DE69725833T2 - Gesicherte zweiteilige Benutzer-Authentifizierung in einem Rechnernetz - Google Patents

Gesicherte zweiteilige Benutzer-Authentifizierung in einem Rechnernetz Download PDF

Info

Publication number
DE69725833T2
DE69725833T2 DE69725833T DE69725833T DE69725833T2 DE 69725833 T2 DE69725833 T2 DE 69725833T2 DE 69725833 T DE69725833 T DE 69725833T DE 69725833 T DE69725833 T DE 69725833T DE 69725833 T2 DE69725833 T2 DE 69725833T2
Authority
DE
Germany
Prior art keywords
network
password
token
user
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69725833T
Other languages
English (en)
Other versions
DE69725833D1 (de
Inventor
Michael F. Houston Angelo
Sompong P. Cypress Olarig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Compaq Computer Corp
Original Assignee
Compaq Computer Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Compaq Computer Corp filed Critical Compaq Computer Corp
Application granted granted Critical
Publication of DE69725833D1 publication Critical patent/DE69725833D1/de
Publication of DE69725833T2 publication Critical patent/DE69725833T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/005Network, LAN, Remote Access, Distributed System
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption

Description

  • Die Erfindung betrifft die Sicherheit in einem Rechnersystem und im Besonderen die Verwendung eines kryptografischen Tokens, um zweiteilige Benutzer-Authentifizierung in einem Rechnernetz bereitzustellen.
  • Die heutigen Unternehmen investieren hohe Geldbeträge in Hardware und Software, und sogar noch mehr Geld wird zur Entwicklung von Informationen ausgegeben, die in Dateien wie Textdokumenten und Tabellenkalkulationen enthalten sind. Der Schutz dieser Investitionen kann für den Erfolg und das Ansehen eines Unternehmens von entscheidenderer Bedeutung sein. Öffentliche Berichte über die Taten von „Computer-Hackern" – wie böswillige Codeknacker oder Schnüffler manchmal genannt werden – haben dafür gesorgt, dass das Verlangen der Unternehmen nach sicherer Kommunikation und besseren Verfahren zum Datenschutz konzentrierter und größer geworden ist. Der Umfang des Problems ist angesichts der Tatsache, dass sich viele Unternehmen gegen das Melden von Sicherheitsverletzungen sträuben, ohne Zweifel noch ernster als berichtet wird. Als Folge fordern sicherheitsbewusste Benutzer, dass Sicherheits- und Integritätsmerkmale in deren Rechnernetzwerke integriert werden, um den Zugriff auf Daten auf Festplatten sowie auf Informationen, die in anderen kritischen Netzwerkkomponenten enthalten sind, zu beschränken.
  • Ein bekannter Ansatz bei der Sicherheit umfasst Verschlüsselung oder Kryptografie. Kryptografie wird typischerweise verwendet, um sowohl Daten als auch Mitteilungen zu schützen. Allgemein wird eine ursprüngliche Nachricht oder ein Datenwort als „Klartext" bezeichnet, während „Verschlüsselung" den Prozess bezeichnet, eine Nachricht so zu verschleiern oder zu verändern, dass ihr Gehalt nicht leicht erkennbar ist. Eine verschlüsselte Nachricht wird als „Schlüsseltext" bezeichnet. Schlüsseltext wird durch einen als „Entschlüsselung" bezeichneten umgekehrten Vorgang in Klartext zurückgeführt. Verschlüsselung wird typischerweise durch die Verwendung eines kryptografischen Algorithmus erreicht, der im Wesentlichen eine mathematische Funktion ist. Die üblichsten kryptografischen Algorithmen sind schlüsselgestützt, wobei besondere Kenntnisse zu variablen Informationen, die als „Schlüssel" bezeichnet werden, zur Entschlüsselung des Schlüsseltexts erforderlich sind. Es gibt viele Arten von schlüsselgestützten kryptografischen Algorithmen, die unterschiedliche Sicherheitsstufen bieten.
  • Die beiden am häufigsten vorkommenden kryptografischen Algorithmen werden allgemein als „symmetrischer" (auch Geheimschlüssel- oder Einzelschlüssel-Algorithmus genannt) und „öffentlicher Schlüssel" (auch asymmetrische Algorithmen genannt) bezeichnet. Die Sicherheit bei diesen Algorithmen wird um die Schlüssel herum eingegeben – nicht die Einzelheiten des Algorithmus selbst. Dies ermöglicht es, den Algorithmus zur öffentlichen Prüfung zu veröffentlichen und dann in Massen zum Integrieren in Sicherheitsprodukte zu produzieren.
  • Bei den meisten symmetrischen Algorithmen sind der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel gleich. Diese Einzelschlüsselverschlüsselungsanordnung ist nicht fehlerfrei. Der Sender und der Empfänger einer Nachricht müssen irgendwie Informationen bezüglich des Geheimschlüssels austauschen. Jede Seite muss der anderen vertrauen, dass diese den Schlüssel nicht preisgibt. Außerdem muss der Sender generell den Schlüssel über ein anderes Medium übermitteln (ähnlich wie bei einer Bank, die die persönliche Kennnummer für eine Geldautomatenkarte auf dem Postweg sendet). Diese Anordnung ist nicht praktisch, wenn die Parteien beispielsweise erstmals elektronisch über ein Netzwerk interagieren. Außerdem steigt die Anzahl der Schlüssel mit der steigenden Anzahl von Benutzern rapide an.
  • Im Vergleich dazu unterscheidet sich bei Algorithmen öffentlicher Schlüssel der zur Verschlüsselung verwendete Schlüssel von dem zur Entschlüsselung verwendeten Schlüssel. Es ist allgemein sehr schwierig, den Entschlüsselungsschlüssel anhand eines Verschlüsselungsschlüssels zu berechnen. Bei einem typischen Vorgang wird der zur Verschlüsselung verwendete „öffentliche Schlüssel" über ein gut erreichbares Verzeichnis veröffentlicht, während der entsprechende zur Entschlüsselung verwendete „private Schlüssel" nur dem Empfänger des Schlüsseltexts bekannt ist. Bei einer beispielhaften Transaktion mit öffentlichem Schlüssel ruft ein Sender den öffentlichen Schlüssel des Empfängers ab und verwendet ihn zum Verschlüsseln der Nachricht, bevor diese gesendet wird. Der Empfänger entschlüsselt dann die Nachricht mit dem entsprechenden privaten Schlüssel. Es ist außerdem möglich, eine Nachricht unter Verwendung eines pri vaten Schlüssels zu verschlüsseln und diese unter Verwendung eines öffentlichen Schlüssels zu entschlüsseln. Dies wird manchmal bei digitalen Unterschriften verwendet, um die Quelle einer Nachricht zu authentifizieren.
  • Ein Problem bei Algorithmen öffentlicher Schlüssels ist die Geschwindigkeit. Algorithmen öffentlicher Schlüssel sind typischerweise etwa 1.000 Mal langsamer als symmetrische Algorithmen. Das ist ein Grund dafür, dass sichere Mitteilungen oftmals unter Verwendung eines Hybrid-Kryptosystems implementiert werden. Bei einem solchen System verschlüsselt eine Partei einen zufälligen „Sitzungsschlüssel" mit dem öffentlichen Schlüssel der anderen Partei. Die empfangende Partei stellt den Sitzungsschlüssel wieder her, indem sie ihn mit ihrem privaten Schlüssel entschlüsselt. Sämtliche weiteren Mitteilungen werden unter Verwendung desselben Sitzungsschlüssels (der eigentlich ein geheimer Schlüssel ist) und eines symmetrischen Algorithmus verschlüsselt.
  • Die Anzahl kryptografischer Algorithmen nimmt ständig zu. Die beiden gebräuchlichsten sind DES (Data Encryption Standard) und RSA (benannt nach seinen Erfindern – Rivest, Shamir und Adleman). DES ist ein symmetrischer Algorithmus mit einer festen Schlüssellänge von 56 Bit. RSA ist ein Algorithmus öffentlicher Schlüssel, der sowohl zur Verschlüsselung als auch für digitale Unterschriften verwendet werden kann. DAS (Digital Signature Algorithm) ist ein anderer populärer Algorithmus öffentlicher Schlüssel, der nur für digitale Unterschriften verwendet wird. Bei jedem dieser Algorithmen ist die relative Schwierigkeit eine verschlüsselte Nachricht mittels Erraten eines Schlüssels durch einen Angriff roher Gewalt zu knacken proportional zur Länge des Schlüssels. Hat der Schlüssel beispielsweise eine Länge von 40 Bit, beträgt die Gesamtzahl der möglichen Schlüssel (240) etwa 110 Milliarden. Angesichts der Rechnerkraft moderner Rechner wird dieser Wert oftmals als ungeeignet erachtet. Im Vergleich dazu bietet eine Schlüssellänge von 56 Bit 65.636 Mal mehr Werte als der 40-Bit-Schlüssel.
  • Viel Aufmerksamkeit wurde bisher auf den Schutz und die Authentifizierung von Mitteilungen und Daten gerichtet, wenn diese über interne Unternehmensnetzwerke (Intranet oder LAN) und externe Netzwerke (wie dem Internet) übertragen wurden. Ein bekanntes Verfahren zum Anbieten von beschränktem Zugriff auf einen Netzwerkrechner ist die Verwendung von Passwörtern. Ein Passwort wird typischerweise in einem batteriegestützten CMOS-RAM-Speicher eines Rechners gespeichert. Bevor dem Benutzer der Zugriff auf den Rechner oder gesicherte Rechnerausstattungen gestattet wird, muss der Benutzer ein Passwort eingeben. Sobald ein Passwort eingegeben wurde, vergleicht die Einschaltroutine des Rechners das Passwort mit dem Passwort in dem CMOS-Speicher und, wenn sie übereinstimmen, wird dem Benutzer der Zugriff gestattet. Ein wesentlicher Nachteil dieses Systems besteht darin, dass bestimmte Formen von Angriffen an dem CMOS-Speicher vorbeigehen können, da er in vielen Fällen nicht lesegeschützt ist. Obwohl im Allgemeinen wirksam, ist der Passwortschutz von der Art her einteilig und nur so sicher wie das Passwort selbst.
  • Auch physikalische Schlüssel oder Tokens, wie jene zum Öffnen einer Tür, wurden bisher zum Gestatten von Zugriff auf ein Rechnersystem verwendet. Wie der Passwortansatz ist diese Art von Sicherheit vom Wesen her „einteilig" und wird unterlaufen, wenn der Schlüssel oder das Token gestohlen wird. Jeder, der im Besitz des Schlüssels ist, kann auf das Rechnernetzwerk zugreifen, und ihm wird derselbe Zugriffsgrad wie einem autorisierten Benutzer gewährt. Derzeit gibt es kein zufriedenstellendes Verfahren zum Verifizieren von Benutzeridentität beim Gewähren von Zugriffsprivilegien bei einer verteilten Rechnerumgebung.
  • US-A-5548721 offenbart ein Verfahren zum Führen von sicheren Operationen in einem unkontrollierten Netzwerk, bei dem autorisierte Benutzer mit einem Personenkennzeichen und einer tragbaren, elektronisch lesbaren Karte mit einem Teil eines Systemschlüssels darauf ausgestattet werden. Der Systemschlüssel wird durch ein gesichertes Netzwerkzugangsportal an der Arbeitsstation erzeugt, und identifiziert den Benutzer, bei Verwendung in Verbindung mit dem Personenkennzeichen, eindeutig, so dass die Karte und das Kennzeichen dazu verwendet werden können, von jeder Arbeitsstation in dem Netzwerk aus sichere Operationen zu führen.
