專利名稱:從id-令牌中讀取屬性的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種從ID-令牌中讀取至少一個屬性(屬性值)的方法�����、一種計算機(jī)程序產(chǎn)品�����、一種ID-令牌(ID-Token)和一種計算機(jī)系統(tǒng)���。
背景技術(shù):
現(xiàn)有技術(shù)已知許多用于管理所謂用戶的數(shù)字認(rèn)證的方法。Mcrosoft Windows CardSpace是基于客戶的數(shù)字認(rèn)證系統(tǒng)�����,其意圖是使互聯(lián)網(wǎng)用戶將其數(shù)字身份發(fā)送至在線服務(wù)商�。除了其它方面,該系統(tǒng)的缺點(diǎn)是用戶可操作其數(shù)字身份��。相反����,OPENID具有基于服務(wù)器的系統(tǒng)。所謂的身份服務(wù)器存儲具有注冊用戶的數(shù)字身份的數(shù)據(jù)庫�����。除了其它方面,該系統(tǒng)的缺點(diǎn)是���,由于用戶的數(shù)字身份集中存儲并且用戶特征可記錄�,而缺乏數(shù)據(jù)安全性��。US2007/0294431A1公開了一種用于管理數(shù)據(jù)身份的方法���,其要求用戶注冊�。在本申請時尚未公開的DE 102008000067. 1-31���、DE 102008040416. 0-31 和 DE 102008042262. 2_31�,也都提供了其基于令牌的認(rèn)證方法��,它們屬于同一個專利申請人�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種讀取至少一個屬性的改良方法����,以及相應(yīng)的計算機(jī)程序產(chǎn)品、ID-令牌和計算機(jī)系統(tǒng)����。本發(fā)明的目的可分別由獨(dú)立權(quán)利中記載的技術(shù)方案來實(shí)現(xiàn);而從屬權(quán)利要求中則給出了本發(fā)明的優(yōu)選實(shí)施方式�。本發(fā)明提供了一種從ID-令牌中讀取至少一個屬性的方法,其中ID-令牌分配給用戶�。本發(fā)明方法包括如下步驟針對ID-令牌來認(rèn)證用戶;針對ID-令牌來認(rèn)證第一計算機(jī)系統(tǒng)����;在成功認(rèn)證了用戶和第一計算機(jī)系統(tǒng)后,第一計算機(jī)系統(tǒng)讀取ID-令牌中存儲的至少一個屬性�,用于將該至少一個屬性傳輸給第二計算機(jī)系統(tǒng),并由第一計算機(jī)系統(tǒng)對該至少一個屬性生成時間指示����。通過以上步驟,建立“可信賴的鏈接”��。本發(fā)明中�����,第一計算機(jī)系統(tǒng)通過網(wǎng)絡(luò)���,特別是因特網(wǎng)�����,與ID-令牌建立聯(lián)系�����,可以讀取儲存在ID-令牌中的一個或者多個屬性���。該至少一個屬性��,可以為分配給ID-令牌的用戶身份���,特別是所謂的數(shù)字身份。例如�,第一計算機(jī)系統(tǒng)讀取屬性姓氏、名字��、地址���,再將屬性轉(zhuǎn)發(fā)給第二計算機(jī)系統(tǒng)(例如��,在線服務(wù)商)���。然而,也可讀取單一屬性����,該屬性并非為了建立用戶的身份,而是例如�,驗(yàn)證用戶的權(quán)利以使用特定的在線服務(wù),例如用戶的年齡(如果他希望使用面向特定年齡群體的在線服務(wù))���,或者另一種證明了授權(quán)使用在線服務(wù)的群體成員的用戶身份的屬性�。ID-令牌可以是可攜帶電子設(shè)備�,例如USB存儲器,或者是一個文件�����,特別是有價文件或者安全文件����。本發(fā)明中,“文件”可以理解為根據(jù)本發(fā)明所制作的紙質(zhì)和/或塑膠質(zhì)文件����,例如證明文件�����,特別是護(hù)照���、身份證、簽證以及駕照�、機(jī)動車執(zhí)照、機(jī)動車車證�、公司證明、健康卡或者其它ID文件以及IC卡�、支付工具,特別是銀行卡和信用卡或者其它整合了用于儲存至少一個屬性的數(shù)據(jù)存儲器的權(quán)利證明�。根據(jù)本發(fā)明一具體實(shí)施方式
,其特別優(yōu)勢在于���,可以從特別可信賴的文件���,例如官方文件中,讀取至少一個屬性�。其同時具有的特別優(yōu)勢為,不需要集中存儲屬性���。本發(fā)明實(shí)現(xiàn)了數(shù)字身份所屬的屬性的高可信賴度���,通過外部簡便的手動操作可以實(shí)現(xiàn)最佳的數(shù)據(jù)保護(hù)���。根據(jù)本發(fā)明一實(shí)施方式�����,第一計算機(jī)系統(tǒng)至少具有一個證書����,用來針對ID-令牌認(rèn)證第一計算機(jī)系統(tǒng)。證書包括屬性的資料�����,第一計算機(jī)系統(tǒng)具有閱讀權(quán)���。通過該證書�, ID-令牌在第一計算機(jī)系統(tǒng)執(zhí)行讀取程序前��,檢測第一計算機(jī)系統(tǒng)是否具有讀取屬性的權(quán)利�����。這里的“證書”代表數(shù)字證書,其術(shù)語為公共鑰匙證書�。證書為結(jié)構(gòu)化數(shù)據(jù),用于對例如個人或設(shè)備的身份分配不對稱密碼系統(tǒng)的公共鑰匙��。例如�����,該證書可符合X. 509標(biāo)準(zhǔn)或其它標(biāo)準(zhǔn)���。根據(jù)本發(fā)明一具體實(shí)施方式
�,第一計算機(jī)系統(tǒng)直接向第二計算機(jī)系統(tǒng)發(fā)送至少一個從ID-令牌讀取的屬性�。第二計算機(jī)系統(tǒng)可以是,例如�,用于提供在線服務(wù)的服務(wù)器,或者其它服務(wù)例如銀行服務(wù)或訂制產(chǎn)品的服務(wù)器�����。例如����,用戶可在線開賬戶,為此包含用戶身份的屬性從第一計算機(jī)系統(tǒng)發(fā)送至銀行的第二計算機(jī)系統(tǒng)。根據(jù)本發(fā)明一具體實(shí)施方式
���,第一計算機(jī)系統(tǒng)將從ID-令牌讀取的屬性先發(fā)送給用戶的第三計算機(jī)系統(tǒng)���。例如,第三計算機(jī)系統(tǒng)具有普通的網(wǎng)絡(luò)瀏覽器��,借助該瀏覽器用戶可打開第二計算機(jī)系統(tǒng)的網(wǎng)頁����。用戶可向該網(wǎng)頁內(nèi)輸入服務(wù)或者產(chǎn)品的請求或訂單����。這里的第二計算機(jī)系統(tǒng)指定這些例如用戶的或者其ID-令牌的屬性,其需要該屬性以提供服務(wù)或者接受訂單�。相應(yīng)的包括屬性的說明的屬性清單,隨后從第二計算機(jī)系統(tǒng)發(fā)送至第一計算機(jī)系統(tǒng)�。該發(fā)送可帶有與第三計算機(jī)系統(tǒng)的相互連接,也可不帶有與第三計算機(jī)系統(tǒng)的相互連接�����。在后一種情況中����,用戶可針對第二計算機(jī)系統(tǒng)指定需要的第一計算機(jī)系統(tǒng)�,例如通過從第三計算機(jī)系統(tǒng)向第二計算機(jī)系統(tǒng)的網(wǎng)頁輸入第一計算機(jī)系統(tǒng)的網(wǎng)址(URL)����。根據(jù)本發(fā)明一具體實(shí)施方式
,用戶對第二計算機(jī)系統(tǒng)的服務(wù)請求包括指定標(biāo)識符��,其中標(biāo)識符識別第一計算機(jī)系統(tǒng)��。例如��,該標(biāo)識符可為鏈接(例如第一計算機(jī)系統(tǒng)的 URL) ο根據(jù)本發(fā)明一具體實(shí)施方式
��,屬性清單并非從第二計算機(jī)系統(tǒng)直接發(fā)到第一計算機(jī)系統(tǒng)�����,而是先從第二計算機(jī)系統(tǒng)發(fā)送到第三計算機(jī)系統(tǒng)����。該第三計算機(jī)系統(tǒng)具有多個預(yù)先定義的配置數(shù)據(jù)記錄(Konfigurationsdatensaetze);其中第三計算機(jī)系統(tǒng)具有多個預(yù)先定義的配置數(shù)據(jù)記錄�����;其中每個配置數(shù)據(jù)記錄指定屬性的子庫、至少一個數(shù)據(jù)源���、至少一個來自第一計算機(jī)系統(tǒng)集合的第一計算機(jī)系統(tǒng)����;其中該屬性清單首先從第二計算機(jī)系統(tǒng)發(fā)送至第三計算機(jī)系統(tǒng)���,使得借助第三計算機(jī)系統(tǒng)選擇至少一個指定了屬性子集的配置數(shù)據(jù)記錄�����,該屬性子集包括屬性清單指定的至少一個屬性��;其中第三計算機(jī)系統(tǒng)將屬性清單轉(zhuǎn)發(fā)至第一計算機(jī)系統(tǒng),第三計算機(jī)系統(tǒng)與ID-令牌之間建立連接�����,該ID-令牌由選定的配置數(shù)據(jù)記錄中指定的數(shù)據(jù)源指定��。
根據(jù)本發(fā)明一具體實(shí)施方式
�����,從ID-令牌中讀取的屬性由第一計算機(jī)系統(tǒng)簽字, 然后發(fā)送至第三計算機(jī)系統(tǒng)����。第三計算機(jī)系統(tǒng)的用戶可以讀取該屬性,但是不能修改��。只有用戶發(fā)布(Freigabe)之后���,屬性從第三計算機(jī)系統(tǒng)轉(zhuǎn)發(fā)至第二計算機(jī)系統(tǒng)�。根據(jù)本發(fā)明一具體實(shí)施方式
��,用戶可在屬性轉(zhuǎn)發(fā)之前�����,向?qū)傩匝a(bǔ)充其它數(shù)據(jù)���。根據(jù)本發(fā)明一具體實(shí)施方式
�����,第一計算機(jī)系統(tǒng)具有多個證書�����,該多個證書具有不同讀取權(quán)利�。接收屬性清單之后,第一計算機(jī)系統(tǒng)選擇一個或多個證書���,以從該ID-令牌中或者從幾個不同的ID-令牌中讀取相應(yīng)的屬性�。根據(jù)本發(fā)明一具體實(shí)施方式
���,第三計算機(jī)系統(tǒng)具有至少一個配置數(shù)據(jù)記錄���,其指定了外部數(shù)據(jù)源,該外部數(shù)據(jù)源用于通過網(wǎng)絡(luò)從第三計算機(jī)系統(tǒng)詢問其它屬性��。根據(jù)本發(fā)明一具體實(shí)施方式
��,在該至少一個屬性從ID-令牌中讀取之后����,并且在第三計算機(jī)系統(tǒng)已從第一計算機(jī)系統(tǒng)接收到該至少一個屬性之后��,進(jìn)行其它屬性的詢問�����, 其中,該詢問包括該至少一個屬性�����。由于基于時間指示���,由第一計算機(jī)系統(tǒng)從ID-令牌中讀取的至少一個屬性可具有暫時有效性���,所以本發(fā)明的實(shí)施方式具有特別的優(yōu)勢。例如���,該至少一個屬性由第一計算機(jī)系統(tǒng)帶有時戳提供�,該時戳指示了從ID-令牌中讀取屬性的時間����,或者第一計算機(jī)系統(tǒng)發(fā)送該屬性的時間。例如��,第一計算機(jī)系統(tǒng)生成了包括有至少一個屬性及其時戳的信息�。作為對從第二計算機(jī)系統(tǒng)接收的屬性清單的回應(yīng),第一計算機(jī)系統(tǒng)發(fā)送該信息����。該信息可設(shè)計為��,例如所謂的軟令牌�����。該信息從時戳提供的時間開始具有最大期限的有效性��。例如�,有效性的期限可為幾秒鐘或者幾分鐘��,優(yōu)選為不超過從第一計算機(jī)系統(tǒng)到第二計算機(jī)系統(tǒng)之間的信息傳輸所需的典型的時間范圍�。這樣可以避免信息的誤用,例如����, 通過暴力攻擊試圖操縱信息。這種暴力攻擊名義上需要更長的時間�����,在這個時間過期之后�����, 該信息已經(jīng)無效���。根據(jù)本發(fā)明另一具體實(shí)施方式
����,時間指示為信息的最大有效性���,這意味著例如由第一計算機(jī)系統(tǒng)生成的軟令牌�。其具有的優(yōu)勢為�,可靠實(shí)體即第一計算機(jī)系統(tǒng)可自己決定信息有效的最大時間期限。根據(jù)本發(fā)明一具體實(shí)施方式
��,第二計算機(jī)系統(tǒng)基于從第三計算機(jī)系統(tǒng)接收的請求生成交易標(biāo)識符���,特別是所謂的交易碼(TAN)����。該交易標(biāo)識符與屬性清單一起��,由第二計算機(jī)系統(tǒng)發(fā)送至第一計算機(jī)系統(tǒng)���。在本實(shí)施方式中�,第一計算機(jī)系統(tǒng)生成的信息除了至少一個已簽字的屬性和時間指示,也包括該交易標(biāo)識符�����,其優(yōu)選為已簽字的交易標(biāo)識符����。當(dāng)?shù)诙嬎銠C(jī)系統(tǒng)從第一計算機(jī)系統(tǒng)接收到該信息,其可以通過使用該信息的交易標(biāo)識符��,將該信息��、從第三計算機(jī)系統(tǒng)接收的請求�、以及和該信息一起接收的至少一個屬性分配給第三計算機(jī)系統(tǒng)和/或其ID-令牌。本發(fā)明中�����,“交易標(biāo)識符”表示每一能將從第二計算機(jī)系統(tǒng)發(fā)送至第一計算機(jī)系統(tǒng)的屬性清單歸屬于(分配給)由第二計算機(jī)系統(tǒng)所接收信息的標(biāo)志��。交易標(biāo)識符可為標(biāo)識符��,特別是所謂的唯一標(biāo)識符或者全球唯一標(biāo)識符(GUID)��。另一方面��,本發(fā)明還涉及一種計算機(jī)程序產(chǎn)品,特別是一種數(shù)字存儲媒介����,其具有計算機(jī)系統(tǒng)可執(zhí)行的指令����,用來執(zhí)行根據(jù)本發(fā)明的方法。根據(jù)本發(fā)明一具體實(shí)施方式
�,使用了一種ID-令牌,其包括受保護(hù)的存儲區(qū)并儲存了至少一個屬性�����;認(rèn)證分配了 ID-令牌的用戶和ID-令牌之間關(guān)系的認(rèn)證工具(手段)����; 認(rèn)證第一計算機(jī)系統(tǒng)和ID-令牌之間關(guān)系的認(rèn)證工具;與第一計算機(jī)系統(tǒng)建立受保護(hù)的聯(lián)系(連接)的工具���,第一計算機(jī)系統(tǒng)通過受保護(hù)的聯(lián)系至少可以讀取一個屬性��;第一計算機(jī)系統(tǒng)從ID-令牌中讀取至少一個屬性的必要條件是針對ID-令牌成功認(rèn)證了用戶和第一計算機(jī)系統(tǒng)��。除了針對ID-令牌認(rèn)證第一計算機(jī)系統(tǒng)����,例如象所謂的機(jī)器可讀旅行文件(MRTD) 并由國際航空協(xié)會(ICAO)所選定的擴(kuò)展訪問控制,用戶必須針對ID-令牌認(rèn)證其自身��。例如�,針對ID-令牌成功認(rèn)證用戶后,打開令牌以使下一步��,名義上為針對ID-令牌認(rèn)證第一計算機(jī)系統(tǒng)和/或生成用于讀取屬性的受保護(hù)連接可以執(zhí)行�����。根據(jù)本發(fā)明一具體實(shí)施方式
���,ID-令牌具有用于端對端加密的工具���。它可以確保在第一計算機(jī)系統(tǒng)和ID-令牌之間通過用戶的第三計算機(jī)系統(tǒng)建立聯(lián)系,因?yàn)橛脩粼诙藢Χ说募用芑A(chǔ)上不能對通過該聯(lián)系傳輸過來的數(shù)據(jù)進(jìn)行修改���。又一方面�,本發(fā)明還涉及一種第一計算機(jī)系統(tǒng)�����,其包括通過網(wǎng)絡(luò)接收屬性清單的工具,其中�,屬性清單指定了至少一條屬性;針對ID-令牌認(rèn)證第一計算機(jī)系統(tǒng)的工具���;通過受保護(hù)的網(wǎng)絡(luò)讀取至少一個屬性的工具�;對于至少一個屬性生成時間指示的工具�����,其中讀取至少一個屬性的先決條件為分配給ID-令牌的用戶已針對ID-令牌進(jìn)行了驗(yàn)證���。根據(jù)本發(fā)明一具體實(shí)施方式
,第一計算機(jī)系統(tǒng)可包括用于對用戶生成提示的工具����。在第一計算機(jī)系統(tǒng)接收到屬性清單之后(例如,從第二計算機(jī)系統(tǒng))����,其向用戶的第三計算機(jī)系統(tǒng)發(fā)送請求,以提示用戶針對ID-令牌進(jìn)行認(rèn)證����。在用戶針對ID-令牌成功認(rèn)證之后���,第一計算機(jī)系統(tǒng)收到來自第三計算機(jī)系統(tǒng)的確認(rèn)。然后第一計算機(jī)系統(tǒng)針對ID-令牌進(jìn)行認(rèn)證����,并且在ID-令牌和第一計算機(jī)系統(tǒng)之間建立端對端加密的受保護(hù)的連接。根據(jù)本發(fā)明一具體實(shí)施方式
���,第一計算機(jī)系統(tǒng)具有多個證書�����,每個證書指定不同的讀取權(quán)利��。接收到屬性清單之后���,第一計算機(jī)系統(tǒng)選擇具有足夠讀取權(quán)利的至少一個證書,以讀取指定的屬性���。根據(jù)本發(fā)明之第一計算機(jī)系統(tǒng)的具體實(shí)施方式
具有特別優(yōu)勢�����,因?yàn)?�,與針對 ID-令牌認(rèn)證用戶的必要性結(jié)合��,其對用戶的純數(shù)字身份形成了可信賴的鏈接��。其特別優(yōu)勢在于���,不需要用戶針對計算機(jī)系統(tǒng)進(jìn)行提前注冊����,也不需要形成數(shù)字身份的用戶屬性的集中存儲��。根據(jù)本發(fā)明一具體實(shí)施方式
