CN101918954A - 从id标记卡读取属性的方法 - Google Patents
从id标记卡读取属性的方法 Download PDFInfo
- Publication number
- CN101918954A CN101918954A CN2008801252017A CN200880125201A CN101918954A CN 101918954 A CN101918954 A CN 101918954A CN 2008801252017 A CN2008801252017 A CN 2008801252017A CN 200880125201 A CN200880125201 A CN 200880125201A CN 101918954 A CN101918954 A CN 101918954A
- Authority
- CN
- China
- Prior art keywords
- computer system
- attribute
- badge card
- user
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/347—Passive cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1075—PIN is checked remotely
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1091—Use of an encrypted form of the PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供了一种用于读取存储在ID标记卡(106、106′)中至少一个属性的方法,其中,ID标记卡被指派给一用户。该方法包括如下步骤:在ID标记卡上验证用户;在ID标记卡上验证第一计算机系统;在ID标记卡上成功验证了用户与第一计算机系统后,第一计算机系统读取存储在ID标记卡中的至少一个属性,以将该至少一个属性传送至第二计算机系统。
Description
技术领域
本发明涉及一种从ID标记卡(ID-Token,或称身份标记卡)读取至少一个属性(Attribut)的方法、相关的计算机程序产品、ID标记卡及计算机系统。
背景技术
现有技术已经公开了多种用于管理所谓的用户数字身份的方法。
微软的CardSpace(卡片空间)是一个以客户为基础的数字身份系统,其目的是允许互联网用户将他们的数字身份与在线服务进行交流。除了其它缺点之外,其一个缺点就是,用户能够篡改他的数字身份。
与此相反,OPENID是一个以服务器为基础的系统。所谓的身份服务器存储了一个数据库,其具有注册用户的数字身份。除了其它缺点之外,其一个缺点就是,数据保护不充分,因为用户的数字身份集中存储,并且用户的行为可以被记录。
美国专利申请2007/0294431A1公开了一种管理数字身份的方法,其同样需要用户注册。
发明内容
与此相反,本发明的目的是提供一种用于读取至少一个属性的改进方法、一种合适的计算机程序产品、一种ID标记卡及一种计算机系统。
本发明的目的可分别由独立权利中记载的技术方案来实现;而从属权利要求中则给出了本发明的优选实施方式。
根据本发明,其提供了一种用于读取存储在ID标记卡中至少一个属性的方法,其中,ID标记卡被分配给一用户。该方法包括如下步骤:在ID标记卡上验证用户;在ID标记卡上验证第一计算机系统;在ID标记卡上成功地验证用户与第一计算机系统之后,第一计算机系统对存储在ID标记卡中的至少一个属性进行读取,以将该至少一个属性传送至第二计算机系统。这需要提供一个“信任支柱(Vertrauensanker)”。
本发明允许通过第一计算机系统读取存储在ID标记卡中的一个或多个属性,其中,ID标记卡与第一计算机系统之间的连接是可以通过网络建立的,特别是通过互联网。该至少一个属性是与分配了ID标记卡的用户的身份标识,特别是用户的数字身份。例如,第一计算机系统读取属性“姓”、“名”、“地址”,以将这些属性转发至第二计算机系统,如在线服务。
然而,例如,也可能只读取一个单一属性,其不是用来确认用户身份,而是例如检查用户对于使用一特定在线服务的授权,如用户想要使用的在线服务是提供给特定年龄群的,则需要检查使用者的年龄,或者是另一种属性,该属性表示使用者属于授权使用在线服务的特定组群。
ID标记卡可以是一种便携式电子设备,如所谓的USB记忆棒,或者可以是一种文件(Document,或称证件),特别是有价文件或安全文件。
根据本发明,文件可以理解为纸制和/或塑胶制文件,如身份文件,特别是护照、身份证、签证、驾驶证、车辆登记证、车辆登记文件、企业执照、健康卡及其它ID文件,还有芯片卡、支付手段特别是银行卡和信用卡、货运单证或其它权利凭证,其内置了用于存储至少一个属性的数据存储器。
因此,本发明的实施方式具有特别的优点,因为该至少一个属性是从一特别值得信赖的文件如官方文件中读取的;其另外的一个优点就是不需要对属性进行集中存储。因此,本发明对于在与数字身份相关的属性的交换中,可以实现一个特别高的信任水平,同时具有极其方便处理的、最佳的数据保护。
根据本发明一实施方式,第一计算机系统至少具有一个证书,用于在ID标记卡上验证自己。该证书包括如下属性的说明,这些属性指出第一计算机系统具有读取授权。ID标记卡使用这些证书,在第一计算机系统进行读取之前,验证第一计算机系统对于读取的属性是否具有所必需的授权。
根据本发明一实施方式,第一计算机系统将从ID标记卡读取的该至少一个属性直接发送至第二计算机系统。例如,第二计算机系统可以是提供在线服务或者其它服务的服务器,如银行服务,或者是订购产品。例如,用户可以在线开一个账户,而包含了用户身份的属性,可以从第一计算机系统传送至银行的第二计算机系统。
根据本发明一实施方式,从ID标记卡读取的属性首先从第一计算机系统传送至第三计算机系统,即用户的计算机系统。例如,第三计算机系统具有一常规的互联网浏览器,利用互联网浏览器,用户可以打开第二计算机系统的一个网页。用户能够在该网页输入对于产品或服务的订购或请求。
然后,第二计算机系统指定一些属性,例如用户或其ID标记卡的某些属性,这些属性是提供服务或接纳订购所必需的。然后,包含了这些属性说明的相应的属性清单,被从第二计算机系统发送至第一计算机系统。这个过程可以有,也可以没有第三计算机系统的中间连接。在后者的情况中,用户能够向第二计算机系统指定想要的第一计算机系统,例如,通过第三计算机系统在第二计算机系统的网页中输入第一计算机系统的URL(网址)。
根据本发明一实施方式,用户向第二计算机系统的服务请求包括对于标识符的说明,其中,该标识符识别确定第一计算机系统。例如,该标识符是一个网址,如第一计算机系统的网址。
根据本发明一实施方式,属性清单不是直接从第二计算机系统发送至第一计算机系统,而是先从第二计算机系统发送至第三计算机系统。该第三计算机系统具有一系列预定义的配置数据记录(Konfigurations-datensatz),其中第三计算机具有一系列预定义的配置数据记录,每个配置数据记录指定了一个属性的子集、至少一个数据源(Datenquelle)及从一组第一计算机系统中指定一第一计算机系统,其中,属性清单首先从第二计算机系统传送至第三计算机系统,使得借助第三计算机系统来选择至少一个配置数据记录,用于详细说明属性子集,该属性子集包括属性清单中列明的至少一个属性,且第三计算机系统接着将属性清单转发至第一计算机系统,且与ID标记卡的连接是通过选定的配置数据记录中的数据源之标识的指定来建立。
根据本发明一实施方式,从ID标记卡读取的属性,由第一计算机系统标记(signiert,签字),然后传送至第三计算机系统。因此,第三计算机系统的用户能够读取这些属性,但是不能修改它们。只有当用户放行了,这些属性才能够从第三计算机系统转发至第二计算机系统。
根据本发明一实施方式,在属性转发之前,用户能够通过进一步的数据来补充该属性。
根据本发明一实施方式,第一计算机系统具有一系列不同权限的证书。基于属性清单的接受,第一计算机系统可以选择一个或多个证书,以从ID标记卡或一系列不同的ID标记卡中读取相关的属性。
根据本发明一实施方式,第三计算机系统至少具有一个配置数据记录,其针对通过网络来自第三计算机系统的更多属性的请求,指定外部的数据源。
根据本发明一实施方式,在至少一个属性从ID标记卡读取后,且第三计算机系统已经接收到来自第一计算机系统的该至少一个属性后,可以请求更多的属性,其中该请求包括该至少一个属性。
另一方面,本发明涉及一种计算机程序产品,特别是数字的存储介质,其具有完成本发明方法的可执行的程序指令。
再一方面,本发明涉及一种ID标记卡,其具有:受保护的存储区域以存储至少一个属性;在ID标记卡上验证被分配了ID标记卡的用户的手段;在ID标记卡上验证第一计算机系统的手段;与第一计算机系统建立受保护的连接的手段,通过该连接第一计算机系统可以读取至少一个属性,其中,第一计算机系统从ID标记卡读取至少一个属性的先决条件是,用户及第一计算机系统在ID标记卡上验证成功。
除了第一计算机系统在ID标记卡上验证之外,例如可以是众所周知的机读旅行证件(MRTD)的、由国际民航组织(ICAO)指定的“扩展访问控制(Extended Access Control)”,用户还必须在ID标记卡上验证自己。例如,用户在ID标记卡上验证成功后,激活了ID标记卡,使得可以进行下一步的步骤,也即在ID标记卡上验证第一计算机系统,和/或建立用于读取属性的受保护的连接。
根据本发明一实施方式,ID标记卡具有端到端加密(Ende-zu-Ende-Verschluesselung)的手段。这使得可以通过用户的第三计算机系统,在ID标记卡与第一计算机系统之间建立连接,因为端到端加密的方式,用户不能对通过该连接传送的数据作出任何修改。
又一方面,本发明涉及第一计算机系统,其具有计算机系统,该计算机系统具有:通过网络接收属性清单的手段,其中,该属性清单指定至少一个属性;在ID标记卡上进行验证的手段;通过受保护的连接从ID标记卡读取至少一个属性的手段,其中读取该至少一个属性的先决条件是,被分配了ID标记卡的用户已经在ID标记卡上验证了自己。
根据本发明一实施方式,第一计算机系统可以包括向用户产生请求的手段。例如,当第一计算机系统接收到来自第二计算机系统的属性清单后,它向用户的第三计算机系统发出一个请求,使得用户被要求在ID标记卡上验证自己。当用户在ID标记卡上验证成功后,第一计算机系统从第三计算机系统接收到确认。然后,第一计算机系统在ID标记卡上验证自己,并借助端到端加密的方式,在ID标记卡与第一计算机系统之间建立一个安全的连接。
根据本发明一实施方式,第一计算机系统可以具有一系列分别指定不同读取权限的证书。在接受到属性清单后,第一计算机系统从这些证书中选择至少一个,其具有足够的读取权限,以读取指定的属性。
根据本发明第一计算机系统的实施方式,其具有特别的优点,因为它们与需要用户在ID标记卡上验证相结合,对于用户非伪造的数字身份形成了一个信任支柱。此处的一个独特优势是,用户不需要在计算机系统进行预先注册,也不需要将形成数字身份的用户的属性放入中央存储器重。
根据本发明一实施方式,第一计算机系统可以接收与属性清单一起的、第二计算机系统之标识符。借助该标识符,计算机系统可以识别第二计算机系统,其希望利用该识别服务,并为此服务而命令第二计算机系统。
根据本发明一实施方式,计算机系统是官方认证的信用中心,特别是与数字签字技术相符合的信用中心。
下面借助附图,来详细地描述本发明的优选实施方式。其中:
附图说明
图1显示了根据本发明之计算机系统的第一实施方式的模块图。
图2显示了根据本发明之方法的实施方式的流程图。
图3显示了根据本发明之计算机系统的另一实施方式的模块图。
图4显示了根据本发明之方法的另一实施方式的UML图。
具体实施方式
图1显示了用户102的用户计算机系统100。该用户计算机系统100可以是个人电脑、便携式电脑(如笔记本电脑或掌上电脑)、个人电子记事本、移动通信设备特别是智能手机、或者类似的设备。用户计算机系统100具有一接口104,用于与具有相应接口108的ID标记卡106进行通讯。
用户计算机系统100至少具有一用于执行程序指令112的处理器110、以及一通过网络116进行通讯的网络接口114。该网络可以是电脑网络,如互联网。
ID标记卡106具有电子存储器118,其具有受保护的存储区域120、122及124。受保护的存储区域120用于存储一参数值(Referenzwert),该参数值是在ID标记卡106上验证用户102所必需的。例如,该参数值是一识别符,特别是所谓的个人识别码(PIN),或者是能够用于在ID标记卡106上验证用户的用户102之生物特征的基准数据。
受保护的区域122用于存储私钥,受保护的区域124用于存储属性,例如用户102的属性,如其名字、居所、出生日期、性别和/或关于ID标记卡本身的属性,如ID标记卡的制作或发行机构、ID标记卡的有效期或ID标记卡的标识符,如护照号码或信用卡号码。
电子存储器118还可以具有一用于存储证书的存储区域126。该证书包括一公钥,该公钥分配给存储在受保护存储区域122中的私钥。该证书可以是基于公钥基础设施(PKI)标准如X.509标准而生成的证书。
该证书不是必须要存储在ID标记卡106的电子存储器118中。此外,该证书还可以存储在公共目录服务器中。
ID标记卡106具有一处理器128。该处理器128用于执行程序指令130、132及134。程序指令130用于用户验证,也就是,在ID标记卡上验证用户102。
在一使用PIN(个人识别码)的实施方式中,用户102将其PIN输入,以在ID标记卡106中验证自己,例如通过用户计算机系统100。然后,执行程序指令,进入受保护区域120,将输入的PIN与存储在此的PIN的参数值进行比对。如果输入的PIN与PIN的参数值匹配,用户102就视作通过了验证。
另外,可以获得用户102的生物特征。例如,ID标记卡106为此目的而具有指纹传感器,或者指纹传感器连接于用户计算机系统100。在此实施方式中,从用户102获得的生物特征数据,将通过执行程序指令130,而与存储在受保护的存储区域120中的生物特征基准数据进行比对。如果在从用户102获得的生物特征数据与生物特征基准数据有足够的匹配,则用户102就视作已经验证。
程序指令134用于执行关于ID标记卡106的密码协议的步骤,以在ID标记卡106上验证ID供应商计算机系统136。密码协议可以是一个基于对称密钥或非对称密钥对的口令/应答协议(Challenge-Response-Protokoll)。
例如,密码协议keyi实现了一扩展的访问控制方法,如国际民航组织(ICAO)指定的机读旅行证件(MRTD)中那样。通过密码协议的成功执行,可以在ID标记卡上验证ID供应商计算机系统136,从而证明其读取存储在受保护存储区域124中的属性的读取授权。身份验证还可以是互相的,也就是,ID标记卡106也必需基于相同的或不同的密码协议而在ID供应商计算机系统136中验证自己。
程序指令132用于在ID标记卡与ID供应商计算机系统136间传送的数据的端到端加密,至少是通过ID供应商计算机系统从受保护的存储区域124读取的属性的端到端加密。例如,为了端到端加密,可以使用对称密钥,该对称密钥是在ID标记卡106与ID供应商计算机系统136之间执行密码协议时达成的。
作为图1所显示实施方式的一个选择性方案,用户计算机系统100所使用的接口104可以不是直接与接口108连接,而是通过一个连接于接口104的、用于ID标记卡106的阅读器。通过该阅读器,如被称为2级芯片卡终端的阅读器,还能够用于输入PIN。
ID供应商计算机系统136具有通过网络116进行通讯的网络接口138。ID供应商计算机系统136还具有存储器140,其存储了ID供应商计算机系统136之私钥142及相应的证书144。例如,该证书可以是基于PKI标准如X.509的证书。
ID供应商计算机系统136还至少具有一个用于执行程序指令146与148的处理器145。通过执行程序指令146,而可以执行关于ID供应商计算机系统136的密码协议的步骤。因此,通过由ID标记卡106的处理器128执行程序指令134,以及通过由ID供应商计算机系统136的处理器145执行程序指令146,来执行密码协议。
程序指令148用于在ID供应商计算机系统136上执行端到端加密,例如基于对称密钥,而该对称密钥是在ID标记卡106与ID供应商计算机系统136之间执行密码协议时达成的。原则上,可以使用任何已知的方法,达成端到端加密所使用的对称密钥,如Diffie-Hellman密钥交换。
ID供应商计算机系统136优选处在一个受特别保护的环境中,特别是在所谓的信用中心,使得ID供应商计算机系统136,与用户102在ID标记卡上所必需的验证相结合,而形成了从ID标记卡106所读取属性之验证的信任支柱。
服务计算机系统150设计成能够针对一种服务或者产品进行订购或委托,特别是在线服务。例如,用户102能够通过网络116在银行开一个账户或者使用其它金融或银行服务。例如,服务计算机系统150还可以是网上商店,使得用户102能够购买移动电话或者类似的东西。另外,服务计算机系统150还可以设计成提供数字内容,如下载音乐数据和/或视频数据。
为此,服务计算机系统150具有一用于连接至网络116的网络接口152。另外,服务计算机系统150具有至少一个用于执行程序指令156的处理器154。例如,通过执行程序指令156,产生动态的HTML页面,用户能够使用这些页面输入其委托或订购。
取决于委托或订购的产品或服务的性质,服务计算机系统150根据一个或多个预设的标准,来检查用户102和/或其ID标记卡106的一个或多个属性。只有通过了检查,来自用户102的订购或委托才可以执行。
例如,通过相关合同开设一银行账户或购买一移动电话,就要求用户102必须向服务计算机系统150表明身份,并且需要对该身份进行检查。例如,在现有技术中,用户102必须通过提交身份证来这样做。这个过程可以由从用户ID标记卡106中读取用户102的数字身份来替代。
然而,根据不同的应用场合,用户102不必向服务计算机系统150表明身份,而是需要一个能够足以进行交流的属性。例如,用户102能够使用属性中的一个,来证明他属于一个特别的组群,该组群已经授权可以访问服务计算机系统150,下载准备好的数据。例如,这样的标准可以是用户102的最小年龄,或者是用户102在某一圈子的会员资格,该圈子对于特别的秘密数据具有访问授权。
为了使用服务计算机系统150所提供的服务,将进行如下的过程:
1、在ID标记卡106上验证用户102。
用户102在ID标记卡106上验证自己。在使用PIN的执行中,用户102通过用户计算机系统100或者与之相连的芯片卡终端输入其PIN来执行。然后,通过执行程序指令130,ID标记卡106检查输入的PIN的正确性。如果输入的PIN与存储在受保护的存储区域120中的PIN的参数值匹配,用户102就视为已经通过验证。如上所述,如果利用用户102的生物特征来进行验证,其过程是相似的。
2、在ID标记卡106上验证ID供应商计算机系统136。
为此,通过用户计算机系统100与网络116,在ID标记卡106与ID供应商计算机系统136之间,建立一个连接。例如,ID供应商计算机系统136通过该连接传送它的证书144至ID标记卡106。然后,程序指令134产生所谓的口令,也就是一随机号码。该随机号码通过使用证书144中的ID供应商计算机系统136的公钥进行加密。由此产生的密码(Chiffrat)通过该连接,从ID标记卡106传送至ID供应商计算机系统136。ID供应商计算机系统136使用私钥142解密该密码,并以这种方式获得随机号码。ID供应商计算机系统136通过该连接将该随机号码返回至ID标记卡106。通过执行程序指令134,验证从ID供应商计算机系统136接收的随机号码与开始生成的随机号码,也就是口令,是否匹配。如果匹配,就视为已经在ID标记卡106上验证了ID供应商计算机系统136。随机号码可以作为终端对终端加密的对称密钥。
3、当用户102在ID标记卡106上成功验证后,而且ID供应商计算机系统136在ID标记卡106上也成功验证后,则ID供应商计算机系统136就拥有了读取存储在受保护的存储区域124的一个、多个或所有属性的读取授权。基于ID供应商计算机系统136通过该连接向ID标记卡106所发送的相关的读取命令,所请求的属性就从受保护的存储区域124中被读取,并通过运行程序指令132进行加密。加密的属性通过该连接传送至ID供应商计算机系统136,在此通过执行程序指令148进行解密。这样,ID供应商计算机系统136获得了从ID标记卡所读取属性的信息。
借助证书144,这些属性通过ID供应商计算机系统而得到签注(签字),并通过用户计算机系统100或者直接传送至服务计算机系统150。这样,服务计算机系统150被告知了从ID标记卡106所读取的属性,而使得服务计算机系统150能够使用预先确定的一个或多个标准来检查这些属性,从而可能为用户102提供所请求的服务。
必须在ID标记卡106上验证用户102,及必须在ID标记卡106上验证ID供应商计算机系统,这提供了必需的信任支柱,使得服务计算机系统150能够确定,通过ID供应商计算机系统136向其传达的用户102的属性是正确的,而不是伪造的。
根据不同的实施方式,验证的顺序可能不同。例如,可以规定首先是用户102在ID标记卡106上验证自己,然后是ID供应商计算机系统136的验证。然而,原则上还可以首先是ID供应商计算机系统136在ID标记卡106上验证自己,然后是用户102的验证。
例如,在第一种情况下ID标记卡106是如此设计的,其通过用户102输入正确的PIN或正确的生物特征来解锁。只有实现这种解锁,才允许启动程序指令132及134,从而验证ID供应商计算机系统136。
在第二种情况下,可以在用户102还没有在ID标记卡106验证自己时,就启动程序指令132及134。在这种情况下,例如,程序指令134是如此设置的,直到程序指令130已经签注用户102成功验证之后,ID供应商计算机系统136才能对受保护的存储区域124进行读取,以读取一个或多个属性。
在电子商务及电子政务应用方面利用ID标记卡106有特别的优势,而且由于必须在ID标记卡上验证用户102与ID供应商计算机系统而形成信任支柱,从而没有媒介之干扰,而使权利更安全。还有一个特别的优势是,不需要集中存储不同用户102的属性,这意味着现有技术中的数据保护问题在此得到解决。至于方法应用的便捷性,也是一个值得考虑的优点,即为了使用ID供应商计算机系统136,用户102不必预先登记。
图2显示了根据本发明方法的一实施方式。在步骤200中,服务请求从用户计算机系统发送至服务计算机系统。例如,用户通过启动用户计算机系统上的浏览器,并输入一URL以访问服务计算机系统的一个网页。然后,用户向访问的网页输入其服务请求,例如,针对服务或产品的订购或委托。
然后,在步骤202中,服务计算机系统150指定所必须的一个或多个属性,以检查用户对于服务请求的权利。特别地,服务计算机系统应指定能够确定用户102数字身份的属性。这种通过服务计算机系统150进行的属性的指定,可以是预先确定的,也可以根据服务请求,通过服务计算机系统150按设定的规则来确定。
在步骤204中,属性清单,也就是在步骤202中指定的一个或多个属性,被从服务计算机系统直接或通过用户计算机系统,传送至ID供应商计算机系统。
在步骤206中,为了给ID供应商计算机系统提供从ID标记卡读取属性的机会,用户要在ID标记卡上验证自己。
在步骤208中,在ID标记卡与ID供应商计算机系统间建立了一连接。该连接优选为一个受保护的连接,如基于所谓的安全信息传递方法。
在步骤210中,ID供应商计算机系统至少要通过步骤208中建立的连接,在ID标记卡上进行验证。另外,还可以在ID供应商计算机系统上验证ID标记卡。
当用户与ID供应商计算机系统都已经成功地在ID标记卡上进行了验证后,就通过ID标记卡为ID供应商计算机系统提供读取属性的授权。在步骤212中,ID供应商计算机系统发送一个或多个读取命令,以读取来自ID标记卡的属性清单中所必需的属性。然后,这些属性通过受保护的连接,借助端到端加密,传送至ID供应商计算机系统,并在此解密。
在步骤214中,这些读取的属性值,通过ID供应商计算机系统进行签注。在步骤216中,ID供应商计算机系统通过网络发送已签注的属性值。这些签注的属性值直接或通过用户计算机系统到达服务计算机系统。在后一种情况中,用户有机会识别签注的属性值和/或通过进一步的数据进行补充。可以考虑,签注的属性值,也许只有当用户从用户计算机系统中放行后,才能同补充的数据继续传送至服务计算机系统。这在从ID供应商计算机系统发送至服务计算机系统的属性方面,给用户提供了最大可能的透明度。
图3显示了根据本发明另一实施方式的ID标记卡与计算机系统。在图3的实施方式中,ID标记卡106是一个文件的形式,如带有集成电路的纸制和/或塑胶制文件(证件),其形成有接口108、存储器118及处理器128。例如,集成电路可以是所谓的无线标签,还可以叫做射频标签(RFID-标签)或RFID。另外,接口108可以设置为接触式接口或者双模接口。
特别地,文件106可以是一个有价文件或者安全文件,如机读旅行证件、电子护照、电子身份证或者可以是支付手段,如信用卡。
在此处所考虑的实施方式中,受保护的存储区域124储存了属性i,其中1≤i≤n。然后假设,没有任何一般性质的限制,图3中所示例的ID标记卡106是一电子身份证。例如,属性i=1是姓、属性i=2是名、属性i=3是地址及属性i=4是出生日期等等。
在此处所考虑的实施方式中,用户计算机系统100的接口104可以是RFID阅读器的形式,其可以是用户计算机系统的组成部分,或者也可以是一与其相连的单独元件。
用户102可以支配一个或多个设计上基本相同的ID标记卡,例如ID标记卡106’是一信用卡。
用户计算机系统100可以储存一系列配置数据记录158、160......。每一配置数据记录为一组特定属性指定数据源和ID供应商计算机系统,该ID供应商计算机系统能够读取指定的数据源。在此实施方式中,用户计算机系统100能够使用网络116,连接不同的ID供应商计算机系统136、136’、......。这些系统可以属于不同的信用中心。例如,ID供应商计算机系统136属于信用中心A,而结构上基本相同的ID供应商计算机系统136’属于另外一个信用中心B。
配置数据记录158,也叫做ID容器(ID-Container),定义了用于属性i=1至i=4的属性组。这些属性分别分配了数据源“身份证”,也就是ID标记卡106,也分别分配了信用中心A,也就是与他们相连的ID供应商计算机系统136。例如,后者在配置数据记录158中可以指定为URL的形式。
与此相对,配置数据记录116中定义了一组属性Ⅰ、Ⅱ及Ⅲ。这些属性的数据源都指定了相应的信用卡,也就是ID标记卡106’。ID标记卡106’具有一受保护区域124’,其存储了属性Ⅰ、Ⅱ及Ⅲ。例如,属性Ⅰ可以是信用卡持有者的名字、属性Ⅱ可以是信用卡号码、属性Ⅲ可以是信用卡的有效期等等。
在配置数据记录160中,指定信用中心B的ID供应商计算机系统136’作为ID用户计算机系统。
作为图3所示实施方式的替代方式,可以是在这些相同的配置数据记录中,对于不同的属性指定不同的数据源和/或不同ID供应商计算机系统。
在图3所示实施方式中,ID供应商计算机系统136、136’......中的每个可能具有各自的多个证书。
例如,如图3所示,ID供应商计算机系统136的存储器140,储存了多个证书,如分别具有相应私钥142.1及142.2的证书144.1及144.2。在证书144.1中,通过属性i=1至i=4,对ID供应商计算机系统136的读取权利进行定义,而在证书144.2中,通过属性Ⅰ至Ⅲ,对读取权利进行定义。
为了通过服务计算机系统150使用服务,首先用户102要向用户计算机系统100进行一个输入162,例如,为了想要的服务,向服务计算机系统150上的一网页中输入其请求。该服务请求164通过网络116由用户计算机系统100传送至服务计算机系统150。然后,该服务计算机系统150反映出属性清单166,也就是指定服务计算机系统150要求的那些,用于处理来自用户102的服务请求164的属性。例如,属性清单能够以属性名称的形式做出,如“姓”、“名”、“地址”、“信用卡号码”。
属性清单166的回执,通过用户计算机系统100显示给用户102。然后,用户102能够选择一个或多个配置数据记录158、160......,其能够根据属性清单166分别定义包含属性的属性组,至少是一个子集。
例如,如果属性清单166仅仅要求用户102姓、名及地址,用户102能够选择配置数据记录158。相反地,如果在属性清单166中补充指定了信用卡号码,用户102能够补充选择配置数据记录160。这个过程还能够由用户计算机系统100全部自动地进行,例如通过执行程序指令112。
然后,首先假设只有一个配置数据记录,如配置数据记录158,其是基于属性清单166选定的。
然后,用户计算机系统100向选定的配置数据记录中指示的ID供应商计算机系统发送一请求168,如信用中心A的ID供应商计算机系统136。请求168根据属性清单166,包含一个关于属性的报告(Angabe),其需要通过ID供应商计算机系统136,从配置数据记录158中指示的数据源读取。
然后,ID供应商计算机系统136选择一个或多个具有读取属性所需的读取权利的证书。例如,如果属性i=1至3是从身份证读取,ID供应商计算机系统136因此选择定义了所需权利的证书144.1。这种证书的选择是通过程序指令149的执行来进行的。
然后,开始执行密码协议。例如,ID供应商计算机系统136为此向用户计算机系统100发送一个回复。然后用户计算机系统100要求用户102在指定的数据源上验证自己,也就是,在ID标记卡上验证自己。
然后,用户102把其标记卡,也就是ID标记卡106,放入RFID阅读器104的范围内,并输入PIN,以验证自己。用户102在ID标记卡106上成功验证,解锁了密码协议的执行,也就是程序指令134的执行。接着,ID供应商计算机系统136使用选定的证书144.1在ID标记卡106上验证它自己,如使用口令/应答的方式。这种验证还可以是相互的。随着ID供应商计算机系统136在ID标记卡106上验证成功,ID供应商计算机系统136向用户计算机系统100发送一用于读取必要的属性的读取请求,并且后者通过RFID阅读器向ID标记卡106转发该请求。ID标记卡106使用证书144.1以检查ID供应商计算机系统136是否有必要的读取权利。如果有,所需的属性就从受保护的存储区域124中读取,并借助端到端加密的方式,通过用户计算机系统100传送至ID供应商计算机系统。
然后,ID供应商计算机系统136通过网络116向服务计算机系统150发送一回复170,其包括已经读取的属性。该回复170数字签注了证书144.1。
此外,ID供应商计算机系统136向用户计算机系统100发送回复170。然后,提供给用户102机会阅读回复170中包含的属性,并决定他是否希望向服务计算机系统150转发这些属性。仅仅当用户102向用户计算机系统100输入一个放行命令时,然后回复170才会转发至服务计算机系统150。在此实施方式中,用户102还可能向回复170增加进一步的数据。
如果涉及多个ID供应商计算机系统136、136’......,来自ID供应商计算机系统的个别的回复能够通过用户计算机系统100结合成一个单独的回复,其包括了所有根据属性清单166而来的属性,然后,该回复从用户计算机系统100传送至服务计算机系统150。
根据本发明一实施方式,用户102在服务请求164的情形下,能够向服务计算机系统150公开一个或多个其属性,如通过网络116向服务计算机系统传送用户的属性,作为服务请求164的一部分。特别地,用户102能够向服务计算机系统150上的网页中输入该属性。然后,通过回复170确认这些属性的有效性,也就是,服务计算机系统150能够通过ID供应商电脑,将从用户102接收到的属性与从ID标记卡106读取的属性进行比对,并检查他们是否匹配。
根据本发明进一步的实施方式,还可能在属性清单166中至少指示一个更进一步的属性,该属性没有存储在用户102的一个ID标记卡上,但是可以从一外部信息源那里请求。例如,这种方式是关于用户102的信誉的属性。为此,用户计算机系统100可以包括另外的配置数据记录161,其包括对于属性A如信誉的数据源与ID供应商计算机系统的报告。数据源可以是一网上信用机构,如联邦德国信贷风险保护协会、Dun& Bradstreet或者类似的机构。例如,ID供应商计算机系统指示了一个信用中心C,如图3所示。在此情况下,数据源可以定位于信用中心C中。
为了请求属性A,用户计算机系统100向信用中心C,也就是ID供应商计算机系统136”,发送相应的请求(图3中未示出)。然后,信用中心提交属性A,其是用户计算机系统100转发给服务计算机系统150的属性以及从用户102的ID标记卡中已读取的其它属性。
优选地,例如,在关于用户102数字身份的属性已经从用户102的ID标记卡得到请求,并且通过用户计算机系统100接收了签注的回复170之后,属性A才得到请求。通过用户计算机系统100、而从ID供应商计算机系统136”请求的属性A,其请求包括签注的回复170,使得ID供应商计算机系统136”关于用户102的身份具有可靠的信息。
图4显示了根据本发明方法的另外实施方式。通过用户102向用户系统100的用户输入,用户102在服务计算机系统上指定了其需要的服务。例如,这可通过访问服务计算机系统上的网页并选择其提供的一个服务来达到。来自用户102的服务请求从用户计算机系统100传送至服务计算机系统150。
服务计算机系统150通过一个属性清单对服务请求做出回复,也就是,例如属性名称的清单。当该属性清单被接收后,用户计算机系统100请求用户102在ID标记卡106上验证他自己,例如通过输入请求的方式。
然后,用户102在ID标记卡106上验证他自己,例如通过输入其PIN。随着验证成功,属性清单从用户计算机系统100转发至ID供应商计算机系统。然后,后者在ID标记卡上验证自己,并根据属性清单向ID标记卡发送一用于读取属性的读取请求。
假设之前的用户102与ID供应商计算机系统136的验证成功,ID标记卡以想要的属性对读取请求做出回复。ID供应商计算机系统136签注该属性,并将已签注的属性发送至用户计算机系统100。随着用户102的放行,然后,该已签注的属性传送至服务计算机系统150,然后,其提供需要的服务。
附图标记清单
---------------------------------
100 用户计算机系统
102 用户
104 接口
106 ID标识卡
108 接口
110 处理器
112 程序指令
114 网络接口
116 网络
118 电子存储器
120 受保护的存储区域
122 受保护的存储区域
124 受保护的存储区域
126 存储区域
128 处理器
130 程序指令
132 程序指令
134 程序指令
136 ID供应商计算机系统
138 网络接口
140 存储器
142 私钥
144 证书
145 处理器
146 程序指令
148 程序指令
149 程序指令
150 服务计算机系统
152 网络接口
154 处理器
156 程序指令
158 配置数据记录
160 配置数据记录
161 配置数据记录
162 用户输入
164 服务请求
166 属性清单
168 请求
170 回复
Claims (21)
1.一种用于读取至少一个存储在ID标记卡(106,106’)中的属性的方法,其中,所述的ID标记卡分配给用户(102),其具有如下步骤:
在所述的ID标记卡上验证用户;
在所述的ID标记卡上验证第一计算机系统(136);
随着在所述ID标记卡上成功验证了所述的用户与所述的第一计算机系统,所述的第一计算机系统对存储在所述的ID标记卡中的至少一个属性进行读取,以将签注后的该至少一个属性传送至第二计算机系统(150)。
2.如权利要求1所述的方法,其中,在所述ID标记卡上验证所述第一计算机系统是借助所述第一计算机系统的证书(144)进行的,其中,所述的证书包括对于存储在所述ID标记卡中属性的指示,以用于授权所述第一计算机系统进行读取。
3.如权利要求2所述的方法,其中,所述的ID标记卡借助所述的证书,验证所第一计算机系统对于所述至少一个属性进行读取的授权。
4.如权利要求1-3之一所述的方法,其进一步包括如下的步骤:
通过所述的第一计算机系统,对来自所述ID标记卡的至少一个属性进行签注;
将所述的已签注的属性从所述第一计算机系统传送至第二计算机系统;
5.如权利要求4所述的方法,其进一步包括如下的步骤:
从第三计算机系统(100)发送请求(164)至所述的第二计算机系统;
通过所述的第二计算机系统指定一个或多个属性;
从所述的第二计算机系统将属性清单(166)发送至所述的第一计算机系统;
其中,所述的第一计算机系统进行读取,以从所述ID标记卡中读取一个或多个在所述属性清单中指定的属性。
6.如权利要求5所述的方法,其中,所述的请求(164)包括通过所述第二计算机系统识别所述第一计算机系统的识标符,其中,从所述第二计算机系统将所述属性清单传送至所述第一计算机系统时,没有第三计算机系统的参与。
7.如权利要求5所述的方法,其中,所述的第三计算机系统具有多个预定义的配置数据记录(158、160、......),其中,每个配置数据记录指定了一个属性子集,其至少有一个数据源及来自第一计算机系统组(136、136’、......)的一个第一计算机系统;其中,所述的属性清单首先从所述第二计算机系统传送至所述第三计算机系统,使得借助于所述第三计算机系统,选择至少一个配置数据记录,用于指定一属性子集,该属性子集包括所述属性清单中指定的至少一个属性;其中,所述的第三计算机系统将所述属性清单转发至所述第一计算机系统;其中,在所述第一计算机系统与所述的ID标记卡之间的连接由所述的第三计算机系统建立,其中,所述的ID标记卡被所选定的配置数据记录中的数据源的指示所指定。
8.如前述权利要求之一所述的方法,其中,从所述ID标记卡中读取的所述至少一个属性,从所述第一计算机系统发送至第三计算机系统,并随着用户的放行,从所述第三计算机系统转发至所述的第二计算机系统。
9.如权利要求8所述的方法,其中,所述的用户在所述属性转发至所述的第二计算机系统之前,对其进一步补充数据。
10.如前述权利要求之一所述的方法,其中,所述第一计算机系统具有不同读取权限的多个证书(144.1;144.2),其中,所述的第一计算机系统根据接收的所述属性清单,选择至少一个证书,该证书具有用于读取所述属性清单中指定的属性的足够读取权限。
11.如前述权利要求之一所述的方法,其中,第三计算机系统具有至少一个配置数据记录(161),其通过网络(116),从所述第三计算机系统指定用于请求进一步属性(A)的外部数据源。
12.如权利要求11所述的方法,其中,所述的进一步属性的请求,是在所述至少一个属性从所述ID标记卡读取之后、以及在所述第三计算机系统从所述第一计算机系统接收到已签注的所述至少一个属性之后而进行的,所述的请求包括已签注的所述至少一个属性。
13.一种具有能够由计算机系统执行的指令的计算机程序产品,以完成前述权利要求之一所述的方法。
14.一种ID标记卡,其具有:
用于存储至少一个属性的受保护的存储区域(124);
在所述ID标记卡上验证分配了该ID标记卡之用户(102)的手段(120、130);
在所述ID标记卡上验证第一计算机系统(136)的手段(134);
建立受保护的、与所述第一计算机系统之连接的手段,其中,所述第一计算机系统能够使用该连接读取所述的至少一个属性;
其中,通过所述第一计算机系统从所述ID标记卡中读取所述至少一个属性的先决条件是,所述用户及所述第一计算机系统在所述ID标记卡上进行了成功地验证。
15.如权利要求14所述的ID标记卡,其具有用于所述连接的端到端加密的手段,以保护向所述第一计算机系统传送所述至少一个属性。
16.如权利要求14或15所述的ID标记卡,其中,该ID标记卡是一个电子设备,特别是USB记忆棒或文件,特别是有价文件或安全文件。
17.一种计算机系统,其具有:
通过网络(116)接收属性清单(166)的手段(138),其中,所述属性清单指定了至少一个属性;
在ID标记卡(106)上进行验证的手段(142、144、146);
通过受保护的连接从所述ID标记卡读取至少一个属性的手段;
其中,读取所述至少一个属性的先决条件是,在所述ID标记卡上,成功地验证了分配了该ID标记卡之用户与所述的计算机系统。
18.如权利要求17所述的计算机系统,其具有基于接收所述属性清单而向所述用户产生请求的手段,以在所述ID标记卡上验证该用户。
19.如权利要求17或18所述的计算机系统,其中,所述的手段(138)设计成用于从第二计算机系统接收所述属性清单,而且借助手段(138),将从所述ID标记卡中读取的至少一个属性发送至第三计算机系统(100),以转发至所述第二计算机系统。
20.如权利要求17-19之一所述的计算机系统,其具有用于签注所述至少一个属性的手段,其中,签注的属性将被发送。
21.如权利要求17-20之一所述的计算机系统,其具有多个不同读取权限的证书(144.1;144.2),其中,所述的计算机系统是如此设计的,其根据接收的所述属性清单,选择至少一个证书,该证书具有足够的读取权限,以读取所述属性清单中指定的属性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102008000067.1 | 2008-01-16 | ||
| DE102008000067A DE102008000067C5 (de) | 2008-01-16 | 2008-01-16 | Verfahren zum Lesen von Attributen aus einem ID-Token |
| PCT/EP2008/065470 WO2009089943A1 (de) | 2008-01-16 | 2008-11-13 | Verfahren zum lesen von attributen aus einem id-token |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101918954A true CN101918954A (zh) | 2010-12-15 |
| CN101918954B CN101918954B (zh) | 2014-06-25 |
Family
ID=40303693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880125201.7A Active CN101918954B (zh) | 2008-01-16 | 2008-11-13 | 从id标记卡读取属性的方法 |
Country Status (11)
| Country | Link |
|---|---|
| US (3) | US9047455B2 (zh) |
| EP (2) | EP2245573B1 (zh) |
| JP (1) | JP5397917B2 (zh) |
| KR (1) | KR101584510B1 (zh) |
| CN (1) | CN101918954B (zh) |
| AU (1) | AU2008347346B2 (zh) |
| CA (1) | CA2712471C (zh) |
| DE (1) | DE102008000067C5 (zh) |
| ES (1) | ES2589050T3 (zh) |
| PL (1) | PL2245573T3 (zh) |
| WO (1) | WO2009089943A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110147661A (zh) * | 2019-04-10 | 2019-08-20 | 珠海梅西互动技术有限公司 | 一种自动化设备权限管理系统 |
Families Citing this family (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101048898B (zh) * | 2004-10-29 | 2012-02-01 | 麦德托尼克公司 | 锂离子电池及医疗装置 |
| US20090204622A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings |
| US20090178112A1 (en) * | 2007-03-16 | 2009-07-09 | Novell, Inc. | Level of service descriptors |
| US8151324B2 (en) | 2007-03-16 | 2012-04-03 | Lloyd Leon Burch | Remotable information cards |
| US20090077118A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
| US8370913B2 (en) * | 2007-03-16 | 2013-02-05 | Apple Inc. | Policy-based auditing of identity credential disclosure by a secure token service |
| US20090077627A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
| US20090077655A1 (en) * | 2007-09-19 | 2009-03-19 | Novell, Inc. | Processing html extensions to enable support of information cards by a relying party |
| US20090199284A1 (en) * | 2008-02-06 | 2009-08-06 | Novell, Inc. | Methods for setting and changing the user credential in information cards |
| US20090217368A1 (en) * | 2008-02-27 | 2009-08-27 | Novell, Inc. | System and method for secure account reset utilizing information cards |
| US8079069B2 (en) | 2008-03-24 | 2011-12-13 | Oracle International Corporation | Cardspace history validator |
| US20090272797A1 (en) * | 2008-04-30 | 2009-11-05 | Novell, Inc. A Delaware Corporation | Dynamic information card rendering |
| US20100011409A1 (en) * | 2008-07-09 | 2010-01-14 | Novell, Inc. | Non-interactive information card token generation |
| DE102008040416A1 (de) | 2008-07-15 | 2010-01-21 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| US20100031328A1 (en) * | 2008-07-31 | 2010-02-04 | Novell, Inc. | Site-specific credential generation using information cards |
| PL2332313T3 (pl) | 2008-09-22 | 2016-08-31 | Bundesdruckerei Gmbh | Sposób zapisywania danych, produkt w postaci programu komputerowego, token id i system komputerowy |
| US20100095372A1 (en) * | 2008-10-09 | 2010-04-15 | Novell, Inc. | Trusted relying party proxy for information card tokens |
| EP2200253A1 (en) * | 2008-12-19 | 2010-06-23 | Gemalto SA | Method of managing sensitive data in an electronic token |
| US8083135B2 (en) * | 2009-01-12 | 2011-12-27 | Novell, Inc. | Information card overlay |
| DE102009000404B4 (de) * | 2009-01-26 | 2024-05-29 | Bundesdruckerei Gmbh | Verfahren zur Freischaltung einer Chipkartenfunktion, Lesegerät für eine Chipkarte und Chipkarte |
| US8632003B2 (en) * | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
| KR101648521B1 (ko) | 2009-03-06 | 2016-08-16 | 제말토 에스에이 | 스마트 카드들로의 브라우저-기반의 액세스에 보안을 제공하는 시스템 및 방법 |
| US20100251353A1 (en) * | 2009-03-25 | 2010-09-30 | Novell, Inc. | User-authorized information card delegation |
| DE102009001959A1 (de) | 2009-03-30 | 2010-10-07 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung |
| DE102009026953A1 (de) | 2009-06-16 | 2010-12-23 | Bundesdruckerei Gmbh | Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz |
| DE102009027676A1 (de) | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Kommunikationsverfahren, Computerprogrammprodukt, Vorrichtung und Computersystem |
| DE102009027682A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens |
| DE102009027681A1 (de) | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren und Lesen von Attributen aus einem ID-Token |
| DE102009027686A1 (de) | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102009027723A1 (de) | 2009-07-15 | 2011-01-27 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102009046205B4 (de) | 2009-10-30 | 2025-01-16 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung einer Web-Seite |
| WO2011066658A1 (en) * | 2009-12-01 | 2011-06-09 | Securekey Technologies Inc. | System and methods for identity attribute validation |
| JP5404485B2 (ja) * | 2010-03-19 | 2014-01-29 | Kddi株式会社 | 端末における身元情報カードの表示方法、端末及びプログラム |
| US9558494B2 (en) * | 2010-04-19 | 2017-01-31 | Tokenex, L.L.C. | Devices, systems, and methods for tokenizing sensitive information |
| DE102010028133A1 (de) * | 2010-04-22 | 2011-10-27 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines Attributs aus einem ID-Token |
| DE102010022794A1 (de) * | 2010-06-05 | 2011-12-15 | Günther Schmalz | System und Gerät zum Verifizieren von Daten |
| DE102010030311A1 (de) | 2010-06-21 | 2011-12-22 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem |
| DE102010030590A1 (de) * | 2010-06-28 | 2011-12-29 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Zertifikats |
| DE102010041286A1 (de) * | 2010-09-23 | 2012-03-29 | Bundesdruckerei Gmbh | Verfahren und Server zum Bereitstellen von Nutzerinformationen |
| DE102010041745A1 (de) | 2010-09-30 | 2012-04-19 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines RFID-Tokens, RFID-Karte und elektronisches Gerät |
| US9767807B2 (en) * | 2011-03-30 | 2017-09-19 | Ack3 Bionetics Pte Limited | Digital voice signature of transactions |
| NL2006733C2 (en) * | 2011-05-06 | 2012-11-08 | Tele Id Nl B V | Method and system for allowing access to a protected part of a web application. |
| US20120310837A1 (en) * | 2011-06-03 | 2012-12-06 | Holden Kevin Rigby | Method and System For Providing Authenticated Access to Secure Information |
| DE102011078121A1 (de) | 2011-06-27 | 2012-12-27 | Bundesdruckerei Gmbh | Computermaus und Verfahren zum Lesen von Daten aus einem Dokument |
| US10044713B2 (en) * | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| DE102011082101B4 (de) | 2011-09-02 | 2018-02-22 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem |
| DE102011122972B3 (de) | 2011-10-18 | 2024-02-08 | Bundesdruckerei Gmbh | Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen |
| DE102011084728B4 (de) | 2011-10-18 | 2015-04-02 | Bundesdruckerei Gmbh | Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen |
| DE102011085538A1 (de) | 2011-11-01 | 2013-05-02 | Bundesdruckerei Gmbh | Dokument, Verfahren zur Authentifizierung eines Benutzers, insbesondere zur Freischaltung einer Chipkartenfunktion, und Computersystem |
| CH705774B1 (de) | 2011-11-16 | 2016-12-15 | Swisscom Ag | Verfahren, System und Karte zur Authentifizierung eines Benutzers durch eine Anwendung. |
| EP2600270A1 (de) | 2011-12-02 | 2013-06-05 | Deutsche Telekom AG | Identifikations-Element-basierte Authentisierung und Identifizierung mit verteilter Dienstnutzung |
| DE102011089580B3 (de) * | 2011-12-22 | 2013-04-25 | AGETO Innovation GmbH | Verfahren zum Lesen von Attributen aus einem ID-Token |
| KR20170046191A (ko) * | 2012-01-20 | 2017-04-28 | 인터디지탈 패튼 홀딩스, 인크 | 로컬 기능을 갖는 아이덴티티 관리 |
| FR2986124B1 (fr) * | 2012-01-25 | 2014-03-14 | Ercom Engineering Reseaux Comm | Procede d'authentification d'un dispositif comprenant un processeur et une carte a puce par generation d'un motif |
| DE102012201209A1 (de) | 2012-01-27 | 2013-08-01 | AGETO Innovation GmbH | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens |
| DE102012202744A1 (de) | 2012-02-22 | 2013-08-22 | AGETO Innovation GmbH | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens |
| DE102012202781A1 (de) | 2012-02-23 | 2013-08-29 | Bundesdruckerei Gmbh | Computerimplementiertes Verfahren für eine Nutzungskontrolle, Computerprogrammprodukt, Datenverarbeitungssystem und Transportsystem |
| EP2658203A1 (en) * | 2012-04-26 | 2013-10-30 | OpenLimit SignCubes AG | Method and computer communication system for the authentication of a client system |
| DE102012215630A1 (de) | 2012-09-04 | 2014-03-06 | Bundesdruckerei Gmbh | Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem |
| DE102012219618B4 (de) | 2012-10-26 | 2016-02-18 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem |
| DE102012224083A1 (de) | 2012-12-20 | 2015-08-20 | Bundesdruckerei Gmbh | Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem |
| EP2763370B1 (en) | 2013-01-31 | 2016-12-21 | Nxp B.V. | Security token and service access system |
| ES2491491B1 (es) * | 2013-03-05 | 2015-06-16 | Vodafone España, S.A.U. | Método para asociar de manera anónima mediciones de un dispositivo de monitorización sanitaria con un ID de usuario |
| DE102013212627B4 (de) * | 2013-06-28 | 2021-05-27 | Bundesdruckerei Gmbh | Elektronisches Transaktionsverfahren und Computersystem |
| DE102013212646B4 (de) * | 2013-06-28 | 2018-11-22 | Bundesdruckerei Gmbh | Elektronisches Transaktionsverfahren und Computersystem |
| DE102014204344B4 (de) * | 2014-03-10 | 2020-02-13 | Ecsec Gmbh | Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren |
| DE102014206325A1 (de) * | 2014-04-02 | 2015-10-08 | Bundesdruckerei Gmbh | Verteiltes Authentifizierungssystem |
| US10298588B2 (en) * | 2014-07-29 | 2019-05-21 | BlackSands, Inc. | Secure communication system and method |
| DE102014111679A1 (de) | 2014-08-15 | 2016-02-18 | Bundesdruckerei Gmbh | Digitale Identitäten mit Fremdattributen |
| DE102014112347A1 (de) | 2014-08-28 | 2016-03-03 | Bundesdruckerei Gmbh | Zugriffsschutz für Fremddaten im nichtflüchtigen Speicher einer Chipkarte |
| DE102015017060A1 (de) | 2015-01-13 | 2016-07-14 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102015200313A1 (de) | 2015-01-13 | 2016-07-14 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102015017061A1 (de) | 2015-01-13 | 2016-07-28 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| US10853592B2 (en) | 2015-02-13 | 2020-12-01 | Yoti Holding Limited | Digital identity system |
| DE102015208088A1 (de) | 2015-04-30 | 2016-11-03 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung einer elektronischen Signatur |
| DE102015208098B4 (de) | 2015-04-30 | 2022-07-21 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung einer elektronischen Signatur |
| DE102015209073B4 (de) | 2015-05-18 | 2019-02-07 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102015108543B4 (de) * | 2015-05-29 | 2024-09-19 | Fujitsu Client Computing Limited | Verfahren zur Authentifizierung eines Computersystems gegenüber einem Server, geschütztes Peripheriegerät und Verwendung eines geschützten Peripheriegeräts |
| DE102015213312A1 (de) | 2015-07-15 | 2017-01-19 | Bundesdruckerei Gmbh | Verfahren zum Verwalten von Attributen aus einem ID-Token, ID-Token, Attribut-Provider-Computersystem und Computersystem |
| GB2541013A (en) * | 2015-08-06 | 2017-02-08 | De La Rue Int Ltd | User identification system and method |
| DE102016202262A1 (de) | 2016-02-15 | 2017-08-17 | Bundesdruckerei Gmbh | Verfahren und System zur Authentifizierung eines mobilen Telekommunikationsendgeräts an einem Dienst-Computersystem und mobilen Telekommunikationsendgerät |
| US9894062B2 (en) * | 2016-03-16 | 2018-02-13 | Dell Products, L.P. | Object management for external off-host authentication processing systems |
| DE102016208040A1 (de) | 2016-05-10 | 2017-11-16 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102016208038A1 (de) | 2016-05-10 | 2017-11-16 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102016222170A1 (de) | 2016-11-11 | 2018-05-17 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| US10846417B2 (en) * | 2017-03-17 | 2020-11-24 | Oracle International Corporation | Identifying permitted illegal access operations in a module system |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| DE102017212696A1 (de) * | 2017-07-25 | 2019-01-31 | Bundesdruckerei Gmbh | Verfahren zur Authentisierung eines Nutzers gegenüber einem Diensteanbieter und Authentisierungseinrichtung |
| US11301847B1 (en) * | 2018-02-15 | 2022-04-12 | Wells Fargo Bank, N.A. | Systems and methods for an authorized identification system |
| CN112801669B (zh) | 2018-10-25 | 2025-01-03 | 创新先进技术有限公司 | 身份认证、号码保存和发送、绑定号码方法、装置及设备 |
| KR102250081B1 (ko) | 2019-02-22 | 2021-05-10 | 데이터얼라이언스 주식회사 | 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0754538B2 (ja) * | 1986-01-31 | 1995-06-07 | 株式会社日立製作所 | 多目的icカ−ド及びその使用方法 |
| FR2725537B1 (fr) * | 1994-10-11 | 1996-11-22 | Bull Cp8 | Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe |
| CN1211330A (zh) * | 1996-02-21 | 1999-03-17 | 卡式通讯系统股份有限公司 | 电子商务处理系统 |
| US6257486B1 (en) * | 1998-11-23 | 2001-07-10 | Cardis Research & Development Ltd. | Smart card pin system, card, and reader |
| US7889052B2 (en) * | 2001-07-10 | 2011-02-15 | Xatra Fund Mx, Llc | Authorizing payment subsequent to RF transactions |
| AU2001251701A1 (en) * | 2000-02-25 | 2001-09-03 | Identix Incorporated | Secure transaction system |
| US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
| US20040139028A1 (en) * | 2001-03-23 | 2004-07-15 | Fishman Jayme Matthew | System, process and article for conducting authenticated transactions |
| JP4510392B2 (ja) | 2002-03-15 | 2010-07-21 | パナソニック株式会社 | 個人情報認証を行うサービス提供システム |
| US7254705B2 (en) | 2002-03-15 | 2007-08-07 | Matsushita Electric Industrial Co., Ltd. | Service providing system in which services are provided from service provider apparatus to service user apparatus via network |
| US7770212B2 (en) * | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| DE60306648T2 (de) * | 2003-09-03 | 2007-06-21 | France Telecom | Vorrichtung und Verfahren zur sicheren Kommunikation basierend auf Chipkarten |
| GB2409316B (en) * | 2003-12-17 | 2006-06-21 | Motorola Inc | Method and apparatus for programming electronic security token |
| US20050138421A1 (en) * | 2003-12-23 | 2005-06-23 | Fedronic Dominique L.J. | Server mediated security token access |
| GB0407369D0 (en) * | 2004-03-31 | 2004-05-05 | British Telecomm | Trust tokens |
| US8504704B2 (en) * | 2004-06-16 | 2013-08-06 | Dormarke Assets Limited Liability Company | Distributed contact information management |
| CN1588388A (zh) * | 2004-07-27 | 2005-03-02 | 杭州中正生物认证技术有限公司 | 一种具有指纹认证的手机支付方法 |
| KR100930457B1 (ko) | 2004-08-25 | 2009-12-08 | 에스케이 텔레콤주식회사 | 이동통신단말을 이용한 인증 및 결제 시스템과 방법 |
| US8904040B2 (en) | 2004-10-29 | 2014-12-02 | Go Daddy Operating Company, LLC | Digital identity validation |
| US20070208940A1 (en) * | 2004-10-29 | 2007-09-06 | The Go Daddy Group, Inc. | Digital identity related reputation tracking and publishing |
| US7536722B1 (en) * | 2005-03-25 | 2009-05-19 | Sun Microsystems, Inc. | Authentication system for two-factor authentication in enrollment and pin unblock |
| KR20060104268A (ko) * | 2005-03-30 | 2006-10-09 | 주식회사 네이비 | 유에스비를 이용한 개인 인증 및 저장 장치 |
| KR100752393B1 (ko) * | 2005-07-22 | 2007-08-28 | 주식회사 엘립시스 | 개인용 인증토큰 및 인증방법 |
| CN1744124A (zh) * | 2005-09-16 | 2006-03-08 | 蔡军 | 网络自助服务系统及其订购交付方法 |
| US8117459B2 (en) * | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US8069476B2 (en) * | 2006-06-01 | 2011-11-29 | Novell, Inc. | Identity validation |
| US8275985B1 (en) * | 2006-08-07 | 2012-09-25 | Oracle America, Inc. | Infrastructure to secure federated web services |
| US8387108B1 (en) * | 2006-10-31 | 2013-02-26 | Symantec Corporation | Controlling identity disclosures |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8370913B2 (en) * | 2007-03-16 | 2013-02-05 | Apple Inc. | Policy-based auditing of identity credential disclosure by a secure token service |
-
2008
- 2008-01-16 DE DE102008000067A patent/DE102008000067C5/de active Active
- 2008-11-13 CN CN200880125201.7A patent/CN101918954B/zh active Active
- 2008-11-13 PL PL08870896T patent/PL2245573T3/pl unknown
- 2008-11-13 CA CA2712471A patent/CA2712471C/en active Active
- 2008-11-13 WO PCT/EP2008/065470 patent/WO2009089943A1/de active Application Filing
- 2008-11-13 AU AU2008347346A patent/AU2008347346B2/en active Active
- 2008-11-13 ES ES08870896.1T patent/ES2589050T3/es active Active
- 2008-11-13 EP EP08870896.1A patent/EP2245573B1/de active Active
- 2008-11-13 EP EP16170085.1A patent/EP3089061B1/de active Active
- 2008-11-13 US US12/811,549 patent/US9047455B2/en active Active
- 2008-11-13 JP JP2010542545A patent/JP5397917B2/ja active Active
- 2008-11-13 KR KR1020107017469A patent/KR101584510B1/ko active IP Right Grant
-
2015
- 2015-04-23 US US14/694,372 patent/US9398004B2/en active Active
-
2016
- 2016-06-09 US US15/177,389 patent/US10142324B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110147661A (zh) * | 2019-04-10 | 2019-08-20 | 珠海梅西互动技术有限公司 | 一种自动化设备权限管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110023103A1 (en) | 2011-01-27 |
| US20150256531A1 (en) | 2015-09-10 |
| CN101918954B (zh) | 2014-06-25 |
| EP3089061B1 (de) | 2017-07-05 |
| PL2245573T3 (pl) | 2017-04-28 |
| EP2245573A1 (de) | 2010-11-03 |
| JP2011510387A (ja) | 2011-03-31 |
| AU2008347346B2 (en) | 2014-05-22 |
| WO2009089943A1 (de) | 2009-07-23 |
| US20160294815A1 (en) | 2016-10-06 |
| CA2712471A1 (en) | 2009-07-23 |
| KR101584510B1 (ko) | 2016-01-22 |
| CA2712471C (en) | 2017-07-11 |
| US9398004B2 (en) | 2016-07-19 |
| US9047455B2 (en) | 2015-06-02 |
| ES2589050T3 (es) | 2016-11-08 |
| AU2008347346A1 (en) | 2009-07-23 |
| KR20100126291A (ko) | 2010-12-01 |
| EP3089061A1 (de) | 2016-11-02 |
| DE102008000067C5 (de) | 2012-10-25 |
| DE102008000067A1 (de) | 2009-07-23 |
| US10142324B2 (en) | 2018-11-27 |
| JP5397917B2 (ja) | 2014-01-22 |
| EP2245573B1 (de) | 2016-07-27 |
| DE102008000067B4 (de) | 2009-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101918954B (zh) | 从id标记卡读取属性的方法 | |
| JP5517314B2 (ja) | ソフトトークンを生成する方法、プログラム及びコンピュータシステム | |
| US9461990B2 (en) | Method for reading attributes from an ID token | |
| US8627437B2 (en) | Method for reading attributes from an ID token | |
| EP2003589B1 (en) | Authentication information management system, server, method and program | |
| US20100241571A1 (en) | System and method for cardless secure on-line credit card/debit card purchasing | |
| CN102959559A (zh) | 用于产生证书的方法 | |
| DE102013212646B4 (de) | Elektronisches Transaktionsverfahren und Computersystem | |
| JP4135151B2 (ja) | Rfidを用いたシングルサインオン方法及びシステム | |
| EP3014539A1 (de) | Elektronisches transaktionsverfahren und computersystem | |
| JP4671561B2 (ja) | Icカードの認証方法および認証システムおよびリーダライタシステム | |
| EP2819079B1 (de) | Elektronisches Transaktionsverfahren und Computersystem | |
| DE102013022444B4 (de) | Elektronisches Transaktionsverfahren und Computersystem | |
| DE102013022446B4 (de) | Elektronisches Transaktionsverfahren und Computersystem | |
| CA2658661A1 (en) | System and method for cardless secure on-line credit card/debit card purchasing | |
| KR20000050138A (ko) | 인터넷상에서의 사용자 인증을 위한 카드인식 제어장치 및그 인증방법 | |
| KR20140119335A (ko) | 보안용 외장 메모리를 이용한 휴대 단말기에서의 전자적 거래 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |