-
AUSGANGSSITUATION DER ERFINDUNG
-
Die
Erfindung betrifft ein Verfahren zum Schutz gegen ein EEPROM-gerichtetes Eindringen in
ein mobiles Kommunikationsgerät,
das EEPROM-Speichermittel und Prozessormittel hat, die über eine
elektrische Schnittstelle zusammengeschaltet sind. Eine an erster
Stelle zu nennende, wenn auch nicht einschränkende Ausführungsform eines solchen mobilen
Kommunikationsgeräts
ist ein Mobiltelefon. Die Rechnung, die die Telefongesellschaft
einer bestimmten Person für
deren Kommunikationskosten ausstellt, beruht oft auf einer Kennung, die
innerhalb des Geräts
in einem EEPROM-Modul gespeichert ist. Diese Verwendung eines EEPROM macht
es möglich,
das Gerät
einer bestimmten Person zuzuordnen, unmittelbar bevor das Gerät an einen
Besitzer ausgegeben wird. Solche Geräte werden mit weiteren eindeutigen
Merkmalen ausgestattet, indem zusätzliche Informationen, zum
Beispiel eine Elektronische Seriennummer (ESN), gespeichert werden.
Andere solche Kommunikationsgeräte könnten dazu
verwendet werden, eine bestimmte Dienstleistung von einer Dienst
leistenden Instanz, zum Beispiel von einer Datenbank, zu beziehen. Folglich
haben Betrüger
einen Vorteil darin entdeckt, eine solche Kennung und möglicherweise
andere solche Informationen aus dem EEPROM eines bestimmten Kommunikationsgeräts in ein
anderes Kommunikationsgerät,
das im Allgemeinen identische Hardware aufweist, zu kopieren. Insbesondere werden
die Kosten, die einem Benutzer entstehen, durch die erbrachte Dienstleistung,
und nicht durch die Hardware verursacht. Nun könnte man das Kopieren des EEPROM
dadurch unausführbar
machen, dass man das EEPROM Informationen erst nach einer geeigneten
Verschlüsselung
ausgeben lässt.
Die vorliegende Erfindung erkennt jedoch an, dass solche Geräte notwendigerweise
sehr kostengünstig sein
müssen
und daher große
Serien identischer Geräte
gefertigt werden, die mehrere unterschiedliche Kennungen und ESN
haben könnten,
aber stets identische Verschlüsselungsmechanismen
aufweisen würden.
Das heißt,
dass das Kopieren aller Informationen immer noch zu einem anscheinend
legalen Gerät
führen
würde.
Das Speichern eines eindeutigen Schlüssels in dem EEPROM selbst
würde keine Sicherheit
bieten, da es einem Betrüger
möglich
wäre, diesen
Schlüssel
mit neuen und bekannten Informationen zu überschreiben.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Daher
ist es notwendig, das Kopieren auf der Ebene eines kompletten Geräts unausführbar zu
machen. Die Erfindung ist gemäß einem
ihrer Aspekte dadurch gekennzeichnet, dass besagtes Verfahren die
folgenden Schritte umfasst:
Erfassen einer Einschalttätigkeit
besagten Geräts;
Erfassen
eines externen Schnittstellenmasters an der elektrischen Schnittstelle
durch besagte Prozessormittel, wenn EEPROM-Daten ohne einen unmittelbar
vorangehenden Lesebefehl empfangen werden;
Ergreifen einer
Schutzmaßnahme
durch besagte Prozessormittel nach besagtem Erfassen, um das nachfolgende
Auslesen aus besagten EEPROM-Speichermitteln durch besagten externen Schnittstellenmaster
zu blockieren.
-
Die
Erfindung beruht auf dem Erfassenlassen der Einschaltsituation durch
den Mikroprozessor in Verbindung mit dem Erscheinen eines externen Masters
an der Schnittstelle. Unter Standardbetriebsbedingungen sollte der
Mikroprozessor selbst die Masterstation der Schnittstelle sein.
Das Vorhandensein irgendeiner anderen Masterstation würde daher
einen unmittelbar bevorstehenden Betrug signalisieren.
