[go: up one dir, main page]

WO2006010462A1 - Verfahren zum zugang zur firmware eines computers - Google Patents

Verfahren zum zugang zur firmware eines computers Download PDF

Info

Publication number
WO2006010462A1
WO2006010462A1 PCT/EP2005/007507 EP2005007507W WO2006010462A1 WO 2006010462 A1 WO2006010462 A1 WO 2006010462A1 EP 2005007507 W EP2005007507 W EP 2005007507W WO 2006010462 A1 WO2006010462 A1 WO 2006010462A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
data
user
mobile
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2005/007507
Other languages
English (en)
French (fr)
Inventor
Werner Schneider
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of WO2006010462A1 publication Critical patent/WO2006010462A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly

Definitions

  • the invention relates to a method for accessing the firmware in a computer, which has an interface device for line-bound data transmission with a mobile, information-carrying and processing device.
  • the firmware more precisely as "BIOS” (BASIC Input Output
  • This firmware prompts the user to enter a password when booting the system. If this inputted BlOS password coincides with an access password previously stored in the system (for example in a CMOS RAM), the process of initialization is continued and the operating system is loaded into the main memory of the computer.
  • An internationally standardized interface device in short-range data transmission is Bluetooth, in which the data is transmitted by radio in the ISM band (Industrial Scientific Medical Band).
  • the invention is based on using the information carrier of a mobile, information-carrying and processing device also in the authentication of a user to a computer.
  • the access information to the computer is also stored in the memory of this information carrier.
  • this access information is transmitted wirelessly from the mobile, information-carrying the and-processing device transmitted to the computer.
  • the BIOS password is automatically transmitted from the mobile phone to the computer via a wireless communication channel.
  • the transmission can take place via short-range radio data transmission or optoelectronically.
  • the process according to the invention is characterized by the following process steps:
  • a mobile telephone is used as a mobile, information-carrying and processing device, in whose Subscriber Identity Module (SIM) the data for authenticating the user to the computer is kept ready.
  • the interface device used is preferably a radio interface.
  • This can be implemented, for example, as a built-in Bluetooth computer interface, or as an additional device in the form of an adapter which is connected to the USB interface of the computer.
  • Bluetooth is a quasi-standard not only for mobile phones, but also for PDAs and organizers. With a Bluetooth interface is a short-range data radio, depending on the power class, from about 10 cm, about 10 meters, or with special variants up to about 100 m possible.
  • a special embodiment variant of the method according to the invention is characterized in that the computer, by receiving a password at the Bluetooth interface from a sleep mode, in which the energy consumption of the
  • Computer is set to a minimum value, is booted to a normal operating state. This eliminates the switching on of the device.
  • the information carrier of the mobile, information-carrying and processing device not only contains the data required for the authentication of the user with respect to the computer, but also the subsequently required BlOS password Startup of the operating system required entry of the user ID (user account) and the personal password for the operating system.
  • the computer is connected to a chip card reader and the firmware is set up in such a way that the password can alternatively be entered into the reader via the bloetooth interface or via the insertion of a chip card.
  • FIG. 1 is a schematic representation of an embodiment of the invention in which data representing a groove zer compared to a computer, and which are stored in a modified SIM card of a Mobilte ⁇ phone, are transmitted via a Kirsungsebun ⁇ dene transmission path to a computer;
  • FIG. 2 shows a block diagram of the SIM card of the mobile phone modified according to the invention, having a first memory area in which data for authenticating the user to the mobile phone are stored and having a second memory area in which data for authentication of the User are stored opposite the computer.
  • FIG. 1 shows a computer 1 with conventional operating devices, such as keyboard 9, screen 10 and a pointing device, designed as trackball 11.
  • the computer 1 has a Universial Serial Bus (USB) interface 8.
  • the USB interface 8 is used to connect an adapter 2, in the exemplary embodiment, a Bluetooth radio interface.
  • the Bluetooth radio interface has a detection area E, in which a mobile telephone 4, which is likewise equipped with a corresponding Bluetooth radio interface 7, is located.
  • the Bluetooth address of the computer 1 is configured on the mobile phone 4 as a known Bluetooth device.
  • the detection range of a Bluetooth interface is usually about 10 m. Depending on the power class, a range of about 10 cm or about 100 m can be achieved.
  • the mobile phone 4 has an identification module, the SIM card 5 (SIM Subscriber Identity Module).
  • SIM card 5 SIM Subscriber Identity Module
