• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Peripheriegerätes (3) an einem Bussystem (2) eines Rechnersystems (1), bei dem ein um eine Authentisierungsfunktion (8) erweiterter Bustreiber (9) für das Rechnersystem (1) und ein um eine Authentisierungsfunktion (11) erweiterter Gerätetreiber (7) für das Peripheriegerät (3) bereitgestellt wird. Das Peripheriegerät (3) wird an das Bussystem (2) des Rechnersystems (1) angeschlossen und der Gerätetreiber (7) auf dem Rechnersystem (1) installiert. Das Peripheriegerät (3) wird authentisiert und einem Benutzer wird anschließend ein Zugriffsrecht auf das am Rechnersystem (1) angeschlossene Peripheriegerät (3) zugewiesen.
    公开号:DE102004007994A1
    申请号:DE200410007994
    申请日:2004-02-18
    公开日:2005-09-15
    发明作者:Christian Schneckenburger
    申请人:Infineon Technologies AG;
    IPC主号:G06F13-38
    专利说明:
    [0001] Dievorliegende Erfindung betrifft ein Verfahren zum Betreiben einesPeripheriegerätesan einem Bussystem eines Rechnersystems.
    [0002] HeutigeRechnersysteme weisen neben internen Peripheriegeräten, wieInterfacekarten oder Festplatten, eine Vielzahl an extern betreibbarenPeripheriegeräten,wie beispielsweise an ein Bussystem des Rechnersystems anschließbare mobileDatenträger,auf. Aufgrund ihrer Praktikabilität und Vielseitigkeit ersetzendiese Datenträgerzunehmend im Rechnersystem integrierbare Speichermedien.
    [0003] Insbesonderenimmt der Universal Serial Bus, USB, als einfache, universelle standardisierte Schnittstellemit hoher Skalierbarkeit an Bedeutung zu. Einer der großen Vorteiledes USB-Bussystems ist es, Peripheriegeräte während des Betriebs hinzuzufügen oderentfernen zu können.Angeschlossene Gerätewerden am Bussystem initialisiert und es erfolgt das Laden des Gerätetreibers.
    [0004] WeisenRechnersysteme auf ihren Festplatten sensitive Daten auf, werdendurch einen Benutzer häufigSpeichermedien, beispielsweise Floppydiskettenlaufwerke, aus demRechnersystem entfernt, um einen ungewünschten Datentransfer der sensitivenDaten zu unterbinden. Aufgrund der oben beschriebenen vereinfachtenInbetriebnahme von externen Peripheriegeräten an dem Rechnersystem istjedoch nach wie vor die Möglichkeiteines Datenaustauschs gegeben. Eine physikalische Blockierung derAnschlussmöglichkeit,beispielsweise eine Blockierung eines physikalischen Steckers imRechnersystem, führtjedoch dazu, dass jeglicher Datenaustausch unterbunden wird, sodass auch gewünschte Aktionen,wie beispielsweise das Einspielen von Softwareupdates, nicht mehrdurchführbarsind.
    [0005] Esist daher die Aufgabe der Erfindung, eine Lösung vorzuschlagen, die esermöglicht,das Betreiben von Peripheriegerätenan einem Rechnersystem anwendungsspezifisch- und/oder gerätespezifischzu reglementieren.
    [0006] DieAufgabe wird dadurch gelöst,dass ein Verfahren vorzusehen ist, das die folgenden Schritte umfasst: – Bereitstelleneines um eine Authentisierungsfunktion erweiterten Bustreibers für das Rechnersystem, – Bereitstelleneines um eine Authentisierungsfunktion erweiterten Gerätetreibersfür dasPeripheriegerät, – Anschlussdes Peripheriegerätesan das Bussystem des Rechnersystems, – Installationdes Gerätetreibersauf dem Rechnersystem, – Authentisierungdes Peripheriegerätesund – Zuweisungvon Zugriffsrechten füreinen Benutzer auf das am Rechnersystem angeschlossene Peripheriegerät.