-
WO-A-91/03011 zeigt
ein Mobiltelefon, bei dem ein Speicherelement einen zumindest teilweise auf
codierte Weise erfolgenden, sich von der normalen Zugriffssequenz
unterscheidenden Zugriff erfordert, um Kontroll- oder Kennungsinformationen
korrekt abzufragen. Die weitere Verwendung des Speicherelements
wird verweigert, falls keine korrekte Abfrage der Kontroll- oder
Kennungsinformationen erfolgt, und das Speicherelement selbst kann
durch eine feste logische Schaltung und eine Sicherung abgeschaltet
werden, falls eine Abfrage an Weisung nicht auf besagte codierte
Weise versucht wird.
-
US 4584665 offenbart ein
System, bei dem einem unbefugten Auslesen von Programmwörtern, die
in einem Speicher eines Datenverarbeitungssystems gespeichert sind,
dadurch entgegengewirkt wird, dass Stördaten aus einer Datenquelle
anstatt aus dem Speicher geliefert werden. Um festzustellen, ob
der Speicher durch einen unbefugten Leser oder durch einen Datenprozessor
des Systems ausgelesen wird, wird die Sequenz verwendet, bei der der
Datenprozessor die Programmwörter
aus dem Speicher ausliest.
-
Die
Schutzmaßnahme
kann mehrere unterschiedliche Ausgestaltungen haben. Eine erste
Ausgestaltung besteht darin, den Mikroprozessor eine Abschaltroutine
initiieren zu lassen. Diese würde
das integrierte EEPROM sofort sperren. Eine zweite Maßnahme besteht
darin, die Schnittstellentätigkeit durch
einen oder mehrere geeignete Spannungs- oder Strompegel zu blockieren. So würde zum
Beispiel, wenn eine Bustaktleitung an das Massepotenzial geklemmt
wird, jede Übertragung
auf dem Bus unmöglich
gemacht werden. Ebenso könnte
durch das Simulieren einer erhöhten
oder verringerten Taktfrequenz das Ergebnis der Schnittstellentätigkeit vollständig verstümmelt erscheinen. Ähnliche
Maßnahmen
können
gegenüber
einer Daten- oder Steuerleitung ergriffen werden. Eine dritte Maßnahme besteht
darin, fehlerhafte EEPROM-Daten oder -adressen durch den Mikroprozessor
zu simulieren. So kann zum Beispiel das EEPROM zu konstruiert werden,
dass es eine kurze Verzögerung
implementiert, bevor es angeforderte Daten aussendet. Falls der
Mikroprozessor früher
antwortete, würde
der externe Listener fehlerhafte Informationen unterstellen. Auf die
gleiche Weise kann der Mikroprozessor eine fehlerhafte Leseadresse
in das EEPROM einfügen,
wodurch Letzteres dazu veranlasst wird, Informationen auszugeben,
die von dem externen Listener nicht beabsichtigt waren. Eine vierte
Maßnahme
besteht darin, EEPROM-gesendete Informationen durch eine Verwürfelungsprozedur
zu ändern,
zum Beispiel durch überlagernde
Zusatzinformationen, wenn die Busdatenleitung eine interne UND-Funktionalität hat. Aus
dem oben Erwähnten
wird deutlich, dass das Erfassen von tatsächlichen Blockierungen durch
den externen Listener das Durchlaufen verschiedener Schwierigkeitsebenen
voraussetzt. Außerdem
kann das Gerät
so programmiert werden, dass es abwechselnd oder nacheinander mehr
als eine der oben erwähnten
vier Maßnahmen
ergreift. Das macht alle Gegenmaßnahmen des potenziellen Betrügers noch schwieriger.
-
Die
Erfindung betrifft auch ein mobiles Kommunikationsgerät, das mit
einem Schutzmechanismus gegen ein EEPROM-gerichtetes Eindringen
in das Gerät
versehen ist, das EEPROM-Speichermittel und Prozessormittel hat,
gemäß dem oben
Erwähnten.
-
Weitere
vorteilhafte Aspekte der Erfindung sind in Unteransprüchen angeführt.
-
KURZE BESCHREIBUNG DER ZEICHNUNG
-
Diese
und andere Aspekte und Vorteile der Erfindung werden im Folgenden
ausführlicher
unter Bezugnahme auf die ausführliche
Offenbarung von bevorzugten Ausführungsformen
und insbesondere unter Bezugnahme auf die beigefügten Figuren erörtert. Die
Figuren zeigen:
-
1 ein
erfindungsgemäßes mobiles
Kommunikationsgerät;
-
2 ein
Prozedurablaufdiagramm der Erfindung.
-
AUSFÜHRLICHE
BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
1 zeigt
ein erfindungsgemäßes mobiles Kommunikationsgerät. Das Gehäuse
40 umfasst
ein EEPROM
42, das zur Speicherung von Informationen verwendet
wird, die anfänglich
bei der Fertigung nicht verfügbar
sein können,
sondern später
gespeichert werden müssen.
Beispiele dafür
wurden weiter oben angeführt.
Das EEPROM ist an einen Mikrokontroller oder Mikroprozessor
44 über eine
elektrische Schnittstelle
46 angeschlossen. Letztere kann
als ein I2C-Zweidrahtbus gemäß dem
US-Patent 4.689.740 , das
an den vorliegenden Rechtsnachfolger übertragen wurde, konfiguriert
sein. Natürlich
sind auch andere Konfigurationen möglich. So kann zum Beispiel in
die serielle oder parallele Buskonfiguration eine Speicherfreigabeleitung
integriert werden, die neben den Daten-, Takt- und Adressleitungen
angeordnet wird. Das Gerät
kann die Funktionalität
eines Mobiltelefongeräts
haben und somit mit einem integrierten RAM, einer seriellen drahtlosen
oder Infrarot-Ein-/Ausgabe zur Verbindung mit der Außenwelt, einer
Tastatur und anderen Leistungsmerkmalen ausgestattet sein, die auf
eine Weise mit dem Prozessor
44 verbunden sind, die Stand
der Technik ist und dem Fachmann nicht weiter offenbart werden muss.
Die Antennenfunktionalität
ist ebenfalls allgemein bekannt. Als Alternative dazu kann das Gerät so verwendet
werden, dass es sich in nächster
Nähe oder
sogar in unmittelbarem Kontakt zu dem anderen Kommunikationsgerät befindet,
um Letzteres zum Erbringen verschiedener Dienstleistungen, zum Beispiel
die Ausgabe von Papiergeld oder von Informationen, zu veranlassen,
die einem Benutzer auf einem entfernten Guthabenkonto in Rechnung
gestellt werden sollten. Im Allgemeinen sind die bisher angeführten Hardware-Teile
des Geräts
Standardteile und müssten
nicht weiter offenbart werden.
-
Ein
Betrüger
kann nun den Wunsch haben, eine identische Kopie des EEPROM des
Geräts
anzufertigen, um die Dienstleistungen der fraglichen Instanz in
Anspruch zu nehmen und dabei die Person, auf die das Originalgerät registriert
ist, für
diese Dienstleistungen bezahlen zu lassen. Zu diesem Zweck wird
mittels eines geeigneten Anschlussmechanismus 50 ein externes
Ausspähgerät 48 an
die Schnittstelle 46 angeschlossen, um die benötigten Informationen
zu adressieren und sie aus dem EEPROM 42 auszulesen. Tatsächliche
und identische Informationsmuster sind symbolisch sowohl an der zentralen
Schnittstelle als auch an dem Anschlussmechanismus 50 angegeben.
Ein besonderer Aspekt dieser mobilen Geräte besteht jedoch darin, dass
sie sich normalerweise in einem Zustand niedriger Leistung befinden.
Daher muss das Gerät
auf irgendeine Weise aktiviert werden, was durch Drücken einer
beliebigen Taste des Geräts,
so dass ein internes Dienstmerkmal des Geräts durchgeschaltet oder aktiviert
wird, oder durch Anschließen
einer externen Stromeinrichtung (nicht gezeigt) erfolgen kann. Das aktiviert
sowohl den Mikroprozessor als auch das EEPROM. Dann wird das externe
Gerät 48 dazu
gebracht, an der Schnittstelle 46 einen oder mehrere Lesezyklen
in Bezug auf das EEPROM 42 zu erzeugen, so dass die gewünschten
Speicherplätze
ausgelesen werden können.
Anschließend
kann das Kopiergerät
mit den Informationen geladen werden, womit eine identische Kopie
geschaffen wird. In bestimmten Situationen muss nicht das gesamte
kopierte Material identisch sein, vorausgesetzt, dass die Diskrepanz
bei der späteren
Verwendung unbemerkt bleibt.
-
2 ist
ein Prozedurablaufdiagramm zur erfindungsgemäßen Verwendung. Block 20 stellt
den normalen Bereitschaftszustand des Geräts dar. Das heißt, dass
der Leistungspegel niedrig ist und nur eine begrenzte Teilmenge
aller verfügbaren
Operationen ausgeführt
werden kann. Oft betrifft die geringe Bereitschaftsfunktionalität größtenteils
das Erfassen entweder des Drückens
einer Taste durch den Benutzer oder eines ankommenden Telefonanrufs.
Falls in Block 22 ein solcher Stimulus erfasst wird, wird
in Block 24 die Leistung auf den Standardpegel erhöht. Anderenfalls
erfolgt der Eintritt in eine Warteschleife, bis in Block 22 eine
neue Erfassung erfolgt. In Block 26 wird erfasst, ob der
Leistungspegel ausreicht. Wenn das nicht der Fall ist, wird eine
Warteschleife ausgeführt.
Diese Prozedur kann einen kleinen Bruchteil einer Sekunde in Anspruch
nehmen. Falls die Leis tung ausreicht, werden in Block 28 die
Maßnahmen
ergriffen, die zur Erreichung der vollen Verarbeitungsfunktionalität erforderlich
sind. In Block 30 erfolgt dann die Verarbeitung, die hier
im Interesse einer kurz gefassten Erörterung nicht vollständig erläutert wird.
Hinsichtlich der Schnittstelle kann der Prozessor Adressen und Lesebefehle
für das
EEPROM erzeugen und auf einen solchen Befehl hin EEPROM-Daten empfangen.
In Block 32 wird geprüft, ob
das Format der aus dem EEPROM ausgegebenen Informationen den Erwartungen
entspricht. Bei einem positiven Prüfergebnis wird in Block 34 erfasst, ob
der Funktionalitätsprozess
beendet ist. In der Praxis ist es möglich, dass der Benutzer einen
Telefonanruf beendet hat und dann während eines bestimmten Zeitraums
(zum Beispiel eine Minute) keinen weiteren Anruf tätigt. In
diesem Fall kehrt das System in die Warteschleife von Block 22 zurück. Anderenfalls wird
der Prozess in Block 30 fortgesetzt. Falls in Block 32 eine
abnormale Situation erkannt worden ist, geht das System zu Block 36 über, wo
eine Gegenmaßnahme
ergriffen wird, und bricht dann in Block 38 ab. Die Gegenmaßnahme kann
permanent oder temporär
(zum Beispiel eine Stunde lang) sein oder nur so lange anhalten,
wie eine unerwünschte Störung wahrgenommen
wird.
-
Die
Erfassung der Störung
kann darin liegen, dass EEPROM-Daten ohne einen unmittelbar vorangehenden
Lesebefehl empfangen werden, wodurch aufgedeckt wird, dass hinsichtlich
des EEPROM eine andere Schnittstellen- oder Busmasterstation vorhanden
ist. Im Prinzip könnte
ein anderer Busmaster hinsichtlich anderer Arten der Schnittstellenkommunikation,
zum Beispiel drahtlos zu RAM, vorhanden sein. In einem solchen Fall
muss der Detektor zwischen erwünschten
und unerwünschten
Mastern unterscheiden. Eine Möglichkeit
besteht darin, dass die erste Masterstation der Mikroprozessor selbst
sein muss und jeder nachfolgende Master bestimmten zeitlichen Anforderungen,
die durch den Master gestellt werden, entsprechen muss, die die
externe Masterstation nicht erfüllen
kann. Wie bereits erwähnt,
können
verschiedenartige Gegenmaßnahmen
ergriffen werden.
-
Eine
erste Ausgestaltung des Blockierens des Auslesens aus dem EEPROM
besteht darin, das Gerät
abzuschalten, so dass in dem EEPROM keine weitere Leseoperation
möglich
ist. Das kann dadurch erfolgen, dass ein Leistungsschalter (nicht
gezeigt) in dem Leistungsregelungsmodul geöffnet und gleichzeitig die
EEPROM-Leistung durch eine ge eignete Zusammenschaltung heruntergeklemmt
wird. Letztere Maßnahme
blockiert auch die Versorgung des EEPROM mit externer Leistung.
Das Anlegen eines reduzierten Leistungspegels an einen Bereitschaftsteil des
Prozessors ist Standardtechnologie.
-
Eine
zweite Ausgestaltung besteht darin, die Gesamtfunktionalität der Schnittstelle
durch Anlegen geeigneter elektrischer Spannungen oder Ströme oder
durch geeignete Muster davon zu blockieren. So kann zum Beispiel
eine 12C-Hauptleitung durch einen Klemmwiderstand geklemmt werden.
Durch das Klemmen der Taktleitung wird der Transport von Informationen
blockiert. Durch das Klemmen der Datenleitung wird der Transport
jeglicher sinnvoller Informationen blockiert. Es können auch
besondere Spannungsmuster in die Datenleitung eingeprägt werden,
zum Beispiel ein Haltemuster, das die gesamte Übertragung auf dem Bus für eine unbestimmte
Zeit anhält,
oder ein Signal, welches bedeutet, dass alle Slaves, zum Beispiel
insbesondere das EEPROM, nur hören,
aber nicht sprechen dürfen.
In einer Anordnung mit einer Speicherfreigabeleitung kann Letztere
geklemmt werden, damit der Speicher nicht anspricht. Auf ähnliche
Weise werden durch besondere Strompegel oder -muster bestimmte Busprotokolle
außer
Betrieb gesetzt.
-
Eine
dritte Ausgestaltung besteht darin, dass der Mikroprozessor falsche
Adressen an das EEPROM sendet, so dass unbeabsichtigte Daten ausgelesen
werden, oder vielmehr falsche Daten als von dem EEPROM ausgehend
simuliert. Letzteres kann erfolgen, falls es der Buszyklus dem Mikroprozessor ermöglicht,
gegenüber
zu erwartenden Aktionen des externen Geräts zeitlich Vorrang zu gewinnen,
so dass die Mikroprozessorinformationen früher kommen. In beiden Situationen
erhält
das externe Gerät Informationen,
die für
seinen eigentlichen Zweck nutzlos sind.
-
Eine
vierte Ausgestaltung besteht darin, dass der Prozessor die Übertragung
durch das EEPROM verwürfelt,
indem er Informationen sendet, die zeitlich mit den EEPROM-Daten
zusammenfallen. Die 12C-Busanordnung bietet dafür eine besondere vorteilhafte
Funktionalität,
da ein Datenbitwert sich immer auf den anderen bezieht, falls die
beiden zusammenfallen. Tatsächlich
beruht die 12C-Busarbitration auf genau diesem Merkmal.
-
Die
vier Maßnahmen
können
kombiniert miteinander ergriffen werden. So werden zum Beispiel zuerst
die Informationen während
einiger Speicherzyklen verwürfelt,
und anschließend
wird die Energie abgeschaltet. Es können auch zwei oder mehr Maßnahmen
gleichzeitig ergriffen werden. Ein zusätzliches Merkmal würde darin
bestehen, dass das Ergreifen einer der oben genannten Blockierungsmaßnahmen
auch bewirkt, dass ein Hinweis darüber in dem Speicher gespeichert
wird. Dieser Hinweis würde
dann ausgelesen werden und bei späteren Arbeitssitzungen oder
Einschaltvorgängen
per Ton oder Bild mitgeteilt werden, was den rechtmäßigen Besitzer
dazu veranlassen würde,
sich unverzüglich bei
der fraglichen Instanz zu melden, wodurch ein finanzieller Schaden
vermieden werden würde.
-
1
- 40
- mobile
Leiterplatte
- 42
- EEPROM
- 44
- Mikroprozessormittel
- 46
- Schnittstelle
- 48
- externes
Gerät
-
2
- 20
- Start
- 22
- Stimulus?
- 24
- Leistung
erhöhen
- 26
- Leistung
ausreichend?
- 28
- Erwachen
- 30
- Verarbeiten
- 32
- Normal?
- 34
- Fertig
gestellt?
- 36
- Maßnahme
- 38
- Abbruch
- N
- Nein
- Y
- Ja