  • the user-specific data such as the customer number of the user stored, resulting in the user of the mobile phone 4 identifi ⁇ against the network identifi ⁇ .
  • the cryptographic algorithm for authentication and user data encryption is implemented on the SIM card.
  • the SIM card is now designed so that it is also used as an information carrier for the access code to a computer. That is to say, in the memory 10 (FIG. 2) of the SIM card 5, besides the above-mentioned access information and functionalities for the mobile radio network, also authentication data, such as the boot password for the access to the firmware, are stored to a computer.
  • This modified SIM card is used in conjunction with the functionality of the line-bound, cryptographic data transmission existing on the mobile phone 4 when the computer is started up.
  • the Bluetooth interface can advantageously be set up so that after the production of the transmission channel, the devices involved in the communication are identified and assigned to a security class. Depending on this security class, the radio interface decides whether the BlOS password is transmitted automatically or is made dependent on the input of a PIN on the keyboard ⁇ on the mobile telephone 4.
  • the BlOS password is automatically transmitted from the mobile phone 4 to the computer 1 and read in by the interface 8, so that the previously required manual input of the BlOS password is completely eliminated.
  • the access to the firmware of the computer thus requires the mere presence of the user's mobile phone. For a computer that is used at home, this access is particularly comfortable.
  • the user is prompted to enter a PIN, which he enters either on the keyboard 6 of the mobile phone 4 or on the keyboard 9 of the computer.
  • the PIN is advantageously the PIN for access to the mobile phone 4. This means that even in the present case of increased security requirements of the user does not need to know the BlOS password by heart, but only the access code to his mobile phone, the him from the Nut ⁇ the mobile phone is familiar.
  • the boot program is usually housed on a flash ROM on the motherboard of the computer.
  • the boot program is not part of the operating system, can work together with operating systems from different manufacturers and can be configured differently. For example, in the so-called power management settings, the way in which the PC behaves with a longer waiting time can be adjusted.
  • the computer can be used until it is completely stand disabled. Hard disks can be shut down and the monitor designed.
  • a switched-on computer can be brought into a so-called sleep mode before the input of a BlOS password, in which case it receives only low power. In this operating state, the computer remains until it is woken up by a corresponding signal.
  • the adapter 2 of the Bluetooth interface on the USB port 8 is arranged according to the invention so that it generates an interrupt signal.
  • the firmware (BIOS) detects this interrupt signal and continues booting. As a result, the computer is awakened from hibernation and the system expects a BlOS password in a conventional manner at a particular point in the boot program. This is transmitted in the manner described above via Bluetooth and evaluated by the firmware. Since the BIOS program is not part of the operating system, implementation of the invention does not require customization of the operating system.
  • the SIM card 5 modified according to the invention is shown in greater detail as a block diagram.
  • the SIM card 5 has a system bus 14 which connects a processor 12, an input / output unit 11, a controller 13 and the memory 10.
  • the memory 10 includes various volatile (RAM) and non-volatile memories (ROM, EPROM, EPROM) and is structured in the second memory area 8 and 9.
  • RAM volatile
  • ROM non-volatile memories
  • ROM non-volatile memory
  • EPROM non-volatile memories
  • the second memory area 8 those authentication data are stored, which identify the user to the computer as an authorized user.
  • the line-bound Thomasstel ⁇ len shark can also be designed as an infrared interface.
  • the term computer is synonymous with a PC, a laptop or other stationary data processing device.
  • the access control system according to the invention can also be used for other access systems, such as parking barriers or door openers.
  • the robot device may be a suitably equipped vehicle.
  • the term "mobile, information-carrying and -processing device” covers devices of different design, such as PDAs and organizers, but also vehicles of various kinds ⁇ tion carrier of such a device is used both for storing and managing data by which a user identifies himself as entitled to this device, as well as for storing and managing access information, through which the user to the firmware or the Radiosys ⁇ tem authenticated by a computer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren zum Zugang zur Firmware eines Computers Informationsträger eines mobilen, informationstragenden und -verarbeitenden Gerätes werden auch bei der Authentifizierung eines Nutzers gegenüber einem Computer verwendet. Hierzu wird im Speicher dieses Informationsträgers auch die Zugangsinformation zum Computer gespeichert. Während des Authentifizierungsvorgangs wird diese Zugangsinformation drahtlos vom mobilen, informationstragenden und -verarbeitenden Gerät zum Computer übermittelt. Das BIOSPaswort wird automatisch vom mobilen, informationstragenden und -verarbeitenden Gerät über einen drahtlosen Kommunikationskanal an den Computer übermittelt.