    [0007] Erfindungsgemäß wird hierdurchein Zugriff eines Benutzers auf das Peripheriegerät in Abhängigkeitder Zuteilung von Zugriffsrechten gesteuert. Der Bustreiber desRechnersystems als auch der Gerätetreibersind zur Ausführungeiner Authentisierung um eine Authentisierungsfunktion erweitert.In vorteilhafter Weise ermöglichtdiese Funktion eine Identifizierung des Peripheriegerätes gegenüber demRechnersystem, überdie verifiziert werden kann, ob ein Lese- und oder Schreibzugriffauf das Peripheriegerätausführbarist.
    [0008] ZurUmsetzung der Authentisierung sendet das Rechnersystem, nachdemes das angeschlossene Geräterkannt und dessen zum Betrieb notwendigen Treiber installiert hat,eine mit Daten versehene Challenge an das Peripheriegerät. Innerhalbeines Sicherheitsbereich eines Speichers ist in dem Peripheriegerät ein Schlüssel undein Kryptonalgorithmus abgelegt. Das Peri pheriegerät berechnetaus den Challenge-Daten mittels des Algorithmus unter Verwendungdes Schlüsselseine Antwort, die es dem Rechnersystem als Response-Daten übermittelt.Die Response-Daten werden vom Rechnersystem anschließend ausgewertet.
    [0009] DiesesVorgehen hat den Vorteil, dass eine Manipulation von zu übermittelndenDaten weitestgehend ausgeschlossen ist. Wahlweise kann das Rechnersystemdie an das Peripheriegerät übermittelten Datenselbst mit einem dem Peripheriegerät identischen Schlüssel undAlgorithmus verschlüsselnund dieses Ergebnis mit dem vom Peripheriegerät übermittelten Response-Daten vergleichenoder aus Peripheriegerätenzugeordneten verschiedenen Schlüsselnerstellte und in einem Speicher abgelegte Daten mit den Response-Datenvergleichen und aufgrund des Vergleichsergebnisses zugeordnete Zugriffsrechteerteilen.
    [0010] Gemäß einerbevorzugten Ausführungsform werdendie Zugriffsrechte in Lese- und/oder Schreibrechte eines Benutzersdes Peripheriegerätesals auch in eine Zugriffsverweigerung klassifiziert. Ist das Peripheriegerät beispielsweisenicht in der Lage, aufgrund eines Standardtreibers, der die Authentisierungsfunktionnicht implementiert hat, sich gegenüber dem Rechnersystem zu identifizieren,wird ein Zugriff auf das Peripheriegerät grundsätzlich unterbunden.
    [0011] Werdennur Leserechte erteilt, kann beispielsweise eine auf dem Peripheriegerät gespeicherteSoftware in das Rechnersystem geladen werden. Lese- und Schreibrechteermöglicheneinen bidirektionalen Datenaustausch zwischen dem Peripheriegerät und demRechnersystem.
    [0012] DasPeripheriegerätkann als Speichermedium, beispielsweise als Flash-Speicher in Formeines Memorysticks, ausgeführtsein. Das vorab beschriebene Verfahren ist für beliebige an einem beliebigen Bussystemdes Rechnersystems extern anschließbare Peripheriegeräte durchführbar.
    [0013] Weiterevorteilhafte Aus- und Weiterbildungen der Erfindung sind in Unteransprüchen angegeben.
    [0014] DieErfindung wird im folgenden anhand der in den Zeichnungen dargestelltenFiguren nähererläutert.
    [0015] Eszeigen:
    [0016] 1 eineschematische Darstellung von zur Durchführung des erfindungsgemäßen Verfahrensnotwendigen Komponenten und
    [0017] 2 einFlussdiagramm zur Erläuterung deserfindungsgemäßen Verfahrens.
    [0018] Inder 1 sind beispielhaft Komponenten zur Realisierungder Erfindung gezeigt. Ein Rechnersystem 1, beispielsweiseein üblicherPersonalcomputer, weist ein Bussystem 2 zum Anschluss eines externenPeripheriegerätes 3 auf.Dabei kann sowohl ein serielles als auch ein paralleles Bussystemverwendet werden. Das Peripheriegerät 3 ist über eine Verbindung 4 andas Bussystem 2 des Computers 1 angeschlossen.Der gezeigte Computer 1 verwendet ein Betriebssystem 5,zum Beispiel aus der Windows-Betriebssystemreihe, die von der FirmaMicrosoft erhältlichsind.
    [0019] BeimAnschluss des Peripheriegerätes 3 fragtdas Betriebssystem 5 des Computers 1 eine im Peripheriegerät 3 ineinem Speicher 6 abgelegte Kennung automatisch ab und installierteinen im Betriebssystem 5 oder im Peripheriegerät 3 verfügbaren Gerätetreiber 7 automatisch.Der Computer 1 weist weiterhin eine Authentisierungsfunktion 8 auf,die eine Freigabe des angeschlossenen Peripheriegerätes 3 durchdas Betriebssystem 5 zunächst unterbindet und selbstständig ermittelt,ob das Peripheriegerät 3 für einenBenutzer freigeschaltet wird oder nicht. Hierzu ist die Authentisierungsfunktion 8 alslogische Schnittstelle zwischen dem Bussystem 2 bzw. einem Bustreiber 9 unddem Betriebssystem 5 verschalten.
    [0020] DasPeripheriegerät 3 weistebenfalls eine zwischen dem Gerätetreiber 7 undeinem Betriebssystem 10 des Peripheriegerätes 3 logischangeordnete Authentisierungsfunktion 11 auf, die die Aufgabehat, einen durch den Computer 1 übermittelten Datensatz mittelseines Kryptonalgorithmus unter Verwendung eines in einem sicherenSpeicherbereich 12 des Speichers 6 abgelegtenSchlüsselszu verschlüsselnund an den Computer 1 weiterzuleiten. Der Computer 1 wertetden empfangenen Datensatz aus und ermittelt anhand eines Auswerteergebnisses einZugriffsrecht fürden Benutzer des Peripheriegerätes 3.
    [0021] Inder 2 ist ein erfindungsgemäßer Verfahrensablauf dargestellt.Ein Anschluss des Peripheriegerätes 3 anden Computer 1 veranlasst das Betriebssystem 5 ineinem ersten Schritt 13 zur Abfrage einer Gerätekennungdes Peripheriegerätes 3. Istdie Gerätekennungdem Betriebssystem 5 bekannt, wird ein im Betriebssystem 5 verfügbarer Gerätetreiber 7 installiert.Ist das Gerät 3 nichtregistriert, wird der Benutzer übereine manuelle Setup-Box dazu aufgerufen, die Software für das Gerät 3 selbstzu installieren. Das Gerätist nach Zuordnung einer Adresse betriebsbereit.
    [0022] DieFreischaltung eines Zugriffs auf das Peripheriegerät 3 wirddurch die Authentisierungsfunktion 8 umgesetzt. Die Authentisierungsfunktion 8 kann Bestandteildes Bustreibers 9 sein. Hierzu übermittelt die Authentisierungsfunktion 8 desBustreibers 9 in einem Schritt 14 einen Datensatzan das Peripheriegerät 3.Das Peripheriegerät 3 erkenntund bearbeitet die Anforderung aufgrund der implementierten Authentisierungsfunktion,die ebenfalls Bestandteil des Gerätetreibers sein kann, indemes den Datensatz mittels des in dem sicheren Speicherbereich 12 des Speichers 6 abgelegtenSchlüsselsver schlüsseltund in einem Schritt 15 eine Antwort als Response-Daten an den Computer 1 übermittelt.
    [0023] Ineinem weiteren Schritt 16 wertet die Authentisierungsfunktion 8 desBustreibers 9 die Response-Daten aus und vergleicht diesemit in einem Speicher des Computersystems 1 abgelegtenDaten, die auf eine zu vergebende Zugriffsberechtigung verweisen.Die Daten sind konfigurierbar, so dass ein Administrator des Computerswahlweise festlegen kann, welche Zugriffsrechte ein Benutzer desComputers auf die mit einem definierten Schlüssel ausgestatteten Peripheriegeräte erhaltensoll. Mit Bezugszeichen 17 versehen ist der Schritt derZuweisung der Zugriffsrechte.
    [0024] Daserfindungsgemäße Verfahreneröffnet dieMöglichkeiteiner sehr flexiblen und vereinfachen Verwaltung von Zugriffsrechtenfür aneinem Computer angeschlossene Peripheriegeräte. Verschiedene Zugriffsrechtekönnenunterschiedlichen Peripheriegerätezugeordnet werden.
    1 Rechnersystem 2 Bussystem 3 Peripheriegerät 4 Verbindung 5 Betriebssystem 6 Speicher 7 Gerätetreiber 8 Authentisierungsfunktion 9 Bustreiber 10 Betriebssystem 11 Authentisierungsfunktion 12 Speicherbereich 13 Verfahrensschritt 14 Verfahrensschritt 15 Verfahrensschritt 16 Verfahrensschritt 17 Verfahrensschritt
    权利要求:
    Claims (10)
    [1] Verfahren zum Betreiben eines Peripheriegerätes (3)an einem Bussystem (2) eines Rechnersystems (1),das die folgenden Schritte aufweist: – Bereitstellen eines um eineAuthentisierungsfunktion (8) erweiterten Bustreibers (9)für dasRechnersystem (1), – Bereitstellen eines um eineAuthentisierungsfunktion (11) erweiterten Gerätetreibers(7) fürdas Peripheriegerät(3), – Anschlussdes Peripheriegerätes(3) an das Bussystem (2) des Rechnersystems (1), – Installationdes Gerätetreibers(7) auf dem Rechnersystem (1), – Authentisierungdes Peripheriegerätes(3) und – Zuweisungvon Zugriffsrechten füreinen Benutzer auf das am Rechnersystem (1) angeschlossenePeripheriegerät(3).
    [2] Verfahren nach Anspruch 1, bei dem die Authentisierungso ausgeführtwird, dass – eine Übertragungvon Challenge-Daten von dem Rechnersystem (1) an das Peripheriegerät (3)erfolgt, – dasPeripheriegerät(3) mit Hilfe eines Kryptonalgorithmus und geheimer SchlüsseldatenAuthentisierungsparameter berechnet, – die von dem Peripheriegerät (3)berechneten Authentisierungsparameter als Response-Daten an das Rechnersystem(1) übertragenwerden und – dasRechnersystem (1) die Response-Daten verarbeitet.
    [3] Verfahren nach Anspruch 2, bei dem die Verarbeitungeine Auswertung der Response-Daten und einen Vergleich des Auswerteergebnissesmit in dem Rechnersystem (1) in einem Speicher abgelegten Daten,die auf zu vergebende Zugriffsrechte verweisen, beinhaltet.
    [4] Verfahren nach Anspruch 1, bei dem der Schritt derZuweisung von Zugriffsrechten die Zuweisung eines Lese- und/oderSchreibrechts oder keiner Zugriffsrechte umfasst.
    [5] Verfahren nach Anspruch 3, bei dem die Authentisierungdurch die Authentisierungsfunktionen (8, 11) desBus- (9) und Gerätetreibers(7) ausgeführt wird.
    [6] Verfahren nach einem der Ansprüche 1 bis 5, bei dem bei Zuteilungeines Lese- und/oder Schreibrechts die Authentisierungsfunktionen(8) des Bustreibers (9) einen Austausch von Datenzwischen dem Rechnersystem (1) und dem Peripheriegerät (3) inAbhängigkeitder Rechte ermöglicht.
    [7] Verfahren nach Anspruch 2, bei dem die Schlüsseldatenin einem sicheren Speicherbereich (12) eines Speichers(6) des Peripheriegerätes(3) abgelegt werden.
    [8] Verfahren nach einem der vorherigen Ansprüche, beidem die Zugriffsrechte auf das Peripheriegerät (3) durch den Benutzerdes Rechnersystems (1) konfiguriert werden.
    [9] Verfahren nach Anspruch 1, bei dem das Peripheriegerät (3)an ein USB- (Universal Serial Bus) oder SCSI- oder FireWire-Bussystem (2)des Rechnersystems (1) betrieben wird.
    [10] Verfahren nach Anspruch 1, bei dem das Peripheriegerät (3)ein transportables Speichermedium, beispielsweise ein Flash-Speicher,ist.
    类似技术:
    公开号 | 公开日 | 专利标题
    US20180364929A9|2018-12-20|Integrated Circuit Device That Includes A Secure Element And A Wireless Component For Transmitting Protected Data Over A Local Short Range Wireless Communication Connection
    US20150381612A1|2015-12-31|Integrated Circuit Device That Includes A Secure Element And A Wireless Component For Transmitting Protected Data Over A Local Point-To-Point Wireless Communication Connection
    US9529735B2|2016-12-27|Secure data encryption in shared storage using namespaces
    KR101487865B1|2015-01-29|판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치
    US7552345B2|2009-06-23|Implementation of storing secret information in data storage reader products
    KR101012222B1|2011-02-11|전자계산기의 데이터 관리 방법, 및 그를 위한 프로그램을 기록한 기록 매체
    AU2002326226B2|2008-06-12|Method and device for encryption/decryption of data on mass storage device
    US8438647B2|2013-05-07|Recovery of encrypted data from a secure storage device
    US8464073B2|2013-06-11|Method and system for secure data storage
    CN101180615B|2011-07-27|Usb安全存储装置和方法
    US8412865B2|2013-04-02|Method, apparatus and system for authentication of external storage devices
    JP5643303B2|2014-12-17|記憶装置のリモートアクセス制御
    JP4982825B2|2012-07-25|コンピュータおよび共有パスワードの管理方法
    US7107421B2|2006-09-12|Data migration method and a data migration apparatus
    US7415571B1|2008-08-19|Disk drive and method for using a mailbox file associated with a disk storage medium for performing a function characterized by contents of the mailbox file
    CN100555298C|2009-10-28|虚拟个人办公环境的方法和设备
    KR101608110B1|2016-03-31|저장 장치의 어드레스 범위에 대한 액세스 관리 방법
    US7543117B1|2009-06-02|Method for installing a mailbox file associated with a disk storage medium
    US6968459B1|2005-11-22|Computing environment having secure storage device
    JP5922113B2|2016-05-24|暗号化データにアクセスするための一度限り使用可能な認証方法
    US7496765B2|2009-02-24|System, method and program product to prevent unauthorized access to portable memory or storage device
    CN100580642C|2010-01-13|通用串行总线存储设备及其访问控制方法
    US8307131B2|2012-11-06|System and method for drive resizing and partition size exchange between a flash memory controller and a smart card
    US7971232B2|2011-06-28|Setting group policy by device ownership
    EP3306515A1|2018-04-11|Sichere speichervorrichtungen, mit physikalischer eingabevorrichtung, zur sicheren konfiguration in einem konfigurationsbereiten modus
    同族专利:
    公开号 | 公开日
    FR2866452A1|2005-08-19|
    DE102004007994B4|2007-07-12|
    US20050182860A1|2005-08-18|
    CN100419619C|2008-09-17|
    CN1658114A|2005-08-24|
    FR2866452B1|2006-07-21|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2005-09-15| OP8| Request for examination as to paragraph 44 patent law|
    2008-01-10| 8364| No opposition during term of opposition|
    优先权:
    申请号 | 申请日 | 专利标题
    DE200410007994|DE102004007994B4|2004-02-18|2004-02-18|Verfahren zum Zuweisen von Zugriffsrechten an ein Peripheriegerät|DE200410007994| DE102004007994B4|2004-02-18|2004-02-18|Verfahren zum Zuweisen von Zugriffsrechten an ein Peripheriegerät|
    FR0501334A| FR2866452B1|2004-02-18|2005-02-10|Procede pour faire fonctionner un appareil peripherique sur un systeme de bus d'un systeme d'ordinateur|
    CNB2005100093219A| CN100419619C|2004-02-18|2005-02-18|计算机系统中总线系统周边装置的操作方法|
    US11/062,317| US20050182860A1|2004-02-18|2005-02-18|Method for operating a peripheral device on a bus system of a computer system|
    [返回顶部]