DE112020003476T5 - Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz - Google Patents

Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz Download PDF

Info

Publication number
DE112020003476T5
DE112020003476T5 DE112020003476.3T DE112020003476T DE112020003476T5 DE 112020003476 T5 DE112020003476 T5 DE 112020003476T5 DE 112020003476 T DE112020003476 T DE 112020003476T DE 112020003476 T5 DE112020003476 T5 DE 112020003476T5
Authority
DE
Germany
Prior art keywords
user
identity
information
management system
identity management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020003476.3T
Other languages
English (en)
Inventor
Claudio Cinaqui Pereira
Sibel Tezelli-Yilmaz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of DE112020003476T5 publication Critical patent/DE112020003476T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Biomedical Technology (AREA)
  • Storage Device Security (AREA)

Abstract

Es wird ein computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz mit wenigstens zwei Benutzern mit den folgenden Schritten vorgeschlagen:- eine erste Identität, die einem ersten Benutzer (11) der wenigstens zwei Benutzer entspricht, wird erzeugt und in verschlüsselter Form in einem Identitätsverwaltungssystem (15) gespeichert,- eine zweite Identität, die einem zweiten Benutzer der wenigstens zwei Benutzer entspricht, wird erzeugt und in verschlüsselter Form in dem Identitätsverwaltungssystem (15) gespeichert,- ein erstes Recht zum Zugriff auf erste Informationen oder zum Zugriff auf eine erste Softwarefunktion oder zum Zugriff auf ein erstes Produkt wird der ersten Identität zugewiesen,- der zweite Benutzer fordert einen Zugriff auf die Informationen oder die Softwarefunktion oder das Produkt von dem ersten Benutzer (11) an, indem die Anforderung an das Identitätsverwaltungssystem (15) gesendet wird,- das Identitätsverwaltungssystem (15) überprüft die Authentifizierung des zweiten Benutzers basierend auf der zweiten Identität,- das Identitätsverwaltungssystem sendet die Anforderung an den ersten Benutzer (11),- der erste Benutzer (11) verweigert oder bestätigt die Anforderung, indem er dem Identitätsverwaltungssystem (15) antwortet,- das Identitätsverwaltungssystem (15) überprüft die Authentifizierung des ersten Benutzers (11) basierend auf der ersten Identität,- in Abhängigkeit von der Überprüfung werden geheime Informationen, die in verschlüsselter Form gespeichert sind, mit dem zweiten Benutzer geteilt, wobei die geheimen Informationen ermöglichen, dass der zweite Benutzer auf die Informationen, die Softwarefunktion oder das Produkt zugreift,- der zweite Benutzer greift auf die ersten Informationen oder die erste Softwarefunktion oder das Produkt zu.