Description

Verfahren zum Zugang zur Firmware eines Computers
Technisches Gebiet
Die Erfindung betrifft ein Verfahren zum Zugang zur Firmware in einem Computer, welcher eine Schnittstelleneinrichtung zur leitungsungebundenen Datenübertragung mit einem mobilen, in- formationstragenden und -verarbeitenden Gerät aufweist.
Stand der Technik
Die Firmware, hier genauer als „BIOS" (BASIC Input Output
System) bezeichnet, ist ein Initialisierungsprogramm, das in einem nichtflüchtigen Speicher des Computers gespeichert ist und unmittelbar nach dem Einschalten verschiedene Funktions¬ einheiten des Computers in einen definierten Ausgangszustand bringt. Diese Firmware fordert den Nutzer beim Hochfahren des Systems auf, ein Passwort einzugeben. Stimmt dieses eingege¬ bene BlOS-Passwort mit einem vorab im System (zum Beispiel in einem CMOS-RAM) gespeicherten Zugangspasswort überein, so wird der Vorgang der Initialisierung fortgeführt und das Be- triebssystem in den Arbeitsspeicher des Computers geladen.
Eine Fehleingabe hat zur Folge, dass das Hochfahren des Com¬ puters unterbrochen wird. Das Betriebssystem wird in diesem Fall nicht geladen und der Nutzer hat somit keinen Zugang zu den Ressourcen im Computer.
Die Eingabe eines Zugangscode ist aber nicht nur bei einem Computer sondern auch bei anderen mobilen, informationstra¬ genden und -verarbeitenden Geräten, wie beispielsweise Mobil¬ telefone oder PDA's (Personal Digital Assistant) erforder- lieh. Viele dieser tragbaren Geräte, insbesondere Mobiltele¬ fone, sind heutzutage weit verbreitet. Moderne Ausführungen dieser kleinformatigen Geräte besitzen häufig eine Schnitt- Stellenvorrichtung zur drahtlosen Datenübertragung mit ande¬ ren mobilen oder fest installierten Geräten.
Eine international standardisierte Schnittstelleneinrichtung im Kurzstreckendatenfunk (bis zu 100 m) ist Bluetooth, bei der die Daten per Funk im ISM-Band (Industrial Scientific Me- dical Band) übertragen werden.
Vor diesem Hintergrund wird von vielen Nutzern, die sich bei- spielsweise bereits gegenüber ihrem Mobiltelefon authentifi¬ ziert haben und im Begriff sind ihren Computer in Betrieb zu nehmen, es als umständlich empfunden, wenn sie von der Firm¬ ware des Computers erneut zur Eingabe eines Passwortes aufge¬ fordert werden.
Darstellung der Erfindung
Der vorliegenden Erfindung liegt die Aufgabe zu Grunde, ein Verfahren und eine Einrichtung zu schaffen, so dass der Vor¬ gang zur Authentifizierung eines Nutzers gegenüber einem Com¬ puter einfacher möglich ist.
Diese Aufgabe wird für ein Verfahren durch die Merkmale des Patentanspruchs 1 und für eine Einrichtung durch die Merkmale des Patentanspruchs 11 gelöst. Vorteilhafte Ausgestaltungen, Aspekte und Einzelheiten der Erfindung ergeben sich aus den abhängigen Ansprüchen, der Beschreibung und der beigefügten Zeichnung.
Die Erfindung geht davon aus, den Informationsträger eines mobilen, informationstragenden und -verarbeitenden Gerätes auch bei der Authentifizierung eines Nutzers gegenüber einem Computer zu verwenden. Hierzu wird im Speicher dieses Infor- mationsträgers auch die Zugangsinformation zum Computer ge¬ speichert. Während des Authentifizierungsvorgangs wird diese Zugangsinformation drahtlos vom mobilen, informationstragen- den und -verarbeitenden Gerät zum Computer übermittelt. Ein Nutzer, der sich beispielsweise bereits gegenüber seinem Mo¬ biltelefon authentifiziert hat, muss sich Dank der Erfindung nicht mehr das Passwort für den Computer merken. Das BIOS- Passwort wird automatisch von seinem Mobiltelefon über einen drahtlosen Kommunikationskanal an den Computer übermittelt.
Die Übertragung kann über Kurzstreckendatenfunk oder optoe¬ lektronisch erfolgen. Das erfindungsgemäße Verfahren ist durch folgende Verfahrensschritte gekennzeichnet:
a) Bereithalten von Daten, die einen Nutzer gegenüber dem mobilen, informationstragenden und -verarbeitenden Gerät und gegenüber dem Computer authentifizieren, auf einem Informationsträger des mobilen, informationstragenden und -verarbeitenden Gerätes; b) Einbringen des mobilen, informationstragenden und -verarbeitenden Gerätes in den Erfassungsbereich der Schnittstelleneinrichtung; c) Herstellen eines Kommunikationskanals zwischen dem mobi¬ len, informationstragenden und -verarbeitenden Gerät und dem Computer; d) Übermitteln der Daten zur Authentifizierung eines Nut¬ zers vom mobilen, informationstragenden und -verarbeitenden Gerät an den Computer über den Kommuni¬ kationskanal; e) Auswerten der vom Computer empfangenen Daten zur Authen¬ tifizierung eines Nutzers durch die Firmware des Compu¬ ters, so dass anhand dieser Daten entschieden wird, ob ein Betriebssystem in den Computer geladen, oder das Hochfahren des Computers unterbrochen wird.
