PatentDe  


Dokumentenidentifikation DE102004007994B4 12.07.2007
Titel Verfahren zum Zuweisen von Zugriffsrechten an ein Peripheriegerät
Anmelder Infineon Technologies AG, 81669 München, DE
Erfinder Schneckenburger, Christian, 85635 Höhenkirchen-Siegertsbrunn, DE
Vertreter Epping Hermann Fischer, Patentanwaltsgesellschaft mbH, 80339 München
DE-Anmeldedatum 18.02.2004
DE-Aktenzeichen 102004007994
Offenlegungstag 15.09.2005
Veröffentlichungstag der Patenterteilung 12.07.2007
Veröffentlichungstag im Patentblatt 12.07.2007
IPC-Hauptklasse G06F 21/04(2006.01)A, F, I, 20070206, B, H, DE

Beschreibung[de]

Die vorliegende Erfindung betrifft ein Verfahren zum Zuweisen von Zugriffsrechten eines an einem Bussystem eines Rechnersystems betriebenen Peripheriegerätes.

Heutige Rechnersysteme weisen neben internen Peripheriegeräten, wie Interfacekarten oder Festplatten, eine Vielzahl an extern betreibbaren Peripheriegeräten, wie beispielsweise an ein Bussystem des Rechnersystems anschließbare mobile Datenträger, auf. Aufgrund ihrer Praktikabilität und Vielseitigkeit ersetzen diese Datenträger zunehmend im Rechnersystem integrierbare Speichermedien.

Insbesondere nimmt der Universal Serial Bus, USB, als einfache, universelle standardisierte Schnittstelle mit hoher Skalierbarkeit an Bedeutung zu. Einer der großen Vorteile des USB-Bussystems ist es, Peripheriegeräte während des Betriebs hinzuzufügen oder entfernen zu können. Angeschlossene Geräte werden am Bussystem initialisiert und es erfolgt das Laden des Gerätetreibers.

Weisen Rechnersysteme auf ihren Festplatten sensitive Daten auf, werden durch einen Benutzer häufig Speichermedien, beispielsweise Floppydiskettenlaufwerke, aus dem Rechnersystem entfernt, um einen ungewünschten Datentransfer der sensitiven Daten zu unterbinden. Aufgrund der oben beschriebenen vereinfachten Inbetriebnahme von externen Peripheriegeräten an dem Rechnersystem ist jedoch nach wie vor die Möglichkeit eines Datenaustauschs gegeben. Eine physikalische Blockierung der Anschlussmöglichkeit, beispielsweise eine Blockierung eines physikalischen Steckers im Rechnersystem, führt jedoch dazu, dass jeglicher Datenaustausch unterbunden wird, so dass auch gewünschte Aktionen, wie beispielsweise das Einspielen von Softwareupdates, nicht mehr durchführbar sind.

In der EP 1 126 655 A1 wird ein Verfahren zur Authentizitätssicherung von Hard- und Software in einem vernetzten System angegeben. Das System besteht aus Systemkomponenten, die über einen Systembus mit einem zentralen Prüfmodul verbunden sind. Um Manipulationen vorzubeugen, weisen die Systemkomponenten jeweils Authentifizierungs- bzw. Integritätssicherungsmerkmale auf, welche von dem Prüfmodul überprüft werden. In einer Weiterbildung ist ein Zugang zum System über eine Schnittstelle vorgesehen, wobei jeweils eine Authentifizierung und eine Überprüfung der Zugriffsrechte der zugreifenden Person bzw. Instanz erfolgt.

Aus der EP 0858034 A1 ist ein Computersystem bekannt, an dem ein Peripheriegerät angeschlossen ist. Der Computer erzeugt in Abhängigkeit eines Anwendungsprogramms und des Gerätetreibers einen Befehl für das Peripheriegerät, welcher abhängig von dem Ergebnis eines vom Peripheriegerät gestarteten Challenge- und Response-Verfahren vom Computer ausgeführt wird.

Schließlich ist aus der JP 2001022679 A ein Verfahren bekannt, bei dem eine Gruppe von Laufwerken durch einen Gruppencode in einem Befehl und durch Authentifizierung erkannt werden. Ein Answer-Control-Programm erzeugt Antwortdaten auf einen Prüfbefehl, welche einen spezifischen Code beinhalten. Nach Erhalt der Antwortdaten wird der Code in den Antwortdaten vom Gerätetreiber erkannt.

