especially protected peripheral devices, users can be offered certain programs and software. Another service is to offer so-called software developer kits (SDKs) with which users can program their own, specialized software that suits the peripheral device. It is in the manufacturer's interest that people who use these SDKs also own a peripheral device. Various authentication methods are known. These are either complex for the manufacturer or for the user.
Aus der
Die
Aus der
Die
Aufgabe der Erfindung ist es, Verfahren und Vorrichtungen aufzuzeigen, die eine vorteilhafte, insbesondere eine einfache und sichere, Authentifizierung eines Computersystems ermöglichen.The object of the invention is to demonstrate methods and devices which enable an advantageous, in particular a simple and secure, authentication of a computer system.
Gemäß einem ersten Aspekt der Erfindung wird die Aufgabe durch ein Verfahren zur Authentifizierung eines Computersystems gegenüber einem Server gelöst. In einem ersten Schritt wird ein erstes Zertifikat von einem geschützten Peripheriegerät über eine Verbindung angefordert. Das angeforderte erste Zertifikat wird durch das geschützte Peripheriegerät basierend auf einem zweiten Zertifikat, das in dem geschützten Peripheriegerät hinterlegt ist, erstellt. Das erstellte erste Zertifikat wird über die Verbindung an das Computersystem bereitgestellt. Das Computersystem sendet das bereitgestellte erste Zertifikat an den Server. Der Server prüft das gesendete erste Zertifikat mittels eines dritten Zertifikats und stellt Daten auf dem Server bereit, wenn ein Ergebnis der Prüfung erfolgreich war. Hierbei basieren das zweite Zertifikat und das dritte Zertifikat auf einem Hauptzertifikat. Die bereitgestellten Daten auf dem Server sind verschlüsselt. Die verschlüsselten Daten sind nach einem Herunterladen von dem geschützten Peripheriegerät entschlüsselbar. Die verschlüsselten Daten erfordern vor einer Benutzung eine Entschlüsselung durch das geschützte Peripheriegerät.According to a first aspect of the invention, the object is achieved by a method for authenticating a computer system to a server. In a first step, a first certificate is requested from a protected peripheral device via a connection. The requested first certificate is created by the protected peripheral device based on a second certificate that is stored in the protected peripheral device. The created first certificate is provided to the computer system via the connection. The computer system sends the provided first certificate to the server. The server checks the sent first certificate using a third certificate and provides data on the server if the result of the check was successful. The second certificate and the third certificate are based on a main certificate. The data provided on the server is encrypted. The encrypted data can be decrypted after being downloaded from the protected peripheral device. The encrypted data requires decryption by the protected peripheral device before it can be used.
Das zweite Zertifikat ist in dem geschützten Peripheriegerät hinterlegt. Somit kann sich jeder Besitzer des geschützten Peripheriegeräts ein erstes Zertifikat ausgeben lassen. Über die Verknüpfung des zweiten und dritten Zertifikats mit dem Hauptzertifikat teilen sich der Server und das geschützte Peripheriegerät ein Geheimnis, das für die Authentifizierung des Computersystems gegenüber dem Server genutzt werden kann.The second certificate is stored in the protected peripheral device. This means that every owner of the protected peripheral device can have a first certificate issued. By linking the second and third certificates to the main certificate, the server and the protected peripheral device share a secret that can be used to authenticate the computer system to the server.
Durch das Verschlüsseln kann sichergestellt werden, dass die Daten, die vom Server heruntergeladen werden auch von lediglich dem Benutzer genutzt werden können, der das geschützte Peripheriegerät verwendet, über das das erste Zertifikat erstellt wurde.Encryption ensures that the data downloaded from the server can only be used by the user who uses the protected peripheral device through which the first certificate was created.