Mit Vorteil wird als mobiles, informationstragendes und -verarbeitendes Gerät ein Mobiltelefon verwendet, in dessen Subscriber Identity Modul (SIM) die Daten zur Authentifizie¬ rung des Nutzers gegenüber dem Computer bereit gehalten wer¬ den. Als Schnittstelleneinrichtung wird bevorzugt eine Funk¬ schnittstelle verwendet. Diese kann z.B. als im Computer fest eingebaute Bluetooth Schnittstelle realisiert sein, oder als Zusatzgerät in Form eines Adapters der an die USB- Schnittstelle des Computers angeschlossen ist. Bluetooth ist ein Quasi-Standard nicht nur für Mobiltelefone, sondern auch für PDAs und Organizer. Mit einer Bluetooth-Schnittstelle ist ein Kurzstrecken-Datenfunk, je nach Leistungsklasse, von etwa 10 cm, etwa 10 Meter, oder mit speziellen Varianten bis zu etwa 100 m möglich.
Da bei einer Bluetooth Schnittstelle ein Abhören und eine Ma¬ nipulation des Datenstroms, wenn überhaupt, insbesondere bei den zwei unteren Leistungsklassen nur aus unmittelbarer Nähe möglich ist, kann diese Form der drahtlosen Übermittlung der Authentifizierungsdaten als beschränkt sicher eingestuft wer¬ den. Um die Sicherheit zu erhöhen ist in einer bevorzugten Ausführungsform der Erfindung eine verschlüsselte Datenüber- tragung vorgesehen. Günstig ist hierbei, dass bei einer Blue¬ tooth-Funkübertragung die Authentifizierungsdaten z.B. mit einem bis zu 128 Bit langen Schlüssel chiffriert werden kön¬ nen. Zudem kann ein asymmetrisches Schlüsselverfahren einge¬ setzt werden. Dadurch ist eine Manipulation des Datenstroms weitgehend ausgeschlossen, zumal die Reichweite ohnedies auf eine vorgegebene Grenze festgelegt ist.
Um die Sicherheit bei der Übertragung des Passwortes noch weiter zu erhöhen ist vorgesehen, dass in Abhängigkeit einer, dem Computer zugeordneten Sicherheitsklasse der Nutzer vor der Übermittlung des Passwortes zur Eingabe eines PIN gefor¬ dert wird. Die Sicherheitsklasse ergibt sich aus der Blue¬ tooth Kommunikation. Bevorzugt wird hierbei ein PIN verwen¬ det, der den Nutzer aus der Verwendung des mobilen, informa- tionsverarbeitenden Gerätes bereits vertraut ist. Dadurch braucht sich der Nutzer nicht eine Vielzahl von unterschied¬ lichen Zugangsberechtigungen merken. Eine spezielle Ausführungsvariante des erfindungsgemäßen Ver¬ fahrens zeichnet sich dadurch aus, dass der Computer durch den Empfang eines Passwortes an der Bluetooth-Schnittstelle aus einem Sleep-Modus, in welchem die Energieaufnahme des
Computers auf einen minimalen Wert eingestellt ist, in einen normalen Betriebszustand hochgefahren wird. Dadurch entfällt das Einschalten des Gerätes.
In einer weiteren Ausgestaltung der Erfindung enthält der In¬ formationsträger des mobilen, informationstragenden und -verarbeitenden Gerätes neben den enthaltenen Daten zur Au¬ thentifizierung des Nutzers gegenüber dem Computer nicht nur das für die Firmware erforderliche BlOS-Passwort, sondern auch die in weiterer Folge beim Hochfahren des Betriebssys¬ tems erforderliche Eingabe der Benutzerkennung (User Account) sowie das persönliche Passwort für das Betriebssystem. Da¬ durch ist ein komfortabler Zugang auch zum Betriebssystem und somit auch zu weiteren Sicherheitseinrichtungen, wie bei- spielsweise Bildschirmschonern gewährleistet.
In einer Variante der Erfindung ist der Computer mit einem Chipkartenlesegerät verbunden und die Firmware so eingerich¬ tet, dass das Passwort alternativ über die Bloetooth- Schnittstelle oder über das Einlegen einer Chipkarte in das Lesegerät eingegeben werden kann.
Kurzbeschreibung der Zeichnung
Zur weiteren Erläuterung der Erfindung wird auf die Zeichnun¬ gen Bezug genommen, in denen an Hand eines Ausführungsbei¬ spiels weitere vorteilhafte Ausgestaltungen und Einzelheiten der Erfindung zu entnehmen sind. Es zeigen:
Figur 1 eine schematische Darstellung eines Ausführungsbei¬ spiels der Erfindung, bei dem Daten, die einen Nut- zer gegenüber einem Computer identifizieren, und die in einer modifizierten SIM-Karte eines Mobilte¬ lefons gespeichert sind, über eine leitungsungebun¬ dene Übertragungsstrecke an einen Computer übermit- telt werden;
Figur 2 ein Blockschaltbild der erfindungsgemäß modifizier¬ ten SIM-Karte des Mobiltelefons, mit einem ersten Speicherbereich, in welchem Daten zur Authentifi- zierung des Nutzers gegenüber dem Mobiltelefon ge¬ speichert sind und mit einem zweiten Speicherbe¬ reich, in welchem Daten zur Authentifizierung des Nutzers gegenüber dem Computer gespeichert sind.
Ausführung der Erfindung
In Figur 1 ist ein Computer 1 mit üblichen Bedieneinrichtun¬ gen wie Tastatur 9, Bildschirm 10 und einer Zeigevorrichtung, ausgeführt als Trackball 11, zu sehen.
Der Computer 1 verfügt über eine Universial Serial Bus (USB) -Schnittstelle 8. Die USB-Schnittstelle 8 dient zum Anschluss eines Adapters 2, im Ausführungsbeispiel eine Bluetooth- Funkschnittstelle. Die Bluetooth-Funkschnittstelle weist ei- nen Erfassungsbereich E auf, in welchem sich ein Mobiltelefon 4, das ebenfalls mit einer entsprechenden Bluetooth- Funkschnittstelle 7 ausgerüstet ist, befindet. Die Bluetooth- Adresse des Computers 1 ist am Handy 4 als bekanntes Blue¬ tooth- Gerät konfiguriert. Der Erfassungsbereich einer Blue- tooth Schnittstelle beträgt üblicherweise etwa 10 m. Je nach Leistungsklasse kann auch eine Reichweite von etwa 10 cm bzw. etwa 100 m erreicht werden.
Das Mobiltelefon 4 besitzt ein Identifikations Modul, die SIM-Karte 5 (SIM-Subscriber Identity Modul) . Auf der SIM- Karte sind - wie bislang auch - die nutzerspezifischen Daten, wie die Kundennummer des Nutzers gespeichert, wodurch sich der Nutzer des Mobiltelefons 4 gegenüber dem Netz identifi¬ ziert. Ebenso ist auf der SIM-Karte der kryptographische Al¬ gorithmus für die Authentisierung und Nutzdatenverschlüsse¬ lung implementiert. Gemäß der Erfindung ist die SIM-Karte nun so ausgebildet, dass sie auch als Informationsträger für den Zugangscode zu einem Computer verwendet wird. Das heißt, im Speicher 10 (Fi¬ gur 2) der SIM-Karte 5 sind neben den oben genannten Zugangs¬ informationen und Funktionalitäten für das Mobilfunknetz auch Authentifizierungsdaten, wie das Boot- Passwort für den Zu¬ gang zur Firmware zu einem Computer abgelegt. Diese modifi¬ zierte SIM-Karte wird in Verbindung mit am Handy 4 vorhande¬ nen der Funktionalität der leitungsungebundenen, kryp- tographischen Datenübertragung beim Hochfahren des Computers verwendet.
Im Einzelnen erfolgt der Zugang zur Firmware des Computers nun so, dass nach dem Einschalten des Computers 1 zunächst das Boot-Programm in üblicher Weise startet, an einer defi- nierten Stelle stoppt und auf die korrekte Eingabe des Boot- Passwortes wartet. Im Unterschied zum Stand der Technik ist aber die Firmware des Computers 1 so eingerichtet, dass diese Eingabe nicht von der Tastatur 9 erwartet wird, sondern es wird zusätzlich die Schnittstelleneinrichtung (Adapter 2 in USB-Port 8) abgefragt. Damit ist die umständliche Eingabe des Passwortes über die Tastatur 9 des Computers 1 durch ein drahtloses Übertragungsverfahren ersetzt.
Stimmt das BlOS-Passwort an der Schnittstelleneinrichtung mit dem vom BIOS erwarteten Zugangscode überein, dann lädt die
Firmware das auf dem Computer installierte Betriebssystem in den Arbeitsspeicher und startet es.
Unterscheidet sich das an der Schnittstelleneinrichtung be- reitgestellte BlOS-Passwort vom Zugangscode der Boot- Software, so stockt der Hochlauf an dieser Stelle und der Zu¬ gang zu Ressourcen auf den Computer ist gesperrt. Die Bluetooth-Schnittstelle kann vorteilhaft so eingerichtet sein, dass nach dem Herstellen des Übertragungskanals die an der Kommunikation beteiligten Geräte identifiziert und einer Sicherheitsklasse zugeordnet werden. In Abhängigkeit dieser Sicherheitsklasse, entscheidet die Funkschnittstelle, ob das BlOS-Passwort automatisch übermittelt wird, oder von der Ein¬ gabe eines PIN an der Tastatur β am Mobiltelefon 4 abhängig gemacht wird.
Bei Systemen mit geringeren sicherheitstechnischen Anforde¬ rungen wird das BlOS-Passwort automatisch vom Mobiltelefon 4 an den Computer 1 übermittelt und von der Schnittstelle 8 eingelesen, so dass die bislang erforderliche manuelle Einga- be des BlOS-Passwortes vollständig wegfällt. Der Zugang zur Firmware des Computers setzt also die bloße Anwesenheit des Nutzermobiltelefons voraus. Für einen Computer, der zu Hause benutzt wird, ist dieser Zugang besonders komfortabel.
Wenn eine höhere Sicherheit gefordert wird, wird der Benutzer zur Eingabe eines PIN aufgefordert, den er entweder an der Tastatur 6 des Mobiltelefons 4 oder an der Tastatur 9 des Computers eingibt. Der PIN ist vorteilhaft der PIN für den Zugang zum Mobiltelefon 4. Dies bedeutet, dass auch im vor- liegenden Fall erhöhter Sicherheitsanforderungen der Nutzer nicht das BlOS-Passwort auswendig wissen muss, sondern nur den Zugangscode zu seinem Mobiltelefon, der ihm aus der Nut¬ zung des Mobiltelefons vertraut ist.
Das Boot-Programm ist üblicherweise auf einem Flash-ROM auf dem Motherboard des Computers untergebracht. Das Boot- Programm ist nicht Teil des Betriebssystems, kann mit Be¬ triebssystemen unterschiedlicher Hersteller zusammenarbeiten und unterschiedlich konfiguriert werden. So kann beispiels- weise in den sogenannten Powermanagement-Einstellungen die Art und Weise justiert werden, wie sich der PC bei längerer Wartezeit verhält. Der Computer kann bis zum völligen Still- stand deaktiviert werden. Festplatten können heruntergefahren und der Monitor ausgestalten werden. So lässt sich in einer BIOS-Konfiguration ein eingeschalteter Computer vor der Ein¬ gabe eines BlOS-Passwortes in einen so-genannten Sleep-Modus bringen, in welchem er nur geringe Leistung aufnimmt. In die¬ sem Betriebszustand verharrt der Computer bis er durch ein entsprechendes Signal aufgeweckt wird. Dieses Aufwecken kann so erfolgen, dass das Mobiltelefon 4 in den Erfassungsbereich der Schnittstelleneinrichtung gebracht und das BlOS-Passwort übertragen wird. Der Adapter 2 der Bluetooth-Schnittstelle am USB-Port 8 ist gemäß der Erfindung so eingerichtet, dass er ein Interrupt-Signal erzeugt. Die Firmware (BIOS) erfasst dieses Interrupt-Signal und setzt den HochlaufVorgang fort. In der Folge wird der Computer aus dem Ruhezustand aufgeweckt und das System erwartet in üblicher Weise an einer bestimmten Stelle des Boot-Programms ein BlOS-Passwort. Dieses wird in der oben beschriebenen Weise über Bluetooth übermittelt und von der Firmware ausgewertet. Da das BIOS-Programm nicht Teil des Betriebssystems ist, erfordert die Implementierung der Erfindung keine Anpassung des Betriebssystems.
In Figur 2 ist die erfindungsgemäß modifizierte SIM-Karte 5 als Blockschaltbild näher gezeigt. Die SIM-Karte 5 weist ei- nen Systembus 14 auf, der einen Prozessor 12, eine Ein¬ Ausgabeeinheit 11, einen Controller 13 und den Speicher 10 verbindet. Der Speicher 10 beinhaltet verschiedene flüchtige (RAM) und nichtflüchtige Speicher (ROM, EPROM, EPROM) und ist im zweiten Speicherbereich 8 und 9 gegliedert. Im ersten Speicherbereich 8 werden - wie bisher auch - jene Daten ge¬ speichert und verwaltet, durch die sich der Nutzer gegenüber dem Mobiltelefon 4 und dem Netzbetreiber des Mobilfunknetzes als berechtigt ausweist. In einem zweiten Speicherbereich 9 sind jene Authentifizierungsdaten abgelegt, die den Nutzer gegenüber dem Computer als berechtigten Nutzer ausweisen. Selbstverständlich kann die leitungsungebundene Schnittstel¬ leneinrichtung auch als Infrarot-Schnittstelle ausgebildet sein.
Der Begriff Computer steht synonym für einen PC, einen Laptop oder eine andere stationäre datenverarbeitende Einrichtung. Das erfindungsgemäße Zugangskontrollsystem kann auch für an¬ dere Zugangssysteme, wie beispielsweise Parkplatzschranken oder Türöffner eingesetzt werden. In diesem Fall kann das rao- bile Gerät ein entsprechend ausgestattetes Fahrzeug sein.
Wie bereits eingangs dargestellt, erfasst der Begriff "mobi¬ les, informationstragendes und -verarbeitendes Gerät" Geräte unterschiedlicher Ausführung, wie beispielsweise PDAs und Or- ganizer, aber auch Fahrzeuge verschiedenster Art. Entschei¬ dend im Sinne der Erfindung ist lediglich, dass der Informa¬ tionsträger eines derartigen Gerätes sowohl zum Speichern und Verwalten von Daten verwendet wird, durch die sich ein Nutzer gegenüber diesem Gerät als berechtigt ausweist, als auch zum Speichern und Verwalten einer Zugangsinformation, durch die sich der Nutzer gegenüber der Firmware bzw. dem Betriebssys¬ tem eines Computers authentifiziert.