�����,第一計算機(jī)系統(tǒng)接收到第二計算機(jī)系統(tǒng)的標(biāo)識符��, 以及屬性清單����。借助于該標(biāo)識符����,第一計算機(jī)系統(tǒng)識別第二計算機(jī)系統(tǒng)�,以便使用識別服務(wù)時使第二計算機(jī)系統(tǒng)承擔(dān)該服務(wù)�。根據(jù)本發(fā)明一具體實(shí)施方式
,第一計算機(jī)系統(tǒng)為官方認(rèn)證的信任中心�����,特別是符合《數(shù)字簽名法》的信任中心�。下面借助附圖,來詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施方式�。其中
圖1是根據(jù)本發(fā)明一具體實(shí)施方式
的計算機(jī)系統(tǒng)的方框圖;圖2是根據(jù)本發(fā)明一具體實(shí)施方式
之方法的流程圖�;圖3是根據(jù)本發(fā)明另一具體實(shí)施方式
的計算機(jī)系統(tǒng)的方框圖4是根據(jù)本發(fā)明另一具體實(shí)施方式
之方法的流程圖。
具體實(shí)施例方式下面的具體實(shí)施方式
中��,相應(yīng)的元件采用相同的代碼�。圖1顯示的是用戶102的計算機(jī)系統(tǒng)100。計算機(jī)系統(tǒng)100可以是個人電腦�,可攜帶電腦例如筆記本或者掌上電腦,私人數(shù)字助理����,移動電信設(shè)備,特別是智能手機(jī)或者之類的產(chǎn)品���。用戶計算機(jī)系統(tǒng)100具有一個接口 104�����,用于與ID-令牌106進(jìn)行通訊����,ID-令牌 106也配備了相應(yīng)的接口 108。用戶計算機(jī)系統(tǒng)100至少具有一個處理器110��,用于執(zhí)行程序指令112�。用戶計算機(jī)系統(tǒng)100還具有一個網(wǎng)絡(luò)接口 114,用于通過網(wǎng)絡(luò)116進(jìn)行通訊����。該網(wǎng)絡(luò)可以是計算機(jī)網(wǎng)絡(luò),例如互聯(lián)網(wǎng)����。ID-令牌106具有帶受保護(hù)的存儲區(qū)120�、122和124的電子存儲器118。受保護(hù)的存儲區(qū)120用于儲存針對ID-令牌106認(rèn)證用戶102的參比值�。例如,參比值是一個標(biāo)記����, 特別是所謂的個人識別碼(PIN)���,或者是可以用來針對ID-令牌106認(rèn)證用戶的用戶102的生物特征的參考數(shù)據(jù)。受保護(hù)的儲存區(qū)122用于儲存私人密碼�,受保護(hù)的儲存區(qū)IM用于儲存與用戶102 相關(guān)的屬性,例如其姓名���、住址�����、出生日期��、性別和/或與ID-令牌106相關(guān)的屬性��,例如 ID-令牌生成或發(fā)出的機(jī)構(gòu)��、ID-令牌的有效期限�、護(hù)照號碼或者信用卡號碼��。電子存儲器118可以進(jìn)一步包括存儲區(qū)126�,用于儲存證書。證書包括一個公共密碼鑰匙���,它在受保護(hù)的存儲區(qū)122中分配給儲存了的私人密碼鑰匙��。證書可以根據(jù)公共密碼鑰匙基礎(chǔ)設(shè)施O3KI)標(biāo)準(zhǔn)來生成�,例如根據(jù)X. 509標(biāo)準(zhǔn)。證書并不一定必須儲存在ID-令牌106的電子存儲器118中�����。另一種方案���,證書可以儲存在公共目錄服務(wù)器中�。ID-令牌106具有處理器128���。處理器1 用于執(zhí)行程序指令130��、132和134�����。程序指令130用于進(jìn)行用戶認(rèn)證,也就是說用于針對ID-令牌認(rèn)證用戶102��。在具有PIN的具體實(shí)施方式
中���,用戶102例如通過用戶計算機(jī)系統(tǒng)100輸入他的 PIN���,用于完成針對ID-令牌106的認(rèn)證���。通過執(zhí)行程序指令130就可以讀取受保護(hù)的存儲區(qū)120,將輸入的PIN與儲存在那里的PIN的參比值進(jìn)行對比���。如果輸入的PIN與PIN的參比值一致����,則用戶102的認(rèn)證得以通過�。另一種方案是,捕捉用戶102的生物特征����。例如,ID-令牌106具有一個指紋感應(yīng)器或者將指紋感應(yīng)器與用戶計算機(jī)系統(tǒng)100相連�。在這種具體實(shí)施方式
中,通過執(zhí)行程序指令130�,將從用戶102處捕捉到的生物數(shù)據(jù)與儲存在有保護(hù)存儲區(qū)120中的生物參照數(shù)據(jù)相比對。如果從用戶102處捕捉到的生物數(shù)據(jù)與生物參考數(shù)據(jù)一致���,則用戶102的認(rèn)證得以通過���。程序指令134用于執(zhí)行密碼協(xié)議中與ID-令牌106相關(guān)的步驟�����,以針對ID-令牌 106來認(rèn)證ID提供者計算機(jī)系統(tǒng)136�。密碼協(xié)議可以是基于對稱密碼或者不對稱密碼的口令-應(yīng)答協(xié)議�。例如,通過密碼協(xié)議可以執(zhí)行外部準(zhǔn)人方法��,例如國際空運(yùn)機(jī)關(guān)(ICAO)特有的機(jī)器可讀取旅行文件����。成功執(zhí)行密碼協(xié)議后,就可以針對ID-令牌認(rèn)證ID提供者計算機(jī)系統(tǒng)136�,證明了可閱讀權(quán)限后才可以讀取儲存在受保護(hù)存儲區(qū)124中的屬性。認(rèn)證也可以是反向的�,也就是說,必須根據(jù)相同或其它密碼協(xié)議�����,針對ID提供者計算機(jī)系統(tǒng)136認(rèn)證ID-令牌 106��。程序指令132用于為ID-令牌106與ID提供者計算機(jī)系統(tǒng)136之間的數(shù)據(jù)傳輸進(jìn)行端對端的加密�,至少是對ID提供者計算機(jī)系統(tǒng)136從受保護(hù)存儲區(qū)IM處讀取的屬性進(jìn)行加密。端對端的加密可以利用對稱密碼鑰匙����,例如商議允許執(zhí)行ID-令牌106與ID提供者計算機(jī)系統(tǒng)136之間的密碼協(xié)議。與圖1所顯示的具體實(shí)施方式
不同的方案是����,帶接口 104的用戶計算機(jī)系統(tǒng)100 與接口 108之間不是直接通訊,而是通過與接口 104相連的用于ID-令牌106的讀取器進(jìn)行通訊���。通過這個讀取器也可以輸入PIN���,例如所謂的2級芯片卡終端。ID提供者計算機(jī)系統(tǒng)136具有網(wǎng)絡(luò)接口 138用于執(zhí)行通過網(wǎng)絡(luò)116的通訊����。另夕卜,ID提供者計算機(jī)系統(tǒng)136具有存儲器140���,其中儲存了 ID提供者計算機(jī)系統(tǒng)136的私人密碼鑰匙142以及相應(yīng)的證書144�。同樣���,證書可以根據(jù)公共密碼鑰匙基礎(chǔ)設(shè)施(H(I)標(biāo)準(zhǔn)來生成���,例如根據(jù)X. 509標(biāo)準(zhǔn)�����。ID提供者計算機(jī)系統(tǒng)136還至少具有一個處理器145�,用來執(zhí)行程序指令146和 148����。通過執(zhí)行程序指令146可以執(zhí)行密碼協(xié)議中與ID提供者計算機(jī)系統(tǒng)136相關(guān)的步驟。 總的來說��,通過執(zhí)行程序指令134�,ID-令牌106的處理器1 執(zhí)行密碼協(xié)議;通過執(zhí)行程序指令146��,ID提供者計算機(jī)系統(tǒng)136的處理器145執(zhí)行密碼協(xié)議�。程序指令148用于在ID提供者計算機(jī)系統(tǒng)136這一邊執(zhí)行端對端加密,例如基于對稱密碼鑰匙�,商議允許執(zhí)行ID-令牌106與ID提供者計算機(jī)系統(tǒng)136之間的密碼協(xié)議。 原則上來說��,可以應(yīng)用熟知的用于協(xié)議端對端加密的對稱密碼鑰匙的程序�,例如迪菲-赫爾曼密鑰交換。ID提供者計算機(jī)系統(tǒng)136優(yōu)選放在一個特別受保護(hù)的環(huán)境�,例如所謂的信任中心 (Trust-Center)����。這樣�,ID提供者計算機(jī)系統(tǒng)136在針對ID-令牌106認(rèn)證用戶102后���, 形成驗(yàn)證需要的可信賴的鏈接����,以從ID-令牌106中讀取屬性�����。ID提供者計算機(jī)系統(tǒng)136同時具有時間基礎(chǔ)174�,例如,其提供一天的當(dāng)前時間���。 該時間基礎(chǔ)174可為系統(tǒng)時鐘����。該時間基礎(chǔ)174持續(xù)發(fā)送當(dāng)前的時間指示��,例如作為UNIX 時間����。處理器145用于執(zhí)行程序指令172����,借助于時間基礎(chǔ)174���,其對于ID提供者計算機(jī)系統(tǒng)從ID-令牌中讀取的至少一個屬性生成時戳(timestamp)�。例如��,程序指令172如此設(shè)置ID提供者計算機(jī)系統(tǒng)136在其接收的時刻�����,提供從ID-令牌106中讀取的屬性和時戳���, 以給出接收的時間�?���?蛇x地或除此之外,ID提供者計算機(jī)系統(tǒng)136從ID-令牌106中接收的屬性和時戳一起提供����,該時戳提供了包括該屬性的信息的發(fā)送時間�����,例如�,從ID提供者計算機(jī)系統(tǒng) 136中以軟令牌的形式提供���。程序指令172也可如此設(shè)置將帶有將來時間指示的時戳分配給從ID-令牌106 中讀取的屬性。該時間指示提供了包括該屬性的信息的有效性的最大期限�,其由ID提供者計算機(jī)系統(tǒng)136生成(例如,由ID提供者計算機(jī)系統(tǒng)136生成的軟令牌)�。在這種情況下,屬性的時戳可指示ID提供者計算機(jī)系統(tǒng)接受屬性的時間�、或者信息生成或者發(fā)送的時間幾秒鐘或幾分鐘之后的時間點(diǎn)。服務(wù)器計算機(jī)系統(tǒng)150可設(shè)計為接收服務(wù)或者產(chǎn)品的訂單或合同��,特別是在線服務(wù)商����。例如,用戶102可通過網(wǎng)絡(luò)116在線開一個銀行賬戶�,或者使用其它財務(wù)或銀行服務(wù)。 服務(wù)器計算機(jī)系統(tǒng)150也可設(shè)計為倉儲式在線平臺���,以使用戶102可以例如在線獲得移動電話或者之類產(chǎn)品���。服務(wù)器計算機(jī)系統(tǒng)150也可設(shè)計為傳輸數(shù)字內(nèi)容����,例如�,下載音樂和或 /視頻數(shù)據(jù)。為了這個目的�,服務(wù)器計算機(jī)系統(tǒng)150具有一個網(wǎng)絡(luò)接口 152,用來與網(wǎng)絡(luò)116之間建立聯(lián)系�����。進(jìn)一步地�����,服務(wù)器計算機(jī)系統(tǒng)150還具有一個處理器154����,用于執(zhí)行程序指令 156。通過執(zhí)行程序指令156����,例如,生成動態(tài)HTML頁面,通過該動態(tài)HTML頁面用戶可以輸入他的合同或者訂單�����。取決于已簽合同或者訂單的產(chǎn)品或服務(wù)的類型��,服務(wù)器計算機(jī)系統(tǒng)150必須驗(yàn)證用戶102的一個或多個屬性和/或其使用一個或多個預(yù)先設(shè)置的標(biāo)準(zhǔn)的令牌106���。只有該驗(yàn)證通過�,用戶102的訂單或合同才接受和/或執(zhí)行����。例如�����,為了按照相關(guān)合同開銀行賬戶或者購買移動電話�����,用戶102必須對服務(wù)器計算機(jī)系統(tǒng)150公開其身份����,并且該身份必須通過驗(yàn)證。為了這個目的,現(xiàn)有技術(shù)中例如����, 用戶102必須提供其身份證。該步驟由從用戶102的ID-令牌106中讀取其數(shù)字身份代替�。取決于使用情況,用戶102不需要對服務(wù)器計算機(jī)系統(tǒng)150公開其身份���,而滿足于傳輸例如��,僅僅一個屬性����。例如�,用戶102可通過屬性之一生成信息,即其屬于授權(quán)使用服務(wù)器計算機(jī)系統(tǒng)150上待下載數(shù)據(jù)的特殊人群��。這種標(biāo)準(zhǔn)可為用戶102的最小年紀(jì)或者授權(quán)使用特殊機(jī)密數(shù)據(jù)的人群內(nèi)的用戶102的成員資格�����。處理器154也用于執(zhí)行程序指令176�����、178、180����。通過執(zhí)行程序指令176,對用戶期望的交易即其合同或訂單�����,分配交易碼(TAN)�。通過執(zhí)行程序指令178,服務(wù)器計算機(jī)系統(tǒng)150可驗(yàn)證ID提供者計算機(jī)系統(tǒng)136 接收的信息的簽字有效性����。通過執(zhí)行程序指令180也可驗(yàn)證這種回應(yīng)的期限的有效性,即信息有效性的期限是否過期����。為了這個目的�,通過執(zhí)行程序指令可使用服務(wù)器計算機(jī)系統(tǒng) 150的時間基礎(chǔ)182,該時間基礎(chǔ)182與ID提供者計算機(jī)系統(tǒng)136的時間基礎(chǔ)174同步����。服務(wù)器計算機(jī)系統(tǒng)150還包括存儲器184,用于存儲分配的對話ID和交易碼����,例如�,以列表186的形式存儲��。對于使用由服務(wù)器計算機(jī)系統(tǒng)150所提供服務(wù)的用戶102��,可產(chǎn)生如下步驟1��、用戶102打開其用戶計算機(jī)系統(tǒng)100的瀏覽器程序���,輸入服務(wù)器計算機(jī)系統(tǒng)150 之網(wǎng)站的網(wǎng)頁地址URL��。用戶計算機(jī)系統(tǒng)100和服務(wù)器計算機(jī)系統(tǒng)150之間建立了連接�,并分配對話ID�����。相關(guān)網(wǎng)站從服務(wù)器計算機(jī)系統(tǒng)150傳輸至用戶計算機(jī)系統(tǒng)100����,并借助瀏覽器顯示。用戶102隨后可以選擇該網(wǎng)站的特定服務(wù)����,并驅(qū)動輸入密鑰����。然后用戶計算機(jī)系統(tǒng)100生成服務(wù)請求164����,并將其傳輸至服務(wù)器計算機(jī)系統(tǒng)150。通過執(zhí)行程序指令176將交易碼TAN分配至該服務(wù)請求164�����。屬于該服務(wù)請求164的對話ID與該交易碼TAN —起存儲于列表186中�����。通過執(zhí)行程序指令156隨后生成屬性清單166���,該屬性清單166包括用戶102的屬性的說明����,服務(wù)器計算機(jī)系統(tǒng)150對于服務(wù)請求164請求服務(wù)的條款需要該說明��。進(jìn)一步地����,該屬性清單166也包括分配給服務(wù)請求164的交易碼TAN和/或其對話ID。
帶有交易碼TAN的屬性說明166由服務(wù)器計算機(jī)系統(tǒng)150間接通過用戶計算機(jī)系統(tǒng)100或直接通過網(wǎng)絡(luò)116傳輸至ID提供者計算機(jī)系統(tǒng)136�����。2�、針對ID-令牌106認(rèn)證用戶102針對ID-令牌106認(rèn)證用戶102。在帶有PIN的實(shí)現(xiàn)方式中��,用戶102通過用戶計算機(jī)系統(tǒng)100或者與其連接的IC卡終端輸入他的PIN�。通過執(zhí)行程序指令130,ID-令牌 106檢驗(yàn)輸入的PIN的正確性��。如果輸入的PIN與儲存在受保護(hù)存儲區(qū)120中的PIN參比值一致�,則用戶102通過認(rèn)證。相類似的��,如果將用戶102的生物特征用于其中的認(rèn)證����,步驟也跟以上所述一樣。3��、針對ID-令牌106認(rèn)證ID提供者計算機(jī)系統(tǒng)136為了這個目的�����,ID提供者計算機(jī)系統(tǒng)136與ID-令牌106之間通過用戶計算機(jī)系統(tǒng)100和網(wǎng)絡(luò)116建立聯(lián)系。例如�,ID提供者計算機(jī)系統(tǒng)136通過該聯(lián)系將證書144傳輸給ID-令牌106。之后��,通過程序指令134生成所謂的挑戰(zhàn)�,也就是一個隨機(jī)數(shù)。這個隨機(jī)數(shù)與證書144中包含的ID提供者計算機(jī)系統(tǒng)136的公共密碼鑰匙一起加密�����。得出的密文則由ID-令牌106通過聯(lián)系發(fā)送給ID提供者計算機(jī)系統(tǒng)136����。ID提供者計算機(jī)系統(tǒng)136 借助其私人密碼鑰匙142解密密文,得到隨機(jī)數(shù)����。ID提供者計算機(jī)系統(tǒng)136再通過該聯(lián)系將隨機(jī)數(shù)發(fā)送回ID-令牌106。通過執(zhí)行程序指令134就可以檢驗(yàn)從ID提供者計算機(jī)系統(tǒng) 136接收的隨機(jī)數(shù)與原始生成的隨機(jī)數(shù)��,也就是挑戰(zhàn)�����,是否一致。如果一致�����,ID提供者計算機(jī)系統(tǒng)136就通過ID-令牌106的認(rèn)證��。隨機(jī)數(shù)可以是用于端對端加密的對稱密碼��。4���、在針對ID-令牌106成功認(rèn)證了用戶102和ID提供者計算機(jī)系統(tǒng)136之后,ID 提供者計算機(jī)系統(tǒng)136得到讀取權(quán)��,可以讀取一個��、多個或者所有儲存在受保護(hù)存儲區(qū)124 里的屬性��。根據(jù)相應(yīng)的ID提供者計算機(jī)系統(tǒng)136通過聯(lián)系發(fā)送給ID-令牌106的讀取命令��,從受保護(hù)的存儲區(qū)1 讀取出要求的屬性�,并通過執(zhí)行程序指令132進(jìn)行加密。加密屬性188則通過該聯(lián)系發(fā)送給ID提供者計算機(jī)系統(tǒng)136��,并在那里通過執(zhí)行程序指令148進(jìn)行解密�����。ID提供者計算機(jī)系統(tǒng)136由此得到從ID-令牌106讀取出的屬性的內(nèi)容。5����、這些屬性由ID提供者計算機(jī)系統(tǒng)136借助其證書144以及其私鑰142簽字。除此之外�,借助時間基礎(chǔ)174,通過執(zhí)行程序指令172����,對這些屬性生成時戳。與屬性清單166 一起接收的時戳和TAN�,也由ID提供者計算機(jī)系統(tǒng)136簽字。例如�����,屬性��、時戳�����、TAN均單獨(dú)簽字����?���?蛇x地��,生成包括屬性�、時戳�、TAN的回應(yīng)170。然后對回應(yīng)170全部簽字�。回應(yīng)170從ID提供商計算機(jī)系統(tǒng)136通過用戶計算機(jī)系統(tǒng)100或者直接傳輸?shù)椒?wù)器計算機(jī)系統(tǒng)150�����。然后���,服務(wù)器計算機(jī)系統(tǒng)150驗(yàn)證回應(yīng)170的簽字有效性��。服務(wù)器計算機(jī)系統(tǒng)150也通過執(zhí)行程序指令180�,驗(yàn)證回應(yīng)170是否有效�����。為了這個目的,其驗(yàn)證時戳提供的有效性的最大期限是否到期���。通過執(zhí)行程序指令156也進(jìn)入列表186�,以使用包含于回應(yīng)170中的TAN識別相應(yīng)的對話ID�。這樣,服務(wù)器計算機(jī)系統(tǒng)150可以使與回應(yīng)170 —起接收的屬性和各自的對話ID 關(guān)聯(lián)��。如果簽字有效��,并且回應(yīng)170的有效性未過期��,服務(wù)器計算機(jī)系統(tǒng)150可以隨后對用戶102提供服務(wù)請求164中要求的服務(wù)���,該服務(wù)提供到和回應(yīng)170 —起接收的用戶102的屬性允許的程度��。ID提供者計算機(jī)系統(tǒng)136生成的信息���,即回應(yīng)170,可設(shè)計為例如所謂的軟令牌�。針對ID-令牌106成功認(rèn)證用戶102以及ID提供者計算機(jī)系統(tǒng)136的必要性,會形成必要的可信賴的鏈接����。這樣�����,服務(wù)器計算機(jī)系統(tǒng)150就可以確定�����,ID提供者計算機(jī)系統(tǒng)136發(fā)送的用戶102的屬性是正確的還是錯誤的��。根據(jù)本發(fā)明一具體實(shí)施方式
,認(rèn)證順序會有所不同����。例如,可以設(shè)置成首先必須先針對ID-令牌106認(rèn)證用戶102����,接著認(rèn)證ID提供者計算機(jī)系統(tǒng)136,原則上來說也可以先針對ID-令牌106認(rèn)證ID提供者計算機(jī)系統(tǒng)136�����,再認(rèn)證用戶102�����。在第一種情況下,用戶102必須輸入正確的PIN或者正確的生物特征后才能打開 ID-令牌106���。這一步之后才能開始程序指令132和134�,并由此來認(rèn)證ID提供者計算機(jī)系統(tǒng) 136���。在第二種情況下�����,用戶102還沒有針對ID-令牌106認(rèn)證前��,也可以先執(zhí)行程序指令132和134����。在這種情況下���,程序指令130將對用戶102的成功認(rèn)證發(fā)出信號后��,就可以執(zhí)行程序指令134����,ID提供者計算機(jī)系統(tǒng)136就可以對受保護(hù)的存儲區(qū)IM進(jìn)行讀取�,讀取出一個或者多個屬性���。ID-令牌的使用對于例如E-商務(wù)應(yīng)用或者E-管理應(yīng)用,具有特別的優(yōu)勢�����,由于針對ID-令牌106成功認(rèn)證用戶102以及ID提供者計算機(jī)系統(tǒng)136的必要性形成可信賴的鏈接�,其避免了安全缺口,并且法律上安全����。另一個特別的優(yōu)勢在于,不需要不同用戶102 的屬性的集中存儲器����,因此本領(lǐng)域的現(xiàn)有技術(shù)的數(shù)據(jù)安全的問題得到解決��。關(guān)于該方法的應(yīng)用的便利性���,其尤其具有優(yōu)勢的是�,現(xiàn)有的用于使用ID提供者計算機(jī)系統(tǒng)136的用戶102 的注冊并非必須��。圖2顯示了根據(jù)本發(fā)明一具體實(shí)施方式
的方法�。在步驟200中�����,從用戶計算機(jī)系統(tǒng)向服務(wù)器計算機(jī)系統(tǒng)發(fā)送服務(wù)請求�。例如��,用戶打開用戶計算機(jī)系統(tǒng)的網(wǎng)絡(luò)瀏覽器����,輸入網(wǎng)址(URL)以打開服務(wù)器計算機(jī)系統(tǒng)的網(wǎng)頁。在打開的網(wǎng)頁中����,用戶輸入其服務(wù)請求,例如�����, 服務(wù)或產(chǎn)品的訂單或合同���。在步驟202中���,服務(wù)器計算機(jī)系統(tǒng)150指定其需要的一個或多個屬性,以驗(yàn)證用戶請求服務(wù)的權(quán)利����。特別是�,服務(wù)器計算機(jī)系統(tǒng)可指定確定用戶102的數(shù)字身份的屬性���。這種服務(wù)器計算機(jī)系統(tǒng)150的屬性指定可根據(jù)服務(wù)請求固定指定����,或者在個案中���,由服務(wù)器計算機(jī)系統(tǒng)150使用預(yù)先確定的規(guī)則確定�����。在步驟204中����,屬性清單即步驟202中承載的一個或多個屬性的說明����,和TAN—起直接或通過用戶計算機(jī)系統(tǒng)從服務(wù)器計算機(jī)系統(tǒng)傳輸至ID提供者計算機(jī)系統(tǒng)�����。為了授予ID提供者計算機(jī)系統(tǒng)從其ID-令牌中讀取屬性的權(quán)利,在步驟206中����, 針對ID-令牌認(rèn)證用戶。在步驟208中�����,ID-令牌和ID提供者計算機(jī)系統(tǒng)之間建立聯(lián)系��。該聯(lián)系優(yōu)選為�����, 例如根據(jù)“受保護(hù)的信息傳送方法”的受保護(hù)的連接����。在步驟210中,通過在第208步建立的聯(lián)系至少針對ID-令牌認(rèn)證ID提供者計算機(jī)系統(tǒng)�。另外,也可以針對ID提供者計算機(jī)系統(tǒng)認(rèn)證ID-令牌����。針對ID-令牌成功認(rèn)證了用戶和ID提供者計算機(jī)系統(tǒng)后,ID提供者計算機(jī)系統(tǒng)從ID-令牌處得到讀取權(quán),用來讀取至少一個屬性���。在步驟212中�����,ID提供者計算機(jī)系統(tǒng)發(fā)送一條或者多條讀取命令����,從ID-令牌讀取必要的屬性�。屬性再通過端對端加密經(jīng)安全聯(lián)系發(fā)送給ID提供者計算機(jī)系統(tǒng),并在那里解密����。在步驟214中,ID提供者計算機(jī)系統(tǒng)提供讀取的屬性和時戳���,讀取的屬性與TAN —起簽字�����。在步驟216中����,ID提供者計算機(jī)系統(tǒng)通過網(wǎng)絡(luò)發(fā)送簽字的屬性�。簽字的屬性直接或通過用戶計算機(jī)系統(tǒng)到達(dá)服務(wù)器計算機(jī)系統(tǒng)。在后一種情況中�,用戶擁有注冊已簽字的屬性和/或補(bǔ)充其它數(shù)據(jù)的選擇。如果需要的話����,可保證只有在用戶發(fā)布以后,已簽字的屬性和補(bǔ)充的數(shù)據(jù)才從用戶計算機(jī)系統(tǒng)發(fā)送至服務(wù)器計算機(jī)系統(tǒng)�。這樣,從ID提供者計算機(jī)系統(tǒng)發(fā)到網(wǎng)絡(luò)組件的屬性對客戶來說保證了最大的透明度����。圖3顯示了根據(jù)本發(fā)明另一具體實(shí)施方式
的ID-令牌和計算機(jī)系統(tǒng)。在圖3的實(shí)施方式中����,ID-令牌設(shè)計為文件,例如帶有集成電子開關(guān)電路的紙質(zhì)和/或塑膠質(zhì)文件��,由此形成接口 108���、存儲器118��、處理器128����。集成電子開關(guān)電路可為頻率標(biāo)簽,其也稱作射頻識別(RFID)標(biāo)簽或者射頻識別標(biāo)記����。接口 108也可設(shè)計為基于接觸的接口或雙模接口。特別地�,文件106可為有價文件或者安全文件,例如機(jī)器可讀旅行文件(例如電子護(hù)照或者身份證)����,或者支付方式例如信用卡。在這里顯示的實(shí)施方式中���,屬性i存儲于受保護(hù)的存儲區(qū)域124中���,其中 1彡i彡η。在下文中���,沒有生成的限制���,假定如圖3所示的ID-令牌106為電子個人身份證。例如����,屬性i = 1為姓氏,屬性i = 2為名字�,屬性i = 3為地址,屬性i = 4為生日����,寸寸。在本實(shí)施例中�����,用戶計算機(jī)系統(tǒng)102的接口 104可設(shè)計為RFID讀取器(reader)����, 其可形成為用戶計算機(jī)系統(tǒng)的完整部件,或者作為單獨(dú)部件與其連接��。用戶102擁有一個或多個ID-令牌�,其原則上為同樣設(shè)計,例如ID-令牌106’為
信用卡���。多個配置數(shù)據(jù)記錄158��、160...存儲于用戶計算機(jī)系統(tǒng)中�。對于特定的屬性組,每個配置數(shù)據(jù)記錄指定了數(shù)據(jù)源及可讀取指定數(shù)據(jù)源的ID提供者計算機(jī)系統(tǒng)����。在本實(shí)施方式中,用戶計算機(jī)系統(tǒng)100可通過網(wǎng)絡(luò)116����,連接至(address)不同的ID提供者計算機(jī)系統(tǒng) 136,136'...,其每一個都可屬于不同的信任中心���。例如�,ID提供者計算機(jī)系統(tǒng)136屬于信任中心A�,原則上為同樣結(jié)構(gòu)的ID提供者計算機(jī)系統(tǒng)136’屬于另一個信任中心B。屬性i = 1至i = 4的屬性組定義于配置數(shù)據(jù)記錄158內(nèi)�����,其術(shù)語也稱作ID容器 (ID container)���。數(shù)據(jù)源“個人信用卡”即ID-令牌106�����,和信任中心A即ID提供者計算機(jī)系統(tǒng)136分別分配給每個屬性��。例如��,其可在配置數(shù)據(jù)記錄158內(nèi)指定為其網(wǎng)址(URL)的形式�����。另一方面����,配置數(shù)據(jù)記錄116定義了屬性組I���、II����、III��。信用卡即ID-令牌106’指定為這些屬性的數(shù)據(jù)源��。ID-令牌106’具有受保護(hù)的存儲區(qū)域1M’�,屬性I、II�����、III...存儲于其中。例如�,屬性I可為信用卡持有者的姓名,屬性II可為信用卡號碼����,屬性III可為信用卡的有效期限,等等����。在配置數(shù)據(jù)記錄160中,信任中心B的ID提供者計算機(jī)系統(tǒng)136’指定為ID提供者計算機(jī)系統(tǒng)�。作為圖3所示的實(shí)施方式的替代,對于不同的屬性�,多個數(shù)據(jù)源和/或ID提供者計算機(jī)系統(tǒng)可指定于同一個配置數(shù)據(jù)記錄中。在圖3所示的實(shí)施方式中����,ID-提供者計算機(jī)系統(tǒng)136、136’ ...的每一個都可具有多個證書�。例如,在ID提供者計算機(jī)系統(tǒng)136的存儲器140中(其顯示為圖3的實(shí)施例)�����,多個證書例如證書144. 1和144. 2�,分別與分配的私鑰142. 1和142. 2 一起存儲����。ID提供者計算機(jī)系統(tǒng)對于屬性i = 1至i = 4的讀取權(quán)利定義于證書144. 1中����,而對于屬性I至 III的讀取權(quán)利定義于證書144. 2中。為了使用由服務(wù)器計算機(jī)系統(tǒng)150提供的服務(wù)�����,用戶102首先啟動至用戶計算機(jī)系統(tǒng)的用戶輸入162����,以在服務(wù)器計算機(jī)系統(tǒng)150的頁面輸入例如其所期望服務(wù)的請求����。該服務(wù)請求164通過網(wǎng)絡(luò)116從用戶計算機(jī)系統(tǒng)輸送至服務(wù)器計算機(jī)系統(tǒng)150。服務(wù)器計算機(jī)系統(tǒng)150隨后以屬性清單166以及TAN回應(yīng)�,屬性清單也就是服務(wù)器計算機(jī)系統(tǒng)150處理用戶102的服務(wù)請求164所需要的屬性的規(guī)格。屬性清單可以�,例如以屬性名稱的形式出現(xiàn),例如“姓氏”����、“名稱”����、“地址”��、“信用卡號碼”�。當(dāng)用戶計算機(jī)系統(tǒng)100接收到屬性清單166,其向用戶102發(fā)送信號��。根據(jù)要求����, 用戶102可以選擇一個或多個配置數(shù)據(jù)記錄158、160...��,根據(jù)屬性清單166��,每一個配置數(shù)據(jù)記錄都至少作為子庫定義了包含有屬性的屬性組�����。如果屬性清單166要求���,例如僅僅傳輸用戶102的姓氏�����、名稱����、地址,用戶102可選擇配置數(shù)據(jù)記錄158�����。然而��,如果在屬性清單166中也指定了信用卡號碼����,用戶102也可選擇配置數(shù)據(jù)記錄160���。該操作可完全由用戶計算機(jī)系統(tǒng)100自動執(zhí)行���,例如,由程序指令112 執(zhí)行����。在下文中,假定基于屬性清單166,僅選擇一個配置數(shù)據(jù)記錄�����,例如配置數(shù)據(jù)記錄 158�。用戶計算機(jī)系統(tǒng)100隨后向ID提供者計算機(jī)系統(tǒng)發(fā)送請求168,在本實(shí)施例中�,該請求168對于信任中心A的ID提供者計算機(jī)系統(tǒng)指定于選定的配置數(shù)據(jù)記錄內(nèi)。該請求 168包括待ID提供者計算機(jī)系統(tǒng)從數(shù)據(jù)源讀取的屬性清單����,該數(shù)據(jù)源根據(jù)屬性清單166在配置數(shù)據(jù)記錄158內(nèi)提供。ID提供者計算機(jī)系統(tǒng)136隨后選擇其一個或多個證書���,這些證書具有讀取這些屬性所需要的讀取權(quán)利�。如果例如��,屬性i = 1至3要從個人信用卡中讀取����,ID提供者計算機(jī)系統(tǒng)選擇其證書144. 1,其定義了這樣做需要的讀取權(quán)利�。通過執(zhí)行程序指令149實(shí)現(xiàn)該證書選擇。然后啟動密碼協(xié)議的執(zhí)行���。例如��,為了這個目的��,ID提供者計算機(jī)系統(tǒng)136對用戶計算機(jī)系統(tǒng)100發(fā)送回應(yīng)���。用戶計算機(jī)系統(tǒng)100隨后提示用戶102針對指定的數(shù)據(jù)源����, 即����,這里針對個人身份證進(jìn)行驗(yàn)證。例如��,用戶102隨后將其個人身份證�����,S卩ID-令牌106靠近射頻識別(RFID)讀取器 104�����,并輸入PIN����,以進(jìn)行驗(yàn)證。通過針對ID-令牌106成功地對客戶102進(jìn)行了驗(yàn)證��,就執(zhí)行密碼協(xié)議��,即執(zhí)行程序指令134�。后來,借助于選定的證書144. 1���,例如借助于口令-應(yīng)答協(xié)議��,針對ID-令牌認(rèn)證ID提供者計算機(jī)系統(tǒng)136���。該驗(yàn)證也可為相互的。在針對ID-令牌的成功認(rèn)證ID提供者計算機(jī)系統(tǒng)136之后���,ID提供者計算機(jī)系統(tǒng)向用戶計算機(jī)系統(tǒng)100 發(fā)送需要讀取的屬性的請求�����,用戶計算機(jī)系統(tǒng)100通過RFID讀取器104向ID-令牌轉(zhuǎn)發(fā)該請求�。通過使用證書144.1�,ID-令牌驗(yàn)證ID提供者計算機(jī)系統(tǒng)136是否具有需要的讀取權(quán)利�。如果是這樣的話��,從受保護(hù)的存儲區(qū)域1 讀取期望的屬性���,并通過用戶計算機(jī)系統(tǒng) 100使用端對端的加密傳輸至ID提供者計算機(jī)系統(tǒng)�����。ID提供者計算機(jī)系統(tǒng)然后通過網(wǎng)絡(luò)116向服務(wù)器計算機(jī)系統(tǒng)150發(fā)送回應(yīng)170�,該回應(yīng)170包括選定的屬性�、時戳和TAN。該回應(yīng)170以證書144. 1數(shù)字簽署����。可選地����,ID提供者計算機(jī)系統(tǒng)136向用戶計算機(jī)系統(tǒng)100發(fā)送該回應(yīng)170。用戶 102隨后擁有讀取包含于回應(yīng)170內(nèi)的屬性的選擇�����,并決定其是否真的想向服務(wù)器計算機(jī)系統(tǒng)150轉(zhuǎn)發(fā)這些屬性�。只有當(dāng)用戶102已向用戶計算機(jī)系統(tǒng)100輸入釋放命令后,回應(yīng) 170才轉(zhuǎn)發(fā)至服務(wù)器計算機(jī)系統(tǒng)150�����。在本實(shí)施方式中�����,用戶102也可向回應(yīng)170中補(bǔ)充其它數(shù)據(jù)�。如果涉及多個ID提供者計算機(jī)系統(tǒng)136、136’...�,每個ID提供者計算機(jī)系統(tǒng)的單一回應(yīng)可由用戶計算機(jī)系統(tǒng)100收集,形成一個回應(yīng)���,該一個回應(yīng)包含了根據(jù)屬性清單166 的所有屬性���,然后所述回應(yīng)由用戶計算機(jī)系統(tǒng)100發(fā)送至服務(wù)器計算機(jī)系統(tǒng)150。根據(jù)本發(fā)明一具體實(shí)施方式
�,由于用戶的這些屬性作為服務(wù)請求164的一部分通過網(wǎng)絡(luò)116傳輸至服務(wù)器計算機(jī)系統(tǒng),當(dāng)發(fā)生服務(wù)請求164���,用戶102可相對于服務(wù)器計算機(jī)系統(tǒng)150公開其一個或多個屬性�。特別地���,用戶102可將這些屬性輸入至服務(wù)器計算機(jī)系統(tǒng)150的網(wǎng)頁�����。然后回應(yīng)170確認(rèn)這些屬性的準(zhǔn)確性�����,即�����,服務(wù)器計算機(jī)系統(tǒng)150比較從用戶102接收的屬性和由ID提供者計算機(jī)系統(tǒng)136從ID-令牌106中讀取的屬性�����,并檢查二者是否一致���。根據(jù)本發(fā)明另一具體實(shí)施方式
���,屬性清單166中可指示至少一個其它的屬性,該至少一個其它的屬性不存儲于用戶102的一個ID-令牌中����,但是可從外部數(shù)據(jù)源詢問�。其可為���,例如,屬于用戶102的信譽(yù)的屬性����。為此,用戶計算機(jī)系統(tǒng)100可包含其它配置數(shù)據(jù)記錄161���,其包括數(shù)據(jù)源的規(guī)格以及對于屬性A的ID提供者計算機(jī)系統(tǒng)����,例如����,屬性A為信譽(yù)。數(shù)據(jù)源可為在線信用代理商���,例如����,SchufEuDun&Bradstreet或者類似的代理商。如同在圖3的實(shí)施方式中����,指定信任中心C為ID提供者計算機(jī)系統(tǒng)。這里的數(shù)據(jù)源可在信任中心C中找到�。為了詢問屬性A,用戶計算機(jī)系統(tǒng)100向信任中心C(即ID提供者計算機(jī)系統(tǒng) 136”)發(fā)送適當(dāng)?shù)恼埱?圖3中未示)�����。這樣隨后提供了屬性A����,用戶計算機(jī)系統(tǒng)100將屬性A和從用戶102的ID-令牌中讀取的其它屬性轉(zhuǎn)發(fā)至服務(wù)器計算機(jī)系統(tǒng)150。優(yōu)選地���,屬于用戶102的數(shù)字身份的屬性已經(jīng)從用戶102的一個ID-令牌詢問之后��,例如屬于用戶102的數(shù)字身份的屬性已經(jīng)由用戶計算機(jī)系統(tǒng)100接收為已簽字的回應(yīng)之后��,詢問屬性A�。由用戶計算機(jī)系統(tǒng)136”通過ID提供者計算機(jī)系統(tǒng)100對屬性A的詢問包括已簽字的回應(yīng)170���,以使ID提供者計算機(jī)系統(tǒng)136”具有關(guān)于用戶102的身份的安全信肩��、ο圖4顯示了根據(jù)本發(fā)明另一具體實(shí)施方式
的方法���。通過由用戶102對用戶計算機(jī)系統(tǒng)100的輸入���,用戶102指定了其想使用的服務(wù)器計算機(jī)系統(tǒng)的服務(wù)。其通過例如打開服務(wù)器計算機(jī)系統(tǒng)的網(wǎng)頁���,并選擇該網(wǎng)頁提供的一項(xiàng)服務(wù)實(shí)現(xiàn)。用戶102的服務(wù)請求從用戶計算機(jī)系統(tǒng)100傳輸至服務(wù)器計算機(jī)系統(tǒng)150�。服務(wù)器計算機(jī)系統(tǒng)以TAN和屬性清單(例如,屬性名稱的列表)回應(yīng)服務(wù)請求�����。用戶計算機(jī)系統(tǒng)100接收到屬性清單之后��,提示(例如通過要求輸入)用戶102針對ID-令牌進(jìn)行認(rèn)證�����。用戶102隨后針對ID-令牌106進(jìn)行認(rèn)證(例如通過輸入其PIN)���。在成功的認(rèn)證之后��,屬性清單由用戶計算機(jī)系統(tǒng)100發(fā)送ID提供者計算機(jī)系統(tǒng)136�。隨后ID提供者計算機(jī)系統(tǒng)136針對ID-令牌106進(jìn)行認(rèn)證,并且向ID-令牌106發(fā)送讀取請求��,以讀取符合屬
性清單的屬性�。假定用戶102和ID提供者計算機(jī)系統(tǒng)136的在前認(rèn)證為成功認(rèn)證,ID-令牌106 以期望的屬性回應(yīng)該讀取請求���。ID提供者計算機(jī)系統(tǒng)136對屬性簽字����,并將簽字后的屬性和時戳及TAN —起發(fā)送至用戶計算機(jī)系統(tǒng)100����。用戶102發(fā)布后,已簽字的屬性和時戳及 TAN —起發(fā)送至服務(wù)器計算機(jī)系統(tǒng)150�����,如果可以應(yīng)用�,如果屬性滿足其必要的標(biāo)準(zhǔn),如果簽字有效���,并且如果服務(wù)器計算機(jī)系統(tǒng)150在時戳提供的有效性期限內(nèi)接收到屬性����,該服務(wù)器計算機(jī)系統(tǒng)150可提供需要的服務(wù),附圖標(biāo)記清單-----------------------------100用戶計算機(jī)系統(tǒng)102用戶104接口106ID-令牌108接口110處理器112程序指令114網(wǎng)絡(luò)接口116網(wǎng)絡(luò)118電子存儲器120受保護(hù)的存儲區(qū)122受保護(hù)的存儲區(qū)124受保護(hù)的存儲區(qū)126存儲區(qū)128處理器130程序指令132程序指令134程序指令136ID提供者計算機(jī)系統(tǒng)138網(wǎng)絡(luò)接口140存儲器142私鑰144證書145處理器146程序指令148程序指令149程序指令150服務(wù)器計算機(jī)系統(tǒng)152網(wǎng)絡(luò)接口
154處理器156程序指令158配置數(shù)據(jù)記錄160配置數(shù)據(jù)記錄161配置數(shù)據(jù)記錄162用戶輸入164服務(wù)器請求166屬性清單168請求170回應(yīng)172程序指令174時間基礎(chǔ)176程序指令178程序指令180程序指令182時間基礎(chǔ)184存儲器186列表188屬性
18
權(quán)利要求
1.一種讀取存儲于ID-令牌(106����,106’)中的至少一個屬性的方法,其中���,該ID-令牌分配給用戶(102)���,該方法包括如下步驟-針對所述ID-令牌,對用戶進(jìn)行認(rèn)證�����;-針對所述ID-令牌�����,對第一計算機(jī)系統(tǒng)(136)進(jìn)行認(rèn)證�����;-在針對所述ID-令牌成功地認(rèn)證了用戶和第一計算機(jī)系統(tǒng)后����,第一計算機(jī)系統(tǒng)讀取 ID-令牌中存儲的至少一個屬性,并將該至少一個屬性在簽字之后與時間指示和交易標(biāo)識符一起傳輸給第二計算機(jī)系統(tǒng)(150)�����,其中���,所述至少一個屬性的時間指示是由第一計算機(jī)系統(tǒng)生成的�����。
2.如權(quán)利要求1所述的方法���,其中,針對所述ID-令牌對所述第一計算機(jī)系統(tǒng)的認(rèn)證���, 是借助所述第一計算機(jī)系統(tǒng)的證書(144)進(jìn)行的����;其中�����,該證書包括關(guān)于存儲在所述ID-令牌中屬性的資料,而所述第一計算機(jī)系統(tǒng)具有閱讀權(quán)�。
3.如權(quán)利要求2所述的方法,其中����,借助所述證書,所述ID-令牌驗(yàn)證所述第一計算機(jī)系統(tǒng)是否具有讀取所述至少一個屬性的權(quán)利�。
4.如權(quán)利要求1、2或3所述的方法�����,其進(jìn)一步包括如下的步驟-通過所述第一計算機(jī)系統(tǒng)��,對從所述ID-令牌中讀取的至少一個屬性和所述時間指示進(jìn)行簽字����;-將已經(jīng)簽字的所述屬性和所述時間指示由所述第一計算機(jī)系統(tǒng)傳送到第二計算機(jī)系統(tǒng)�;-第二計算機(jī)系統(tǒng)使用所述時間指示進(jìn)行驗(yàn)證,以確定簽字的屬性是否有效����。
5.如權(quán)利要求4所述的方法,其進(jìn)一步包括如下步驟-從第三計算機(jī)系統(tǒng)(100)向所述第二計算機(jī)系統(tǒng)發(fā)送請求(164)�;-所述第二計算機(jī)系統(tǒng)指定一個或多個屬性�;-由所述第二計算機(jī)系統(tǒng)向所述第一計算機(jī)系統(tǒng)發(fā)送屬性清單(166)�,其中,所述屬性清單包括交易標(biāo)識符�����;其中�����,所述第一計算機(jī)系統(tǒng)進(jìn)行讀取���,以從所述ID-令牌中讀取屬性清單指定的一個或多個屬性���,其中所述已簽字的屬性及所述時間指示與所述交易標(biāo)識符一起從所述第一計算機(jī)系統(tǒng)發(fā)送至所述第二計算機(jī)系統(tǒng),其中所述第二計算機(jī)系統(tǒng)根據(jù)所述交易標(biāo)識符將從第一計算機(jī)系統(tǒng)接收的屬性分配至所述屬性清單����,其中所述第二計算機(jī)系統(tǒng)驗(yàn)證所述簽字的有效性作為基于請求進(jìn)行交易的前提條件。
6.如權(quán)利要求5所述的方法����,其中,所述請求(164)包括用于所述第二計算機(jī)系統(tǒng)對所述第一計算機(jī)系統(tǒng)進(jìn)行驗(yàn)證的標(biāo)識符����,其中在沒有與第三計算機(jī)系統(tǒng)相互連接的情況下����, 所述第二計算機(jī)系統(tǒng)向所述第一計算機(jī)系統(tǒng)傳輸屬性清單���。
7.如權(quán)利要求5所述的方法�����,其中��,第三計算機(jī)系統(tǒng)包括多個預(yù)先定義的配置數(shù)據(jù)記錄(158����、160...)�;其中每個配置數(shù)據(jù)記錄指定屬性的子集、至少一個數(shù)據(jù)源�����、來自第一計算機(jī)系統(tǒng)集合(136���、136’���、...)的至少一個第一計算機(jī)系統(tǒng);其中該屬性清單首先從第二計算機(jī)系統(tǒng)發(fā)送至第三計算機(jī)系統(tǒng)���,使得借助第三計算機(jī)系統(tǒng)而選擇至少一個指定了屬性子集的配置數(shù)據(jù)記錄���,該屬性子集包括所述屬性清單指定的至少一個屬性;其中����,第三計算機(jī)系統(tǒng)將所述屬性清單轉(zhuǎn)發(fā)至第一計算機(jī)系統(tǒng),并通過第三計算機(jī)系統(tǒng)����,在第一計算機(jī)系統(tǒng)與ID-令牌之間建立連接,該ID-令牌由選定的配置數(shù)據(jù)記錄中指定的數(shù)據(jù)源指定����。
8.如前述權(quán)利要求之一所述的方法,其中��,將第一計算機(jī)系統(tǒng)從所述ID-令牌中讀取的至少一條屬性發(fā)送至第三計算機(jī)系統(tǒng)���,在用戶發(fā)布之后���,該屬性從第三計算機(jī)系統(tǒng)轉(zhuǎn)發(fā)至第二計算機(jī)系統(tǒng)���。
9.如權(quán)利要求8所述的方法,其中��,在轉(zhuǎn)發(fā)至第二計算機(jī)系統(tǒng)之前����,用戶對該屬性補(bǔ)充其它數(shù)據(jù)。
10.如前述權(quán)利要求之一所述的方法����,其中,所述第一計算機(jī)系統(tǒng)包括多個具有不同讀取權(quán)利的證書(144. 1�、144.2);其中第一計算機(jī)系統(tǒng)根據(jù)所接收的屬性清單選擇至少一個證書��,所述證書具有足夠的讀取權(quán)利以讀取所述屬性清單中所列的屬性���。
11.如前述權(quán)利要求之一所述的方法�����,其中�,所述第三計算機(jī)系統(tǒng)具有至少一個配置數(shù)據(jù)記錄(161)�����,其指定外部數(shù)據(jù)源以通過網(wǎng)絡(luò)(116)從第三計算機(jī)系統(tǒng)詢問其它屬性(A)�。
12.如權(quán)利要求11所述的方法,其中�,從所述ID-令牌中讀取至少一個屬性之后,以及在所述第三計算機(jī)系統(tǒng)從所述第一計算機(jī)系統(tǒng)中接收到已簽字的屬性之后�,詢問其它屬性;其中該詢問包括至少一個已簽字的屬性��。
13.一種計算機(jī)程序產(chǎn)品�����,其具有由計算機(jī)系統(tǒng)可執(zhí)行的指令���,用來執(zhí)行前述權(quán)利要求之一所述的方法�。
14.一種計算機(jī)系統(tǒng)�����,其包括-通過網(wǎng)絡(luò)(116)接收屬性清單(166)的工具(138),其中����,該屬性清單定義了至少一個屬性;-針對所述ID-令牌(106)進(jìn)行認(rèn)證的工具(142����、144、146)�;-通過受保護(hù)的連接從所述ID-令牌中讀取至少一個屬性的工具;-對所述至少一個屬性生成時間指示的工具����;其中,讀取至少一個屬性的前提條件為針對所述ID-令牌�,對分配給所述ID-令牌的用戶和所述計算機(jī)系統(tǒng)已進(jìn)行了認(rèn)證。
15.如權(quán)利要求14所述的計算機(jī)系統(tǒng)�����,其進(jìn)一步包括根據(jù)接收的屬性清單對用戶生成針對ID-令牌進(jìn)行認(rèn)證之請求的工具�����。
16.如權(quán)利要求14或15所述的計算機(jī)系統(tǒng)���,其中�,所述用于接收屬性清單的工具 (138)由第二計算機(jī)系統(tǒng)構(gòu)成,而且該計算機(jī)系統(tǒng)還包括將從ID-令牌中讀取的至少一個屬性發(fā)送至第三計算機(jī)系統(tǒng)(100)���、以轉(zhuǎn)發(fā)至第二計算機(jī)系統(tǒng)的工具(138)。
17.如權(quán)利要求14���、15或16所述的計算機(jī)系統(tǒng)���,其中,所述的屬性清單定義了至少一個交易標(biāo)識符����。
18.如權(quán)利要求17所述的計算機(jī)系統(tǒng),其進(jìn)一步包括對至少一個屬性�����、時間指示和/或交易標(biāo)識符進(jìn)行簽字的工具(144)�,其中,已簽字的屬性與已簽字的時間指示和/或已簽字的交易標(biāo)識符一起發(fā)送����。
19.如權(quán)利要求14-18之一所述的計算機(jī)系統(tǒng)����,其包括具有不同讀取權(quán)利的多個證書 (144. 1,144. 2)�����,其中所述計算機(jī)系統(tǒng)設(shè)計為根據(jù)接收的屬性清單選擇至少一個證書�����,該證書擁有足夠的讀取權(quán)利以讀取屬性清單內(nèi)的屬性��。
20.如權(quán)利要求14-19之一所述的計算機(jī)系統(tǒng)���,其包括一種ID-令牌���,該ID-令牌包括-受保護(hù)的存儲區(qū)(1 ),其用于存儲至少一個屬性���;-針對ID-令牌�����,對分配了所述ID-令牌的用戶(102)進(jìn)行認(rèn)證的工具(120��、130)�;-針對ID-令牌,對第一計算機(jī)系統(tǒng)(136)進(jìn)行認(rèn)證的工具(134)�; -與所述第一計算機(jī)系統(tǒng)建立受保護(hù)的連接的工具(132),通過該連接第一計算機(jī)系統(tǒng)能讀取至少一個屬性�;其中,所述第一計算機(jī)系統(tǒng)從ID-令牌中讀取所述至少一個屬性的必要條件是針對 ID-令牌成功認(rèn)證了用戶和所述第一計算機(jī)系統(tǒng)�����;以及該計算機(jī)系統(tǒng)還包括用于進(jìn)行交易的服務(wù)器計算機(jī)系統(tǒng)(150)���,其包括 -根據(jù)交易標(biāo)識符將至少一個接收的屬性分配至屬性清單中的工具; -用于驗(yàn)證簽字的工具����;-使用時間指示驗(yàn)證至少一個接收的屬性之有效性的工具;-用于進(jìn)行交易的工具����,其中,只有當(dāng)簽字有效并且該至少一個接收的屬性有效時���,才進(jìn)行交易����。
全文摘要
本發(fā)明涉及一種讀取存儲于ID-令牌(106,106’)中的至少一個屬性的方法��,其中��,該ID-令牌分配給用戶(102)����。該方法包括如下步驟針對ID-令牌,對用戶進(jìn)行認(rèn)證�;針對ID-令牌,對第一計算機(jī)系統(tǒng)(136)進(jìn)行認(rèn)證���;在針對ID-令牌成功地認(rèn)證了用戶和第一計算機(jī)系統(tǒng)后����,第一計算機(jī)系統(tǒng)讀取ID-令牌中存儲的至少一個屬性����,并將該至少一個屬性在簽字之后與時間指示和交易標(biāo)識符一起傳輸給第二計算機(jī)系統(tǒng)(150),其中��,至少一個屬性的時間指示是由第一計算機(jī)系統(tǒng)生成的��。
文檔編號G06F21/34GK102483779SQ201080030920
公開日2012年5月30日 申請日期2010年7月13日 優(yōu)先權(quán)日2009年7月14日
發(fā)明者法克·迪特里克 申請人:聯(lián)邦印刷有限公司