Werden die verschlüsselten Daten im Peripheriegerät entschlüsselt, so kann damit frei gearbeitet werden. Dies ist beispielsweise in Firmen sinnvoll, bei denen ein Team mit den heruntergeladenen Daten arbeitet. Hierbei können dann verschiedene Computersysteme zum Arbeiten verwendet werden, so dass es nicht erforderlich ist, an jedem Arbeitsplatz ein gesichertes Peripheriegerät zu verwenden.If the encrypted data in the peripheral device is decrypted, it can be used freely. This is useful, for example, in companies where a team works with the downloaded data. Different computer systems can then be used for work, so that it is not necessary to use a secure peripheral device at every workstation.
In einer Ausgestaltung erfordern die bereitgestellten Daten eine aktive Verbindung zu dem geschützten Peripheriegerät oder können lediglich auf dem geschützten Peripheriegerät ausgeführt werden.In one embodiment, the data provided requires an active connection to the protected peripheral device or can only be executed on the protected peripheral device.
Eine Nutzung der bereitgestellten Daten kann so auf eine Plattform beschränkt werden.Use of the data provided can thus be restricted to one platform.
Gemäß einer vorteilhaften Ausgestaltung weist das erste Zertifikat eine Beschränkungsinformation auf, wobei der Server abhängig von der Beschränkungsinformation die bereitgestellten Daten beschränkt zur Verfügung stellt. According to an advantageous embodiment, the first certificate has restriction information, wherein the server makes the provided data available in a restricted manner depending on the restriction information.
Durch die Beschränkung, insbesondere eine zeitliche Beschränkung, kann der Server einen Download für eine beschränkte Zeit zur Verfügung stellen.By restricting, particularly restricting in time, the server can make a download available for a limited period of time.
Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst der Schritt des Anforderns ein Übermitteln von Benutzerdaten an das geschützte Peripheriegerät. Hierbei basiert das erste Zertifikat auf wenigstens einem Teil dieser Benutzerdaten und/oder umfasst wenigstens einen Teil dieser Benutzerdaten.According to a further advantageous embodiment, the requesting step comprises transmitting user data to the protected peripheral device. The first certificate is based on at least part of this user data and/or comprises at least part of this user data.
Sind Benutzerdaten in dem Zertifikat hinterlegt, so ist nicht nur eine Zuordnung zu dem Benutzer möglich, sondern es kann auch eine Beschränkung von Downloads auf dem Server für bestimmte Benutzer erfolgen.If user data is stored in the certificate, it is not only possible to assign it to the user, but downloads on the server can also be restricted for certain users.
Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst das erste Zertifikat Geräteinformationen des geschützten Peripheriegeräts.According to a further advantageous embodiment, the first certificate comprises device information of the protected peripheral device.
Einzelne geschützte Peripheriegeräte können für bestimmte Benutzergruppen bzw. Personenkreise wie zum Beispiel Firmen oder private Endbenutzer gefertigt sein. Dadurch, dass das erste Zertifikat die Geräteinformationen umfasst, können verschiedenen geschützten Peripheriegeräten, die für eine bestimmte Benutzergruppe gefertigt wurden, unterschiedliche Rechte zugewiesen werden.Individual protected peripherals can be manufactured for specific user groups or groups of people, such as companies or private end users. Because the first certificate contains the device information, different protected peripherals manufactured for a specific user group can be assigned different rights.
Gemäß einer weiteren vorteilhaften Ausgestaltung erfordert ein Zugriff auf einen sicheren Bereich auf dem geschützten Peripheriegerät eine Authentifizierung mit dem ersten Zertifikat.According to a further advantageous embodiment, access to a secure area on the protected peripheral device requires authentication with the first certificate.
Lässt sich ein Administrator das erste Zertifikat erstellen, so kann er sicherstellen, dass ausschließlich Personen auf das geschützte Peripheriegerät beziehungsweise auf gesicherte Bereiche des geschützten Peripheriegeräts Zugriff haben, die ebenfalls über das erste Zertifikat verfügen beziehungsweise durch den Administrator legitimiert worden sind.If an administrator has the first certificate created, he can ensure that only people who also have the first certificate or who have been authorized by the administrator have access to the protected peripheral device or to secure areas of the protected peripheral device.
Gemäß einer weiteren vorteilhaften Ausgestaltung überprüft der Server zusätzlich zum ersten Zertifikat auch Standortinformationen, insbesondere eine IP-Adresse. Die Daten werden von dem Server nur dann bereitgestellt, wenn ein Ergebnis der Prüfung des ersten Zertifikats und der Standortinformationen erfolgreich waren.According to a further advantageous embodiment, the server also checks location information, in particular an IP address, in addition to the first certificate. The data is only provided by the server if the result of the check of the first certificate and the location information was successful.
Die Prüfung der Standortinformationen bietet zusätzlich mehr Sicherheit vor illegalen Downloads.Checking location information also provides greater security against illegal downloads.
Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein gestütztes Peripheriegerät mit einem Anschluss und einem Speicher gelöst. In dem Speicher ist ein zweites Zertifikat gespeichert, das auf einem Hauptzertifikat basiert. Das geschützte Peripheriegerät ist dazu eingerichtet, auf eine Aufforderung hin ein auf dem zweiten Zertifikat basierendes erstes Zertifikat zu erstellen und über eine über den Anschluss aufgebaute Verbindung bereitzustellen.According to a second aspect of the invention, the object is achieved by a supported peripheral device with a port and a memory. A second certificate based on a main certificate is stored in the memory. The protected peripheral device is designed to create a first certificate based on the second certificate upon request and to provide it via a connection established via the port.
Das geschützte Peripheriegerät ist weiter dazu eingerichtet, mit einem dritten Zertifikat verschlüsselte Daten zu entschlüsseln, wobei das dritte Zertifikat auf dem Hauptzertifikat basiert.The protected peripheral device is further configured to decrypt data encrypted with a third certificate, where the third certificate is based on the main certificate.
Das geschützte Peripheriegerät kann dazu verwendet werden, eine Authentifizierung gegenüber einem Server mit einem von einem Hauptzertifikat abhängigen dritten Zertifikat zu ermöglichen.The protected peripheral can be used to enable authentication to a server using a third certificate that is dependent on a master certificate.
Ein Benutzer kann mit dem dritten Zertifikat verschlüsselte Daten entschlüsseln, ohne zusätzliche Hardware anschaffen zu müssen.A user can decrypt data encrypted with the third certificate without having to purchase additional hardware.
Gemäß einem dritten Aspekt der Erfindung wird die Aufgabe durch die Verwendung eines geschützten Peripheriegerätes mit einem Speicher gelöst, wobei ein auf einem Hauptzertifikat basierendes zweites Zertifikat in dem Speicher gespeichert ist. Das geschützte Peripheriegerät wird hierbei dazu verwendet, ein erstes Zertifikat zum Authentifizieren eines Computersystems gegenüber einem Server mit einem dritten Zertifikat, das auf dem Hauptzertifikat basiert, zu erstellen.According to a third aspect of the invention, the object is achieved by using a protected peripheral device with a memory, wherein a second certificate based on a main certificate is stored in the memory. The protected peripheral device is used to create a first certificate for authenticating a computer system to a server with a third certificate based on the main certificate.
Eine Zugriffskontrolle auf den Server kann somit durch eine Zertifikatsvergabe durch das geschützte Peripheriegerät geregelt werden.Access control to the server can thus be regulated by issuing a certificate from the protected peripheral device.
Die Erfindung wird im Folgenden anhand von Ausführungsbeispielen und Figuren näher beschrieben.The invention is described in more detail below using embodiments and figures.
In den Figuren zeigen:
-
1 eine schematische Darstellung eines geschützten Peripheriegeräts zusammen mit einem Computersystem und einem Server; -
2 eine Übersicht von Zertifikaten; und -
3 ein Ablaufdiagramm für ein Verfahren gemäß einer Ausgestaltung der Erfindung.
-
1 a schematic representation of a protected peripheral device together with a computer system and a server; -
2 an overview of certificates; and -
3 a flow chart for a method according to an embodiment of the invention.
Das geschützte Peripheriegerät 10 weist einen Anschluss 13 auf, der zum Verbinden des geschützten Peripheriegeräts 10 mit dem Computersystem 11, beispielsweise über eine SSH-Verbindung, eingerichtet ist. Im Ausführungsbeispiel handelt es sich bei dem Anschluss 13 um eine LAN Buchse, in anderen Ausgestaltungen kann es sich jedoch ebenso um eine USB Schnittstelle, einen WLAN-Anschluss oder andere Anschlüsse zum Übertragen von Daten handeln. In weiteren Ausführungsbeispielen handelt es sich bei der Verbindung zwischen dem geschützten Peripheriegerät 10 und dem Computersystem 11 um eine Internetverbindung oder eine andere Datenverbindung.The protected
Das geschützte Peripheriegerät 10 weist des Weiteren einen Speicher 14 auf, in dem ein Gerätezertifikat 22 als zweites Zertifikat 19' gespeichert ist (eine hierarchische Übersicht der beschriebenen Zertifikate ist in
In einem weiteren Ausführungsbeispiel werden mehrere verschiedene geschützte Peripheriegeräte 10 mit unterschiedlichen nutzerspezifischen Gerätezertifikaten 22' angeboten, die alle ein gemeinsames Merkmal teilen, so dass eine Zuordnung zu einem Benutzer, beziehungsweise einer Firma, gewährleistet ist. Diese nutzerspezifischen Gerätezertifikaten 22' kann eine entsprechende Kennung auch an ein spezifisches Nutzerzertifikat 21' weitergeben. Das Computersystem 11 kann sich mit diesem spezifisches Nutzerzertifikat 21', das auf dem nutzerspezifischen Gerätezertifikaten 22' mit der Nutzerkennung basiert gegenüber dem Server 12 authentifizieren und als Firmenrechner zu erkennen geben. Diesem spezifisches Nutzerzertifikat 21' wird ein besonderes Downloadrecht eingeräumt.In a further embodiment, several different protected
Das Computersystem 11 ist im Ausführungsbeispiel ein Desktop Computer, der von einer Softwarefirma zum Programmieren von Softwareapplikationen für das geschützte Peripheriegerät 10 eingesetzt wird.In the exemplary embodiment, the
Selbstverständlich kann es sich bei dem Computersystem 11 in weiteren Ausgestaltungen auch um andere Computersysteme handeln, die beispielsweise eine Datennetzwerkverbindung aufbauen können.Of course, in further embodiments, the
Der Server 12 ist im Ausführungsbeispiel ein Downloadserver, über den von einem Hersteller des geschützten Peripheriegeräts 10 Daten, insbesondere Softwareprodukte wie ein sogenanntes Software Developer Kitt (SDK) bereitgestellt werden.In the exemplary embodiment, the
Das Computersystem 11 weist einen Anschluss 15 und einen Datennetzwerkanschluss 16 auf. Das Computersystem 11 ist über den Anschluss 15 mit dem Anschluss 13 des geschützten Peripheriegeräts 10 verbunden. Über den Datennetzwerkanschluss 16 ist das Computersystem 11 an das Internet angeschlossen. Der Server weist einen Datennetzwerkanschluss 17 auf, der ebenfalls mit dem Internet und somit mit dem Computersystem 11 verbunden ist. In anderen Ausgestaltungen sind der Server 12 und das Computersystem 11 direkt oder über ein anderes Netzwerk miteinander verbunden.The
Der Server 12 weist einen Speicher 18 auf. In dem Speicher 18 ist ein Serverzertifikat 23 als drittes Zertifikat 19'' gespeichert. Das Serverzertifikat 23 und das Gerätezertifikat 22 gehen beide direkt auf ein einziges Hauptzertifikat 24 zurück.The
Bei einer Fertigung des geschützten Peripheriegerätes 10 werden das Gerätezertifikat 22 und das nutzerspezifische Gerätezertifikat 22' aus dem Hauptzertifikat 24 erstellt. Im Ausführungsbeispiel werden die Zertifikate mit einem OpenSSL-Verfahren aus dem Hauptzertifikat 24 erstellt, so dass eine hierarchische Vertrauenskette (engl.: chain of trust) gebildet wird.When manufacturing the protected
In Schritt 31 wird über das Computersystem 11 von einem Benutzer von dem geschützten Peripheriegerät 10 das Nutzerzertifikat 21 zum Authentifizieren des Computersystems 11 gegenüber dem Server 12 angefordert. Hierzu wird die Anforderung von dem Computersystem 11 über den Anschluss 15 an den Anschluss 13 des geschützten Peripheriegeräts 10 gesendet. Beispielsweise wird zum Anfordern ein Webservice verwendet, der auf das geschützte Peripheriegerät 10 zugreift.In
Hierbei übermittelt der Benutzer zusätzlich zu der Anforderung persönliche Daten, wie Name oder Anschrift. Der Webservice enthält hierfür ein Formular zur Eingabe der persönlichen Daten. In alternativen Ausgestaltungen können weitere persönliche Daten oder keine persönlichen Daten übermittelt werden.In addition to the request, the user submits personal data such as name or address. The web service contains a form for entering personal data. In alternative configurations, additional personal data or no personal data can be submitted.
Im Schritt 32 wird das Nutzerzertifikat 21 durch das geschützte Peripheriegerät 10 erstellt. Hierzu wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat 22 erstellt. Zusätzlich enthält das Nutzerzertifikat 21 die in Schritt 31 übermittelten personenbezogenen Daten des Benutzers.In
Das Nutzerzertifikat 21 enthält in weiteren Ausführungsbeispielen Geräteinformationen des geschützten Peripheriegeräts 10. Diese Geräteinformationen umfassen beispielsweise eine Seriennummer, ein Fertigungsdatum oder ein Herstellungsland.In further embodiments, the
Bei der Erstellung des Zertifikats werden Informationen in vordefinierten Feldern erfasst. Die vordefinierten Felder können einen an unterschiedliche Geräte und/oder Kunden angepassten Inhalt aufweisen. Im Ausführungsbeispiel umfassen diese Informationen in den vordefinierten Feldern personenbezogene Daten oder Geräteinformationen.When the certificate is created, information is recorded in predefined fields. The predefined fields can have content adapted to different devices and/or customers. In the example, this information in the predefined fields includes personal data or device information.
In weiteren Ausführungsbeispielen wird das Nutzerzertifikat 21 basierend auf dem Gerätezertifikat und den personenbezogenen Daten und/oder den Geräteinformationen erstellt. Die personenbezogenen Daten und die Geräteinformationen sind in diesem Ausführungsbeispiel nicht auslesbar in dem Nutzerzertifikat 21 enthalten, beispielsweise durch einen Prüfwert.In further embodiments, the
Das Nutzerzertifikat 21 kann von dem Nutzer mehrmals angefordert werden, um beispielsweise verschiedenen Computersysteme 11 nutzen zu können. In einem anderen Ausführungsbeispiel kann das Nutzerzertifikat 21 nur ein einziges Mal erstellt werden. Dies erhöht die Sicherheit des geschützten Peripheriegeräts 10. Soll hierbei ein weiteres Nutzerzertifikat 21 erstellt werden, muss der Nutzer einen Kundenservice kontaktieren, der dem Nutzer das geschützte Peripheriegerät 10 wieder freischalten kann. Hierzu kann der Kundenservice das geschützte Peripheriegerät 10 auf Werkseinstellungen zurücksetzen.The
Im Schritt 33 stellt das geschützt Peripheriegerät 10 das erstellte Nutzerzertifikat 21 dem Computersystem 11 über den Anschluss 13 bereit. Das Nutzerzertifikat 21 wird in den Webbrowser auf dem Computersystem 11 importiert.In
Das Nutzerzertifikat 21, das dem Computersystem 11 bereitgestellt wurde, wird in Schritt 34 von dem Computersystem 11 über den Datennetzwerkanschluss 16 und eine https-Verbindung aus dem Webbrowser heraus an den Server 12 gesendet. Hierzu speichert das Computersystem 11 das Nutzerzertifikat 21 in einem in
In Schritt 35 gleicht der Server 12 das empfangene Nutzerzertifikat 21 mit dem in dem Speicher 18 hinterlegten Serverzertifikat 23 ab. Der Abgleich erfolgt hierbei basierend auf einem https-Standard. Hierbei werden das Serverzertifikat 23 und das Nutzerzertifikat 21 als übereinstimmend angesehen, wenn der Abgleich ergibt, dass das Serverzertifikat 23 und das Nutzerzertifikat 21 direkt oder indirekt auf dem Hauptzertifikat 24 basieren.In
In einer alternativen Ausgestaltung sind entsprechende Vergleichswerte basierend auf dem Hauptzertifikat 24 in einer Hashwerttabelle hinterlegt. In diesem Fall prüft der Server 12 das Nutzerzertifikat 21 über einen hinterlegten Hashwert in der Hashwerttabelle.In an alternative embodiment, corresponding comparison values are stored in a hash value table based on the
Der Server 12 protokolliert den Zugriff auf den Downloadbereich mit den bereitgestellten Daten. Hierzu werden Zertifikatsinformationen und eine Gerätenummer des geschützten Peripheriegeräts 10 gespeichert.The
Zeigt die Prüfung in Schritt 35 eine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 in Schritt 36 Daten bereit. Das Computersystem 11 kann nun die bereitgestellten Daten von dem Server 12 herunterladen. Im Ausführungsbeispiel lädt das Computersystem 11 ein SDK von dem Server 12 herunter.If the check in
Der Server 12 gibt dem Nutzer abhängig von dem Nutzerzertifikat 21 Zugriff auf unterschiedliche Softwareprodukte, wie beispielsweise verschiedene Versionen einer Firmware. In dem Nutzerzertifikat 21 sind hierbei Informationen zu dem Software- und Gerätestand des geschützten Peripheriegeräts 10 gespeichert. Die übermittelten Geräteinformationen werden von dem Server 12 aus dem Nutzerzertifikat 21 ausgelesen.Depending on the
Im beschriebenen Ausführungsbeispiel umfasst das Nutzerzertifikat 21 einen Zeitstempel. Anhand des Zeitstempels kann der Server 12 erkennen, wann das Nutzerzertifikat 21 ausgestellt wurde. Der Server 12 stellt die Daten nun für einen vorbestimmten Zeitraum, beispielsweise eine Woche ab dem Ausstellungsdatum des Nutzerzertifikat 21, bereit.In the described embodiment, the
In einer alternativen Ausgestaltung stellt der Server 12 die Daten ab einem Anfragezeitpunkt für einen vorbestimmten Zeitraum bereit.In an alternative embodiment, the
In einem weiteren alternativen oder zusätzlichen Ausführungsbeispiel stellt der Server 12 die Daten lediglich dem Computersystem 11 bereit. Hierzu speichert der Server 12 eine Kennung, beispielsweise eine MAC-Adresse, des Computersystems 11. Nachfolgende Downloads können so von dem Computersystem 11 durchgeführt werden, ohne das Nutzerzertifikat 21 zu übermitteln.In a further alternative or additional embodiment, the
Im beschriebenen Ausführungsbeispiel verschlüsselt der Server 12 die Daten. Die Daten werden hierbei mit dem Serverzertifikat 23 verschlüsselt. In einem weiteren Ausführungsbeispiel werden die Daten von dem Server 12 mit einem dem Serverzertifikat 23 zugeordneten Schlüssel verschlüsselt.In the described embodiment, the
Ein Entschlüsseln ist mit dem Nutzerzertifikat 21 möglich. Hierzu muss das geschützte Peripheriegerät 10 mit dem Computersystem 11 beziehungsweise mit einem Computersystem, auf dem die verschlüsselten Daten gespeichert sind, verbunden sein. In einem weiteren Ausführungsbeispiel muss das geschützte Peripheriegerät 10 nicht mit dem Computersystem 11 verbunden sein. In diesem Ausführungsbeispiel ist eine Entschlüsselung mit dem gespeicherten Nutzerzertifikat 21 von dem Computersystem 11 aus möglich.Decryption is possible with the
Im beschriebenen Ausführungsbeispiel muss das geschützte Peripheriegerät 10 zum Arbeiten mit den heruntergeladenen Daten dauerhaft mit dem Computersystem 11 verbunden sein.In the described embodiment, the protected
In einem weiteren Ausführungsbeispiel schaltet das geschützte Peripheriegerät 10 mit dem Entschlüsseln der heruntergeladenen Daten die Daten frei, so dass diese auf beliebigen Computersystemen auch ohne eine Verbindung zu einem geschützten Peripheriegerät 10 nutzbar sind. Hierbei löscht das geschützte Peripheriegerät 10 eine Information in den Dateien, die eine Nutzung ohne ein an das Computersystem 11 angeschlossenes geschütztes Peripheriegerät 10 unmöglich macht.In a further embodiment, the protected
Zeigt die Prüfung in Schritt 35 keine Übereinstimmung, so stellt der Server 12 dem Computersystem 11 keine Daten bereit. Das Verfahren endet in Schritt 37 beispielsweise mit dem Unterbrechen der Datennetzwerkverbindung zwischen dem Computersystem 11 und dem Server 12 durch den Server 12.If the check in
BezugszeichenlisteList of reference symbols
- 1010
- geschütztes Peripheriegerätprotected peripheral device
- 1111
- ComputersystemComputer system
- 1212
- Serverserver
- 13, 1513, 15
- AnschlussConnection
- 16, 1716, 17
- DatennetzwerkanschlussData network connection
- 14, 1814, 18
- Speichermemory
- 1919
- erstes Zertifikatfirst certificate
- 19'19'
- zweites Zertifikatsecond certificate
- 19''19''
- drittes Zertifikatthird certificate
- 21, 21'21, 21'
- NutzerzertifikatUser certificate
- 22, 22'22, 22'
- GerätezertifikatDevice certificate
- 2323
- ServerzertifikatServer certificate
- 2424
- HauptzertifikatMain certificate
- 3030
- AblaufdiagrammFlowchart
- 31-3731-37
- VerfahrensschritteProcess steps
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015108543.7A DE102015108543B4 (en) | 2015-05-29 | 2015-05-29 | Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015108543.7A DE102015108543B4 (en) | 2015-05-29 | 2015-05-29 | Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102015108543A1 DE102015108543A1 (en) | 2016-12-01 |
DE102015108543B4 true DE102015108543B4 (en) | 2024-09-19 |
Family
ID=57281509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102015108543.7A Active DE102015108543B4 (en) | 2015-05-29 | 2015-05-29 | Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102015108543B4 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030163700A1 (en) | 2002-02-28 | 2003-08-28 | Nokia Corporation | Method and system for user generated keys and certificates |
DE102008000067A1 (en) | 2008-01-16 | 2009-07-23 | Bundesdruckerei Gmbh | Method for reading attributes from an ID token |
DE102008028701A1 (en) | 2008-06-17 | 2009-12-24 | Giesecke & Devrient Gmbh | A method and system for generating a derived electronic identity from an electronic master identity |
US20130167211A1 (en) | 2011-12-22 | 2013-06-27 | Maruti Haridas Kamat | Re-authentication |
-
2015
- 2015-05-29 DE DE102015108543.7A patent/DE102015108543B4/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030163700A1 (en) | 2002-02-28 | 2003-08-28 | Nokia Corporation | Method and system for user generated keys and certificates |
DE102008000067A1 (en) | 2008-01-16 | 2009-07-23 | Bundesdruckerei Gmbh | Method for reading attributes from an ID token |
DE102008028701A1 (en) | 2008-06-17 | 2009-12-24 | Giesecke & Devrient Gmbh | A method and system for generating a derived electronic identity from an electronic master identity |
US20130167211A1 (en) | 2011-12-22 | 2013-06-27 | Maruti Haridas Kamat | Re-authentication |
Non-Patent Citations (1)
Title |
---|
Wikipedia: Zertifizierungsstelle, 17.12.2014, URL: https://de.wikipedia.org/w/index.php?title=Zertifizierungsstelle&oldid=136864505. |
Also Published As
Publication number | Publication date |
---|---|
DE102015108543A1 (en) | 2016-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3488555B1 (en) | Secure processing of an authorisation verification request | |
EP3731119B1 (en) | Computer implemented method for controlling access | |
DE112011100182B4 (en) | Data security device, computing program, terminal and system for transaction verification | |
DE60119834T2 (en) | Method and system for secured legacy enclaves in a public key infrastructure | |
EP3292496B1 (en) | Apparatus and method for using a customer device certificate on a device | |
DE102011089580B3 (en) | Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service | |
DE102010028133A1 (en) | A method of reading an attribute from an ID token | |
EP3125492A1 (en) | Method and system for generating a secure communication channel for terminals | |
WO2010031698A2 (en) | Method for storing data, computer programme product, id token and computer system | |
DE112008001436T5 (en) | Secure communication | |
EP3909221B1 (en) | Method for securely providing a personalized electronic identity on a terminal | |
DE10244727B4 (en) | System and method for secure data transmission | |
EP2620892B1 (en) | Method for generating a pseudonym with the help of an ID token | |
EP3908946B1 (en) | Method for securely providing a personalized electronic identity on a terminal | |
EP2631837B1 (en) | Method for generating a pseudonym with the help of an ID token | |
DE102015108543B4 (en) | Method for authenticating a computer system to a server, protected peripheral device and use of a protected peripheral device | |
DE102014210058B4 (en) | Information processing server system, control method and program | |
DE10242673B4 (en) | Procedure for identifying a user | |
DE102010021655A1 (en) | A method for providing EDRM (Enterprise Digital Rights Management) protected data objects | |
DE102021117792A1 (en) | Method, devices and system for accessing a production facility | |
WO2022002502A1 (en) | Providing a service anonymously | |
WO2023131518A1 (en) | Verification method and verification computer system having an nft-generating device and a verification device | |
DE102012106081A1 (en) | Method for encrypted and anonymous storing and managing personal data and codes on separate systems, involves authorizing third parties by encrypted and transaction-referred transferred authorization request by user for transactions | |
DE102011122972B3 (en) | Method for starting an external application and bidirectional communication between a browser and an external application without browser extensions | |
EP3432510A1 (en) | Managing a digital certificate |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R084 | Declaration of willingness to licence | ||
R016 | Response to examination communication | ||
R081 | Change of applicant/patentee |
Owner name: FUJITSU CLIENT COMPUTING LIMITED, JP Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE Owner name: FUJITSU CLIENT COMPUTING LIMITED, KAWASAKI-SHI, JP Free format text: FORMER OWNER: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROPERTY GMBH, 80807 MUENCHEN, DE |
|
R082 | Change of representative |
Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE |
|
R018 | Grant decision by examination section/examining division |