Es ist daher die Aufgabe der Erfindung, ein Verfahren vorzuschlagen, das es ermöglicht, das Zuweisen von Zugriffrechten an Peripheriegeräte an einem Rechnersystem anwenderfreundlich zu regeln.

Die Aufgabe wird dadurch gelöst, dass ein Verfahren vorzusehen ist, das die folgenden Schritte umfasst:

  • – Erweiterung der Bustreiber für das Rechnersystem um eine Authentisierungsfunktion,
  • – Erweiterung der Gerätetreiber für das Peripheriegerät um eine Authentisierungsfunktion,
  • – Anschluss des Peripheriegerätes an das Bussystem des Rechnersystems,
  • – Abfrage einer Peripheriegeräterkennung durch das Rechnersystem
  • – Installation des Gerätetreibers auf dem Rechnersystem,
  • – Authentisierung des Peripheriegerätes durch die Authentisierungsfunktionen des Bus- und Gerätetreibers und
  • – Zuweisung von Zugriffsrechten für einen Benutzer auf das am Rechnersystem angeschlossene Peripheriegerät.

Erfindungsgemäß wird hierdurch ein Zugriff eines Benutzers auf das Peripheriegerät in Abhängigkeit der Zuteilung von Zugriffsrechten gesteuert. Der Bustreiber des Rechnersystems als auch der Gerätetreiber sind zur Ausführung einer Authentisierung um eine Authentisierungsfunktion erweitert. In vorteilhafter Weise ermöglicht diese Funktion eine Identifizierung des Peripheriegerätes gegenüber dem Rechnersystem, über die verifiziert werden kann, ob ein Lese- und oder Schreibzugriff auf das Peripheriegerät ausführbar ist.

Zur Umsetzung der Authentisierung sendet das Rechnersystem, nachdem es das angeschlossene Gerät erkannt und dessen zum Betrieb notwendigen Treiber installiert hat, eine mit Daten versehene Challenge an das Peripheriegerät. Innerhalb eines Sicherheitsbereich eines Speichers ist in dem Peripheriegerät ein Schlüssel und ein Kryptonalgorithmus abgelegt. Das Peripheriegerät berechnet aus den Challenge-Daten mittels des Algorithmus unter Verwendung des Schlüssels eine Antwort, die es dem Rechnersystem als Response-Daten übermittelt. Die Response-Daten werden vom Rechnersystem anschließend ausgewertet.

Dieses Vorgehen hat den Vorteil, dass eine Manipulation von zu übermittelnden Daten weitestgehend ausgeschlossen ist. Wahlweise kann das Rechnersystem die an das Peripheriegerät übermittelten Daten selbst mit einem dem Peripheriegerät identischen Schlüssel und Algorithmus verschlüsseln und dieses Ergebnis mit dem vom Peripheriegerät übermittelten Response-Daten vergleichen oder aus Peripheriegeräten zugeordneten verschiedenen Schlüsseln erstellte und in einem Speicher abgelegte Daten mit den Response-Daten vergleichen und aufgrund des Vergleichsergebnisses zugeordnete Zugriffsrechte erteilen.

Gemäß einer bevorzugten Ausführungsform werden die Zugriffsrechte in Lese- und/oder Schreibrechte eines Benutzers des Peripheriegerätes als auch in eine Zugriffsverweigerung klassifiziert. Ist das Peripheriegerät beispielsweise nicht in der Lage, aufgrund eines Standardtreibers, der die Authentisierungsfunktion nicht implementiert hat, sich gegenüber dem Rechnersystem zu identifizieren, wird ein Zugriff auf das Peripheriegerät grundsätzlich unterbunden.

Werden nur Leserechte erteilt, kann beispielsweise eine auf dem Peripheriegerät gespeicherte Software in das Rechnersystem geladen werden. Lese- und Schreibrechte ermöglichen einen bidirektionalen Datenaustausch zwischen dem Peripheriegerät und dem Rechnersystem.

Das Peripheriegerät kann als Speichermedium, beispielsweise als Flash-Speicher in Form eines Memorysticks, ausgeführt sein. Das vorab beschriebene Verfahren ist für beliebige an einem beliebigen Bussystem des Rechnersystems extern anschließbare Peripheriegeräte durchführbar.

Weitere vorteilhafte Aus- und Weiterbildungen der Erfindung sind in Unteransprüchen angegeben.

Die Erfindung wird im folgenden anhand der in den Zeichnungen dargestellten Figuren näher erläutert.

Es zeigen:

1 eine schematische Darstellung von zur Durchführung des erfindungsgemäßen Verfahrens notwendigen Komponenten und

2 ein Flussdiagramm zur Erläuterung des erfindungsgemäßen Verfahrens.

In der 1 sind beispielhaft Komponenten zur Realisierung der Erfindung gezeigt. Ein Rechnersystem 1, beispielsweise ein üblicher Personalcomputer, weist ein Bussystem 2 zum Anschluss eines externen Peripheriegerätes 3 auf. Dabei kann sowohl ein serielles als auch ein paralleles Bussystem verwendet werden. Das Peripheriegerät 3 ist über eine Verbindung 4 an das Bussystem 2 des Computers 1 angeschlossen. Der gezeigte Computer 1 verwendet ein Betriebssystem 5, zum Beispiel aus der Windows-Betriebssystemreihe, die von der Firma Microsoft erhältlich sind.

Beim Anschluss des Peripheriegerätes 3 fragt das Betriebssystem 5 des Computers 1 eine im Peripheriegerät 3 in einem Speicher 6 abgelegte Kennung automatisch ab und installiert einen im Betriebssystem 5 oder im Peripheriegerät 3 verfügbaren Gerätetreiber 7 automatisch. Der Computer 1 weist weiterhin eine Authentisierungsfunktion 8 auf, die eine Freigabe des angeschlossenen Peripheriegerätes 3 durch das Betriebssystem 5 zunächst unterbindet und selbstständig ermittelt, ob das Peripheriegerät 3 für einen Benutzer freigeschaltet wird oder nicht. Hierzu ist die Authentisierungsfunktion 8 als logische Schnittstelle zwischen dem Bussystem 2 bzw. einem Bustreiber 9 und dem Betriebssystem 5 verschalten.

Das Peripheriegerät 3 weist ebenfalls eine zwischen dem Gerätetreiber 7 und einem Betriebssystem 10 des Peripheriegerätes 3 logisch angeordnete Authentisierungsfunktion 11 auf, die die Aufgabe hat, einen durch den Computer 1 übermittelten Datensatz mittels eines Kryptonalgorithmus unter Verwendung eines in einem sicheren Speicherbereich 12 des Speichers 6 abgelegten Schlüssels zu verschlüsseln und an den Computer 1 weiterzuleiten. Der Computer 1 wertet den empfangenen Datensatz aus und ermittelt anhand eines Auswerteergebnisses ein Zugriffsrecht für den Benutzer des Peripheriegerätes 3.

In der 2 ist ein erfindungsgemäßer Verfahrensablauf dargestellt. Ein Anschluss des Peripheriegerätes 3 an den Computer 1 veranlasst das Betriebssystem 5 in einem ersten Schritt 13 zur Abfrage einer Gerätekennung des Peripheriegerätes 3. Ist die Gerätekennung dem Betriebssystem 5 bekannt, wird ein im Betriebssystem 5 verfügbarer Gerätetreiber 7 installiert. Ist das Gerät 3 nicht registriert, wird der Benutzer über eine manuelle Setup-Box dazu aufgerufen, die Software für das Gerät 3 selbst zu installieren. Das Gerät ist nach Zuordnung einer Adresse betriebsbereit.

Die Freischaltung eines Zugriffs auf das Peripheriegerät 3 wird durch die Authentisierungsfunktion 8 umgesetzt. Die Authentisierungsfunktion 8 kann Bestandteil des Bustreibers 9 sein. Hierzu übermittelt die Authentisierungsfunktion 8 des Bustreibers 9 in einem Schritt 14 einen Datensatz an das Peripheriegerät 3. Das Peripheriegerät 3 erkennt und bearbeitet die Anforderung aufgrund der implementierten Authentisierungsfunktion, die ebenfalls Bestandteil des Gerätetreibers sein kann, indem es den Datensatz mittels des in dem sicheren Speicherbereich 12 des Speichers 6 abgelegten Schlüssels verschlüsselt und in einem Schritt 15 eine Antwort als Response-Daten an den Computer 1 übermittelt.

In einem weiteren Schritt 16 wertet die Authentisierungsfunktion 8 des Bustreibers 9 die Response-Daten aus und vergleicht diese mit in einem Speicher des Computersystems 1 abgelegten Daten, die auf eine zu vergebende Zugriffsberechtigung verweisen. Die Daten sind konfigurierbar, so dass ein Administrator des Computers wahlweise festlegen kann, welche Zugriffsrechte ein Benutzer des Computers auf die mit einem definierten Schlüssel ausgestatteten Peripheriegeräte erhalten soll. Mit Bezugszeichen 17 versehen ist der Schritt der Zuweisung der Zugriffsrechte.

Das erfindungsgemäße Verfahren eröffnet die Möglichkeit einer sehr flexiblen und vereinfachen Verwaltung von Zugriffsrechten für an einem Computer angeschlossene Peripheriegeräte. Verschiedene Zugriffsrechte können unterschiedlichen Peripheriegeräte zugeordnet werden.

1
Rechnersystem
2
Bussystem
3
Peripheriegerät
4
Verbindung
5
Betriebssystem
6
Speicher
7
Gerätetreiber
8
Authentisierungsfunktion
9
Bustreiber
10
Betriebssystem
11
Authentisierungsfunktion
12
Speicherbereich
13
Verfahrensschritt
14
Verfahrensschritt
15
Verfahrensschritt
16
Verfahrensschritt
17
Verfahrensschritt


Anspruch[de]
Verfahren zum Zuweisen von Zugriffsrechten eines an einem Bussystem (2) eines Rechnersystems (1) betriebenen Peripheriegerätes (3), wobei

– der Bustreiber (9) für das Rechnersystem (1) um eine Authentisierungsfunktion (8) erweitert ist,

– der Gerätetreiber (7) für das Peripheriegerät (3) um eine Authentisierungsfunktion (11) erweitert ist, und das Verfahren folgende Schritte aufweist:

– Anschluss des Peripheriegerätes (3) an das Bussystem (2) des Rechnersystems (1),

– Abfrage einer Peripheriegerätekennung durch das Rechnersystem (1),

– Installation des Gerätetreibers (7) auf dem Rechnersystem (1)

– Authentisierung des Peripheriegerätes (3) durch die Authentisierungsfunktionen (8, 11) des Bus- (9) und Gerätetreibers (7), und

– Zuweisung von Zugriffsrechten für einen Benutzer auf das am Rechnersystem (1) angeschlossene Peripheriegerät (3).
Verfahren nach Anspruch 1, bei dem die Authentisierung so ausgeführt wird, dass

– eine Übertragung von Challenge-Daten von dem Rechnersystem (1) an das Peripheriegerät (3) erfolgt,

– das Peripheriegerät (3) mit Hilfe eines Krypto-Algorithmus und geheimer Schlüsseldaten Authentisierungsparameter berechnet,

– die von dem Peripheriegerät (3) berechneten Authentisierungsparameter als Response-Daten an das Rechnersystem (1) übertragen werden und

– das Rechnersystem (1) die Response-Daten verarbeitet.
Verfahren nach Anspruch 2, bei dem die Verarbeitung eine Auswertung der Response-Daten und einen Vergleich des Auswerteergebnisses mit in dem Rechnersystem (1) in einem Speicher abgelegten Daten, die auf zu vergebende Zugriffsrechte verweisen, beinhaltet. Verfahren nach Anspruch 1, bei dem der Schritt der Zuweisung von Zugriffsrechten die Zuweisung eines Lese- und/oder Schreibrechts oder keiner Zugriffsrechte umfasst. Verfahren nach einem der Ansprüche 1 bis 4, bei dem bei Zuteilung eines Lese- und/oder Schreibrechts die Authentisierungsfunktionen (8) des Bustreibers (9) einen Austausch von Daten zwischen dem Rechnersystem (1) und dem Peripheriegerät (3) in Abhängigkeit der Rechte ermöglicht. Verfahren nach Anspruch 2, bei dem die Schlüsseldaten in einem sicheren Speicherbereich (12) eines Speichers (6) des Peripheriegerätes (3) abgelegt werden. Verfahren nach einem der vorherigen Ansprüche, bei dem die Zugriffsrechte auf das Peripheriegerät (3) durch den Benutzer des Rechnersystems (1) konfiguriert werden. Verfahren nach Anspruch 1, bei dem das Peripheriegerät (3) an ein USB- (Universal Serial Bus) oder SCSI- oder FireWire-Bussystem (2) des Rechnersystems (1) betrieben wird. Verfahren nach Anspruch 1, bei dem das Peripheriegerät (3) ein transportables Speichermedium, beispielsweise ein Flash-Speicher, ist.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com