Claims

Patentansprüche
1. Verfahren zum Zugang zur Firmware eines Computers, der sich in einem Sleep-Modus mit reduzierter Energieauf- nähme befindet, der eine Schnittstellenvorrichtung auf¬ weist, um mit einem in einem Erfassungsbereich befind¬ lichen mobilen, insbesondere informationstragenden und -verarbeitenden Gerät einen Kommunikationskanal zur leitungsungebundenen Datenübertragung aufzubauen, ge- kennzeichnet durch folgende Schritte: a) Bereithalten von Daten, um einen Nutzer gegenüber dem mobilen, informationstragenden und -verabeitenden Gerät und gegenüber dem Computer zu authentifizieren, auf einem Informationsträger des mobilen, informationstragenden und -verarbeitenden
Gerätes; b) Einbringen des mobilen, informationstragenden und -verarbeitenden Gerätes in den Erfassungsbereich der Schnittstelleneinrichtung; c) Herstellen eines Kommunikationskanals zwischen dem mobilen, informationstragenden und -verarbeitenden Gerät und dem Computer, wobei die Schnittstellen¬ einrichtung ein Signal erzeugt, welches den Compu¬ ter aus dem Sleep-Modus in einen Betriebsmodus hochfährt; d) Übermitteln der Daten zur Authentifizierung des Nutzers gegenüber dem Computer vom mobilen, infor¬ mationstragenden und -verarbeitenden Gerät an den Computer über den Kommunikationskanal; e) Auswerten der vom Computer empfangenen Daten durch die Firmware des Computers, so dass anhand dieser Daten entschieden wird, ob ein Betriebssystem in den Computer geladen, oder das Hochfahren des Com¬ puters unterbrochen wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Signal ein Interrupt-Signal ist.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- net, dass als mobiles, informationstragendes und - verarbeitendes Gerät ein Mobiltelefon verwendet wird, und die Daten zur Authentifizierung des Nutzers gegen¬ über dem Computer im Subscriber-Identity-Module des Mo¬ biltelefons bereit gehalten werden.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als mobiles Gerät ein Fahrzeug zu Land, zu Wasser, und in der Luft dient, das ein informationstragendes und
-verarbeitendes Gerät beinhaltet, und die Daten zur Au- thentifizierung des Nutzers gegenüber dem Computer in dem Subscriber-Identity-Module des informationstragen¬ den und -verarbeitenden Geräts bereit gehalten werden.
5. Verfahren nach Anspruch 1, 2, 3 oder 4, dadurch gekenn- zeichnet, dass als Schnittstelleneinrichtung eine Funk¬ schnittstelle verwendet wird.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass als Funkschnittstelle eine im Computer fest eingebaute Bluetooth-Schnittstelle verwendet wird.
7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass als Funkschnittstelle ein an einem USB-Port oder einem anderen, ähnlichen Zwecken dienenden Port des Computers steckbar aufgenommener Adapter einer Bluetooth- Schnittstelle verwendet wird.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch ge¬ kennzeichnet, dass die Übermittlung der Daten zur Au- thentifizierung des Nutzers gegenüber dem Computer ver¬ schlüsselt erfolgt.
9. Verfahren nach Anspruch 6 bis 8, dadurch gekennzeich¬ net, dass vor der Übermittlung der Daten zur Authenti¬ fizierung des Nutzers gegenüber dem Computer in Abhän¬ gigkeit einer, dem Computer zugeordneten Sicherheits- klasse, der Nutzer zur Eingabe eines PIN aufgefordert wird.
10.Verfahren nach einem der vorstehenden Ansprüche, da¬ durch gekennzeichnet, dass die Daten für die Authenti- fizierung des Nutzers gegenüber dem Computer das BIOS- Passwort für die Firmware, die Benutzerkennung und das persönliche Passwort für das Betriebssystem des Compu¬ ters umfassen.
11. Zugangskontrolleinrichtung für einen Computer, der sich in einem Sleep-Modus mit reduzierter Energieaufnahme befindet, der eine Schnittstelleneinrichtung zur lei¬ tungsungebundenen Datenübertragung mit einem in einem Erfassungsbereich befindlichen mobilen, informations- tragenden und
-verarbeitenden Gerät aufweist, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung vom mobilen, infor¬ mationstragenden und -verarbeitenden Gerät Authentifi- zierungsdaten empfängt, dass die Schnittstelleneinrich- tung nach Empfang der Authentifizierungsdaten ein Sig¬ nal erzeugt, welches den Computer aus dem Sleep-Modus in einen Betriebsmodus hochfährt und die Authentifizie¬ rungsdaten der Firmware des Computers beim Hochfahren bereitstellt.
12. Zugangskontrolleinrichtung nach Anspruch 11, dadurch gekennzeichnet, dass das Signal ein Interrupt-Signal ist.
13. Verfahren nach Anspruch 11 oder 12, dadurch gekenn¬ zeichnet, dass das mobile, informationstragende und - verarbeitende Gerät ein Mobiltelefon ist, das ein Subscriber Identity Modul aufweist, in welchem Daten zur Authentifizierung des Nutzers gegenüber dem Mobil¬ funknetz sowie Daten zur Authentifizierung des Nutzers gegenüber dem Computer gespeichert sind.
14. Zugangskontrolleinrichtung nach Anspruch 11, dadurch gekennzeichnet, dass als mobiles Gerät ein Fahrzeug zu Land, zu Wasser, und in der Luft dient, das ein infor¬ mationstragendes und -verarbeitendes Gerät beinhaltet, und ein Subscriber-Identity-Module aufweist, in welchem Daten zur Authentifizierung des Nutzers gegenüber dem mobilen Gerät enthält sowie Daten zur Authentifizierung des Nutzers gegenüber dem Computer gespeichert sind.
15. Zugangskontrolleinrichtung nach Anspruch 11, 12, 13 o- der 14, dadurch gekennzeichnet, dass die Schnittstel¬ leneinrichtung eine im Computer fest eingebaute Blue¬ tooth-Schnittstelle ist.
16. Zugangskontrolleinrichtung nach Anspruch 11, 12, 13 o- der 14, dadurch gekennzeichnet, dass die Schnittstel¬ leneinrichtung durch einen an einem USB-Port oder einem anderen, ähnlichen Zwecken dienenden Port des Computers steckbar aufgenommen Adapter einer Bluetooth- Schnitt- stelle gebildet ist.
17. Zugangskontrolleinrichtung nach einem der Ansprüche 11, 15 oder 16, dadurch gekennzeichnet, dass der Computer mit einer Chipkarten-Leseeinrichtung verbunden ist und die Firmware des Computers so eingerichtet ist, dass die Daten zur Authentifizierung des Nutzers gegenüber dem Computer alternativ von der Bluetooth-Schnittstelle oder vom Chipkarten-Lesegerät ausgewertet werden.
18. Zugangskontrolleinrichtung nach Anspruch 11, 12, 13 o- der 14, dadurch gekennzeichnet, dass die Schnittstel- leneinrichtung als Infrarot-Schnittstellen-Einrichtung ausgebildet ist.
PCT/EP2005/007507 2004-07-27 2005-07-12 Verfahren zum zugang zur firmware eines computers Ceased WO2006010462A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004036374.9 2004-07-27
DE200410036374 DE102004036374A1 (de) 2004-07-27 2004-07-27 Verfahren zum Zugang zur Firmware eines Computers

Publications (1)

Publication Number Publication Date
WO2006010462A1 true WO2006010462A1 (de) 2006-02-02

Family

ID=35134260

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/007507 Ceased WO2006010462A1 (de) 2004-07-27 2005-07-12 Verfahren zum zugang zur firmware eines computers

Country Status (2)

Country Link
DE (1) DE102004036374A1 (de)
WO (1) WO2006010462A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011050513A1 (zh) * 2009-10-26 2011-05-05 Sheng Yongxiang 一种利用用户识别设备启动计算机的方法
GB2478553A (en) * 2010-03-09 2011-09-14 Lewis Daniels Secure data storage system comprising an intermediate transmission control device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2820587B1 (de) 2012-02-28 2020-04-08 Giesecke+Devrient Mobile Security GmbH Verfahren zur computer-zugangskontrolle mittels mobilem endgerät

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892906A (en) * 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
WO2000016179A1 (en) * 1998-09-11 2000-03-23 Mart Marandi Method and device of disabling the unauthorised use of a computer
US6137480A (en) * 1996-12-27 2000-10-24 Sony Corporation Computer system using a portable card for managing security and power-saving features
US6189105B1 (en) * 1998-02-20 2001-02-13 Lucent Technologies, Inc. Proximity detection of valid computer user
US20020097876A1 (en) * 2000-12-22 2002-07-25 Harrison Keith Alexander Communication methods, communication systems and to personal communication devices
US20020148895A1 (en) * 1999-09-16 2002-10-17 Cecil Kenneth B. Proximity card with incorporated PIN code protection

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002530772A (ja) * 1998-11-24 2002-09-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動電話による自動pcログオン

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892906A (en) * 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
US6137480A (en) * 1996-12-27 2000-10-24 Sony Corporation Computer system using a portable card for managing security and power-saving features
US6189105B1 (en) * 1998-02-20 2001-02-13 Lucent Technologies, Inc. Proximity detection of valid computer user
WO2000016179A1 (en) * 1998-09-11 2000-03-23 Mart Marandi Method and device of disabling the unauthorised use of a computer
US20020148895A1 (en) * 1999-09-16 2002-10-17 Cecil Kenneth B. Proximity card with incorporated PIN code protection
US20020097876A1 (en) * 2000-12-22 2002-07-25 Harrison Keith Alexander Communication methods, communication systems and to personal communication devices

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BLUETOOTHSHAREWARE: "LockItNow", 6 December 2003 (2003-12-06), XP002344675, Retrieved from the Internet <URL:http://web.archive.org/web/20031206035838/http://www.bluetoothshareware.com/lockitnow.asp> [retrieved on 20050913] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011050513A1 (zh) * 2009-10-26 2011-05-05 Sheng Yongxiang 一种利用用户识别设备启动计算机的方法
GB2478553A (en) * 2010-03-09 2011-09-14 Lewis Daniels Secure data storage system comprising an intermediate transmission control device
GB2478553B (en) * 2010-03-09 2014-08-06 Knightsbridge Portable Comm Sp Data storage apparatus

Also Published As

Publication number Publication date
DE102004036374A1 (de) 2006-03-23

Similar Documents

Publication Publication Date Title
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE112007001545B4 (de) Mobiles Computersystem mit drahtloser Kommunikationsfunktion und globaler Positionserfassungsfunktion
DE102009013384B4 (de) System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung
EP2255516B1 (de) Verfahren zur zeitweisen personalisierung einer kommunikationseinrichtung
DE102006028513B4 (de) Eingabevorrichtung für biometrische Signale sowie Computersystem mit einer solchen
EP2987350B1 (de) Mobilstation umfassend sicherheitsressourcen mit unterschiedlichen sicherheitsniveaus
WO2011072826A1 (de) Externe vorrichtung mit mindestens einem speicher
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
WO2012113547A2 (de) Verfahren zum betrieb einer mikroprozessoreinheit, insbesondere in einem mobilen endgerät
DE20314722U1 (de) Vorrichtung für sicheren Zugriff auf Digitalmedien-Inhalte, virtueller Multischnittstellen-Treiber und System für sicheren Zugriff auf Digitalmedien-Inhalte
DE102011115135A1 (de) Mikroprozessorsystem mit gesicherter Laufzeitumgebung
EP2673731B1 (de) Verfahren zur programmierung eines mobilendgeräte-chips
WO2006010462A1 (de) Verfahren zum zugang zur firmware eines computers
WO2006010460A1 (de) Verfahren und einrichtung zum zugang zu ressourcen in einem computer
DE102005014837B4 (de) Sicherheitsmodul und Verfahren zum Steuern und Kontrollieren eines Datenverkehrs eines Personalcomputers
EP2850553B1 (de) Elektronisches zugangsschutzsystem, verfahren zum betrieb eines computersystems, chipkarte und firmwarekomponente
DE102017123113A1 (de) Vorrichtung zum Speichern von Kennwörtern
EP2336939A1 (de) Externe Vorrichtung mit mindestens einem Speicher
EP1722336A2 (de) Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern
DE102006050377A1 (de) Festplattenvorrichtung mit Biometriesensor, Verfahren zum Schützen von Daten in dieser sowie externes Festplattengehäuse
DE102008028703A1 (de) Ausführen kryptographischer Operationen
EP3488375B1 (de) Chipset mit gesicherter firmware
EP3469511B1 (de) Speicherverwaltung eines sicherheitsmoduls
DE102005008966A1 (de) Zugriffskontrolle
DE102004059637A1 (de) Mobiles elektronisches Gerät mit Zugriffsschutz

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase