PatentDe  


Dokumentenidentifikation DE112005003485T5 27.12.2007
Titel Verfahren zur Überwachung einer verwalteten Einrichtung
Anmelder Lenovo (Beijing) Ltd., Haidian, Beijing, CN
Erfinder Wei, Wei, Haidian, Beijing, CN;
Qu, Yadong, Haidian, Beijing, CN;
Chen, Jun, Haidian, Beijing, CN
Vertreter Grünecker, Kinkeldey, Stockmair & Schwanhäusser, 80538 München
DE-Aktenzeichen 112005003485
Vertragsstaaten AE, AG, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, KM, KN, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, LY, MA, MD, MG, MK, MN, MW, MX, MZ, NA, NG, NI, NO, NZ, OM, PG, PH, PL, PT, RO, RU, SC, SD, SE, SG, SK, SL, SM, SY, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, YU, ZA, ZM, ZW, EP, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IS, IT, LT, LU, LV, MC, NL, PL, PT, RO, SE, SI, SK, TR, OA, BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG, AP, BW, GH, GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, ZW, EA, AM, AZ, BY, KG, KZ, MD, RU, TJ, TM
WO-Anmeldetag 08.12.2005
PCT-Aktenzeichen PCT/CN2005/002123
WO-Veröffentlichungsnummer 2006089472
WO-Veröffentlichungsdatum 31.08.2006
Date of publication of WO application in German translation 27.12.2007
Veröffentlichungstag im Patentblatt 27.12.2007
IPC-Hauptklasse H04L 12/26(2006.01)A, F, I, 20051208, B, H, DE
IPC-Nebenklasse H04L 29/06(2006.01)A, L, I, 20051208, B, H, DE   

Beschreibung[de]
HINTERGRUND DER ERFINDUNG 1. GEBIET DER ERFINDUNG

Die vorliegende Erfindung betrifft das Gebiet der Überwachungs-Technologie und der gesicherten Computer, und speziell ein Verfahren zur Überwachung einer verwalteten Einrichtung.

2. BESCHREIBUNG DES STANDES DER TECHNIK

Zurzeit ist ein Verwaltungszentrum zur Verwaltung einer verwalteten Einrichtung normalerweise ein Server, der dafür verantwortlich ist, die Information auf der verwalteten Einrichtung zu ermitteln, wie z.B. das Ereignis-Protokoll der verwalteten Einrichtung, die Belastung der CPU, die aktuelle Netzwerk-Leistung und vorgekommene Angriffe. Das Verwaltungszentrum sendet einen Alarm, wenn erkannt wird, dass die verwaltete Einrichtung angegriffen wird. Leider ist die vom Verwaltungszentrum überwachte Information nur auf die Information einiger spezieller Module oder Komponenten in der verwalteten Einrichtung, sowie auf bekannte Angriffe beschränkt, während der aktuelle Status der verwalteten Einrichtung und jeder unbekannte Angriff nicht überwacht werden kann.

Daher ist es offensichtlich, dass die Überwachung nach dem Stand der Technik nur auf die Überwachung bekannter Angriffe beschränkt ist, während es keine Möglichkeit gibt, einen unbekannten Angriff und den aktuellen Zustand der verwalteten Einrichtung zu überwachen. Darüber hinaus kann das Verwaltungszentrum nicht erkennen, ob eine System-Schwachstelle der verwalteten Einrichtung vorliegt.

ZUSAMMENFASSUNG DER ERFINDUNG

Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren zur Überwachung einer verwalteten Einrichtung bereitzustellen, so dass ein Verwaltungszentrum überwachen kann, ob zurzeit ein unbekannter Angriff auf die verwaltete Einrichtung vorliegt. Um das oben genannte Ziel zu erreichen, wird die technische Lösung der vorliegenden Erfindung wie folgt implementiert.

Ein Verfahren zur Überwachung einer verwalteten Einrichtung, wobei ein Verwaltungszentrum zuvor eine Integritäts-Liste speichert, die System-Integritäts-Werte der verwalteten Einrichtung und die Übereinstimmung zwischen der verwalteten Einrichtung und ihren System-Integritäts-Werten enthält, und die verwaltete Einrichtung beim Start ihren aktuellen System-Integritäts-Wert ermittelt und speichert, wobei das Verfahren folgende Schritte umfasst:

  • a) Senden von Information, die den aktuellen System-Integritäts-Wert enthält, durch die verwaltete Einrichtung zum Verwaltungszentrum, nachdem ein Überwachungs-Befehl vom Verwaltungszentrum empfangen wurde;
  • b) Feststellung durch das Verwaltungszentrum, ob der aktuelle System-Integritäts-Wert der verwalteten Einrichtung in der empfangenen Information mit dem gespeicherten System-Integritäts-Wert der verwalteten Einrichtung im Verwaltungszentrum übereinstimmt, auf der Grundlage der empfangenen Information und der Integritäts-Liste, und Ausführung einer Alarm-Verarbeitung, wenn sie nicht miteinander übereinstimmen.

Vorzugsweise umfasst die Alarm-Verarbeitung die Ausgabe von Alarm-Information oder die Ausgabe von Alarm-Information und die Wiederherstellung beschädigter Parameter.

Vorzugsweise enthält die Integritäts-Liste weiterhin Anwendungs-Software, mit der jede verwaltete Einrichtung ausgestattet ist, und den Integritäts-Wert der Anwendungs-Software.

Das Verfahren umfasst weiterhin die Schritte: Berechnen des Integritäts-Wertes der Anwendungs-Software durch die verwaltete Einrichtung und Senden von Information, die den aktuellen Integritäts-Wert der Anwendungs-Software enthält, an das Verwaltungszentrum vor dem Starten der Anwendungs-Software, und Feststellung durch das Verwaltungszentrum, ob der empfangene System-Integritäts-Wert der zurzeit von der verwalteten Einrichtung benutzten Anwendungs-Software mit dem gespeicherten System-Integritäts-Wert der Anwendungs-Software übereinstimmt, die der verwalteten Einrichtung im Verwaltungszentrum entspricht, basierend auf der empfangenen Information und der Integritäts-Liste, und Ausgabe von Alarm-Information oder Ausgabe von Alarm-Information und Wiederherstellen beschädigter Anwendungs-Software, wenn keine Übereinstimmung vorliegt.

Vorzugsweise speichert das Verwaltungszentrum zuvor eine Liste von Betriebssystem-(OS)-Versionen und/oder eine Liste von Anwendungs-Software-Versionen, wobei die Liste von Betriebssystem-Versionen Integritäts-Werte für verschiedene Versionen verschiedener Betriebssysteme und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen desselben Betriebssystems enthält; wobei die Liste von Anwendungs-Software-Versionen Integritäts-Werte für verschiedene Versionen verschiedener Anwendungs-Software und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen derselben Anwendungs-Software enthält; wobei die Liste von Betriebssystem-Versionen weiterhin Patches enthält, die Betriebssystem-Versionen entsprechen, die Sicherheitslücken haben, und die Liste der Anwendungs-Software weiterhin Patches enthält, die Anwendungs-Software-Versionen entsprechen, die Sicherheitslücken haben.

Der Schritt a) umfasst weiterhin das Senden von Informationen, die den aktuellen Integritäts-Wert für die Betriebssystem- und/oder Anwendungs-Software-Version enthalten, zum Verwaltungszentrum. Der Schritt b) umfasst weiterhin die Bestimmung der Betriebssystem- und/oder Anwendungs-Software-Version, die von der verwalteten Einrichtung gerade benutzt wird, auf der Basis des aktuellen Integritäts-Wertes für die Betriebssystem- und/oder Anwendungs-Software-Version von der verwalteten Einrichtung, sowie der Liste von Betriebssystem-Versionen und/oder von Anwendungs-Software-Versionen, die Feststellung, ob eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt, auf der Basis einer voreingestellten Konfiguration, und wenn festgestellt wird, dass eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt, Ausgabe von Alarm-Information und Senden des Patches zur verwalteten Einrichtung, wobei der Patch der Betriebssystem- und/oder Anwendungs-Software-Version entspricht.

Vorzugsweise ist die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, der Klartext des System-Integritäts-Wertes.

Vorzugsweise ist die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, der verschlüsselte Text, den man durch Verschlüsselung des aktuellen System-Integritäts-Wertes mit einem voreingestellten symmetrischen Schlüssel erhält.

Vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste umfasst der Schritt b) weiterhin die Entschlüsselung der empfangenen Information mit einem voreingestellten symmetrischen Schlüssel.

Vorzugsweise ist die Information, die den aktuellen System-Integritäts-Wert in Schritt a) enthält, der Klartext des aktuellen System-Integritäts-Wertes, und die Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel erhält.

Vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste umfasst der Schritt b) weiterhin die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor gespeicherten öffentlichen Schlüssel, der dem privaten Schlüssel in Schritt a) entspricht.

Vorzugsweise ist die Information, die den aktuellen System-Integritäts-Wert in Schritt a) enthält, die kombinierte Information des Klartextes des aktuellen System-Integritäts-Wertes, der Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel erhält, und eines zuvor erzeugten öffentlichen Schlüssel-Zertifikates, das dem privaten Schlüssel entspricht und das durch einen vertrauenswürdigen Dritten signiert ist.

Vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste umfasst der Schritt b) weiterhin die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit dem empfangenen privaten Schlüssel.

Vorzugsweise ist die Information, die den aktuellen System-Integritäts-Wert in Schritt a) enthält, die kombinierte Information des Klartextes des aktuellen System-Integritäts-Wertes, der Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel, mit einem zuvor erzeugten öffentlichen Schlüssel, der dem privaten Schlüssel entspricht, und einem anonymen Zertifikat erhält.

Vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste umfasst der Schritt b) weiterhin die Authentifizierung der Identität des Senders mit dem empfangenen anonymen Zertifikat und die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit dem empfangenen öffentlichen Schlüssel nach einer erfolgreichen Authentifizierung.