Description

  • Es werden ein computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz sowie entsprechende Computerprogramme vorgeschlagen.
  • Stand der Technik
  • Eine Übersicht über ausgewählte vorgeschlagene Identitätsverwaltungssysteme sowie über verbleibende technische Herausforderungen sind in „A First Look at Identity Management Schemes on the Blockchain“ von Paul Dunphy und Fabien A.P. Petitcolas in: IEEE Security & Privacy (Band: 16, Ausgabe: 4, Juli/August 2018) zu finden.
  • Die Hyperledger-Projekte stellen Werkzeuge, Bibliotheken und wiederverwendbare Komponenten zum Bereitstellen digitaler Identitäten bereit, die auf Blockchains oder anderen Distributed-Ledgers verwurzelt sind, so dass sie über administrative Domänen, Anwendungen und irgendein anderes Silo hinweg interoperabel sind. Beispiele beinhalten Indy, Ursa, Aries und Transact, wobei letzteres intelligente Verträge (Smart Contracts) ermöglicht.
  • Offenbarung der Erfindung
  • Vorgeschlagen wird ein computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz mit wenigstens zwei Benutzern, wobei eine erste Identität, die einem ersten Benutzer der wenigstens zwei Benutzer entspricht, erzeugt und in verschlüsselter Form in einem Identitätsverwaltungssystem gespeichert wird. Das computer-implementierte Identitätsverwaltungssystem ist ein System, das wenigstens eine Prozessoreinheit, wenigstens eine Speichereinheit sowie wenigstens eine Netzschnittstelle zum Verbinden des System mit dem Netz umfasst, und ist zum Schreiben und Lesen digitaler Daten, die digitale Identitäten repräsentieren, in die Speichereinheit eingerichtet. Bei einer bevorzugten Ausführungsform ist es auch zum Schreiben, Lesen und Verändern von Informationen eingerichtet, die zusammen mit der digitalen Identität gespeichert werden.
    • - eine zweite Identität, die einem zweiten Benutzer der wenigstens zwei Benutzer entspricht, wird erzeugt und in verschlüsselter Form in dem Identitätsverwaltungssystem (15) gespeichert,
    • - ein erstes Recht zum Zugriff auf erste Informationen oder zum Zugriff auf eine erste Softwarefunktion oder zum Zugriff auf ein erstes Produkt wird der ersten Identität zugewiesen,
    • - der zweite Benutzer fordert einen Zugriff auf die Informationen oder die Softwarefunktion oder das Produkt von dem ersten Benutzer (11) an, indem die Anforderung an das Identitätsverwaltungssystem (15) gesendet wird,
    • - das Identitätsverwaltungssystem (15) überprüft die Authentifizierung des zweiten Benutzers basierend auf der zweiten Identität,
    • - das Identitätsverwaltungssystem sendet die Anforderung an den ersten Benutzer (11),
    • - der erste Benutzer (11) verweigert oder bestätigt die Anforderung, indem er dem Identitätsverwaltungssystem (15) antwortet,
    • - das Identitätsverwaltungssystem (15) überprüft die Authentifizierung des ersten Benutzers (11) basierend auf der ersten Identität,
    • - in Abhängigkeit von der Überprüfung werden geheime Informationen, die in verschlüsselter Form gespeichert sind, mit dem zweiten Benutzer geteilt, wobei die geheimen Informationen ermöglichen, dass der zweite Benutzer auf die Informationen, die Softwarefunktion oder das Produkt zugreift,
    • - der zweite Benutzer greift auf die ersten Informationen oder die erste Softwarefunktion oder das Produkt zu.
  • Ein solches Verfahren ermöglicht eine effiziente und vertrauenswürdige Zugriffssteuerung in einem Netz, das durch Benutzer oder ihre jeweiligen Netzknoten geteilt wird.
  • Bei einer bevorzugten Ausführungsform wird ein solches Verfahren zum Sichern einer Interaktion zwischen wenigstens zwei Benutzern oder ihren jeweiligen Netzknoten in einem Netz verwendet, wobei die wenigstens zwei Netzknoten über das Netz verbunden sind. Ein erster Benutzer verbindet sich über einen ersten der zwei Netzknoten mit dem Netz. Bei einer bevorzugten Ausführungsform kann dieser erste Knoten als eine persönliche Smart-Vorrichtung, wie etwa ein Smartphone, ein Personal Computer, ein Tablet oder ähnliche Vorrichtungen, implementiert werden.
  • Der erste Benutzer erzeugt in dem Netz eine erste Identität, die dem ersten Benutzer entspricht, über eine Softwareanwendung, die auf dem ersten Netzknoten ausgeführt wird, wobei die Erzeugung beinhaltet, dass der erste Benutzer erste biometrische Informationen bereitstellt, die den ersten Benutzer charakterisieren, insbesondere für die Softwareanwendung, die auf dem ersten Netzknoten ausgeführt wird. Die ersten biometrischen Informationen können zum Beispiel eine Irisabtastung, eine Fingerabdruckabtastung, eine Handvenenabtastung, eine spezielle Geste und/oder eine Sprachabtastung des ersten Benutzers beinhalten.
  • Die ersten biometrischen Informationen werden in verschlüsselter Form durch das computer-implementierte Identitätsverwaltungssystem gespeichert.
  • Ein zweiter Benutzer greift auf das Netz über einen zweiten Netzknoten zu und fordert über das Netz eine Einwilligung des ersten Benutzers an, dass
    • ◯ der zweite Benutzer auf geheime Informationen des ersten Benutzers zugreift, oder
    • ◯ der zweite Benutzer Informationen an den ersten Benutzer sendet, oder
    • ◯ die erste Identität, die dem ersten Benutzer entspricht, mit einer zweiten Identität verbunden wird, die dem zweiten Benutzer entspricht, oder
    • ◯ dem zweiten Benutzer Zugriff zum Steuern einer Softwareanwendung gewährt wird, die der ersten Identität zugewiesen ist,
    wobei die Anforderung über das Identitätsverwaltungssystem gesendet wird. Der erste Benutzer verweigert oder bestätigt die Anforderung des zweiten Benutzers über die Softwareanwendung.
  • Ein solches System ermöglicht eine dezentralisierte und sichere Erzeugung digitaler Identitäten, wobei die Erzeugung und Verwaltung einer persönlichen Identität, die einem menschlichen Benutzer entspricht, strikt auf diesen Benutzer beschränkt und durch Persönliche-Identität-Charakteristiken gesichert ist. Der Zugriff über eine Softwareanwendung, die auf einer persönlichen Smart-Vorrichtung ausgeführt wird, ermöglicht, dass dieses System die digitale Identität auf eine benutzerfreundliche Weise erzeugt und verwaltet, während die Erzeugung und Verwaltung sicher und vertrauenswürdig gehalten werden.