  • US-A-5146499 offenbart die Authentifizierung einer intelligenten Chip-Karte, bei der ein mit einem internen Vorlauf ausgestatteter Mikrocomputer und ein mit dem Mikrocomputer verbundener elektronischer Kreis verwendet wird. Der Kreis umfasst einen Mikroprozessor, der einen Zufallsfaktor generieren kann.
  • Kurz gesagt, wird bei einem Rechnersystem nach der vorliegenden Erfindung eine zweiteilige Authentifizierungsprozedur verwendet, um gesicherte Benutzer-Authentifizierung über ein Netzwerk bereitzustellen.
  • Nach der vorliegenden Erfindung wird ein Verfahren zur gesicherten Authentifizierung der Benutzeridentität in einem Rechnernetz bereitgestellt, das einen Netzwerk-Server umfasst, der mit wenigstens einem Netzwerkknoten gekoppelt ist und in der Lage ist, mit einem äußeren Token zu kommunizieren, das einen kryptografischen Algorithmus und einen Verschlüsselungsschlüssel umfasst, wobei der Netzwerkknoten außerdem eine sichere Hochfahrprozedur oder einen sonstigen sicheren Betriebsmodus umfasst, wobei das Verfahren folgende Schritte umfasst:
    • – Bereitstellen eines Benutzerpasswortes für den Netzwerkknoten;
    • – kommunikatives Koppeln des äußeren Tokens mit dem Netzwerkknoten;
    • – Bereitstellen des Benutzerpasswortes für den in dem Token gespeicherten kryptografischen Algorithmus; und gekennzeichnet durch
    • – Verschlüsseln des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel, um ein Netzwerkpasswort zu erzeugen;
    • – Weitergeben des Netzwerkpasswortes an den Netzwerk-Server; und
    • – Vergleichen des Netzwerkpasswortes oder von Teilen davon mit den von dem Netzwerk-Server verwalteten Informationen, um die Benutzeridentität zu überprüfen bzw. dem Netzwerkpasswort gewährte Netzwerkprivilegien zu bestimmen.
  • Das Verfahren kann zusätzlich den folgenden Schritt umfassen:
    • – Ermöglichen oder Blockieren des Zugriffs auf eine gesicherte Netzwerkausstattung als Reaktion auf das Ergebnis aus dem Schritt des Vergleichens des Netzwerkpasswortes mit den von dem Netzwerk-Server verwalteten Informationen;
    • – wobei dieser Schritt das Verwenden des Netzwerkpasswortes umfasst, um die Verschlüsselung und Entschlüsselung von spezifizierten Daten zu regeln, die von dem Netzwerk-Server verwaltet werden.
  • Der Schritt, ein Benutzerpasswort für den Netzwerkknoten (200a) bereitzustellen, kann durchgeführt werden, während sich der Netzwerkknoten in einem sicheren Betriebszeitraum befindet, der eine sichere Hochfahrprozedur umfassen kann.
  • Vorzugsweise umfasst das Verfahren außerdem
    • – vor dem Schritt des Weitergebens des Netzwerkpasswortes an den Netzwerk-Server den Schritt des Verschlüsselns des Netzwerkpasswortes unter Verwendung eines öffentlichen Netzwerkschlüssels; und
    • – nach dem Schritt des Weitergehens des Netzwerkpasswortes an den Netzwerk-Server das Entschlüsseln des Netzwerkpasswortes unter Verwendung eines dem öffentlichen Netzwerkschlüssel entsprechenden privaten Netzwerkschlüssels.
  • Das Verfahren kann vor dem Weitergeben des Netzwerkpasswort an den Netzwerk-Server zusätzlich den Schritt des Anhängens von Knotenidentifizierungsinformationen an das Netzwerkpasswort umfassen.
  • Vorzugsweise umfasst der Schritt, bei dem das Netzwerkpasswort oder Teile davon mit von dem Netzwerk-Server verwalteten Informationen verglichen werden, das Beschränken des Zugriffs auf spezifizierte Daten auf der Grundlage des Netzwerkpasswortes und von angehängten Knotenidentifizierungsinformationen.
  • Der Schritt des Verschlüsselns des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel kann in dem Token geschehen.
  • Der Schritt, bei dem das Benutzerpasswort für den kryptografischen Algorithmus bereitgestellt wird, kann das Herunterladen sowohl des kryptografischen Algorithmus als auch des Benutzerpasswortes in gesicherten Rechnerspeicher umfassen, und der Schritt des Verschlüsselns des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel kann in gesichertem Rechnerspeicher geschehen.
  • Vorzugsweise wird das Netzwerkpasswort auf einem gesicherten Speicherplatz innerhalb des Netzwerkknotens verwaltet.
  • Das Token kann eine intelligente Chip-Karte oder eine Touch MemoryTM-Vorrichtung sein.
  • Der Verschlüsselungsschlüssel kann einmalig oder von begrenzter Erzeugung sein.
  • Darüber hinaus wird nach der vorliegenden Erfindung ein Rechnersystem bereitgestellt, das in der Lage ist, gesichert zweiteilige Benutzer-Authentifizierungsdaten über ein Rechnernetzwerk bereitzustellen, wobei das Rechnersystem einen gesicherten Einschaltprozess oder einen sonstigen gesicherten Betriebsmodus aufweist und das Rechnersystem Folgendes umfasst:
    • – einen Systembus;
    • – einen mit dem Systembus gekoppelten Prozessor;
    • – eine mit dem Prozessor gekoppelte Token-Schnittstellenschaltung zum Kommunizieren mit einem äußeren Token;
    • – Netzwerkschnittstellenschaltung, die es dem Prozessor ermöglicht, Mitteilungen an einen Netzwerk-Server zu richten; und gekennzeichnet durch
    • – Einrichtungen zum Betrieb in Verbindung mit dem äußeren Token, das einen kryptografischen Algorithmus und einen Verschlüsselungsschlüssel umfasst; und
    • – Sicherheitscode, der in einem von einem Prozessor lesbaren Medium gespeichert ist, umfassend:
    • – Einrichtungen zum Empfangen eines Benutzerpasswortes;
    • – Einrichtungen zum Bereitstellen des Benutzerpasswortes für das äußere Token;
    • – Einrichtungen zum Empfangen eines Netzwerkpasswortes von dem äußeren Token, wobei das Netzwerkpasswort eine verschlüsselte Version des Benutzerpasswortes ist; und
    • – Einrichtungen zum Weitergeben des Netzwerkpasswortes über die Netzwerkschnittstellenschaltung an den Netzwerk-Server, um dem Rechnerbenutzer den Zugriff auf gesicherte Netzwerkausstattungen zu ermöglichen.
  • Ein besseres Verständnis der vorliegenden Erfindung kann erzielt werden, wenn die folgende ausführliche Beschreibung der bevorzugten Ausführung in Verbindung mit den folgenden Zeichnungen zur Kenntnis genommen wird, bei denen
  • 1 ein schematisches Blockschaltbild eines Rechnersystems ist, das Fähigkeiten für zweiteilige Benutzer-Authentifizierung nach der vorliegenden Erfindung umfasst;
  • 2 ein schematisches Blockschaltbild eines lokalen Netzwerks ist, das gesicherte Benutzer-Authentifizierung und peripheren Fernzugriff nach der vorliegenden Erfindung darstellt;
  • 3 eine grafische Darstellung des System Management Mode-Speichers nach der vorliegenden Erfindung ist; und
  • 4A und 4B Flussdiagramme sind, die eine zweiteilige Prozedur nach der vorliegenden Erfindung zum Eingeben von Passwortinformationen während einer sicheren Hochfahrprozedur darstellen.
  • In dem folgenden Text wird auf die folgenden Patente und Patentanmeldungen verwiesen:
    Unser US-Patent Nr. 5.537.540 mit dem Titel „TRANSPARENTE, SICHERE RECHNERVIRUSERKENNUNGSMETHODE UND -VORRICHTUNG", hier nachfolgend als „SAFESTART-Patent" bezeichnet;
    Unser US-Patent Nr. 5.567.615 mit dem Titel „SICHERHEITSKONTROLLE FÜR EINEN PERSONAL COMPUTER";
    Unser US-Patent Nr. 5.375.243 mit dem Titel „FESTPLATTENPASSWORT-SICHERHEITSSYSTEM";
    Unser US-Patent Nr. 5.748.888 mit dem Titel „VERFAHREN UND VORRICHTUNG ZUM BEREITSTELLEN SICHERER UND PRIVATER TASTATURMITTEILUNGEN IN RECHNERSYSTEMEN"; und
    Unser US-Patent Nr. 5.949.882 mit dem Titel „VERFAHREN UND VORRICHTUNG ZUM GESTATTEN VON ZUGRIFF AUF GESICHERTE RECHNERAUSSTATTUNGEN DURCH VERWENDUNG EINES PASSWORTS UND EINES EXTERNEN VERSCHLÜSSELUNGSALGORITHMUS".
  • Mit Bezug auf 1 wird zunächst ein Rechnersystem (S) nach der vorliegenden Erfindung gezeigt. In der bevorzugten Ausführung umfasst das System (S) zwei Primärbusse: ein Peripheral Component Interconnect (PCI) Bus (P), der einen Adress-/Datenteil und einen Steuersignalteilumfasst; und einen Industry Standard Architecture (ISA) Bus (1), der einen Adressteil, einen Datenteil und einen Steuersignalteilumfasst. Die PCI- und ISA-Busse (P und 1) bilden das architektonische Rückgrat des Rechnersystems (S).
  • Ein CPU-/Speicher-Untersystem (100) ist mit dem PCI-Bus (P) verbunden. Der Prozessor (102) ist vorzugsweise der Pentium®-Prozessor der Intel Corporation, kann jedoch auch ein 80486 oder jede Anzahl von Prozessoren ähnlicher Art oder der nächsten Generation sein. Der Prozessor (102) betreibt Daten-, Adress- und Steuerteile (116, 106 und 108) von einem Host-Bus (HB). Ein Sekundärcachespeicher (L2) oder äußerer Cachespeicher (104) ist mit dem Host-Bus (HB) verbunden, um zusätzliche Caching-Fähigkeiten bereitzustellen, die die Gesamtleistung des Rechnersystems (S) verbessern. Der L2-Cache (104) kann ständig installiert oder, falls gewünscht, entnehmbar sein. Eine Cache- und Speichersteuerung (110) und ein PCI-ISA-Brückenchip (130) werden mit den Steuer- und Adressteilen (108 und 106) des Host-Busses (HB) verbunden. Der Cache- und Speichersteuerungs-Chip (110) ist dazu konfiguriert, eine Reihe von Datenpuffern (112) zu steuern. Die Datenpuffer (112) sind vorzugsweise die 82433LX von Intel und werden mit dem Host-Datenbus (116) und einem MD- oder Speicherdatenbus (118), der mit einem Speicherfeld (114) verbunden ist, gekoppelt und treiben diese an. Durch die Cache- und Speichersteuerung (110) wird ein Speicheradressund Speichersteuersignal-Bus bereitgestellt.
  • Die Datenpuffer (112), die Cache- und Speichersteuerung (110) und die PCI-ISA-Brücke (130) werden alle mit dem PCI-Bus (P) verbunden. Die PCI-ISA-Brücke (130) wird dazu verwendet, Signale zwischen dem PCI-Bus (P) und dem ISA-Bus (1) umzuwandeln. Die PCI-ISA-Brücke (130) umfasst: die erforderlichen Adress- und Datenspeicher, Arbitrierungs- und Bus-Leitlogik für den PCI-Bus (P), ISA-Arbitrierungsschaltung, eine ISA-Bussteuerung wie sie üblicherweise bei ISA-Systemen verwendet wird, eine IDE-Schnittstelle (Intelligent Drive Electronics) und eine DMA-Steuerung. Ein Festplattenlaufwerk (140) wird an die IDE-Schnittstelle der PCI-ISA-Brücke (130) angeschlossen. Bandlaufwerke, CD-ROM-Geräte oder sonstige periphere Speichervorrichtungen (nicht gezeigt) können in ähnlicher Weise angeschlossen werden.
  • Bei der offenbarten Ausführung umfasst die PCI-ISA-Brücke (130) auch diverse Systemlogik. Diese diverse Systemlogik umfasst Zähler und Aktivitätszeitgeber wie sie üblicherweise in Personal Computer-Systemen vorhanden sind, eine Unterbrechungssteuerung für den PCI- wie auch für den ISA-Bus (P und 1) und Power-Management-Logik. Zusätzlich kann die diverse Systemlogik Schaltungen für ein Sicherheitsmanagementsystem zur Verwendung für Passwortüberprüfung und zum Gestatten des Zugriffs auf geschützte Ausstattungen umfassen, wie dies nachfolgend ausführlicher beschrieben wird.
  • Die PCI-ISA-Brücke (130) umfasst auch Schaltungen zum Erzeugen einer „sanften" SMI (System Management Interrupt) sowie SMI- und Tastatursteuerungsschnittstellen-Schaltungen. Die diverse Systemlogik ist über Schreibschutzlogik (164) mit dem Flash-ROM (154) verbunden. Separate Aktivierungs-/Unterbrechungssignale werden ebenfalls von der PCI-ISA-Brücke (130) an das Festplattenlaufwerk (140) übermittelt. Vorzugsweise ist die PCI-ISA-Brücke (130) ein einzelner integrierter Schaltkreis, aber auch andere Kombinationen sind möglich.
  • Eine Serie von ISA-Steckplätzen (134) ist zur Aufnahme von ISA-Adapterkarten mit dem ISA-Bus (1) verbunden. In ähnlicher Weise ist eine Serie von PCI-Steckplätzen (142) zur Aufnahme von PCI-Adapterkarten an dem PCI-Bus (P) bereitgestellt.
  • Eine Videosteuerung (165) ist ebenfalls an den PCI-Bus (P) angeschlossen. Ein Videospeicher (166) wird zum Speichern von Grafikdaten verwendet und ist an die Videosteuerung (165) und einen Digital/Analog-Wandler (RAMDAC) (168) angeschlossen. Die Videografiksteuerung (165) steuert den Betrieb des Videospeichers (166) und ermöglicht das Schreiben und Abrufen von Daten nach Bedarf. Ein Monitoranschluss (169) wird mit dem RAMDAC (168) zum Anschluss eines Monitors (170) verbunden.
  • Eine Netzwerkschnittstellensteuerung (NIC) (122) ist ebenfalls an den PCI-Bus (P) angeschlossen und ermöglicht dem Rechnersystem (S), als „Knoten" in einem Netzwerk zu funktionieren. Vorzugsweise ist die Steuerung (122) ein einzelner integrierter Schaltkreis, der die nötigen Fähigkeiten zum Agieren als ein PCI-Bus-Master und -Slave umfasst, sowie erforderliche Schaltungen zum Agieren als eine Ethernet-Schnittstelle umfasst. In dem System (S) werden ein Attachment Unit Interface (AUI) und 10BaseT-Anschlüsse (124) bereitgestellt, und sind über Filter- und Umformerschaltungen (126) mit der NIC (122) verbunden. Diese Schaltungen bilden einen Netzwerk- oder Ethernet-Anschluss zum Anschluss des Rechnersystems (S) an eine verteilte Rechnerumgebung oder ein lokales Netzwerk (LAN), wie in 2 gezeigt.
  • Ein I/O-Kombinations-Chip (136) ist mit dem ISA-Bus (1) verbunden. Der I/O-Kombinations-Chip umfasst vorzugsweise eine Echtzeituhr, zwei UARTS, eine Diskettensteuerung zur Steuerung eines Diskettenlaufwerks (138) und verschiedene Adressdekodierlogik und Sicherheitslogik zum Steuern des Zugriffs auf einen internen oder externen CMOS/NVRAM-Speicher (nicht gezeigt) und gespeicherte Passwortwerte. Weitere Einzelheiten zu in Betracht gezogenen Verwendungen des NVRAM-Speichers werden nachfolgend genannt. Zusätzlich wird eine Steuerleitung zu der Schreib- und Leseschutzlogik (164) bereitgestellt, um außerdem den Zugriff auf den Flash-ROM (154) zu steuern. Serielle Schnittstellenanschlüsse (146) und ein paralleler Schnittstellenanschluss (132) sind ebenfalls mit dem I/O-Kombinations-Chip (136) verbunden.
  • Ein 8042, oder Tastatursteuerung, ist ebenfalls in dem I/O-Kombinations-Chip (136) enthalten. Die Tastatursteuerung hat einen herkömmlichen Aufbau und ist wiederum mit einem Tastaturanschluss (158) und einem Maus- oder Zeigegeräteanschluss (160) verbunden. Eine Tastatur ist (159) ist über den Tastaturanschluss (158) mit dem Rechnersystem (S) verbunden.
  • Ein Puffer (144) ist an den ISA-Bus (1) angeschlossen, um einen zusätzlichen X-Bus (X) für verschiedene Zusatzkomponenten des Rechnersystems (S) bereitzustellen. Ein Flash-ROM (154) empfängt seine Steuer-, Adress- und Datensignale von dem X-Bus (X). Vorzugsweise enthält der Flash-ROM (154) die BIOS-Informationen für das Rechnersystem und kann umprogrammiert werden, um Änderungen an dem BIOS zu ermöglichen.
  • In der offenbarten Ausführung umfasst das Rechnersystem (S) Schaltungen zum Kommunizieren mit einem entnehmbaren kryptografischen Token (188). Die genaue physikalische Natur des Tokens (188) wird für die Erfindung nicht als bedeutend erachtet. Das Token kann viele Formen haben, wie eine von Dallas Semiconductor, Inc., gelieferte Touch MemoryTM-Vorrichtung, eine intelligente Chip-Karte oder eine Verschlüsselungskarte. Vorzugsweise ist das Token (188) leicht von dem Rechnersystem (S) abzukoppeln und von dem Träger des Tokens leicht zu transportieren. Das Token (188) enthält wenigstens einen aus einer Vielzahl von Verschlüsselungsalgorithmen (wie DES, Blowfish, elliptische kurvenbasierte Algorithmen usw.). Obwohl der Basisalgorithmus bei jedem Token (188) gleich sein kann, ist zu bevorzugen, dass der Verschlüsselungsschlüssel bei jedem Token (188) unterschiedlich ist. Idealerweise ist das Token (188) in der Lage, bei kurzzeitigem Kontakt mit dem Rechnersystem (S) oder dessen Umgebung digital mit dem Rechnersystem (S) zu kommunizieren. Das Token (188) der offenbarten Ausführung ist in der Lage, den Verschlüsselungsalgorithmus in einer nichtflüchtigen Weise zu speichern, und kann ständig schreibgeschützt sein, um vor Manipulationen abzuschrecken.
  • Bei der offenbarten Ausführung der Erfindung besteht die zum Einrichten einer Kommunikationsverknüpfung zwischen dem Token (188) und dem Rechnersystem (S) verwendete Schaltung aus einem Tastkopf (186), der mit einem COM oder einem seriellen Schnittstellenadapter (184) verbunden ist. Der Schnittstellenadapter (184) ist mit dem RS232-Anschluss (146) verbunden. Alternativ könnte der Schnittstellenadapter (184) an einen anwendungsspezifischen Schaltkreis (ASIC) angeschlossen sein. Beim Betrieb wird das Token (188) abnehmbar von dem Tastkopf (186) aufgenommen. Der Tastkopf (186) umfasst Schaltungen zum Lesen und Schreiben von Speicher in dem Token (188) und kann vollständig über den RS232-Anschluss (146) versorgt werden. Zusätzlich umfasst der Tastkopf (186) Objektsensorschaltungen zum Ermitteln der Präsenz eines Tokens (188).
  • Ein zusätzliches Merkmal des Rechnersystems (S) ist ein System Management Mode (SMM), wie er nachfolgend ausführlich in Verbindung mit 3 besprochen wird. Es ist außerdem bemerken, dass 1 eine beispielhafte Ausführung des Rechnersystems (S) darstellt und dass es sich versteht, dass, wie den auf diesem Fachgebiet erfahrenen Personen bekannt ist, leicht zahlreiche andere wirksame Ausführungen entwickelt werden können.
  • Wenden wir uns nun 2 zu, wo eine verteilte Zugriffsumgebung gezeigt wird, die gesicherte Benutzer-Authentifizierung und peripheren Fernzugriff nach der vorliegenden Erfindung darstellt. Die zweiteilige Eingabe eines Benutzerpassworts an einem Netzwerkknoten (200) führt zu einem Netzwerkpasswort, das sicher über das Netzwerk verteilt wird, um den Zugriff zu entfernten Peripheriegeräten zu gestatten. Bei der offenbarten Ausführung hat das gesicherte entfernte Peripheriegerät die Form von vernetzten Festplatten (216, 218 und 220), obwohl der Zugriff auf jegliche gesicherte Netzwerkausstattung in den Umfang der Erfindung fällt.
  • Der Benutzer-Authentifizierungsprozess erscheint in ähnlicher Weise an jedem Netzwerkknoten (200), und die Beschreibung des Prozesses für einen einzelnen Knoten (200a) wird aus Gründen der Verdeutlichung gegeben. Bei der offenbarten Ausführung der Erfindung wird, wie ausführlicher in Verbindung mit 4A und 4B beschrieben, ein Passworteingabeprozess während einer gesicherten Hochfahrprozedur oder einem sonstigen sicheren Betriebsmodus ausgeführt. Während der gesicherten Hochfahrpro zedur prüft das Rechnersystem (S) auf Anwesenheit eines äußeren kryptografischen Tokens oder einer intelligenten Chip-Karte (188a), die dazu verwendet wird, einen Verschlüsselungsalgorithmus zu speichern, der mit einem eindeutigen Verschlüsselungsschlüssel und optionalen Identifizierungsinformationen ausgestattet ist.
  • Nach Erfassung des äußeren Tokens (188) muss der Rechnerbenutzer ein Klartext-Benutzerpasswort eingeben. Sobald dies eingegeben ist, wird das Benutzerpasswort unter Verwendung eines Verschlüsselungsalgorithmus verschlüsselt, der in dem äußeren Token (188a) enthalten ist, wobei dadurch ein „Netzwerkpasswort" erzeugt wird. Alternativ kann das äußere Token (188a) das Netzwerkpasswort generieren, indem eine einfach gerichtete Hash-Funktion an dem Benutzerpasswort durchgeführt wird. In beiden Fällen wird das Netzwerkpasswort an einem gesicherten Speicherplatz, wie dem SMM-Speicher (250) (siehe 3), gehalten. Wenn der Benutzer auf eine Netzwerkausstattung, wie eine Festplatte in einem Server (201), zugreifen möchte, werden ein optionaler Sitzungsschlüssel, der öffentliche Schlüssel des Benutzers, oder Knotenidentifizierungsinformationen (204a) an das Netzwerkpasswort angehängt. Die Knotenidentifizierungsinformation kann für eine Vielzahl von Zwecken verwendet werden, darunter auch das Beschränken des Zugriffs auf bestimmte Datenteile auf spezifizierte Benutzer auf spezifizierten Geräten. Das Netzwerkpasswort und die Knoteninformationen werden dann durch einen Verschlüsselungsalgorithmus (206a) verschlüsselt.
  • Der Verschlüsselungsalgorithmus (206a) kann viele Formen haben, darunter auch sämtliche der vorgenannten Algorithmen. Wird ein Algorithmus für öffentliche Schlüsselprivate Schlüssel verwendet, wird der öffentliche Schlüssel des Netzwerkservers (oder jeder Schlüssel, der nur dem Server bekannt ist) mit dem Verschlüsselungsalgorithmus (206a) verwendet. Das offenbarte Verschlüsselungsschema gestattet, dass das verschlüsselte Netzwerkpasswort über ein ungesichertes Netzwerk in einer solchen Weise weitergegeben wird, dass es nur durch den betroffenen Netzwerk-Server (201) entschlüsselbar ist.
  • Nach der Verschlüsselung mit dem öffentlichen Schlüssel des Servers wird das verschlüsselte Netzwerkpasswort über Netzwerkschnittstellensteuerungen (122a und 122d) an den Netzwerk-Server (201) weitergegeben. Das verschlüsselte Netzwerkpasswort wird dann mit dem privaten Schlüssel des Servers entschlüsselt (bei Element 210), um das Netzwerkpasswort wiederzugewinnen. Nachdem das Netzwerkpasswort und jegli cher optionale Sitzungsschlüssel oder jegliche optionale Knotenidentifizierungsinformation entschlüsselt wurde, wird es an einen Verifizierungsprozess (212) weitergeleitet, um die Zugriffsprivilegien des Benutzers auf Festplatten (216, 218 und 220) zu bestimmen.
  • Der Verifizierungsprozess kann viele Formen aufweisen, darunter auch eine indexierte Verweistabelle, in der mehreren Netzwerkpasswörtern (in Verbindung mit jeglicher Knotenidentifizierungsinformation) dieselben oder eine Vielzahl von Zugriffsprivilegien gewährt werden. Für das Netzwerkpasswort werden zahlreiche andere Verwendungen in Erwägung gezogen. Zum Beispiel können das Passwort oder jegliche angehängten Sitzungsschlüssel zum Entschlüsseln oder Verschlüsseln von Daten auf einer der Festplatten (216 bis 220) über Schnittstellenschaltungen (214) oder als ein Freigabesignal für eine passwortgeschützte Vorrichtung, wie das in unserem US-A-5.375.243 beschriebene Plattenlaufwerk, verwendet werden.
  • Eine einseitig gerichtete Hash-Funktion oder ein Verschlüsselungsalgorithmus können auch zum Umwandeln des Netzwerkpassworts in einen pseudozufälligen Startparameter (Zwischenschlüssel) verwendet werden. Der pseudozufällige Startparameter kann dann von einem deterministischen System zum Erzeugen eines Schlüsselpaars aus öffentlichem Schlüssel/privatem Schlüssel verwendet werden. Ein zum Erzeugen solcher Schlüssel verwendeter üblicher kryptografischer Algorithmus ist DES, aber auch viele andere Algorithmen reichen aus.
  • Wie erwähnt, können optionale Schlüssel wie ein Sitzungsschlüssel oder der öffentliche Schlüssel des Benutzers an das Netzwerkpasswort angehängt werden, bevor es über das Netzwerk weitergegeben wird. Wird ein angehängter Sitzungsschlüssel für den Netzwerk-Server (201) bereitgestellt, werden nachfolgende Übermittlungen zwischen dem Netzwerkknoten (200a) und dem Netzwerk-Server (201) mit einem symmetrischen Algorithmus unter Verwendung des Sitzungsschlüssels verschlüsselt. Verschlüsselung und Entschlüsselung mit symmetrischen Algorithmen ist typischerweise viel schneller als Verschlüsselung und Entschlüsselung mit Algorithmen öffentlicher Schlüssel.
  • Alternative könnte das Netzwerkpasswort unter Verwendung von Teilschlüsseltechnologie als eine Teilmenge eines laufenden „Superschlüssels" konfiguriert werden. Teil schlüsseltechnologie bezieht sich allgemein auf den Prozess des „Teilens" eines Hauptschlüssels und Verteilens der Teile, so dass der Zugriff von der Präsenz verschiedener Teile abhängig ist. Der Netzwerk-Server (201) kann einen Teil des administrativen Superschlüssels halten und fordern, dass ein gültiges Netzwerkpasswort (der andere Teil des geteilten Schlüssels) angehängt wird, bevor Zugriffsprivilegien gewährt werden. Der administrative Superschlüssel kann auf verschiedene Arten aufgespalten werden, so dass mehrere Netzwerkbenutzer mit unterschiedlichen Benutzerpasswörtern und eindeutigen Token (188) auf dieselbe gesicherte Netzwerkausstattung zugreifen können. Der administrative Superschlüssel kann geändert werden, um zusätzliche Netzwerkpasswörter zu umfassen, wenn der Bedarf entsteht. Weitere Einzelheiten zur Teilschlüsseltechnologie finden sich in US-Patent Nr. 5.276.737 und 5.315.658 mit dem Titel „AN-GEMESSENE KRYPTOSYSTEME UND VERFAHREN ZUR VERWENDUNG".
  • Es wird außerdem in Erwägung gezogen, dass die Token (188) selbst zusätzlich zu dem Verschlüsselungsalgorithmus Identifizierungsinformationen umfassen können, um Benutzern zu ermöglichen, unterschiedliche Token für unterschiedliche Aktivitäten zu haben – wie bei einer Person, die über Girokonten und Sparkonten verfügt, auf die mit derselben persönlichen Sicherheitskennung (PIN) zugegriffen werden kann. Darüber hinaus ist die NIC (122a) in der Lage, Knotenidentifizierungsinformationen an das verschlüsselte Netzwerkpasswort anzuhängen.
  • Solche Verwendungen des offenbarten zweiteiligen Benutzer-Authentifizierungsprozesses ermöglichen, dass bei Festplatten (216 bis 220) des Servers oder sonstigen Netzwerkausstattungen eine sichere Bereichsbildung mit der Option für mehrere Benutzerebenen erfolgen kann. Für diese Anordnung gibt es viele potenzielle Anwendungen. Zum Beispiel könnte ein Unternehmen den Wunsch haben, dass bestimmte Dokumente nicht außerhalb der Einrichtung heruntergeladen werden. Die Erfindung ermöglicht das Beschränken von Zugriffsprivilegien auf spezifizierte Knoten (200) innerhalb der Einrichtung, womit sich ein zusätzlicher Grad an Sicherheit ergibt.
  • System Management Mode
  • Gehen wir nun zu 3, wo bestimmte Mikroprozessoren, wie der Pentium®-Prozessor der Intel Corporation, einen Modus umfassen, der als System Management Mode (SMM) bezeichnet wird und der bei Empfang eines System Management Interrupt (SMI) eingenommen wird. Ursprünglich waren SMI Power Management Interrupts, die von der Intel Corporation für tragbare Systeme gedacht waren. Tragbare Rechner werden meistens aus Batterien gespeist, die eine begrenzte Menge an Energie bieten. Zum Optimieren der Batterielebensdauer wird typischerweise ein SMI aktiviert, um die Leistungsaufnahme bei jeder Systemkomponente, die aktuell nicht in Gebrauch ist, abzuschalten oder herabzusetzen. Obwohl sie ursprünglich für Laptop-Rechner gedacht waren, sind SMI inzwischen auch bei Desktop-Modellen und sonstigen stationären Modellen beliebt.
  • SMI werden entweder durch einen SMI-Zeitgeber, durch eine Systemanforderung oder durch andere Mittel aktiviert. Ein SMI ist eine nichtmaskierbare Unterbrechung, die fast die höchste Priorität in dem System hat. Nur das Rücksetzsignal R/S* und das Cache-Entleersignal FLUSH*, die als Unterbrechungen konzeptualisiert werden können, haben eine höhere Priorität als die SMI. Wird eine SMI aktiviert, bildet ein Mikroprozessor einen als SMM-Speicher (250) bezeichneten Speicherteil in dem Hauptspeicherplatz ab. Der gesamte CPU-Status wird dann in dem SMM-Speicher (250) (in dem CPU-Registerauszug (260) aus 3) in stapelförmigem LIFO-Modus (Last In/First Out) gespeichert. Nachdem der anfängliche Prozessorstatus gespeichert wurde, beginnt der Prozessor (102) mit der Ausführung einer SMI-Behandlungsroutine (252), einem Unterbrechungsserviceprogramm zum Ausführen spezifischer Systemmanagementaufgaben wie das Reduzieren der Versorgung spezifischer Geräte oder, im Falle der vorliegenden Erfindung, das Bereitstellen von Sicherheitsdiensten. Während die Routine ausgeführt wird, werden andere Unterbrechungsanforderungen nicht bedient und werden ignoriert, bis die Unterbrechungsroutine abgeschlossen ist oder der Mikroprozessor zurückgesetzt wird. Wenn die SMI-Behandlungsroutine (252) ihre Aufgabe beendet, wird der Prozessorstatus aus dem SMM-Speicher (250) abgerufen und das Hauptprogramm fortgesetzt. Ein SMI-Aktivsignal, das als das SMIACT*-Signal bezeichnet wird, wird von dem Prozessor bereitgestellt, um den Betrieb im SMM anzuzeigen.
  • Wie erwähnt, ruft der Prozessor (102) nach der Aktivierung seiner SMI-Eingabe (dies ist allgemein ein aktives niedriges Signal) die SMI-Behandlungsroutine (252) auf, die sich an einen Adressraum richtet, der von dem gewöhnlichen Hauptspeicher getrennt ist. Danach beziehen sich sämtliche Speicherzugriffe nur auf den SMM-Speicher (250). Ein-/ Ausgabe-Zugriffe („I/O") über Anweisungen wie IN oder OUT werden jedoch weiterhin an den normalen I/O-Adressraum gerichtet. Ein vorteilhafter Nebeneffekt des festverdrahteten separaten Adress-SMM-Bereichs besteht darin, dass die in diesem Raum gespeicherten Routinen nicht durch den Cache ausspioniert werden können, womit ein zusätzlicher Grad an Schutz geboten wird.
  • Bei einer typischen Implementierung des System Management Mode ist beabsichtigt, dass batteriegestützte SRAM-Chips standardmäßig in den Adressraum zwischen 30000h und 3ffffh abgebildet werden. Externe Hardware kann das SMIACT*-Signal als ein Chip-Ansteuersignal verwenden und dadurch entweder die SRAM-Chips (das SMI-ACT*-Signal liegt auf einem logisch niedrigen Niveau) oder den normalen Hauptspeicher (das SMIACT*-Signal liegt auf einem logisch hohen Niveau) ansteuern. Durch Verwendung des SMIACT*-Signals können dann der SMM-Speicher (250) und der normale Speicher strikt getrennt werden.
  • Wenden wir uns nun noch spezifischer 3 zu, wo eine grafische Darstellung eines nach der vorliegenden Erfindung konfigurierten SMM-Speichers (250) gezeigt wird. Wie oben erwähnt, wird dieser Adressraum durch den Prozessor (102) im Anschluss an eine SMI angesteuert. Nach einer SMI wird der Status des Prozessors (102) in dem CPU-Registerauszug (260) gespeichert. Die SMI- Behandlungsroutine (252) wird dann aufgerufen und durch den Prozessor (102) ausgeführt. Wichtig dabei ist, dass die SMI-Behandlungsroutine (252) so geschrieben werden kann, dass sie andere Aufgaben als Abschaltoperationen ausführt. Eine nach der vorliegenden Erfindung geschriebene SMI-Behandlungsroutine (252) ist in der Lage, das verschlüsselte Benutzerpasswort (Netzwerkpasswort) (254), Verschlüsselungsschlüssel (256) und einen Verschlüsselungsalgorithmus (258) zu verwenden, um gesichert Verschlüsselungsoperationen auszuführen, die es ermöglichen, dass die Identität eines Benutzers über ein LAN verifiziert werden kann. Da der SMM-Speicher (250) nur angesteuert werden kann, wenn sich das Rechnersystem im SMM befindet, verhindert das Speichern des verschlüsselten Benutzerpassworts (254), der Verschlüsselungsschlüssel (256) und des Verschlüsselungsalgorithmus (258) in dem SMM-Speicher (250), dass bösartiger Code diese sensiblen Komponenten der offenbarten Ausführung der Erfindung verändern oder lesen kann. Die optionale 32-Kbyte-SMM RAM-Erweiterung (262) kann verwendet werden, um gesicherte Verschlüsselungsfunktionen auszuführen oder zusätzliche Verschlüsselungsschlüssel zu speichern.
  • Wenden wir uns nun 4A und 4B zu, wo eine beispielhafte Einschaltsequenz gezeigt wird, die eine zweiteilige Benutzerverifizierung nach der Erfindung umfasst. Die Sequenz baut auf einer gesicherten Hochfahrprozedur auf, wie sie im SAFESTART-Patent beschrieben wird. Kurz gesagt, reduziert diese Erfindung die administrativen Anforderungen von früheren gesicherten Einschalttechniken. Eine reservierte Nicht-DOS-Festplattenpartition wird dazu verwendet, das Rechnersystem (S) vorzubooten und eine gesicherte Umgebung bereitzustellen, von der aus Dateien verifiziert werden können. Mit dem Hochfahren oder Rücksetzen führt der Rechner den Einschalt-Selbsttest (POST) durch, während dem er eine SAFESTART-Spur prüft, indem er deren Hash-Wert mit einem in dem NVRAM gespeicherten Wert vergleicht. Ist die Integrität der SAFESTART-Spur verifiziert, wird die erste „SAFESTART-Routine" in den Speicher geladen und ausgeführt.
  • Die SAFESTART-Routine prüft zuerst den Master Boot Record und die Boot-Sektoren der Festplatte. Diese Überprüfung erfasst eine große Mehrheit von Viren und wird durchgeführt, bevor in diesen Bereichen residente Codes ausgeführt werden, wodurch die Verbreitung von entdeckten Viren verhindert wird. Weitere Prüfungen werden an den SAFESTART-Dateien durchgeführt, bevor jede ausgeführt wird. Schließlich werden noch Systemdateien und jegliche zusätzlich bezeichnete Benutzerdatei überprüft. Da das Rechnersystem von einer atypischen Partition gebootet wurde, werden die Laufwerke erneut abgebildet, um die Verschiebung bei der logischen Plattenlaufwerkadressierung zu berücksichtigen. Wenn der Überprüfungsprozess abgeschlossen ist, werden die SAFESTART-Dateien bereinigt, ein Signalspeicher wird eingerichtet, um eine unbefugte Änderung der ursprünglichen Hash-Werte zu verhindern, und die Steuerung geht an das BIOS zurück, um das Betriebssystem des Benutzers zu booten. Auf diese Weise stellt ein nach dem SAFESTART-Patent implementiertes Rechnersystem sicher, dass bezeichnete Software und Passwörter nach einem Hochfahrzyklus vertrauenswürdig sind.
  • Wie in 2A gezeigt, wird die EINSCHALT-Sequenz (300) begonnen, wenn das Rechnersystem (S) anfänglich eingeschaltet wird oder das System einen kalten Wiederanlauf durchläuft. Im ersten Schritt (302) der EINSCHALT-Sequenz (200) beginnt das Rechnersystem (S) mit der Ausführung aus dem BIOS ROM. Das BIOS wird vorzugs weise in dem Flash-ROM (154) gespeichert und umfasst niederes Programmieren zum Booten des Betriebssystems und eine Unterbrechungsbehandlungsroutine zum Zugriff auf die Festplatte (140). Die Steuerung geht dann zu Schritt (304), wo das Rechnersystem (S) einen Einschalt-Selbsttest (POST) durchführt, um zu bestimmen, ob jede Systemhardware korrekt arbeitet.
  • Nach zusätzlichen Einschaltschritten (optional) geht die Steuerung dann zu Schritt (306), um eine gesicherte Hochfahrprozedur zu beginnen, wie sie im SAFESTART-Patent beschrieben wird. In der bevorzugten Ausführung werden Betriebssequenzen für eine gesicherte Hochfahrprozedur als Wahl-ROM konfiguriert und auf konventionelle Weise in dem Adressraum des Wahl-ROM lokalisiert. Vorzugsweise werden die Betriebssequenzen als Letzt-ROM bereitgestellt, um zu ermöglichen, das andere Wahl-ROM am Anfang installiert werden können. Das System-BIOS führt diesen Teil der Einschaltsequenz als Teil seiner Suche nach Wahl-ROM aus, die ausgeführt werden, wenn sie in POST angetroffen werden. Diese Anordnung erfordert Adressdekodierung für die Einschaltsequenz, vereinfacht aber auch die Verteilung auf Rechnersystemfamilie. Alternativ könnte die Einschaltsequenz eher als Direktruf von dem BIOS implementiert werden, anstatt als Ruf von einem Wahl-ROM.
  • Die Steuerung geht dann zu Schritt (308) über, um zu bestimmen, ob ein Token (188) vorhanden ist, das einen Verschlüsselungsalgorithmus enthält. Entscheidet die vorgenannte Präsenzerfassungsschaltung, dass kein Token präsent ist, schleift die Steuerung zu Schritt (310), um eine Meldung anzuzeigen, mit der gefordert wird, dass der Benutzer ein Token (188) bereitstellt. Ist ein Token (188) präsent, wie in Schritt (308) bestimmt, geht die Steuerung zu Schritt (312), wo der Benutzer zur Eingabe eines Klartext-Benutzerpassworts aufgefordert wird. Als Alternative zu einem gespeicherten Wert könnte das Klartext-Passwort mit Hilfe von Biometrik erzeugt werden. Zum Beispiel könnte ein abgetasteter Fingerabdruck in einen Klartext-Passwortwert umgewandelt werden. Es ist anzumerken, dass die genaue Reihenfolge der Schritte (308 bis 312) für die Erfindung nicht als bedeutsam erachtet wird.
  • Die Steuerung geht dann zu Schritt (314) aus 4B und das Benutzerpasswort wird unter Verwendung des von dem äußeren Token (188) bereitgestellten Verschlüsselungsalgorithmus verschlüsselt. Das verschlüsselte Klartext-Passwort wird in wirksamer Weise das Netzwerkpasswort. Der von dem Token (188) verwendete Verschlüsselungsalgorithmus kann mehrere Formen aufweisen, wie unter anderem DES, RSA, DAS, RC2, RC4, Blowfish, IDEA, 3-WAY und MDC. Idealerweise wird der Algorithmus in jedem Token (188) durch einen Verschlüsselungsschlüssel aktiviert, der einmalig oder von begrenzter Erzeugung ist, so dass es unpraktikabel oder unmöglich ist, den Überprüfungsprozess unter Verwendung eines Ersatztokens zu umgehen.
  • Es wird in Erwägung gezogen, dass der eigentliche Verschlüsselungsprozess durch das Token (188) selbst durchgeführt werden kann. Bei dieser Ausführung der Erfindung wird das Benutzerpasswort über den RS232-Anschluss (146) oder einen Alternativanschluss an das Token (188) übermittelt. Das Token (188) vollzieht dann unter Verwendung seines gespeicherten Verschlüsselungsalgorithmus und des zugehörigen Verschlüsselungsschlüssels die Verschlüsselungsfunktion. Nach dem Verschlüsselungsprozess wird das verschlüsselte Passwort über den RS232-Anschluss (146) an das Rechnersystem (S) zurückgegeben.
  • Bei einer alternativen Ausführung der Erfindung wird der Verschlüsselungsalgorithmus in den Rechnerspeicher heruntergeladen. Nachdem das Benutzerpasswort eingegeben wurde, wird die Verschlüsselungsfunktion dann durch das Rechnersystem (S) durchgeführt. Bei dieser Ausführung der Erfindung ist es erstrebenswert, dass der Verschlüsselungsalgorithmus aus dem Rechnerspeicher gelöscht wird, nachdem der Verschlüsselungsprozess abgeschlossen ist und sich das Rechnersystem (S) immer noch in dem gesicherten Einschaltzeitraum befindet. Dieser Schritt verhindert, dass der Verschlüsselungsalgorithmus im Anschluss an den gesicherten Einschaltzeitraum heimlich aus dem Speicher geholt werden kann.
  • Im Anschluss an die Erzeugung des Netzwerkpassworts geht die Steuerung zu Schritt (316), und es werden optionale Knotenidentifizierungsinformationen (oder ein Sitzungsschlüssel) werden angehängt. Wie oben erwähnt, ermöglichen die Knotenidentifizierungsinformationen dem Netzwerk-Server (201) das Bestimmen, welcher Knoten verwendet wird, und das entsprechende Gewähren von Zugriffsprivilegien. Die optionalen Knotenidentifizierungsinformationen können vor dem Verschlüsselungsprozess aus Schritt (314) angehängt werden. In jedem Fall geht die Steuerung weiter zu Schritt (318) und das Netzwerkpasswort und jede angehängte Knotenidentifizierungsinformation wer den in gesichertem Speicher, wie dem SMM-Speicher (250), gespeichert. Das Netzwerkpasswort kann außerdem in geschütztem/gesperrtem NVRAM oder Flash-ROM (154) oder in einem anderen gesicherten Speicher, wie dem in der zuvor angesprochenen US-Patentanmeldung mit der Seriennr. 08/396343 offenbarten, gehalten werden. Nach diesem Schritt geht die Steuerung weiter zu Schritt (320) und die gesicherte Hochfahrprozedur wird fortgesetzt.
  • Es ist zu beachten, dass der Benutzer-Authentifizierungs- oder Passwortverifizierungsprozess bei jeder der oben beschriebenen Ausführungen der Erfindung von der Art her zweiteilig ist. Wenn das Benutzerpasswort oder das äußere Token widerrechtlich angeeignet wird, ist dies von geringer Bedeutung. Es sind beide Teile zum Erzeugen des Netzwerkpassworts erforderlich. Darüber hinaus wird der Umfang der Erfindung nicht als auf die offenbarte gesicherte Hochfahrprozedur beschränkt erachtet. In gleicher Weise wird die genaue Reihenfolge der Hochfahrschritte nicht als für die Endung bedeutsam erachtet.
  • Bei einer alternativen Ausführung der Erfindung wird der zweiteilige Authentifizierungsprozess während des normalen Rechnerbetriebs außerhalb der gesicherten Einschaltsequenz ausgeführt. Bei dieser Ausführung der Erfindung wird das Benutzerpasswort mit Hilfe eines gesicherten Tatstaturkommunikationskanals, wie er in der zuvor angesprochenen US-Patentanmeldung mit der Seriennr. 08/657982 beschrieben wird, an einen gesicherten Speicher übermittelt. Kurz gesagt, veranlasst eine Anforderung gesicherter Tastaturkommunikation den Prozessor des Rechners zum Eintritt in den SMM. Die SMI-Behandlungsroutine weist dann spezialisierte Hardware an, Tastaturunterbrechungen abzufangen und umzuleiten, so dass über die Tastatur eingegebene Daten nur an einen gesicherten, nichtlesbaren Speicher übermittelt werden. Der gesicherte Tastaturkommunikationskanal verhindert, dass das Klartext-Passwort des Benutzers von böswilligem Softwarecode, wie einem als Bildschirmschoner oder Gerätetreiber getarnten Virus, abgefangen wird.
  • Auf diese Weise wurde ein Verfahren zum Gestatten von gesicherter Benutzer-Authentifizierung und peripherem Fernzugriff auf der Grundlage eines zweiteiligen Benutzerüberprüfungsprozesses beschrieben. Bei der offenbarten Ausführung der Erfindung beginnt der Benutzerüberprüfungsprozess während einer gesicherten Hochfahrprozedur.
  • An einem bestimmten Punkt während der gesicherten Hochfahrprozedur muss der Rechnerbenutzer ein äußeres Token oder eine externe intelligente Chip-Karte bereitstellen. Das Token oder die intelligente Chip-Karte wird dazu verwendet, einen Verschlüsselungsalgorithmus zu speichern, der mit einem Verschlüsselungsschlüssel ausgestattet ist, der einmalig oder von begrenzter Erzeugung ist. Der Rechnerbenutzer muss dann ein Klartext-Benutzerpasswort eingeben. Sobald es eingegeben ist, wird das Benutzerpasswort unter Verwendung des in dem äußeren Token enthaltenen Verschlüsselungsalgorithmus verschlüsselt, um ein Netzwerkpasswort zu erzeugen. Wünscht der Netzwerkbenutzer den Zugriff auf eine gesicherte Netzwerkausstattung, wird das Netzwerkpasswort unter Verwendung des öffentlichen Schlüssels des Netzwerk-Servers verschlüsselt, bevor es über das Netzwerk übermittelt wird. Sobald es beim Server eingegangen ist, wird das verschlüsselte Netzwerk-Passwort unter Verwendung des öffentlichen Schlüssels des Servers entschlüsselt. Es erfolgt dann ein Benutzerüberprüfungsprozess an dem Netzwerkpasswort, um zu bestimmen, welche Zugriffsprivilegien, soweit vorhanden, dem Netzwerkbenutzer gewährt wurden. An das Netzwerkpasswort können optionale Knotenidentifizierungsinformationen angehängt werden, um zusätzliche Zugriffsstufen bereitzustellen. Die zweiteilige Form des Authentifizierungsprozesses stellt sicher, dass es von geringer Bedeutung ist, wenn das Benutzerpasswort oder das äußere Token entwendet wird. Für den Zugriff auf geschützte Ausstattungen und die eindeutige Identifizierung eines Benutzers gegenüber dem Netzwerk sind beide Teile erforderlich.

Claims (22)

  1. Verfahren zur gesicherten Authentifizierung der Benutzeridentität in einem Rechnernetz, das einen Netzwerk-Server (201) umfasst, der mit wenigstens einem Netzwerkknoten (200a) gekoppelt ist und in der Lage ist, mit einem äußeren Token (188) zu kommunizieren, das einen kryptografischen Algorithmus und einen Verschlüsselungsschlüssel (256) umfasst, wobei der Netzwerkknoten (200a) außerdem eine sichere Hochfahrprozedur oder einen sonstigen sicheren Betriebsmodus umfasst, wobei das Verfahren folgende Schritte umfasst: – Bereitstellen eines Benutzerpasswortes für den Netzwerkknoten (200a); – kommunikatives Koppeln des äußeren Tokens (188) mit dem Netzwerkknoten (200a); – Bereitstellen des Benutzerpasswortes für den in dem Token (188) gespeicherten kryptografischen Algorithmus; und gekennzeichnet durch – Verschlüsseln des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel (256), um ein Netzwerkpasswort (254) zu erzeugen; – Weitergeben des Netzwerkpasswortes (254) an den Netzwerk-Server (201); und – Vergleichen des Netzwerkpasswortes (254) oder von Teilen davon mit den von dem Netzwerk-Server (201) verwalteten Informationen, um die Benutzeridentität zu überprüfen bzw. dem Netzwerkpasswort (254) gewährte Netzwerkprivilegien zu bestimmen.
  2. Verfahren nach Anspruch 1, zusätzlich folgenden Schritt umfassend: - Ermöglichen oder Blockieren des Zugriffs auf eine gesicherte Netzwerkausstattung (216, 218, 220) als Reaktion auf das Ergebnis aus dem Schritt des Vergleichens des Netzwerkpasswortes (254) mit den von dem Netzwerk-Server (201) verwalteten Informationen.
  3. Verfahren nach Anspruch 1, wobei der Schritt, den Zugriff auf eine gesicherte Netzwerkausstattung (216, 218, 220) zu ermöglichen oder zu blockieren, das Verwenden des Netzwerkpasswortes (254) umfasst, um die Verschlüsselung und Entschlüsselung von spezifizierten Daten zu regeln, die von dem Netzwerk-Server (201) verwaltet werden.
  4. Verfahren nach Anspruch 1, wobei der Schritt, ein Benutzerpasswort für den Netzwerkknoten (200a) bereitzustellen, durchgeführt wird, während sich der Netzwerkknoten (200a) in einem sicheren Betriebszeitraum befindet.
  5. Verfahren nach Anspruch 4, wobei der sichere Betriebszeitraum eine sichere Hochfahrprozedur umfasst.
  6. Verfahren nach Anspruch 1, zusätzlich folgende Schritte umfassend: – vor dem Schritt des Weitergebens des Netzwerkpasswortes (254) an den Netzwerk-Server (201) Verschlüsseln des Netzwerkpasswortes (254) unter Verwendung eines öffentlichen Netzwerkschlüssels (206a); und – nach dem Schritt des Weitergebens des Netzwerkpasswortes (254) an den Netzwerk-Server (201) Entschlüsseln des Netzwerkpasswortes (254) unter Verwendung eines dem öffentlichen Netzwerkschlüssel (206a) entsprechenden privaten Netzwerkschlüssels (210).
  7. Verfahren nach Anspruch 1, das zusätzlich den Schritt des Anhängens von Knotenidentifizierungsinformationen (204a) an das Netzwerkpasswort (254) umfasst, bevor das Netzwerkpasswort (254) an den Netzwerk-Server (201) weitergegeben wird.
  8. Verfahren nach Anspruch 7, wobei der Schritt, bei dem das Netzwerkpasswort (254) oder Teile davon mit von dem Netzwerk-Server (201) verwalteten Informationen verglichen werden, das Beschränken des Zugriffs auf spezifizierte Daten anhand des Netzwerkpasswortes (254) und von Knotenidentifizierungsinformationen (204a) umfasst.
  9. Verfahren nach Anspruch 1, wobei der Schritt des Verschlüsselns des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel (256) in dem Token (188) geschieht.
  10. Verfahren nach Anspruch 1, wobei der Schritt, bei dem das Benutzerpasswort für den kryptografischen Algorithmus bereitgestellt wird, das Herunterladen sowohl des kryptografischen Algorithmus als auch des Benutzerpasswortes in sicheren Rechnerspeicher umfasst und der Schritt des Verschlüsselns des Benutzerpasswortes mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel (256) in sicherem Rechnerspeicher geschieht.
  11. Verfahren nach Anspruch 1, wobei das Netzwerkpasswort (254) auf sicherem Speicherplatz (SMM) innerhalb des Netzwerkknotens (200a) verwaltet wird.
  12. Verfahren nach Anspruch 1, wobei das Token (188) eine intelligente Chip-Karte ist.
  13. Verfahren nach Anspruch 1, wobei das Token (188) eine Touch MemoryTM-Vorrichtung ist.
  14. Verfahren nach Anspruch 1, wobei der Verschlüsselungsschlüssel (256) eindeutig oder von beschränkter Erzeugung ist.
  15. Rechnersystem (S), das in der Lage ist, gesichert zweiteilige Benutzer-Authentifizierungsdaten über ein Rechnernetzwerk bereitzustellen, wobei das Rechnersys tem (S) einen sicheren Einschaltprozess oder einen sonstigen Betriebsmodus aufweist und das Rechnersystem (S) Folgendes umfasst: – einen Systembus (HB); – einen mit dem Systembus (HB) gekoppelten Prozessor (102); – eine mit dem Prozessor (102) gekoppelte Token-Schnittstellenschaltung zum Kommunizieren mit einem äußeren Token (188); – Netzwerkschnittstellenschaltung, die es dem Prozessor (102) ermöglicht, Mitteilungen an einen Netzwerk-Server (201) zu richten; und gekennzeichnet durch – Einrichtungen zum Betrieb in Verbindung mit dem äußeren Token (188), das einen kryptografischen Algorithmus und einen Verschlüsselungsschlüssel (256) umfasst; und – Sicherheitscode, der in einem von einem Prozessor lesbaren Medium gespeichert ist, umfassend: – Einrichtungen zum Empfangen eines Benutzerpasswortes; – Einrichtungen zum Bereitstellen des Benutzerpasswortes für das äußere Token (188); – Einrichtungen zum Empfangen des Netzwerkpasswortes (254) von dem äußeren Token (188), wobei das Netzwerkpasswort (254) das mit dem kryptografischen Algorithmus und dem Verschlüsselungsschlüssel (256) verschlüsselte Benutzerpasswort ist; und - Einrichtungen zum Weitergeben des Netzwerkpasswortes (254) an den Netzwerk-Server (201) über die Netzwerkschnittstellenschaltung, um dem Rechnerbenutzer den Zugriff auf gesicherte Netzwerkausstattungen (216, 218, 220) zu ermöglichen.
  16. Rechnersystem (S) nach Anspruch 15, wobei der Sicherheitscode ausgeführt wird, während sich das Rechnersystem (S) in einem sicheren Betriebsmodus befindet.
  17. Rechnersystem (S) nach Anspruch 15, wobei der sichere Betriebsmodus eine sichere Einschaltprozedur ist.
  18. Rechnersystem (S) nach Anspruch 15, wobei der Sicherheitscode außerdem den Prozessor veranlasst, vor dem Schritt des Weitergebens des Netzwerkpasswortes an den Netzwerk-Server das Netzwerkpasswort unter Verwendung des öffentlichen Schlüssels des Netzwerks zu verschlüsseln.
  19. Rechnersystem (S) nach Anspruch 15, wobei der Sicherheitscode außerdem den Prozessor (102) veranlasst, vor dem Schritt des Weitergebens des Netzwerkpasswortes (254) an den Netzwerk-Server (201) Knotenidentifizierungsinformationen (204a) an das Netzwerkpasswort (254) anzuhängen.
  20. Rechnersystem (S) nach Anspruch 15, wobei das Token (188) eine intelligente Chip-Karte ist.
  21. Rechnersystem (S) nach Anspruch 15, wobei das Token (188) eine Touch MemoryrM-Vorrichtung ist.
  22. Rechnersystem (S) nach Anspruch 15, wobei der Verschlüsselungsschlüssel (256) eindeutig oder von beschränkter Erzeugung ist.
DE69725833T 1996-12-31 1997-12-30 Gesicherte zweiteilige Benutzer-Authentifizierung in einem Rechnernetz Expired - Lifetime DE69725833T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US774809 1985-09-11
US08/774,809 US5953422A (en) 1996-12-31 1996-12-31 Secure two-piece user authentication in a computer network

Publications (2)

Publication Number Publication Date
DE69725833D1 DE69725833D1 (de) 2003-12-04
DE69725833T2 true DE69725833T2 (de) 2004-05-19

Family

ID=25102373

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69725833T Expired - Lifetime DE69725833T2 (de) 1996-12-31 1997-12-30 Gesicherte zweiteilige Benutzer-Authentifizierung in einem Rechnernetz

Country Status (3)

Country Link
US (1) US5953422A (de)
EP (1) EP0851335B1 (de)
DE (1) DE69725833T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202016001794U1 (de) 2016-03-21 2016-04-07 KC Management AG 2-Faktor-Authentifizierung mittels Mutual Factor

Families Citing this family (122)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6400823B1 (en) * 1996-12-13 2002-06-04 Compaq Computer Corporation Securely generating a computer system password by utilizing an external encryption algorithm
US6182225B1 (en) * 1997-02-03 2001-01-30 Canon Kabushiki Kaisha Network data base control device and method thereof
US7444394B2 (en) 1997-02-03 2008-10-28 Canon Kabushiki Kaisha Network data base control device and method thereof
US6557104B2 (en) * 1997-05-02 2003-04-29 Phoenix Technologies Ltd. Method and apparatus for secure processing of cryptographic keys
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
US6272631B1 (en) * 1997-06-30 2001-08-07 Microsoft Corporation Protected storage of core data secrets
US7328350B2 (en) * 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
EP0932124B1 (de) * 1998-01-14 2002-05-02 Irdeto Access B.V. Integrierte Schaltung und Chipkarte mit einer solchen Schaltung
US6098053A (en) * 1998-01-28 2000-08-01 Citibank, N.A. System and method for performing an electronic financial transaction
US6385730B2 (en) * 1998-09-03 2002-05-07 Fiware, Inc. System and method for restricting unauthorized access to a database
US6947908B1 (en) 1998-08-27 2005-09-20 Citibank, N.A. System and use for correspondent banking
EP0982674A3 (de) 1998-08-27 2004-03-31 Citibank, N.A. System und Verfahren zur Übernahme der Rolle des Kaufmanns bei Scheck- und Konto-Transaktionen auf dem Internet
US6360322B1 (en) * 1998-09-28 2002-03-19 Symantec Corporation Automatic recovery of forgotten passwords
US6330624B1 (en) * 1999-02-09 2001-12-11 International Business Machines Corporation Access limiting to only a planar by storing a device public key only within the planar and a planar public key only within the device
US6959390B1 (en) 1999-03-03 2005-10-25 International Business Machines Corporation Data processing system and method for maintaining secure user private keys in non-secure storage
EP1061484A3 (de) 1999-06-11 2004-01-07 Citicorp Development Center, Inc. Verfahren und System zur Steuerung von bescheinigungsgestützten offenen Zahlungstransaktionen
US6735310B1 (en) 1999-09-17 2004-05-11 International Business Machines Corporation Technique of password encryption and decryption for user authentication in a federated content management system
EP1085396A1 (de) * 1999-09-17 2001-03-21 Hewlett-Packard Company Betrieb von gesicherten Zustand in einer Computerplattform
US6718468B1 (en) 1999-11-12 2004-04-06 International Business Machines Corporation Method for associating a password with a secured public/private key pair
US6704868B1 (en) 1999-11-12 2004-03-09 International Business Machines Corporation Method for associating a pass phase with a secured public/private key pair
US6742129B1 (en) * 1999-12-08 2004-05-25 Carrier Corporation Software security mechanism
US6834270B1 (en) * 2000-02-28 2004-12-21 Carlo Pagani Secured financial transaction system using single use codes
US20030070074A1 (en) * 2000-03-17 2003-04-10 Avner Geller Method and system for authentication
US6625730B1 (en) 2000-03-31 2003-09-23 Hewlett-Packard Development Company, L.P. System for validating a bios program and memory coupled therewith by using a boot block program having a validation routine
US6625729B1 (en) 2000-03-31 2003-09-23 Hewlett-Packard Company, L.P. Computer system having security features for authenticating different components
US7073064B1 (en) 2000-03-31 2006-07-04 Hewlett-Packard Development Company, L.P. Method and apparatus to provide enhanced computer protection
US20010054147A1 (en) * 2000-04-04 2001-12-20 Richards Ernest S. Electronic identifier
GB0012791D0 (en) * 2000-05-25 2000-07-19 Breakertech Inc Mobile node-lock
US6714930B1 (en) 2000-05-31 2004-03-30 International Business Machines Corporation Lightweight directory access protocol, (LDAP) trusted processing of unique identifiers
US7571234B2 (en) * 2000-06-08 2009-08-04 Aol Llc Authentication of electronic data
FR2810138B1 (fr) * 2000-06-08 2005-02-11 Bull Cp8 Procede de stockage securise d'une donnee sensible dans une memoire d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
US7278023B1 (en) * 2000-06-09 2007-10-02 Northrop Grumman Corporation System and method for distributed network acess and control enabling high availability, security and survivability
AUPQ958400A0 (en) 2000-08-22 2000-09-14 Cmx Technologies Pty Ltd Validation of transactions
CA2420239A1 (en) * 2000-08-22 2002-02-28 Siamack Yousofi Validation of transactions
FR2814617A1 (fr) * 2000-09-22 2002-03-29 Laurent Francois Ernest Pele Procede cryptographique de chiffrement de messages et d'identication de supports homologue
FR2814616B1 (fr) * 2000-09-22 2004-06-25 Laurent Francois Ernest Pele Procede cryptographique d'identification de supports homologues
FR2814618B1 (fr) * 2000-09-22 2003-02-14 Laurent Francois Ernest Pele Procede cryptographique de chiffrement de messages et d'identification de supports homologues
US7200761B1 (en) * 2000-11-09 2007-04-03 International Business Machines Corporation Method to use secure passwords in an unsecure program environment
US6970562B2 (en) * 2000-12-19 2005-11-29 Tricipher, Inc. System and method for crypto-key generation and use in cryptosystem
US20020128981A1 (en) * 2000-12-28 2002-09-12 Kawan Joseph C. Method and system for facilitating secure customer financial transactions over an open network
US20020095573A1 (en) * 2001-01-16 2002-07-18 O'brien William G. Method and apparatus for authenticated dial-up access to command controllable equipment
NO313480B1 (no) * 2001-01-24 2002-10-07 Telenor Asa Fremgangsmåte for å åpne hele eller deler av et smartkort
US6823464B2 (en) * 2001-02-26 2004-11-23 International Business Machines Corporation Method of providing enhanced security in a remotely managed computer system
US7469341B2 (en) * 2001-04-18 2008-12-23 Ipass Inc. Method and system for associating a plurality of transaction data records generated in a service access system
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
FR2823927A1 (fr) * 2001-04-18 2002-10-25 Romain Hudelot Procede d'authentification avec securisation cryptographique asymetrique dynamique
US20030065919A1 (en) * 2001-04-18 2003-04-03 Albert Roy David Method and system for identifying a replay attack by an access device to a computer system
US20030172265A1 (en) * 2001-05-04 2003-09-11 Vu Son Trung Method and apparatus for secure processing of cryptographic keys
US7133662B2 (en) * 2001-05-24 2006-11-07 International Business Machines Corporation Methods and apparatus for restricting access of a user using a cellular telephone
US7133971B2 (en) * 2003-11-21 2006-11-07 International Business Machines Corporation Cache with selective least frequently used or most frequently used cache line replacement
US7328337B2 (en) * 2001-05-25 2008-02-05 America Online, Incorporated Trust grant and revocation from a master key to secondary keys
US7509685B2 (en) 2001-06-26 2009-03-24 Sealedmedia Limited Digital rights management
US7093124B2 (en) * 2001-10-30 2006-08-15 Intel Corporation Mechanism to improve authentication for remote management of a computer system
US20030097587A1 (en) * 2001-11-01 2003-05-22 Gulick Dale E. Hardware interlock mechanism using a watchdog timer
US7092915B2 (en) * 2002-01-07 2006-08-15 International Business Machines Corporation PDA password management tool
US7242768B2 (en) 2002-01-14 2007-07-10 Lenovo (Singapore) Pte. Ltd. Super secure migratable keys in TCPA
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7664903B2 (en) * 2002-02-25 2010-02-16 Solid Access Technologies LLC Control unit with PCI and SCSI buses and computing system with electronic semiconductor disk
US20030204754A1 (en) * 2002-04-26 2003-10-30 International Business Machines Corporation Controlling access to data stored on a storage device of a computer system
US7395435B2 (en) * 2002-09-20 2008-07-01 Atmel Corporation Secure memory device for smart cards
GB0222038D0 (en) * 2002-09-23 2002-10-30 Inqucor Ltd Authentication system and method
US8180051B1 (en) * 2002-10-07 2012-05-15 Cisco Technology, Inc Methods and apparatus for securing communications of a user operated device
US20040088588A1 (en) * 2002-10-31 2004-05-06 International Business Machines Corporation Limited resource access while power-on-password is active
US20040103325A1 (en) * 2002-11-27 2004-05-27 Priebatsch Mark Herbert Authenticated remote PIN unblock
US7962760B2 (en) * 2002-12-20 2011-06-14 The Invention Science Fund I Method and apparatus for selectively enabling a microprocessor-based system
EP1620970A4 (de) * 2003-04-01 2010-12-22 Entropic Technologies Pty Ltd System zur sicheren kommunikation
US7690025B2 (en) * 2003-04-03 2010-03-30 General Electric Company Methods and systems for accessing a network-based computer system
CN1795440A (zh) * 2003-04-07 2006-06-28 艾特拉克斯公司 基于物理位置的网络安全系统
US7444512B2 (en) * 2003-04-11 2008-10-28 Intel Corporation Establishing trust without revealing identity
WO2004102879A1 (en) * 2003-05-09 2004-11-25 Arcot Systems, Inc. Method and apparatus for securing pass codes during transmission from capture to delivery
US8606885B2 (en) * 2003-06-05 2013-12-10 Ipass Inc. Method and system of providing access point data associated with a network access point
US7240201B2 (en) * 2003-08-01 2007-07-03 Hewlett-Packard Development Company, L.P. Method and apparatus to provide secure communication between systems
US20050050330A1 (en) * 2003-08-27 2005-03-03 Leedor Agam Security token
WO2005022366A1 (en) * 2003-09-02 2005-03-10 Sony Ercisson Mobile Communications Ab Transfer of security data between two memories
US7228432B2 (en) * 2003-09-11 2007-06-05 Angelo Michael F Method and apparatus for providing security for a computer system
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
US7519559B1 (en) 2003-10-30 2009-04-14 Aol Llc Messaging stamp authority
US7587607B2 (en) * 2003-12-22 2009-09-08 Intel Corporation Attesting to platform configuration
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7930503B2 (en) * 2004-01-26 2011-04-19 Hewlett-Packard Development Company, L.P. Method and apparatus for operating multiple security modules
US7382880B2 (en) * 2004-01-26 2008-06-03 Hewlett-Packard Development Company, L.P. Method and apparatus for initializing multiple security modules
US7539862B2 (en) * 2004-04-08 2009-05-26 Ipass Inc. Method and system for verifying and updating the configuration of an access device during authentication
EP2267625A3 (de) * 2004-04-19 2015-08-05 Lumension Security S.A. Zentralisierte und lokale Autorisierung von ausführbaren Dateien online
US7734929B2 (en) * 2004-04-30 2010-06-08 Hewlett-Packard Development Company, L.P. Authorization method
US8539248B2 (en) * 2004-10-02 2013-09-17 International Business Machines Corporation Associating biometric information with passwords
CA2571814C (en) * 2004-12-30 2012-06-19 Bce Inc. System and method for secure access
US7596697B2 (en) * 2005-02-14 2009-09-29 Tricipher, Inc. Technique for providing multiple levels of security
WO2006078572A2 (en) * 2005-01-18 2006-07-27 Tricipher, Inc. Asymmetric crypto-graphy with rolling key security
US20060182283A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Architecture for asymmetric crypto-key storage
US20060182277A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Roaming utilizing an asymmetric key pair
US7599493B2 (en) * 2005-02-14 2009-10-06 Tricipher Inc. Asymmetric key pair having a kiosk mode
US7661128B2 (en) 2005-03-31 2010-02-09 Google Inc. Secure login credentials for substantially anonymous users
WO2006129816A1 (en) * 2005-05-31 2006-12-07 Semiconductor Energy Laboratory Co., Ltd. Communication system and authentication card
US8112637B2 (en) * 2005-07-12 2012-02-07 Hewlett-Packard Development Company, L.P. System and method for programming a data storage device with a password
US20080010453A1 (en) * 2006-07-06 2008-01-10 Laurence Hamid Method and apparatus for one time password access to portable credential entry and memory storage devices
WO2008011628A2 (en) * 2006-07-21 2008-01-24 Google Inc. Device authentication
US20080184035A1 (en) * 2007-01-30 2008-07-31 Technology Properties Limited System and Method of Storage Device Data Encryption and Data Access
US9118665B2 (en) * 2007-04-18 2015-08-25 Imation Corp. Authentication system and method
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
US20090177892A1 (en) * 2008-01-09 2009-07-09 Microsoft Corporation Proximity authentication
US8041788B1 (en) * 2008-04-09 2011-10-18 United Services Automobile Association (Usaa) Systems and methods for development of secure shell devices
US8082577B1 (en) 2008-04-09 2011-12-20 United Services Automobile Association (Usaa) Systems and methods for deployment of secure shell devices
US8811619B2 (en) * 2008-10-31 2014-08-19 Dell Products, Lp Encryption key management system and methods thereof
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
US8423783B2 (en) * 2009-11-27 2013-04-16 International Business Machines Corporation Secure PIN management of a user trusted device
US8683609B2 (en) * 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
GB201016672D0 (en) * 2010-10-04 2010-11-17 Electronic Shipping Solutions Ltd Secure exchange/authentication of electronic documents
US9087196B2 (en) 2010-12-24 2015-07-21 Intel Corporation Secure application attestation using dynamic measurement kernels
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
RU2477929C2 (ru) 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
US8595510B2 (en) 2011-06-22 2013-11-26 Media Patents, S.L. Methods, apparatus and systems to improve security in computer systems
US20120331308A1 (en) * 2011-06-22 2012-12-27 Media Patents, S.L. Methods, apparatus and systems to improve security in computer systems
US8181035B1 (en) 2011-06-22 2012-05-15 Media Patents, S.L. Methods, apparatus and systems to improve security in computer systems
US8261085B1 (en) 2011-06-22 2012-09-04 Media Patents, S.L. Methods, apparatus and systems to improve security in computer systems
US8516563B2 (en) 2011-06-29 2013-08-20 Infosys Technologies, Ltd. Methods for authenticating a user without personal information and devices thereof
US9147047B1 (en) * 2011-08-11 2015-09-29 West Corporation Image capture to enforce remote agent adherence
US20130282400A1 (en) * 2012-04-20 2013-10-24 Woundmatrix, Inc. System and method for uploading and authenticating medical images
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
CN104704501B (zh) * 2012-08-13 2017-07-14 西门子公司 在计算机系统中安全生成和存储密码
US9047263B2 (en) * 2013-01-24 2015-06-02 Dell Products L.P. System and method for secure SMI memory services
US9992171B2 (en) * 2014-11-03 2018-06-05 Sony Corporation Method and system for digital rights management of encrypted digital content
CN114258018B (zh) * 2021-11-12 2024-04-09 中国南方电网有限责任公司 密钥管理方法、装置、计算机设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
EP0246823A3 (en) * 1986-05-22 1989-10-04 Racal-Guardata Limited Data communication systems and methods
FR2653914A1 (fr) * 1989-10-27 1991-05-03 Trt Telecom Radio Electr Systeme d'authentification d'une carte a microcircuit par un micro-ordinateur personnel, et procede pour sa mise en óoeuvre.
US5237614A (en) * 1991-06-07 1993-08-17 Security Dynamics Technologies, Inc. Integrated network security system
US5375243A (en) * 1991-10-07 1994-12-20 Compaq Computer Corporation Hard disk password security system
US5276737B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5418854A (en) * 1992-04-28 1995-05-23 Digital Equipment Corporation Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US5389738A (en) * 1992-05-04 1995-02-14 Motorola, Inc. Tamperproof arrangement for an integrated circuit device
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5548721A (en) * 1994-04-28 1996-08-20 Harris Corporation Method of conducting secure operations on an uncontrolled network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5537540A (en) * 1994-09-30 1996-07-16 Compaq Computer Corporation Transparent, secure computer virus detection method and apparatus

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202016001794U1 (de) 2016-03-21 2016-04-07 KC Management AG 2-Faktor-Authentifizierung mittels Mutual Factor

Also Published As

Publication number Publication date
EP0851335A2 (de) 1998-07-01
DE69725833D1 (de) 2003-12-04
US5953422A (en) 1999-09-14
EP0851335B1 (de) 2003-10-29
EP0851335A3 (de) 1999-06-16

Similar Documents

Publication Publication Date Title
DE69725833T2 (de) Gesicherte zweiteilige Benutzer-Authentifizierung in einem Rechnernetz
DE69819485T2 (de) Verfahren und vorrichtung zur sicheren verarbeitung kryptographischer schlüssel
DE10196006B4 (de) Erzeugen einer Schlüsselhierarchie zur Verwendung in einer isolierten Ausführungsumgebung
DE19827659B4 (de) System und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff
DE69724946T2 (de) Programmvermietungssystem und Verfahren zur Vermietung von Programmen
DE112005003340B4 (de) Mechanismus zum Bestimmen der Vertrauenswürdigkeit von Außerbandverwaltungsagenten
DE69733123T2 (de) Verfahren und vorrichtung zur verhinderung eines unbefugten schreibzugriffes zu einem geschützten nichtflüchtigen speicher
US5949882A (en) Method and apparatus for allowing access to secured computer resources by utilzing a password and an external encryption algorithm
DE69815599T2 (de) Verfahren und Vorrichtung zum Schutz von Anwendungsdaten in sicheren Speicherbereichen
DE69727198T2 (de) Durchführen digitaler Unterschriften für Datenströme und Archive
DE60200323T2 (de) Verfahren zum Schutz der Integrität von Programmen
US7721345B2 (en) Data security system and method
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE102008006759B4 (de) Prozessor-Anordnung und Verfahren zum Betreiben der Prozessor-Anordnung ohne Verringerung der Gesamtsicherheit
US5960084A (en) Secure method for enabling/disabling power to a computer system following two-piece user verification
DE69635145T2 (de) Verfahren zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE10254621B4 (de) Computervorrichtung, Verfahren und Computersystem zum Erzeugen einer vertrauenswürdigen Umgebung
DE10392470B4 (de) System und Verfahren zum Ausführen von Initialisierungsbefehlen einer gesicherten Umgebung
DE60320612T2 (de) Dienstleistungssystem, in dem Dienste über ein Netzwerk von einer Dienstleistervorrichtung einer Dienstnehmervorrichtung zur Verfügung gestellt werden
WO2017129184A1 (de) Verfahren zur mehrschichtig geschützten sicherung von daten insbesondere anmeldedaten und passwörtern
DE60002893T2 (de) Computerplattformen und deren betriebsverfahren
US7065784B2 (en) Systems and methods for integrating access control with a namespace
DE10393456B4 (de) Verkapselung einer TCPA-vertrauenswürdigen Plattformmodulfunktionalität innerhalb eines Server-Management-Coprozessor-Subsystems
DE202018002074U1 (de) System zur sicheren Speicherung von elektronischem Material
DE112008003931T5 (de) Systeme und Verfahren für Datensicherheit

Legal Events

Date Code Title Description
8364 No opposition during term of opposition