Vorzugsweise ist die verwaltete Einrichtung ein Computer, und der Schritt der Ermittlung und Speicherung des aktuellen System-Integritäts-Wertes durch die verwaltete Einrichtung beim Start umfasst folgende Schritte:

  • i) Berechnung von Integritäts-Werten für System-ROM, BIOS oder EFI-Firmware-Code und Hardware-Konfigurations-Parameter und deren Speichern in einer sicheren Speicherbaugruppe nachdem der Computer eingeschaltet wurde;
  • ii) Berechnung von Integritäts-Werten für Parameter-Information, die konfiguriert wurde, für Master-Boot-Sektor und System-Boot-Partition und deren Speichern in einer sicheren Speicherbaugruppe nach dem Starten von BIOS oder EFI;
  • iii) Berechnung des Integritäts-Wertes für vom Betriebssystem geladenen Code und Speichern in einer sicheren Speicherbaugruppe vor dem Laden des Boot-Betriebssystems durch BIOS oder EFI;
  • iv) Berechnung von Integritäts-Werten für den Betriebssystem-Kern, die System-Start-Datei, die Systemkonfigurations-Datei und die Treiber-Software und Speichern in einer sicheren Speicherbaugruppe nach dem Laden des Codes durch das Betriebssystem;
  • v) Berechnung des aktuellen System-Integritäts-Wertes auf der Grundlage aller Integritäts-Werte in den Schritten i) bis iv).

Vorzugsweise enthält die Parameter-Information, die konfiguriert wurde, CPU-Microcode-Software, Aktivierungs- und Deaktivierungs-Status-Konfiguration für verschiedene Systemfunktionen, verschiedene Authentifizierungs-Passworte, Platten-Konfigurations-Parameter, Konfigurations-Parameter für Peripheriegeräte und Konfigurations-Parameter für die Sicherheitsfunktion.

Vorzugsweise ist die sichere Speicherbaugruppe ein sicheres Chip-TPM, eine Festplatte mit Sicherheits-Schutzfunktion, ein USB-Schlüssel oder eine Smart-Card.

Das zentrale Konzept der vorliegenden Erfindung wird im Folgenden erklärt. Das Verwaltungszentrum führt eine vorherige Speicherung der Integritäts-Liste durch, welche die System-Integritäts-Werte der verwalteten Einrichtung und die Übereinstimmung zwischen der verwalteten Einrichtung und ihren System-Integritäts-Werten enthält, und die verwaltete Einrichtung ermittelt und speichert beim Start ihren aktuellen System-Integritäts-Wert; die verwaltete Einrichtung sendet Informationen, die den aktuellen System-Integritäts-Wert enthalten, zum Verwaltungszentrum, nachdem sie einen Überwachungs-Befehl vom Verwaltungszentrum empfangen hat; das Verwaltungszentrum stellt auf der Grundlage der empfangenen Information und der Integritäts-Liste fest, ob der empfangene aktuelle System-Integritäts-Wert der verwalteten Einrichtung mit dem gespeicherten System-Integritäts-Wert der verwalteten Einrichtung im Verwaltungszentrum übereinstimmt, und führt eine Alarm-Verarbeitung durch, wenn sie nicht übereinstimmen. Mit der vorliegenden Erfindung kann das Verwaltungszentrum erfahren, ob die verwaltete Einrichtung sich zurzeit in einem gesicherten Zustand befindet. Wenn sich die verwaltete Einrichtung zurzeit in einem nicht gesicherten Zustand befindet, wird angezeigt, dass möglicherweise ein Angriff vorliegt, und somit ist das Verwaltungszentrum in der Lage festzustellen, ob ein unbekannter Angriff auf die verwaltete Einrichtung vorliegt. Ferner überwacht die vorliegende Erfindung die Anwendungs-Software, die zurzeit von der verwalteten Einrichtung benutzt wird, und bestimmt dadurch, ob die Anwendungs-Software einem Angriff ausgesetzt oder unbeschädigt ist. Zusätzlich dazu überwacht die vorliegende Erfindung die Betriebssystem-Version der verwalteten Einrichtung und stellt fest, ob das aktuelle Betriebssystem der verwalteten Einrichtung eine Sicherheitslücke hat und ob ein Patch benötigt wird.

KURZBESCHREIBUNG DER ZEICHNUNGEN

1 zeigt ein schematisches Flussdiagramm zur Implementation einer Ausführung der vorliegenden Erfindung.

2 zeigt ein schematisches Flussdiagramm für eine Einrichtung, auf die zugegriffen wird und die ihren eigenen System-Integritäts-Wert berechnet.

DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGEN

Die Idee der vorliegenden Erfindung ist, das ein Verwaltungszentrum zuvor eine Integritäts-Liste speichert, die System-Integritäts-Werte einer verwalteten Einrichtung und die Übereinstimmung zwischen der verwalteten Einrichtung und ihren eigenen System-Integritäts-Werten enthält, und die verwaltete Einrichtung ermittelt und speichert beim Start ihren aktuellen System-Integritäts-Wert; die verwaltete Einrichtung sendet Informationen, die den aktuellen System-Integritäts-Wert enthalten, zum Verwaltungszentrum, nachdem sie einen Überwachungs-Befehl vom Verwaltungszentrum empfangen hat; das Verwaltungszentrum stellt auf der Grundlage der empfangenen Information und der Integritäts-Liste fest, ob der empfangene aktuelle System-Integritäts-Wert der verwalteten Einrichtung mit dem gespeicherten System-Integritäts-Wert der verwalteten Einrichtung im Verwaltungszentrum übereinstimmt, und führt eine Alarm-Verarbeitung durch, wenn sie nicht übereinstimmen.

1 zeigt ein schematisches Flussdiagramm zur Implementation einer Ausführung der vorliegenden Erfindung. Ein Verwaltungszentrum speichert zuvor eine Integritäts-Liste, die System-Integritäts-Werte einer verwalteten Einrichtung und die Übereinstimmung zwischen der verwalteten Einrichtung und ihren eigenen System-Integritäts-Werten enthält.

In Schritt 101 ermittelt die verwaltete Einrichtung beim Start ihren eigenen aktuellen System-Integritäts-Wert.

In Schritt 102 sendet die verwaltete Einrichtung Informationen, die den aktuellen System-Integritäts-Wert enthalten, zum Verwaltungszentrum, nachdem sie vom Verwaltungszentrum einen Überwachungs-Befehl erhalten hat.

In Schritt 103 stellt das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste fest, ob der empfangene System-Integritäts-Wert der verwalteten Einrichtung mit dem vom Verwaltungszentrum gespeicherten System-Integritäts-Wert der verwalteten Einrichtung übereinstimmt. Wenn die beiden Werte miteinander übereinstimmen, arbeitet die verwaltete Einrichtung normal und in einem gesicherten Modus, und somit führt das Verwaltungszentrum keine Verarbeitung aus. Wenn die beiden Werte nicht übereinstimmen, nimmt das Verwaltungszentrum an, dass die verwaltete Einrichtung sich in einem nicht gesicherten Zustand befindet und führt eine Alarm-Verarbeitung durch.

Der oben erwähnte nicht gesicherte Zustand umfasst, dass Firmware und verschiedene Systemparameter beschädigt sind, ist aber nicht darauf begrenzt. Die oben erwähnte Alarm-Verarbeitung umfasst das Senden von Alarm-Information oder das Senden von Alarm-Information und die Wiederherstellung der beschädigten Parameter.

Auf diese Weise kann die Überwachung der verwalteten Einrichtung implementiert werden.

2 zeigt ein schematisches Flussdiagramm für eine verwaltete Einrichtung, um ihren eigenen System-Integritäts-Wert zu ermitteln. In dieser Ausführung ist die verwaltete Einrichtung ein Computer.

In Schritt 201 nutzt der Computer bei jedem Einschalten die CPU, um Integritäts-Werte für System-ROM, BIOS (Basic Input-Output System) oder den Firmware-Code der erweiterbaren Firmware-Schnittstelle (Extensible Firmware Interface, EFI) und Hardware-Konfigurations-Parameter zu berechnen, und speichert diese Integritäts-Werte in einer sicheren Speicherbaugruppe.

In Schritt 202 berechnet, nach dem Starten von BIOS oder EFI, der Computer Integritäts-Werte für Parameter-Information, die konfiguriert wurde, für den Master-Boot-Sektor und die System-Boot-Partition und speichert sie in der sicheren Speicherbaugruppe. Die Parameter-Information, die konfiguriert wurde, umfasst CPU-Microcode-Software, Aktivierungs- und Deaktivierungs-Status-Konfiguration für verschiedene Systemfunktionen, verschiedene Authentifizierungs-Passworte, Platten-Konfigurations-Parameter, Konfigurations-Parameter für Peripheriegeräte, Konfigurations-Parameter für die Sicherheitsfunktion, usw.

In Schritt 203 berechnet der Computer den Integritäts-Wert für vom Betriebssystem geladenen Code und speichert ihn in der sicheren Speicherbaugruppe, bevor das Boot-Betriebssystem vom BIOS oder der EFI geladen wird.

In Schritt 204 berechnet der Computer Integritäts-Werte für den Betriebssystem-Kern, die System-Start-Datei, die Systemkonfigurations-Datei und die Treiber-Software und speichert sie in der sicheren Speicherbaugruppe, nachdem der Code durch das Betriebssystem geladen wurde.

In Schritt 205 berechnet der Computer den aktuellen System-Integritäts-Wert auf der Grundlage der in den Schritten 201 bis 204 erwähnten Integritäts-Werte.

Die oben erwähnte sichere Speicherbaugruppe ist ein Sicherheits-Chip (TPM, Trusted Platform Module), eine Festplatte mit Sicherheits-Schutzfunktion, ein USB-Schlüssel oder eine Smart-Card.

In dieser Ausführung kann die Integritäts-Liste weiterhin Anwendungs-Software, mit der jede verwaltete Einrichtung ausgestattet ist, und den Integritäts-Wert der Anwendungs-Software enthalten. Nachdem die verwaltete Einrichtung normal gestartet ist und vor dem Start der Anwendungs-Software können die folgenden Schritte ausgeführt werden. Zuerst berechnet die verwaltete Einrichtung den Integritäts-Wert der Anwendungs-Software und sendet Informationen, die den aktuellen Integritäts-Wert der Anwendungs-Software enthalten, zum Verwaltungszentrum. Das Verwaltungszentrum stellt dann auf der Grundlage der empfangenen Information und der Integritäts-Liste fest, ob der empfangene System-Integritäts-Wert der Anwendungs-Software, die zurzeit von der verwalteten Einrichtung benutzt wird, mit dem gespeicherten System-Integritäts-Wert der Anwendungs-Software, die der verwalteten Einrichtung im Verwaltungszentrum entspricht, übereinstimmt. Wenn die beiden Werte miteinander übereinstimmen, arbeitet die verwaltete Einrichtung normal, und somit führt das Verwaltungszentrum keine Verarbeitung aus. Wenn die beiden Werte nicht übereinstimmen, nimmt das Verwaltungszentrum an, dass die Anwendungs-Software beschädigt wurde und gibt Alarm-Informationen aus, oder gibt Alarm-Informationen aus und stellt die beschädigte Anwendungs-Software wieder her.

Außerdem kann im Verwaltungszentrum zuvor eine Liste von Betriebssystem-(OS)-Versionen und/oder eine Liste von Anwendungs-Software-Versionen gespeichert werden. Die Liste von Betriebssystem-Versionen enthält Integritäts-Werte für verschiedene Versionen verschiedener Betriebssysteme und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen desselben Betriebssystems, und die Liste von Anwendungs-Software-Versionen enthält Integritäts-Werte für verschiedene Versionen verschiedener Anwendungs-Software und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen derselben Anwendungs-Software. Die Liste von Betriebssystem-Versionen und die Liste der Anwendungs-Software enthält weiterhin Patches, die Betriebssystem-Versionen, bzw. Anwendungs-Software-Versionen entsprechen, die Sicherheitslücken haben. Bei Empfang eines Überwachungs-Befehls vom Verwaltungszentrum sendet die verwaltete Einrichtung zum Verwaltungszentrum Informationen, die zusätzlich zu dem oben erwähnten aktuellen System-Integritäts-Wert den aktuellen Integritäts-Wert für die Betriebssystem- und/oder Anwendungs-Software-Version enthalten. Nachdem es festgestellt hat, dass sich die verwaltete Einrichtung in einem normalen Zustand befindet, bestimmt das Verwaltungszentrum die Betriebssystem- und/oder Anwendungs-Software-Version, die von der verwalteten Einrichtung gerade benutzt wird, auf der Basis des aktuellen Integritäts-Wertes für die Betriebssystem- und/oder Anwendungs-Software-Version von der verwalteten Einrichtung, sowie der Liste von Betriebssystem-Versionen und/oder von Anwendungs-Software-Versionen, und stellt auf der Basis einer voreingestellten Konfiguration fest, ob eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt. Wenn festgestellt wird, dass eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt, sendet das Verwaltungszentrum den Patch zur verwalteten Einrichtung, wobei der Patch der Betriebssystem- und/oder /Anwendungs-Software-Version entspricht, andernfalls führt es keine Aktion durch.

Als nächstes wird eine spezielle Beschreibung am Beispiel eines Betriebssystems gegeben, da die Verwaltungsprozedur für Betriebssystem-Versionen dieselbe ist wie für Anwendungs-Software-Versionen.

Zum Beispiel werden Informationen über die Integritäts-Werte für 3 Versionen des Betriebssystems Windows2000 zuvor in der Liste der Betriebssystem-Versionen im Verwaltungszentrum gespeichert, wie in Tabelle 1 gezeigt.

Nachdem es den Integritäts-Wert für die Betriebssystem-Version von der verwalteten Einrichtung empfangen hat, sendet das Verwaltungszentrum Alarm-Information und den zur Original-Version gehörenden Patch zur verwalteten Einrichtung, wenn es bestätigt, dass der empfangene Integritäts-Wert mit dem gespeicherten Integritäts-Wert für die Original-WINDOWS2000-Version, d.h. Version 1, identisch ist. Andererseits, wenn es bestätigt, dass der empfangene Integritäts-Wert mit dem Integritäts-Wert für die Original-WINDOWS2000-Version mit Patch, d.h. Version 2, oder mit dem Integritäts-Wert für die neueste WINDOWS2000-Version, Version 3, identisch ist, zieht das Verwaltungszentrum den Schluss, dass das Betriebssystem normal läuft, und führt keine Aktion aus.

In der obigen Überwachungs-Prozedur sendet die überwachte Einrichtung zum Verwaltungszentrum die Information, wie z.B. die Integritäts-Werte für das aktuelle Betriebssystem, die Anwendungs-Software und die Betriebssystem-Version, direkt in Form von Klartext. Natürlich kann die verwaltete Einrichtung die zu sendende Information durch einen Schlüssel oder eine Signatur schützen, bevor sie zum Verwaltungszentrum gesendet wird. Im Folgenden wird der Mechanismus zum Senden geschützter Informationen unter Verwendung eines Schlüssels oder einer Signatur detailliert an einem Beispiel des Sendens des Integritäts-Wertes für das aktuelle Betriebssystem erläutert.

Schutzmechanismus unter Verwendung eines Schlüssels Ein symmetrischer Schlüssel wird zuvor im Verwaltungszentrum, bzw. in der verwalteten Einrichtung gespeichert. Die verwaltete Einrichtung verschlüsselt den aktuellen System-Integritäts-Wert mit dem symmetrischen Schlüssel und sendet dann die resultierende Information zum Verwaltungszentrum, das wiederum die empfangene Information entschlüsselt und die Feststellung der Integrität durchführt, wenn die Entschlüsselung erfolgreich beendet ist.

Schutzmechanismus unter Verwendung einer Signatur Die verwaltete Einrichtung erzeugt zuvor einen öffentlichen Schlüssel und einen privaten Schlüssel und benutzt letzteren dann, um den aktuellen System-Integritäts-Wert zu signieren. Das Verwaltungszentrum benutzt den öffentlichen Schlüssel zur Überprüfung der Signatur und führt die Feststellung der Integrität durch, wenn die Überprüfung erfolgreich war.

Die von der verwalteten Einrichtung zum Verwaltungszentrum gesendete Information muss nur den Klartext des aktuellen System-Integritäts-Wertes und die Signatur darauf enthalten, wenn die zuvor von der verwalteten Einrichtung erzeugten öffentlichen und privaten Schlüssel von einem vertrauenswürdigen Dritten signiert wurden und das Verwaltungszentrum den öffentlichen Schlüssel gespeichert hat, der dem privaten Schlüssel entspricht. Andererseits muss die von der verwalteten Einrichtung zum Verwaltungszentrum gesendete Information den Klartext des System-Integritäts-Wertes und die Signatur darauf, sowie den öffentlichen Schlüssel, der dem privaten für die Signatur benutzen Schlüssel entspricht, enthalten, wenn der öffentliche und der private Schlüssel, die von der verwalteten Einrichtung zuvor erzeugt wurden, von einem vertrauenswürdigen Dritten signiert wurden, während das Verwaltungszentrum den dem privaten Schlüssel entsprechenden öffentlichen Schlüssel noch nicht gespeichert hat. Ferner muss, wenn der öffentliche und der private Schlüssel, die von der verwalteten Einrichtung zuvor erzeugt wurden, nicht von einem vertrauenswürdigen Dritten signiert wurden, die von der verwalteten Einrichtung zum Verwaltungszentrum gesendete Information den Klartext des aktuellen System-Integritäts-Wertes und die Signatur darauf, den öffentlichen Schlüssel, der dem für die Signatur verwendeten privaten Schlüssel entspricht, sowie ein anonymes Identitäts-Zertifikat enthalten. In diesem Fall wird das Verwaltungszentrum zuerst die Rechtmäßigkeit des Senders mit dem anonymen Identitäts-Zertifikat überprüfen und die Signatur mit dem empfangenen öffentlichen Schlüssel nur überprüfen, wenn der Sender rechtmäßig ist.

Die oben beschriebene Berechnung des System-Integritäts-Wertes wird durch ein Integritäts-Informations-Erfassungs-Modul in der verwalteten Einrichtung durchgeführt, und die Verschlüsselung oder die Signatur werden durch ein Signatur-Verschlüsselungs-Modul in der verwalteten Einrichtung durchgeführt, das auch den Überwachungs-Befehl vom Verwaltungszentrum empfängt. Die Information wird von einem Verwaltungs-Agenten-Modul zum Verwaltungszentrum gesendet. Das Verwaltungszentrum ist ein Server, dessen Überprüfungs-Aktion von einem eingebauten Erfassungs-Modul für vertrauenswürdige Information der verwalteten Einrichtung erfüllt wird, und dessen Alarm-Verarbeitung von einem eingebauten Ereignis-Verarbeitungs-Alarm-Modul ausgeführt wird.

Die obige Beschreibung betrifft nur die bevorzugten Ausführungen der vorliegenden Erfindung und beabsichtigt nicht, die vorliegende Erfindung in irgendeiner Weise zu beschränken. Somit liegt jede Änderung, Ersetzung. Verbesserung oder ähnliches, die innerhalb des Geistes und des Prinzips der vorliegenden Erfindung durchgeführt wurde, im Umfang der vorliegenden Erfindung.

ZUSAMMENFASSUNG

Ein Verfahren zur Überwachung der verwalteten Einrichtungen umfasst es, dass das Verwaltungszentrum eine vorherige Speicherung der Integritäts-Liste durchführt, welche die System-Integritäts-Werte der verwalteten Einrichtung und die entsprechenden Beziehungen zwischen den verwalteten Einrichtungen und ihren System-Integritäts-Werten enthält, und die verwaltete Einrichtung ermittelt und speichert beim Start ihren aktuellen System-Integritäts-Wert; die verwaltete Einrichtung sendet Informationen, die den aktuellen System-Integritäts-Wert enthalten, zum Verwaltungszentrum, nachdem sie einen Überwachungs-Befehl vom Verwaltungszentrum empfangen hat; das Verwaltungszentrum stellt auf der Grundlage der empfangenen Information und der Integritäts-Liste fest, ob der empfangene aktuelle System-Integritäts-Wert der verwalteten Einrichtung mit dem von ihm gespeicherten System-Integritäts-Wert der verwalteten Einrichtung übereinstimmt, und führt eine Alarm-Verarbeitung durch, wenn sie nicht übereinstimmen. Das Verwaltungszentrum kann gemäß der vorliegenden Erfindung erfahren, ob die verwaltete Einrichtung sich zurzeit in einem gesicherten Zustand befindet, so dass das Verwaltungszentrum feststellen kann, ob ein unbekannter Angriff auf die verwaltete Einrichtung vorliegt oder nicht.


Anspruch[de]
Verfahren zur Überwachung einer verwalteten Einrichtung, wobei ein Verwaltungszentrum zuvor eine Liste von System-Integritäts-Werten der verwalteten Einrichtung und die Übereinstimmung zwischen der verwalteten Einrichtung und seinen eigenen System-Integritäts-Werten speichert, und die verwaltete Einrichtung ihren eigenen aktuellen System-Integrations-Wert beim Start ermittelt und speichert, wobei das Verfahren folgende Schritte umfasst:

a) Senden von Information, die den aktuellen System-Integritäts-Wert enthält, durch die verwaltete Einrichtung zum Verwaltungszentrum, nachdem ein Überwachungs-Befehl vom Verwaltungszentrum empfangen wurde; und

b) Feststellung durch das Verwaltungszentrum, ob der aktuelle System-Integritäts-Wert der verwalteten Einrichtung in der empfangenen Information mit dem zuvor gespeicherten System-Integritäts-Wert der verwalteten Einrichtung im Verwaltungszentrum übereinstimmt, auf der Grundlage der empfangenen Information und der Integritäts-Liste, und Ausführung einer Alarm-Verarbeitung, wenn sie nicht miteinander übereinstimmen.
Verfahren gemäß Anspruch 1, wobei die Alarm-Verarbeitung die Ausgabe von Alarm-Information oder die Ausgabe von Alarm-Information und die Wiederherstellung von beschädigten Parametern umfasst. Verfahren gemäß Anspruch 1, wobei

die Integritäts-Liste weiterhin Anwendungs-Software, mit der jede verwaltete Einrichtung ausgestattet ist, und den Integritäts-Wert der Anwendungs-Software enthält; und das Verfahren ferner folgende Schritte umfasst:

Berechnen des Integritäts-Wertes der Anwendungs-Software durch die verwaltete Einrichtung und Senden von Information, die den aktuellen Integritäts-Wert der Anwendungs-Software enthält, an das Verwaltungszentrum vor dem Starten der Anwendungs-Software; und

Feststellung durch das Verwaltungszentrum, ob der empfangene System-Integritäts-Wert der zurzeit von der verwalteten Einrichtung benutzten Anwendungs-Software mit dem zuvor gespeicherten System-Integritäts-Wert der Anwendungs-Software übereinstimmt, die der verwalteten Einrichtung im Verwaltungszentrum entspricht, basierend auf der empfangenen Information und der Integritäts-Liste, und Ausgabe von Alarm-Information oder Ausgabe von Alarm-Information und Wiederherstellen beschädigter Anwendungs-Software, wenn keine Übereinstimmung vorliegt.
Verfahren gemäß Anspruch 1 oder 3, das weiterhin folgende Schritte umfasst:

Vorheriges Speichern durch das Verwaltungszentrum einer Liste von Betriebssystem-(OS)-Versionen und/oder einer Liste von Anwendungs-Software-Versionen, wobei die Liste von Betriebssystem-Versionen Integritäts-Werte für verschiedene Versionen verschiedener Betriebssysteme und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen desselben Betriebssystems enthält, wobei die Liste von Anwendungs-Software-Versionen Integritäts-Werte für verschiedene Versionen verschiedener Anwendungs-Software und die Übereinstimmung zwischen Integritäts-Werten für verschiedene Versionen derselben Anwendungs-Software enthält;

wobei die Liste von Betriebssystem-Versionen weiterhin Patches enthält, die Betriebssystem-Versionen entsprechen, die Sicherheitslücken haben, und die Liste der Anwendungs-Software weiterhin Patches enthält, die Anwendungs-Software-Versionen entsprechen, die Sicherheitslücken haben; der Schritt a) weiterhin das Senden von Informationen, die den aktuellen Integritäts-Wert für die Betriebssystem- und/oder Anwendungs-Software-Version enthalten, zum Verwaltungszentrum umfasst;

der Schritt b) weiterhin die Bestimmung der Betriebssystem- und/oder Anwendungs-Software-Version, die von der verwalteten Einrichtung gerade benutzt wird, auf der Basis des aktuellen Integritäts-Wertes für die Betriebssystem- und/oder Anwendungs-Software-Version von der verwalteten Einrichtung, sowie der Liste von Betriebssystem-Versionen und/oder von Anwendungs-Software-Versionen, die Feststellung, ob eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt, auf der Basis einer voreingestellten Konfiguration, und wenn festgestellt wird, dass eine Sicherheitslücke in der Betriebssystem- und/oder Anwendungs-Software-Version vorliegt, die Ausgabe von Alarm-Information und Senden des Patches zur verwalteten Einrichtung, wobei der Patch der Betriebssystem- und/oder Anwendungs-Software-Version entspricht, umfasst.
Verfahren gemäß Anspruch 1, wobei die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, der Klartext des aktuellen System-Integritäts-Wertes ist. Verfahren gemäß Anspruch 1, wobei die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, der verschlüsselte Text ist, den man durch Verschlüsselung des aktuellen System-Integritäts-Wertes mit einem voreingestellten symmetrischen Schlüssel erhält; und vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste der Schritt b) weiterhin die Entschlüsselung der empfangenen Information mit einem voreingestellten symmetrischen Schlüssel umfasst. Verfahren gemäß Anspruch 1, wobei die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, der Klartext des aktuellen System-Integritäts-Wertes, und die Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel erhält, ist; und vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste der Schritt b) weiterhin die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor gespeicherten öffentlichen Schlüssel, der dem privaten Schlüssel in Schritt a) entspricht, umfasst. Verfahren gemäß Anspruch 1, wobei die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, die kombinierte Information des Klartextes des aktuellen System-Integritäts-Wertes, der Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel erhält, und eines zuvor erzeugten öffentlichen Schlüssel-Zertifikates, das dem privaten Schlüssel entspricht und das durch einen vertrauenswürdigen Dritten signiert wurde, ist; und vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste der Schritt b) weiterhin die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit dem empfangenen privaten Schlüssel umfasst. Verfahren gemäß Anspruch 1, wobei die Information, die in Schritt a) den aktuellen System-Integritäts-Wert enthält, die kombinierte Information des Klartextes des aktuellen System-Integritäts-Wertes, der Information, die man durch Signatur des aktuellen System-Integritäts-Wertes mit einem zuvor erzeugten privaten Schlüssel, mit einem zuvor erzeugten öffentlichen Schlüssel, der dem privaten Schlüssel entspricht, und einem anonymen Zertifikat erhält, ist; und vor der Feststellung durch das Verwaltungszentrum auf der Grundlage der empfangenen Information und der Integritäts-Liste der Schritt b) weiterhin die Authentifizierung der Identität des Senders mit dem empfangenen anonymen Zertifikat und die Überprüfung der Signatur des aktuellen System-Integritäts-Wertes mit dem empfangenen öffentlichen Schlüssel nach einer erfolgreichen Authentifizierung umfasst. Verfahren gemäß Anspruch 1, wobei die verwaltete Einrichtung ein Computer ist, und der Schritt der Ermittlung und Speicherung ihres eigenen aktuellen System-Integritäts-Wertes durch die verwaltete Einrichtung beim Start folgende Schritte umfasst:

i) Berechnung von Integritäts-Werten für System-ROM, BIOS oder EFI-Firmware-Code und Hardware-Konfigurations-Parameter und deren Speichern in einer sicheren Speicherbaugruppe nachdem der Computer eingeschaltet wurde;

ii) Berechnung von Integritäts-Werten für Parameter-Information, die konfiguriert wurde, für Master-Boot-Sektor und System-Boot-Partition und deren Speichern in einer sicheren Speicherbaugruppe nach dem Starten von BIOS oder EFI;

iii) Berechnung des Integritäts-Wertes für vom Betriebssystem geladenen Code und Speichern in einer sicheren Speicherbaugruppe vor dem Laden des Boot-Betriebssystems durch BIOS oder EFI;

iv) Berechnung von Integritäts-Werten für den Betriebssystem-Kern, die System-Start-Datei, die Systemkonfigurations-Datei und die Treiber-Software und Speichern in einer sicheren Speicherbaugruppe nach dem Laden des Codes durch das Betriebssystem; und

v) Berechnung des aktuellen System-Integritäts-Wertes auf der Grundlage aller in den Schritten i) bis iv) erwähnten Integritäts-Werte.
Verfahren gemäß Anspruch 10, wobei die Parameter-Information, die konfiguriert wurde, CPU-Microcode-Software, Aktivierungs- und Deaktivierungs-Status-Konfiguration für verschiedene Systemfunktionen, verschiedene Authentifizierungs-Passworte, Platten-Konfigurations-Parameter, Konfigurations-Parameter für Peripheriegeräte und Konfigurations-Parameter für die Sicherheitsfunktion enthält. Verfahren gemäß Anspruch 11, wobei die sichere Speicherbaugruppe ein sicheres Chip-TPM, eine Festplatte mit Sicherheits-Schutzfunktion, ein USB-Schlüssel oder eine Smart-Card ist.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com