  • Bei einer bevorzugten Ausführungsform beinhaltet eine solche Verwaltung digitaler Identitäten Verfahren, bei denen sich der erste Benutzer bei dem Identitätsverwaltungssystem authentifiziert, indem die ersten biometrischen Informationen über die Softwareanwendung bereitgestellt werden, und wobei nach der Authentifizierung der erste Benutzer die erste Identität oder Informationen, die mit der ersten Identität gespeichert sind, die dem ersten Benutzer entspricht, über eine Softwareanwendung verändert, die auf dem ersten Netzknoten ausgeführt wird. Das Verändern beinhaltet Hinzufügen oder Entfernen weiterer biometrischer Informationen, die dem ersten Benutzer entsprechen, oder Hinzufügen oder Entfernen geheimer Informationen oder Hinzufügen oder Entfernen eines Zertifikats. Zusätzlich oder alternativ dazu authentifiziert sich, um die Anforderung abzulehnen oder zu bestätigen, der erste Benutzer bei dem Identitätsverwaltungssystem, indem über die Softwareanwendung erste biometrische Informationen bereitgestellt werden oder indem weitere biometrische Informationen bereitgestellt werden oder indem geheime Informationen bereitgestellt werden.
  • Diese Ausführungsformen ermöglichen eine effiziente und zuverlässige Digitalidentitätsverwaltung durch den Benutzer, insbesondere für die Softwareanwendung auf dem ersten Knoten.
  • Bei bevorzugten Ausführungsformen wird die erste Identität wenigstens teilweise durch wenigstens eine einer digitalen Repräsentation von Folgendem gebildet:
    • - der ersten biometrischen Informationen,
    • - hinzugefügter weiterer biometrischer Informationen,
    • - hinzugefügter geheimer Informationen,
    • - eines hinzugefügten Zertifikats.
  • Zusätzlich oder alternativ dazu wird die erste Identität wenigstens anfänglich basierend auf den ersten biometrischen Informationen und einer Einwilligung des ersten Benutzers zum Erzeugen der ersten Identität gebildet. Diese Ausführungsform stellt sicher, dass die digitale Identität charakteristisch ist und die erforderlichen Basisinformationen beinhaltet, um eine sichere Verwendung von Digitalidentitätsinformationen eines Benutzers zu ermöglichen: die Einwilligung des Benutzers zu ihrer Erzeugung.
  • Bei bevorzugten Ausführungsformen der Erfindung wird die Ablehnung oder Zustimmung, durch den ersten Benutzer, der Anforderung des zweiten Benutzers durch die Softwareanwendung als eine aufgezeichneter Einwilligungen gespeichert. Eine Übersicht über wenigstens eine aufgezeichneter und noch offener Einwilligungsanforderungen kann durch die Softwareanwendung für den ersten Benutzer bereitgestellt werden, wobei dem ersten Benutzer ermöglicht wird, beliebige der entsprechenden Einwilligungen zu verweigern, zu gewähren oder aufzuheben.
  • Dies ermöglicht eine besonders benutzerfreundliche Verwaltung der digitalen Identitäten.
  • Nachfolgend werden die Ausführungsformen der Erfindung ausführlich erklärt. Die entsprechenden Zeichnungen zeigen:
    • 1 zeigt ein beispielhafte System zum Erzeugen, Speichern und Verwalten digitaler Identitäten in einem Netz.
    • 2 zeigt ein schematisches Flussdiagramm eines beispielhaften Verfahrens zum Erzeugen und Verwalten einer digitaler Identität in einem Netz.
    • 3 zeigt ein Beispiel für die Interaktion von Benutzern in einem Netz unter Verwendung ihrer digitalen Identitäten.
  • Ausführliche Beschreibung und Ausführungsformen
  • Eine Digitalidentitätsverwaltung in Netzen ist eine wichtige technische Herausforderung. Der Begriff Identität (kurz: ID) bedeutet einen Satz von Attributen in Bezug auf eine Entität (ISO29115). Eine digitale ID ist eine digitale Repräsentation in binären Zahlen einer Identität. Eine menschliche Identität ist der Satz menschlicher Attribute in Bezug auf einen Menschen (z. B. den menschlichen Körper). Biometrische Daten sind Messungen und Berechnungen eines menschlichen Körpers (z. B. eine digitale Repräsentation in binären Zahlen von Körperteilen) und können eine effektive Art zum digitalen Identifizieren eines einzigartigen Menschen sein. Die Biometrie ist Daten, daher kann eine Biometrie gespeichert - und gestohlen - werden. Es ist wichtig, gespeicherte biometrische Informationen sicher aufzubewahren, um die Privatsphäre der entsprechenden Person zu sichern.
  • Eine Distributed-Ledger-Technologie kann verwendet werden, um Daten zu verwalten, und sie kann - in Kombination mit Sicherheitsmitteln - verwendet werden, um Daten auf eine sichere Weise zu verwalten. Zum Beispiel kann ein Blockchain-System ein Informationspaket verwenden, das innerhalb eines digitalen Blocks getragen wird, der den kryptografischen Hash des vorhergehenden Blocks und einen Zeitstempel enthält, validiert durch einen dezentralisierten Konsens. Eine Distributed-Ledger- oder Blockchain-Technologie kann verwendet werden, um eine digitale ID zu erzeugen, zu speichern und zu verwalten.
  • Ein beispielhaftes System zum Erzeugen, Speichern und Verwalten digitaler Identitäten in einem Netz ist in 1 gezeigt. Ein Benutzer 11 interagiert mit einer Vorrichtung 12, die mit einem Netz verbunden ist, z. B. mit dem Internet verbunden ist. Bei einer bevorzugten Ausführungsform kann die Vorrichtung 12 eine Rechenvorrichtung, wie etwa eine Mobilrechenvorrichtung (z. B. ein Smartphone usw.) mit einer Benutzerschnittstelle und Netzschnittstellen, sein.
  • Um eine digitale Identität zu erzeugen, verwendet der Benutzer 11 eine Softwareanwendung, die auf der Vorrichtung 12 ausgeführt wird, um erste biometrische Informationen an die Softwareanwendung auf der Vorrichtung 12 zu liefern. Bei einer bevorzugten Ausführungsform werden die ersten biometrischen Informationen durch Verwenden eines Sensors der Vorrichtung 12 zum Messen oder Aufzeichnen einer biometrischen Eigenschaft, wie etwa eines Bildes einer menschlichen Iris, eines Fingerabdrucks, von Gesichtsmerkmalen, einer Geste, einer Sprachabtastung usw., an die Softwareanwendung geliefert.
  • Die verwendete Softwareanwendung der Vorrichtung 12 interagiert mit der Softwareanwendung 13. Die Software 13 ist eine Software, die z. B. auf einer Serverinfrastruktur ausgeführt wird. Über die Software 13 können Informationen auf eine sichere Weise von der Vorrichtung 12 zu anderen Softwareanwendungen geroutet werden. Die Softwareanwendung 13 interagiert mit der Softwareanwendung 14, die auf einer Identitätsverwaltungsplattform ausgeführt wird. Identitätsverwaltungsplattformen sind Plattformen, in denen digitale Identitäten und entsprechender Inhalt, die lokal gespeichert sind, durch Verwenden von Softwareanwendungen verwaltet werden, die auf der Hardware der Plattform ausgeführt werden. Die erste biometrischen Informationen, die von dem Benutzer 11 an die Vorrichtung 12 geliefert werden, werden über die Softwareanwendung 13, die auf einer Serverinfrastruktur ausgeführt wird, sicher an die Softwareanwendung 14 gesendet, die auf der Identitätsverwaltungsplattform ausgeführt wird.
  • Die Softwareanwendung 14 der Identitätsverwaltungsplattform speichert eine digitale Repräsentation der ersten biometrischen Informationen auf einem Speicherungsmittel der Identitätsverwaltungsplattform. Die Softwareanwendung 14 interagiert mit der Softwareanwendung 15 eines Distributed-Ledger-Systems. Die ersten biometrischen Informationen werden lokal gespeichert und der gehashte Block von Informationen in einem Distributed-Ledger unter Verwendung der Softwareanwendung 15. Sie werden in verschlüsselter Form gespeichert und stellen den Keim einer neu erzeugten digitalen Identität für den Benutzer 11 dar.
  • Falls der Benutzer 11 seine digitale Identität verwalten will, z. B. persönliche Geheimnisse hinzufügen oder entfernen, weitere biometrische Informationen hinzufügen oder entfernen, eine Anforderung einer Einwilligung durch einen anderen Benutzer bestätigen oder verweigern, eine Einwilligung eines anderen Benutzers anfordern usw., kann er dies durch eine Authentifizierung basierend auf den ersten biometrischen Informationen (oder anschließend hinzugefügten weiteren biometrischen Informationen oder persönlichen Geheimnissen) und Senden der entsprechenden Informationen oder Anforderung über die Softwareanwendung, die auf der Vorrichtung 12 ausgeführt wird, und die Softwareanwendung 13 an die Softwareanwendung 14 vornehmen, die auf der Identitätsverwaltungsplattform ausgeführt wird.
  • Eine solche Anforderung für eine Einwilligung durch einen anderen Benutzer kann zum Beispiel darauf verweisen, dass der andere Benutzer auf geheime Informationen des Benutzers 11 zugreift oder dass der andere Benutzer Informationen an den Benutzer 11 sendet, oder dass die Identität, die dem Benutzer 11 entspricht, mit einer zweiten Identität verbunden wird, die dem anderen Benutzer entspricht, oder dass dem anderen Benutzer Zugriff zum Steuern einer Softwareanwendung gewährt wird, die der Identität zugewiesen ist, die dem Benutzer 11 entspricht. Allgemein findet eine Einwilligung statt, wenn eine Person freiwillig zu etwas zustimmt. Eine digitale Einwilligung ist eine digitale Repräsentation in binären Zahlen einer Einwilligung.
  • Eine digitale Identität kann nun durch digitales Vereinen einer digitalen Einwilligung und von Biometriedaten zu einer Distributed-Ledger-Identität oder Blockchain-Identität gebildet werden. Dies bedeutet, dass die Biometrie und digitalen Einwilligungen den Kern der digitalen Identität bilden. Ein Distributed-Ledger oder eine Blockchain kann Digitalidentitätszahlen für gehashte digitale Repräsentationen von Biometriedaten und Einwilligungen speichern. Jede digitale Identität enthält möglicherweise nur die notwendigen Details der Biometriedaten und wird nur für Zwecke mit Einwilligung verwendet. Biometriedaten können in einen Chip (integrierten Schaltkreis, gekapselter Koprozessor) mit einem Zeitstempel gespeichert werden.
  • Einwilligungen für spezielle Zwecke oder Anforderungen können mit einem Ja (z. B. digital „1“) oder einem Nein (z. B. digital „0“) gekapselt werden, sie dass sie gewährt, verweigert und aufgehoben werden können.
  • Ein solches Digitalidentitätssystem ermöglicht Identität-Tokens, die spezifische digitale Identitäten sind, die Accounts (z. B. E-Mail + Passwort) ersetzen und einen benutzerverwalteten Zugriff ermöglichen können. Unter Verwendung solcher Identität-Tokens kann ein Netz als ein einwilligungsübergreifendes Identitätsnetz verwendet werden. Zwei Einwilligungen sind notwendig, um irgendeine Verbindung zwischen Identitäten zu erzeugen. Entsprechend werden Verbindungen zwischen digitalen Identitäten über eine menschliche digitale Einwilligung erzeugt und verbleiben nur so lange gültig, während die menschlichen digitalen Einwilligungen nicht an einem Ende aufgehoben werden.
  • Produkte oder Gegenstände können entsprechende Identitäten aufweisen. Jedoch wird vorgeschlagen, dass diese digitalen Identitäten von wenigstens einer digitalen Entität, die einem tatsächlichen Menschen entspricht, der eine Basisidentität ist, abhängig sind und dieser zugewiesen sein müssen. Gleichermaßen können Firmenidentitäten als von einer digitalen Identitäten eines offiziellen Vertreters (z. B. über eine Vollmachteinwilligung) abhängig und dieser zugewiesen erzeugt werden.
  • 2 zeigt ein schematisches Flussdiagramm eines beispielhaften Verfahrens zum Erzeugen und Verwalten einer digitaler Identität in einem Netz.
  • In einem ersten Schritt 21 wird ein Root-String, der eine digitale Identität repräsentiert, erzeugt. Dieser Schritt beginnt mit einer Eingabe von einem Benutzer in eine Softwareanwendung, die auf einer Benutzervorrichtung ausgeführt wird. Die Softwareanwendung fordert erste biometrische Informationen von dem Benutzer sowie eine erste Einwilligung von dem Benutzer an. Diese Informationen werden als Attribute zum Erzeugen einer digitalen Identität als eine Zahl oder ein Block in einem Distributed-Ledger oder einer Blockchain, d. h. eine verteilte Kennung, verwendet. Die Softwareanwendung kann einen Namen für diese erste Identität anfordern. Bei einer bevorzugten Ausführungsform ist dieser Name privat (d. h. nicht geteilt und nur auf der Vorrichtung). Nur der Besitzer der Identität kann entscheiden, welches Geheimnis mit wem geteilt wird. Die Softwareanwendung sendet die verteilte Kennung an eine Identitätsverwaltungsplattform, die eine Distributed-Ledger-Technologie einsetzt. Die Softwareanwendung speichert auch die biometrischen Informationen auf der Vorrichtung unter Verwendung lokaler Hardware.
  • Die angeforderte Einwilligung kann auf eine Einwilligung zum Erzeugen einer digitalen Identität für den Benutzer verweisen, die biometrischen Informationen können aus einer Auswahl unterschiedlicher Optionen, wie Messen oder Aufzeichnen einer Irisabtastung, einer Fingerabdruck- oder Handvenenabtastung, einer speziellen Geste, einer Sprachabtastung usw., ausgewählt werden.
  • Die Erzeugung eines Root-Strings, der eine digitale Identität repräsentiert, basierend auf einer ersten Einwilligung und ersten biometrischen Informationen auf eine solche Weise ist sicher und Erfüllt Privatsphären- und Datenschutzanforderungen. Zu diesem Zweck wird die erste Einwilligung digitalisiert, indem sie auf einen digitalen String reduziert wird. Dann werden die ersten biometrischen Informationen verarbeitet, z. B. gemäß ISO/IEC JTC 1/SC 37, und zu dem digitalen String hinzugefügt, der die erste Einwilligung repräsentiert. Dies führt zu einem Root-String für die digitale Identität, z. B. gemäß ISO29115. Um die Sicherheit zu garantieren, wird der gehashte String, der die digitale Entität repräsentiert, verschlüsselt. Bei einer bevorzugten Ausführungsform wird die digitale Identität durch zwei Algorithmen verschlüsselt, z. B. einen klassischen Algorithmus (z. B. elliptische Kurve) und einen, der Post-Quanten-Schlüssel zu generieren, wobei zukünftige Angriffe verhindert werden. Der verschlüsselte String wird als digitale Identität in dem Distributed-Ledger, z. B. Blockchain, auf einem Hardwarespeicher der Identitätsverwaltungsplattform gespeichert.
  • Unter Verwendung eines solchen Verfahrens zum Erzeugen und Verwalten einer digitalen Identität wird ein technisches System bereitgestellt, das Datenschutzanforderungen für Einwilligungen erfüllt, wie:
    • - prominent und separat (einfach zu verstehen, schlichte/klare Sprache)
    • - positives Opt-In (kein im Voraus gesetzter Haken, kein Standard-Ein)
    • - spezifische, unterschiedliche Einwilligung für unterschiedliche Daten
    • - enthält den Grund (warum) und die Verwendung (wofür)
    • - Speicherungsinformationen (wie, wann/Zeitstempel, genaue Worte)
    • - Opt-Out genauso einfach wie Opt-In
  • Sobald die digitale Identität unter Verwendung des Root-String erzeugt wurde, kann sie in einem zweiten Schritt 22 ergänz werden, indem weitere Informationen, wie weitere biometrische Informationen oder persönliche Geheimnisse, zum Beispiel Passwörter oder behördenabhängige Informationen, wie Hochschuldiplom, Führerschein, Personalausweis, Sozialversicherungsnummer, medizinische Aufzeichnungen usw., bereitgestellt werden. Diese Informationen können als weitere Attribute verwenden werden, die als die digitale Identität zu speichern sind, und daher wird die digitale Identität stärker gemacht.
  • Die Informationen, die mit der oder als Teil der digitalen Identität gespeichert werden, können dann als Legitimationsbeweis in Schritt 23 verwendet werden. Sie können zum Beispiel zum Verifizieren dieser Informationen für andere Benutzer in dem Netz zu oder zum Authentifizieren für andere Benutzer oder Netzknoten oder zum Zugriff auf andere Netzknoten oder zum Einloggen in Anwendungen oder Dienste in dem Netz verwendet werden.
  • Um Informationen oder Geheimnisse zu verwenden, die mit der oder als Teil der digitalen Identität gespeichert werden, empfängt die Softwareanwendung, die auf der Benutzervorrichtung ausgeführt wird, eine Eingabe, die eine Anforderung repräsentiert, z. B.:
    • - eine Anforderung durch den Benutzer zum Zugriff auf einen Onlinedienst,
    • - eine Anforderung zur Autorisierung für einen Login durch einen Onlinedienst,
    • - eine Anforderung für einen Legitimationsbeweis (z. B. ein gewisses qualifizierendes Alter oder der Besitz eines gewissen Dokuments, wie eines Führerscheins) durch einen Onlinedienst,
    • - eine Anforderung durch einen Dienst für eine föderierte Identität, z. B. openID,
    • - eine Anforderung durch einen benutzerverwalteten Zugriffsdienst, z. B. oAUTH.
  • Die Softwareanwendung greift auf die digitale Identität zu, um die Einwilligung für eine solche Handlung zu überprüfen und um zu überprüfen, ob die notwendigen Informationen mit der oder als Teil der digitalen Identität gespeichert sind. Falls eine Einwilligung und Informationen gespeichert und gültig sind, erzeugt die Softwareanwendung einen Token, der nur die erforderlichen und Geheimnisse mit Einwilligung für diese Handlung beinhaltet. Daher ist der Token ein Bündel von Informationen, die der Benutzer mit dem speziellen Anforderer teilen will oder für die er dazu zugestimmt hat, sie mit diesem zu teilen. Falls es keine Einwilligungsinformationen gibt, die für diese Handlung gespeichert sind, kann die Softwareanwendung den Benutzer nach einer Einwilligung fragen. Falls die angeforderten oder notwendigen Informationen nicht gespeichert sind, kann die Softwareanwendung den Benutzer danach fragen, sie zu erzeugen und zu speichern. Schließlich teilt die Softwareanwendung den Token mit dem Anforderer.
  • Daher werden ein Element geheimer Informationen und ein Element einer Einwilligung in einen Token gebündelt, der als ein Informationspaket zu verwenden ist, das zum Erfüllen einer Anforderung für einen Legitimationsbeweis oder für Autorisierungsinformationen in der Lage ist. Dieser Token wird verwendet, um die minimal erforderlichen Informationen zu teilen.
  • Bei einem alternativen oder anschließenden Schritt 24 kann der Benutzer eine Einwilligung unter Verwendung seiner erzeugten digitalen Identität verwalten. Zu diesem Zweck empfängt und speichert die Softwareanwendung auf der Benutzervorrichtung eine Antwort von dem Benutzer auf jede spezielle Einwilligungsanforderung: Ja oder Nein (z. B. als 1 oder 0 gespeichert). Die Softwareanwendung kann einen Rückstand an Anforderungen erzeugen und ihrem Benutzer ermöglichen, sie zu einer beliebigen möglichen Zeit zu beantworten.
  • Zum Beispiel kann eine solche Anforderung eine Frage sein „Möchten Sie einwilligen, dass Benutzer A / Dienst B / Firma C Ihnen Newsletter unter den Bedingungen... sendet?“. Eine solche Anforderung könnte durch den Benutzer selbst oder durch die Partei, die nach einer Einwilligung fragt, d. h. Benutzer A, Dienst B oder Firma C, ausgelöst werden.
  • Bei einer bevorzugten Ausführungsform überprüft die Softwareanwendung, ob die Frage / Bedingungen der Einwilligung vorbestimmten Datenschutz- oder Privatsphärenanforderungen entsprechen, z. B. Grenzdatum oder Widerrufsoption.
  • Bei einer bevorzugten Ausführungsform schlägt die Softwareanwendung automatisch Fragen für zugehörige Kategorien von Anforderungen vor, um die Einrichtung für die gegebene Einwilligung zu erweitern. Sie kann auch eine Unterstützung mit Erinnerungen beim Aufheben, Revalidieren, erneuten Einwilligen bereitstellen, um das Teilen eines Geheimnisses zu ermöglichen. Eine solche Funktionalität kann mit bestehenden Maschinenlernalgorithmen erweitert werden, um einen Assistenten zum Fragen der Fragen zu bilden und die Unterstützung beherrschbar zu halten (Erinnern bezüglich ausgelaufener Einwilligungen oder Zeitgrenzen bereits bestehender Einwilligungen usw.).
  • Bei einer bevorzugen Ausführungsform kann die Softwareanwendung dem Benutzer eine Zusammenfassung aller oder ausgewählter Einwilligungen oder eine Übersicht dieser zeigen. Eine Kernfunktionalität einer solchen Übersicht oder eines Einwilligungs-Dashboards hält die Einwilligungsverwaltung für den Benutzer praktikabel, z. B. durch Verwenden der folgenden Regeln:
    • - alle Einwilligungen werden durch Beantworten einer Frage mit Ja oder Nein erzeugt
    • - entsprechend werden die Einwilligungen als Ja oder Nein visualisiert
    • - alle Einwilligungen können mit einer einzigen Handlung gewährt, verweigert, aufgehoben, erneut gewährt, wieder aufgehoben usw. werden.
  • In einem alternativen oder anschließenden Schritt 25 können digitale Identitäten verbunden werden, z. B. kann eine neu erzeugte digitale Identität basierend auf neu erzeugten Root-Strings verbunden werden. Zu diesem Zweck fragt die Softwareanwendung auf der Benutzervorrichtung nach einer Einwilligung zum Herstellen von Eins-zu-Eins-Verbindungen zwischen ersten Identitäten. Dazu erzeugt die Softwareanwendung verteilte Kennungen, z. B. einschließlich verteilter Kennungen für ein Objekt oder Smart-Produkte, die der Benutzer besitzt. Diese Erzeugung verteilter Kennungen passiert nur nach einer entsprechenden Einwilligung durch den Benutzer für die Softwareanwendung. Bei einer bevorzugten Ausführungsform werden alle verteilten Kennungen als Attribute in der digitalen Identität des Benutzers aufgelistet (repliziert).
  • Um bestehende Root-Strings zu verbinden, kann zum Beispiel ein dritter Root-String erzeugt werden, wobei die zwei bestehenden Root-Strings gehasht werden. Dieser dritte Root-String kann als ein Geheimnis der ursprünglichen zwei Root-Stings in jedem Einwilligungs-Dashboard repliziert werden. Diese zwei Root-Strings können den bestehenden dritten Root-String auf beiden Seiten verweigern. Eine beliebige Anzahl an sekundären Strings kann über eine Einwilligung eines Root-Strings erzeugt werden. Alle diese sekundären Strings werden über diese Einwilligung mit dem einen Root-String verbunden.
  • Alle Eins-zu-Eins-Verbindungen einschließlich Identitäten für Objekte oder Smart-Produkte sind nur gültig, während die Basisdigitalidentitätseinwilligungen an beiden Enden noch gültig sind.
  • Eine Eins-zu-Eins-Verbindung kann verwendet werden, um Geheimnisse zu teilen oder um einen intelligenten Vertrag zu erzeugen, z. B. durch Verwenden von zwei Basisidentitäten, die menschlichen Benutzern entsprechen, um eine verteilte Kennung für den intelligenten Vertrag zu generieren und die Vereinbarung zwischen den zwei Identitäten zu bestätigen.
  • In 3 ist ein Beispiel für die Interaktion von Benutzern in einem Netz unter Verwendung ihrer digitalen Identitäten gezeigt. Ein erste digitale Identität 311 wird basierend auf einem Root-String erzeugt, der Vereinen von Informationen erzeugt wird, die durch einen ersten Benutzer 31 empfangen werden, wobei die Informationen eine erste Einwilligung und ein erstes Geheimnis, wie biometrische Informationen, beinhalten. Ein zweite digitale Identität 321 wird basierend auf einem Root-String erzeugt, der durch Vereinen von Informationen erzeugt wird, die durch einen zweiten Benutzer 32 empfangen werden, wobei die Informationen eine erste Einwilligung und ein erstes Geheimnis, wie biometrische Informationen, beinhalten. Eine dritte digitale Identität 312 wird zum Beispiel für ein Produkt, bei diesem Beispiel für ein dem Benutzer 31 gehörendes Auto, erzeugt. Die digitale Identität 312 ist mit der ersten digitalen Identität 311 verbunden und von dieser abhängig. Die Erzeugung der dritten digitalen Identität ist nur nach der Einwilligung des Benutzers 32 möglich, die über die erste digitale Identität 311 bereitgestellt wird. Eine vierte digitale Identität 322 wird zum Beispiel für ein Produkt, bei diesem Beispiel für eine dem Benutzer 32 gehörende Garage, erzeugt. Die digitale Identität 322 ist mit der zweiten digitalen Identität 321 verbunden und hängt von dieser ab. Die Erzeugung der vierten digitalen Identität ist nur nach der Einwilligung des Benutzers 32 möglich, die über die zweite digitale Identität 321 bereitgestellt wird.
  • Die dritte digitale Identität, die dem dem Benutzer 31 gehörenden Auto entspricht, und die vierte digitale Identität, die der dem Benutzer 32 gehörenden Garage entspricht, können Einwilligungen für eine Handlung beinhalten, welche durch die jeweiligen Benutzer der Produkte bereitgestellt werden. Solche Einwilligungen können die Einwilligung zu gewissen Bedingungen eines intelligenten Vertrags beinhalten, der automatisch zwischen Produkten ausgehandelt wird. Zum Beispiel kann der Benutzer 31 eine Einwilligung dazu geben, dass das Auto einen intelligenten Vertrag mit einer Garage mit einer maximalen Gebühr pro Parkzeit aushandelt sowie eine Strategie oder ein Format aushandelt, und der Benutzer 32 kann eine Einwilligung dazu geben, dass die Garage einen intelligenten Vertrag mit einem Auto mit einer minimalen Gebühr pro Parkzeit aushandelt sowie eine Strategie oder ein Format aushandelt. Innerhalb dieser Bedingungen mit Einwilligung können die Produkte nun von selbst einen intelligenten Vertrag aushandeln, der zum Beispiel erlaubt, dass das Auto für eine ausgehandelte Parkgebühr in der Garage parkt (einschließlich des Öffnens des Garagentors). Bei alternativen Ausführungsformen wird die Einwilligung zu den Bedingungen für die Verhandlung oder die Einwilligung überhaupt zum Durchführen von Verhandlungen möglicherweise nicht im Voraus gegeben, sondern wird von den Benutzern durch ihre Produkte über die jeweiligen digitalen Identitäten in dem Digitalidentitätsverwaltungssystem angefordert.

Claims (11)

  1. Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz mit wenigstens zwei Benutzern, dadurch gekennzeichnet, dass - eine erste Identität, die einem ersten Benutzer (11) der wenigstens zwei Benutzer entspricht, erzeugt und in verschlüsselter Form in einem Identitätsverwaltungssystem (15) gespeichert wird, - eine zweite Identität, die einem zweiten Benutzer der wenigstens zwei Benutzer entspricht, erzeugt und in verschlüsselter Form in dem Identitätsverwaltungssystem (15) gespeichert wird, - ein erstes Recht zum Zugriff auf erste Informationen oder zum Zugriff auf eine erste Softwarefunktion oder zum Zugriff auf ein erstes Produkt der ersten Identität zugewiesen wird, - der zweite Benutzer einen Zugriff auf die Informationen oder die Softwarefunktion oder das Produkt von dem ersten Benutzer (11) anfordert, indem die Anforderung an das Identitätsverwaltungssystem (15) gesendet wird, - das Identitätsverwaltungssystem (15) die Authentifizierung des zweiten Benutzers basierend auf der zweiten Identität überprüft, - das Identitätsverwaltungssystem die Anforderung an den ersten Benutzer (11) sendet, - der erste Benutzer (11) die Anforderung verweigert oder bestätigt, indem er dem Identitätsverwaltungssystem (15) antwortet, - das Identitätsverwaltungssystem (15) die Authentifizierung des ersten Benutzers (11) basierend auf der ersten Identität überprüft, - das Identitätsverwaltungssystem (15) den zweiten Benutzer mit geheimen Informationen versorgt, die in verschlüsselter Form mit der ersten Identität gespeichert sind, wobei die geheimen Informationen ermöglichen, dass der zweite Benutzer auf die Informationen, die Softwarefunktion oder das Produkt zugreift, - der zweite Benutzer auf die ersten Informationen oder die erste Softwarefunktion oder das Produkt zugreift.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass - sich der erste Benutzer (11) über einen ersten von zwei Netzknoten (12) mit dem Netz verbindet, - der erste Benutzer (11) die erste Identität, die dem ersten Benutzer entspricht, in dem Netz über eine Softwareanwendung erzeugt, die auf dem ersten Netzknoten (12) ausgeführt wird, wobei die Erzeugung beinhaltet, dass der erste Benutzer (11) erste biometrische Informationen, die den ersten Benutzer (11) charakterisieren, bereitstellt, - die ersten biometrischen Informationen in verschlüsselter Form durch das Identitätsverwaltungssystem (15) gespeichert werden.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass sich der erste Benutzer (11) bei dem Identitätsverwaltungssystem (15) authentifiziert, indem die ersten biometrischen Informationen über die Softwareanwendung bereitgestellt werden, und wobei nach der Authentifizierung der erste Benutzer (11) die erste Identität oder Informationen, die mit der ersten Identität gespeichert sind, die dem ersten Benutzer (11) entspricht, über die Softwareanwendung verändert, die auf dem ersten Netzknoten (12) ausgeführt wird, wobei das Verändern Folgendes beinhaltet: o Hinzufügen oder Entfernen weiterer biometrischer Informationen, die dem ersten Benutzer (11) entsprechen, oder o Hinzufügen oder Entfernen geheimer Informationen, oder o Hinzufügen oder entfernen eines Zertifikats.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Identität wenigstens teilweise durch wenigstens eine einer digitalen Repräsentation von Folgendem gebildet wird: o erster biometrischer Informationen, o hinzugefügter weiterer biometrischer Informationen, o hinzugefügter geheimer Informationen, o eines hinzugefügten Zertifikats.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Identität wenigstens anfänglich basierend auf ersten biometrischen Informationen und einer Einwilligung des ersten Benutzers (11) zum Erzeugen der ersten Identität gebildet wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum Ablehnen oder Bestätigen der Anforderung sich der erste Benutzer (11) bei dem Identitätsverwaltungssystem (15) authentifiziert, indem über eine Softwareanwendung erste biometrische Informationen, weitere biometrische Informationen oder geheime Informationen bereitgestellt werden.
  7. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass die ersten biometrischen Informationen eine Irisabtastung, eine Fingerabdruckabtastung, eine Handvenenabtastung, eine spezielle Geste und/oder eine Sprachabtastung des ersten Benutzers (11) beinhalten.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Ablehnung oder Bestätigung, durch den ersten Benutzer (11), der Anforderung des zweiten Benutzers durch die Softwareanwendung (12) als eine aufgezeichneter Einwilligungen gespeichert wird.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Übersicht über wenigstens eine der aufgezeichneten und noch offenen Anforderungen an den ersten Benutzer (11) geliefert wird, wobei auf eine der Anforderungen durch den ersten Benutzer (11) zugegriffen werden kann, um die entsprechende Einwilligung zu verweigern, zu gewähren oder aufzuheben.
  10. Computerprogramm, das zum Ausführen eines Verfahrens nach einem der vorhergehenden Ansprüche eingerichtet ist.
  11. Speicherungsmittel, das ein Computerprogramm nach Anspruch 10 speichert.
DE112020003476.3T 2019-07-24 2020-06-24 Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz Pending DE112020003476T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP19187996.4A EP3771142A1 (de) 2019-07-24 2019-07-24 Computerimplementiertes verfahren zur steuerung des zugriffs in einem netzwerk
EP19187996.4 2019-07-24
PCT/EP2020/067721 WO2021013459A1 (en) 2019-07-24 2020-06-24 Computer-implemented method for controlling access in a network

Publications (1)

Publication Number Publication Date
DE112020003476T5 true DE112020003476T5 (de) 2022-05-05

Family

ID=67438663

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020003476.3T Pending DE112020003476T5 (de) 2019-07-24 2020-06-24 Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz

Country Status (5)

Country Link
US (1) US20220321542A1 (de)
EP (1) EP3771142A1 (de)
CN (1) CN114402321A (de)
DE (1) DE112020003476T5 (de)
WO (1) WO2021013459A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3771141A1 (de) * 2019-07-24 2021-01-27 Robert Bosch GmbH Computerimplementiertes verfahren zur sicherung von interaktionen zwischen mindestens zwei benutzern in einem netzwerk

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10756906B2 (en) * 2013-10-01 2020-08-25 Kalman Csaba Toth Architecture and methods for self-sovereign digital identity
US11171781B2 (en) * 2016-02-15 2021-11-09 Sal Khan System and method which using blockchain protects the privacy of access code and the identity of an individual seeking online access
CA3033385A1 (en) * 2016-08-23 2018-03-01 BBM Health LLC Blockchain-based mechanisms for secure health information resource exchange
US10484178B2 (en) * 2016-10-26 2019-11-19 Black Gold Coin, Inc. Systems and methods for providing a universal decentralized solution for verification of users with cross-verification features
EP3422221A1 (de) * 2017-06-29 2019-01-02 Nokia Technologies Oy Steuerung des zugriffs auf elektronische gesundheitsdaten
EP3732648A1 (de) * 2017-12-27 2020-11-04 Newbanking APS Verfahren zur verwaltung einer verifizierten digitalen identität
WO2019246626A1 (en) * 2018-06-22 2019-12-26 Mshift, Inc. Decentralized identity verification platforms
US20210264018A1 (en) * 2018-06-27 2021-08-26 Newbanking Aps Securely managing authenticated user-data items
US20200026834A1 (en) * 2018-07-23 2020-01-23 One Kosmos Inc. Blockchain identity safe and authentication system
GB201813458D0 (en) * 2018-08-17 2018-10-03 Yoti Holding Ltd Blockchain autonomous agents
US11251977B2 (en) * 2019-06-18 2022-02-15 Microsoft Technologly Licensing, LLC Validation data structure for decentralized identity claim

Also Published As

Publication number Publication date
WO2021013459A1 (en) 2021-01-28
US20220321542A1 (en) 2022-10-06
EP3771142A1 (de) 2021-01-27
CN114402321A (zh) 2022-04-26

Similar Documents

Publication Publication Date Title
EP2585963B1 (de) Verfahren zur erzeugung eines zertifikats
EP2304642B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2245573B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2454703B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2332313B1 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
EP2053777A1 (de) Zertifizierungsverfahren, -system und einrichtung
DE102008042262A1 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
EP2620892B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE112020003476T5 (de) Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz
DE112020003479T5 (de) Computer-implementiertes Verfahren zum Bereitstellen sicherer Interaktionen zwischen Benutzern in einem Netz
DE102018112881A1 (de) Datenschutzgestützte biometrische, authentifizierte Zugriffsanforderung
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität
DE112020003474T5 (de) Computer-implementiertes Verfahren zum Sichern von Interaktionen zwischen wenigstens zwei Benutzern in einem Netz
EP2631837B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102014106310A1 (de) Vertrauensniveauberechnung mit attributspezifischen Funktionen
DE102020207034A1 (de) Geteiltes widerrufsprotokoll für datenzugriffskontrolle
EP3117360B1 (de) Id-provider-computersystem
EP3840321B1 (de) Verfahren und system zur authentifikation einer mobile-id mittels hashwerten
DE102008013079B4 (de) Verfahren und Anordnung zur Verwaltung digitaler Identitäten über eine einzige Schnittstelle
DE102009032801A1 (de) Elektronische Abwicklung von Geschäften mit rechtskonformem Charakter
CH698852B1 (de) Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten.