DE60211841T2 - Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln - Google Patents
Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln Download PDFInfo
- Publication number
- DE60211841T2 DE60211841T2 DE60211841T DE60211841T DE60211841T2 DE 60211841 T2 DE60211841 T2 DE 60211841T2 DE 60211841 T DE60211841 T DE 60211841T DE 60211841 T DE60211841 T DE 60211841T DE 60211841 T2 DE60211841 T2 DE 60211841T2
- Authority
- DE
- Germany
- Prior art keywords
- certificates
- certificate
- key
- brand
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Finance (AREA)
- Storage Device Security (AREA)
Description
- HINTERGRUND DER ERFINDUNG
- 1. Gebiet der Erfindung
- Diese Erfindung betrifft allgemein ein Verfahren zum Widerruf und zum Aktualisieren von Marken bzw. Token in einer Infrastruktur mit öffentlichen Schlüsseln ("public key infrastructure"; PKI) und im Besonderen ein Verfahren und ein Computerprogramm zum Verwalten von Verschlüsselungs-, Signatur- und Rollen-Zertifikaten/privaten Schlüsseln, die in einer Marke enthalten sind.
- 2. Diskussion des verwandten Standes der Technik
- Seit Jahrhunderten haben Einzelpersonen, Regierungen und Unternehmenseinheiten nach Mechanismen und Techniken gesucht, durch welche sensible Information an autorisierte Parteien über große Entfernungen übertragen werden kann und noch sicher bleibt. Das Problem, dass sich den obigen Einheiten darstellt, ist, wie Information zu den Einzelpersonen oder Einheiten, welche sie benötigen, gesandt werden kann und immer noch sichergestellt werden kann, dass nicht-autorisierte Parteien nicht in der Lage sind, die übertragene Information zu verstehen, sollte sie abgefangen werden. Frühe Verfahren zum Sichern von Information haben Verwürfelungstechniken, Nachschlagetabellen, Ersatzchiffren und Codebücher verwendet, in welchen Buchstaben oder Ausdrücke für die ursprünglichen Buchstaben und Ausdrücke in der Information ausgetauscht würden. Diese Techniken benötigen es häufig, dass sowohl der Sender als auch der Empfänger von Information Zugang zum gleichen "Codebuch" haben. Eine Gefahr bei einer solchen Technik ist es, dass das Codebuch in nicht-autorisierte Hände fallen könnte.
- Im frühen 20. Jahrhundert, und insbesondere während des 2. Weltkriegs, wurden Codebücher durch elektromechanische Chiffriermaschinen ersetzt. Sowohl der Sender als auch der Empfänger würden eine identische Chiffriermaschine besitzen, welche zum Verschlüsseln und Entschlüsseln von gesendeten Nachrichten verwendet wird.
- Um es schwieriger zu machen, diese Nachrichten zu entschlüsseln, weisen die Chiffriermaschinen die Möglichkeit auf, die in einer Nachricht verwendete Chiffre zu ändern oder die alle paar Worte innerhalb einer Nachricht verwendete Chiffre zu ändern. Um dies zu erreichen, würde die Chiffriermaschine den Anfangszustand oder Schlüssel wissen müssen, welcher verwendet wird, um die Nachricht zu verschlüsseln.
- In den letzten Jahren sind Chiffriermaschinen durch digitale Verschlüsselungsalgorithmen ersetzt worden, in welchen sowohl der Sender als auch der Empfänger eine identische Kopie des digitalen Verschlüsselungsalgorithmus aufweisen als auch einen gemeinsamen Schlüssel, der verwendet wird, um Nachrichten zu verschlüsseln und zu entschlüsseln. Sowohl der Verschlüsselungsalgorithmus als auch der Schlüssel werden sowohl vom Sender als auch vom Empfänger geheim gehalten.
- Noch aktueller ist eine andere Verschlüsselungstechnik entwickelt worden, in welcher zwei unterschiedliche Schlüssel für die Verschlüsselung und die Entschlüsselung verwendet werden. Ein öffentlicher Schlüssel wird frei an jeden übermittelt, der ihn benötigt, und wird dazu verwendet, Nachrichten für einen bestimmten Empfänger zu verschlüsseln. Der Empfänger würde einen zugeordneten privaten Schlüssel besitzen, welcher verwendet werden kann, um die mit dem zugeordneten öffentlichen Schlüssel verschlüsselte Nachricht zu entschlüsseln. Für jeden öffentlichen Schlüssel existiert nur ein privater Schlüssel, und für jeden privaten Schlüssel existiert nur ein öffentlicher Schlüssel. Wenn man eine Nachricht an mehrere Empfänger sendet, ist es notwendig, den öffentlichen Schlüssel jedes Empfängers zu besitzen. Die Nachricht würde dann unter Verwendung des öffentlichen Schlüssels jedes Empfängers getrennt verschlüsselt und dann diesem bestimmten Empfänger übermittelt. Falls daher 10 unterschiedliche Einheiten die gleiche Nachricht empfangen sollen, würden 10 unterschiedliche Nachrichten übertragen, wobei jede Nachricht mit dem öffentlichen Schlüssel der Einzelperson verschlüsselt ist. Mit dem Aufkommen des Internets hat eine solche Infrastruktur mit öffentlichen Schlüsseln eine erhebliche Akzeptanz erfahren, wie es in der Anfrage für Kommentare, Nr. 2459 (RFC 2459), von Housley et al., betitelt "Internet X.509 Public Key Infrastructure" diskutiert ist, welche hierin vollinhaltlich eingeführt wird.
- Zusätzlich zum Bedarf nach der Verschlüsselung und Entschlüsselung von Nachrichten hat sich mit dem Aufkommen von elektronischer Post (E-Mail) und dem Internet ein Bedürfnis nach einem sicheren Mechanismus entwickelt, um eine Genehmigung und eine Annahme durch eine Einzelperson anzuzeigen. In der Vergangenheit würde eine Einzelperson typischerweise seine Genehmigung oder Annahme für solche Dinge wie einen Vertrag oder eine Bestellung durch eine handgeschriebene Unterschrift, einen Stempel oder ein Siegel zeigen, welche von dieser Einzelperson bereitgehalten würden. Jede andere, der versucht, eine solche Unterschrift, Stempel oder Siegel nachzumachen, würde Straftaten begehen. Mit dem Aufkommen von E-Mail und dem Internet ist ein Bedürfnis entstanden, aus der Einfachheit und der Geschwindigkeit der E-Mail einen Vorteil zu ziehen, um eine Genehmigung oder Annahme eines Vertrags oder eines Kaufs durch eine Person oder eine Einheit mit richtiger Befugnis anzuzeigen. Dies ist als eine digitale Signatur bzw. Unterschrift bekannt geworden, in welcher eine Einzelperson ein Dokument digital signieren bzw. unterschreiben kann.
- Diese digitale Signaturfähigkeit ist unter Verwendung der gleichen Infrastruktur mit öffentlichen Schlüsseln, wie sie oben beschrieben worden ist, implementiert worden. Statt jedoch ein ganzes Dokument zu verschlüsseln, wird das Dokument selbst durch einen Einweg-Hash-Algorithmus hindurchgeführt, welcher ein kleines Dokument erzeugt, das als ein Extrakt bezeichnet wird. Dieser Extrakt wird dann unter Verwendung des privaten Schlüssels der Einzelperson verschlüsselt, der auch als ein privater Signaturschlüssel bzw. Unterschriftenschlüssel bekannt ist, und an das Dokument angehängt. Der Empfänger des Dokuments kann die Authentizität der digitalen Signatur (des Extrakts) durch Herausziehen der Signatur aus dem Dokument und Neuberechnen der Hash-Funktion des Dokuments, um eine Ausgabe als den empfangenen Extrakt zu erzeugen, verifizieren. Durch Verwendung des öffentlichen Signaturschlüssels, der in dem Dokument enthalten ist oder vorher empfangen wurde, ist es möglich, den Extrakt des Dokuments zu entschlüsseln und ihn mit dem Extrakt zu vergleichen, der erneut berechnet wurde. Falls die beiden Extrakte übereinstimmen, ist die Signatur dann authentifiziert, und das empfangene Dokument wurde als mit dem durch den Absender signierten Dokument als identisch nachgewiesen. Daher ist es unter Verwendung der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel möglich, sowohl Nachrichten zu verschlüsseln und zu entschlüsseln als auch Dokumente digital zu signieren.
- Jedoch bestehen bei der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel verschiedene Beschränkungen. Eine solche Beschränkung ist es, dass, damit eine Gruppe von Einzelpersonen oder Einheiten die verschlüsselten Nachrichten sendet und empfängt, jede Einzelperson ein Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel erzeugt haben muss. Ferner muss jede Einzelperson oder Einheit in einer Gruppe einen getrennten öffentlichen Signaturschlüssel und einen privaten Signaturschlüssel aufweisen, um Dokumente digital zu signieren. Damit andere Mitglieder der Gruppe in der Lage sind, empfangene Nachrichten zu entschlüsseln, ist es für Mitglieder der Gruppe notwendig, Schlüsselpaare einschließlich des privaten Schlüssels auszutauschen. Dies kann notwendig sein, wenn ein Mitglied der Gruppe aufgrund von Krankheit oder Reise nicht im Büro ist. Wo ein solcher Austausch von Schlüsselpaaren nicht stattfindet, wenn eine dringende verschlüsselte Nachricht beispielsweise in das Finanzbüro, die Personalabteilung oder eine Ingenieurgruppe in dem Unternehmen hereinkommt, kann nur die Person, welche den privaten Schlüssel hält, die Nachricht entschlüsseln. Wenn diese Person nicht verfügbar ist, wird die Nachricht nicht entschlüsselt und der Absender wird keine sofortige Antwort erhalten. Wenn jedoch Schlüsselpaare von Mitgliedern einer Gruppe ausgetauscht werden, können alle Mitglieder, welche einen privaten Schlüssel der Person besitzen, alle an diese Person gesendeten Nachrichten entschlüsseln können, und zwar unabhängig von der Natur der Nachricht oder seiner Vertraulichkeit. Dies erzeugt erhebliche Probleme für Geschäfte, welche auf Kundenanfragen schnell antworten müssen und in denen ein Kundenvertrauen aufrechterhalten werden muss. Dies kann man am besten in Anwaltspraxen, Arztpraxen und beim Militär sehen, wo eine Verzögerung beim Ausgeben einer Antwort sehr teuer sein kann. Weiterhin ist es für eine große Gruppe von Einzelpersonen oder Einheiten mühsam, Schlüsselpaare miteinander auszutauschen. Wo beispielsweise eine Gruppe 30 Einzelpersonen umfasst, muss eine Gesamtzahl von 30 × 30, oder 900 Austauschungen von Schlüsselpaaren durchgeführt werden, damit jeder in der Gruppe in der Lage ist, jede von einem anderen Mitglied der Gruppe empfangene Nachricht zu entschlüsseln.
- Eine weitere bestehende Beschränkung betrifft die Sicherheit und Übertragbarkeit der Zertifikate/privaten Schlüssel. Typischerweise weisen Nutzern zugeordnete Zertifikate sowohl private als auch öffentliche Schlüssel auf, von denen jeder auf einem Computer gespeichert ist. Diese Zertifikate/privaten Schlüssel werden auch häufig auf die Verwendung in solchen Computersystemen beschränkt, in welchen sie gespeichert sind. Falls daher ein Nutzer wünscht, ein anderes Computersystem zu verwenden, muss er seine Zertifikate/privaten Schlüssel auf dieses System übertragen. Weiterhin hat sich gezeigt, dass die Verbindung von Personal Computern mit dem Internet bezüglich einer Infiltration und Schädigung durch nicht-autorisierte Dritte verletzlich ist. Falls daher private Schlüssel zur Verschlüsselung und Signatur-Zertifikate/private Schlüssel auf einem Personal Computer gespeichert sind, welcher direkt oder indirekt mit dem Internet verbunden ist, ist es möglich, die Zertifikate/privaten Schlüssel zu kopieren und mit einigem Aufwand das Passwort zu bestimmen, das benötigt wird, um die Zertifikate/privaten Schlüssel zu verwenden.
- Eine weitere Beschränkung dieser Zertifikate/privaten Schlüssel ist es, dass sie auf die Verwendung in und zwischen Computersystemen zum Austausch digitaler Information oder zu Signaturzwecken beschränkt sind. Es ist in einem Unternehmen oder einer Behördeneinheit häufig notwendig, für bestimmte physikalische Bereiche einen beschränkten Zugang aufzuweisen. Normalerweise sind diese Bereiche durch Sicherheitswachen geschützt, welche Ausweise überprüfen, um Zugang durch Einzelpersonen zu erlauben. Jedoch müssen diese Ausweise nicht notwendigerweise authentisch oder aktuell sein. Daher kann eine Einzelperson, deren Zugang zu einem bestimmten Bereich widerrufen worden ist, diesen Bereich weiterhin betreten, falls sie ihren Ausweis behält.
- Was daher benötigt wird, ist ein Verfahren und ein Computerprogramm, in welchem Zertifikate/private Schlüssel auf einer tragbaren Vorrichtung gespeichert werden können, welche von einem autorisierten Nutzer einfach physikalisch getragen werden kann. Diese physikalische Vorrichtung sollte in der Lage sein, eine erhebliche Zahl von Zertifikaten/privaten Schlüsseln aufzunehmen, welche diesem Nutzer zugeordnet sind. Weiterhin sollte diese physikalische Vorrichtung von einem Computersystem lesbar sein, welches nicht notwendigerweise das normale Computersystem ist, auf das von dem Nutzer zurückgegriffen wird. Die Zertifikate/privaten Schlüssel, die innerhalb dieser physikalischen Vorrichtung enthalten sind, sollten in der Lage sein, auf die gleiche Weise wie jede andere Verschlüsselungs- oder Signatur-Zertifikate/private Schlüssel in einem PKI-System zu arbeiten. Zusätzlich sollten diese Zertifikate/privaten Schlüssel vor einem nicht-autorisierten Zugriff im Fall eines Verlustes oder Diebstahl geschützt sein. Und weiter sollte diese physikalische Vorrichtung auch eine spezielle Klasse von Zertifikaten/privaten Schlüsseln enthalten, welche eine Rolle oder organisatorische Gruppe darstellt, und einem autorisierten Nutzer einen Zugriff auf Information für diese Gruppe erlauben würde als auch die Fähigkeit, für die Gruppe Verpflichtungen einzugehen oder eine Genehmigung zu signalisieren. Und weiterhin sollte diese physikalische Vorrichtung von einer solchen Art sein, dass sie als Identifikationsmittel zum Zugang zu beschränkten Bereichen und Information verwendet werden kann.
- Referenzen von Interesse auf dem Gebieten von Marken bzw. Token und Systemen mit einer Infrastruktur mit öffentlichen Schlüsseln umfassen
US 6,003,014 an Lee et al. und "Applied Cryptography", 2. Ausgabe, von Bruce Schneier, John Wiley and Sons, USA, 1996.US 6,003,014 diskutiert ein Verfahren zur Verwendung einer Smartcard, um Zugang durch eine Zugangsvorrichtung nach Zahlung eines Werts (V) zu erlangen. Der Text aus Applied Cryptography diskutiert verschiedene Merkmale von Verschlüsselungssystemen mit öffentlichem Schlüssel/privatem Schlüssel einschließlich der Verwendung von Passphrasen und dergleichen. - ZUSAMMENFASSUNG DER ERFINDUNG
- Gemäß der Lehren der vorliegenden Erfindung wird ein Token bzw. eine Marke (
130 ), die einem Nutzer (132 ) in einer Infrastruktur mit öffentlichen Schlüsseln entspricht, offenbart, worin die Marke eine in der Marke (130 ) verschlüsselte Kennzeichnungsnummer bzw. Identifikationsnummer umfasst; ferner einen in der Marke (130 ) gespeicherten eindeutigen privaten Schlüssel, wobei der eindeutige private Schlüssel einem Zertifikat für bzw. mit einem öffentlichen und einem privaten Schlüssel für die Marke (130 ) entspricht; und eine Vielzahl von dem Nutzer (132 ) entsprechenden Zertifikaten, die in der Marke (130 ) verschlüsselt und gespeichert sind, wobei jedes aus der Vielzahl der Zertifikate ein Paar aus öffentlichem und privatem Schlüssel umfasst und jedes aus der Vielzahl der Zertifikate dazu geeignet ist, dass darauf unter Verwendung einer dem Nutzer (132 ) bekannten Passphrase zugriffen wird und es unter Verwendung des eindeutigen privaten Schlüssels entschlüsselt wird. - Vorzugsweise umfasst die Vielzahl der Zertifikate ein Signaturzertifikat, ein Verschlüsselungszertifikat und/oder ein Rollenzertifikat, das einer organisatorischen Rolle entspricht, von welcher der Nutzer ein Mitglied ist. In einem Beispiel ist die Marke eine Smartcard (
130 ). - Zusätzliche Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden Beschreibung und den angehängten Ansprüchen klar, wenn sie in Verbindung mit den beiliegenden Zeichnungen verwendet werden.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 ist ein Modulkonfigurationsdiagramm der in den Ausführungsformen der vorliegenden Erfindung verwendeten Software, Firmware und Hardware; -
2 ist ein Flussdiagramm einer beispielhaften Ausführungsform des Ablaufs zum Erlangen einer Marke in der vorliegenden Erfindung; -
3 ist ein modulares Diagramm, das den Ablauf zeigt, der verwendet wird, um ein Paar mit öffentlichem/privatem Schlüssel zu erzeugen, das verwendet wird, um die Zertifikate/privaten Schlüssel zu verschlüsseln, die in der Marke130 in einer beispielhaften Ausführungsform der vorliegenden Erfindung enthalten sind; -
4 ist ein Flussdiagramm, das die Logik zeigt, die verwendet wird, um Zertifikate/private Schlüssel zu widerrufen, die in einer Marke130 enthalten sind, welche verloren wurden, und zwar in einer beispielhaften Ausführungsform der vorliegenden Erfindung; und -
5 ist ein Flussdiagramm, das die Logik zeigt, die verwendet wird, um Zertifikate/private Schlüssel, die in einer Marke130 enthalten sind, zu aktualisieren, und zwar in einer beispielhaften Ausführungsform der vorliegenden Erfindung. - GENAUE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
- Die folgende Diskussion der beispielhaften Ausführungsformen, die auf einen Ablauf zum Widerrufen und Aktualisieren von Marken bzw. Token gerichtet ist, ist lediglich beispielhafter Natur und keineswegs dazu gedacht, die Erfindung oder ihre Anwendungen oder Verwendungen zu beschränken.
- Vor Beginn einer genauen Beschreibung des Erfindungsgegenstands sollte noch die folgende Anmerkung gemacht werden. Wenn es geeignet ist, können gleiche Bezugsziffern und -zeichen verwendet werden, um identische, entsprechende oder ähnliche Komponenten in unterschiedlichen Figurenzeichnungen zu bezeichnen. Weiterhin können in der folgenden genauen Beschreibung beispielhafte Ausdehnungen/Modelle/Werte/Bereiche angegeben werden, obwohl die vorliegende Erfindung nicht auf diese beschränkt ist.
- Vor Einstieg in eine Diskussion der Flussdiagramme ist eine kurze Diskussion der Art und Funktion und Struktur eines Rollenzertifikats notwendig. Wie es aus der Besprechung der
2 bis5 klar werden wird, beruhen die Ausführungsformen der vorliegenden Erfindung auf einem X.509-Zertifikat (V3), das genau in Abschnitt4 der RFC 2459 beschrieben ist. Das X.509-Zertifikat ist ein Zertifikat mit öffentlichem Schlüssel, das entweder für Verschlüsselungszwecke oder als Signaturschlüssel verwendet wird. Die in dem X.509-Zertifikat enthaltene Information wird abhängig davon unterschiedlich sein, ob sie als ein Signaturzertifikat oder als ein öffentlicher Schlüssel zur Verschlüsselung eingerichtet ist. Das Rollenzertifikat enthält mindestens die in der folgenden Tabelle 1 gezeigten Felder. - Ein Rollenzertifikat unterscheidet sich von anderen X.509-Zertifikaten (V3) auf drei Arten. Erstens kann der Subjektname des Rollenzertifikats es als ein Rollenzertifikat unterscheiden. Zweitens würden Bits in dem Erweiterungsfeld, wie in Tabelle 1 gezeigt, gesetzt werden, um anzuzeigen, dass das Rollenzertifikat sowohl für eine Verschlüsselung als auch für Signaturzwecke verwendet werden kann. Drittens können einem Rollenzertifikat Richtlinien zugeordnet werden, um Beschränkungen der Verwendungen des Rollenzertifikats anzuzeigen. Diese Richtlinien können auf dem Registrierungs-Webserver
124 , der dem Nutzer132 zugänglich ist, gespeichert werden, wie in1 gezeigt, wobei der Nutzer ein einem Büro zugeordnetes Signaturzertifikat empfängt. Beispielsweise kann ein Rollenzertifikat von einem Finanzbüro inner halb des Unternehmens ausgegeben werden, um eine Kaufanfrage zu genehmigen. Da jedoch mehrere Einzelpersonen innerhalb des Finanzbüros ein solches Rollenzertifikat als eine Signatur ausgeben können, kann das Rollenzertifikat eine mit ihr verbundene Leitlinie über eine Dollar-Beschränkung aufweisen, wie beispielsweise, dass sie nicht für mehr als 100.000 Dollar gültig ist, für welchen Betrag das Rollenzertifikat gültig ist. Alles oberhalb der Dollarbeschränkung würde das individuelle Signaturzertifikat des Finanzvorstands benötigen, um als gültig angesehen zu werden. Andere Beschränkungen können einem Rollenzertifikat auf einer individuellen Basis zugeordnet werden. Daher kann ein Rollenzertifikat von einem X.509 (V3)-Zertifikat unterschieden werden durch irgendeine oder eine Kombination aus: der für das Rollenzertifikat verwendeten Namenkonventionen; die dem Rollenzertifikat zugeordneten Richtlinien, welche seine Verwendung beschränken; die Fähigkeit, das Rollenzertifikat für eine Verschlüsselung und als eine digitale Signatur einzusetzen, und zwar durch Setzen von Bits in der Erweiterung; als auch durch seine Verwendung durch eine Gruppe von Einzelpersonen zur Verschlüsselung, Entschlüsselung und als eine Gruppensignatur. -
1 ist ein modulares Konfigurationsdiagramm der in den Ausführungsformen der vorliegenden Erfindung verwendeten Software, Firmware und Hardware. Die in1 dargestellten Kästen stellen Module, Code, Codesegmente, Befehle, Firmware, Hardware, Anweisungen und Daten dar, welche durch ein Prozessor-basiertes System/Systeme ausführbar sind und in einer Programmiersprache geschrieben sein können, wie beispielsweise in C++, aber nicht darauf beschränkt sind. Es sollte angemerkt werden, dass die in1 dargestellten Symbole als in getrennten Serverplattformen enthalten gezeigt sind. Jedoch sind diese Module nicht darauf beschränkt, auf getrennten Servern vorhanden zu sein und können auf einem Computer oder jeder Anzahl von Computern vorhanden sein und ausgeführt werden, abhängig von der Anzahl der Nutzer, die das System bewältigen muss, und von den beteiligten Kommunikationen. Die2 bis5 sind Flussdiagramme und Modularkonfigurationsdiagramme, welche die durch die in1 gezeigten Module ausgeführten Operationen bzw. Arbeitsgänge genauer darstellen. -
1 zeigt eine beispielhafte Architektur100 , in welcher die erfindungsgemäßen PKI (Infrastruktur mit öffentlichen Schlüsseln)-Abläufe angewandt werden können. Jedoch sollte es, wie oben diskutiert, verstanden sein, dass die vorliegende Erfindung nicht auf die Architektur100 aus1 beschränkt ist. Die Architektur100 umfasst eine Dateneingabe102 , welche eine Dateneingabefunktion für eine autoritative bzw. verbindliche Datenbank104 durchführt, welche auf der Serverplattform106 liegt. Eine Serverplattform106 wird in dieser Beschreibung angeführt, aber es sollte verstanden werden, dass die vorliegende Erfindung nicht auf irgendeine bestimmte Serverarchitektur beschränkt ist. Die Serverplattform106 kann ohne Beschränkungen UNIX- oder Windows NT-Server umfassen. Die autoritative bzw. verbindliche Datenbank104 enthält Information über Mitglieder der Gruppe oder des Unternehmens, für welche erfindungsgemäße PKI-Dienstleistungen durchgeführt werden. Die vorliegende Erfindung ist nicht auf die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der verbindlichen Datenbank104 gespeichert wird. Die autoritative Datenbank 104-Information umfasst, ohne Beschränkung, den Namen, die Adresse, Telefonnummern, den Namen des Managers, eine Angestelltenkennung usw. der Mitglieder der Gruppe oder des Unternehmens. Ein Verzeichnis108 hat die Struktur der Datenbank, ist aber für ein schnelles Nachschlagen von darin gespeicherter Information optimiert statt auf eine schnelle Dateneingabe. Die Daten in dem Verzeichnis108 werden nicht häufig geändert, aber es wird verlangt, dass es "schnell zugänglich ist und Online als ein schnelles Telefonbuch funktioniert", welches Referenzinformationen über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der autoritativen Datenbank104 gespeichert sind. Die Instanz110 für das Zertifikat/den privaten Schlüssel ist eine herkömmliche serienmäßig hergestellte Software, die auf der Serverplattform106 ausgeführt wird, und eine Speicherung von Zertifikaten/privaten Schlüsseln und zugehöriger Information bereitstellt, welche von der vorliegenden Erfindung wie weiter unten genauer beschrieben verwendet wird. Die Registrierungsinstanz112 ist ebenfalls eine serienmäßig hergestellte Software, die auf der Serverplattform106 bezüglich der durch die Erfindung durchgeführten Registrierung ausführbar ist, wie genauer weiter unten beschrieben. Eine Registrierungswebseite122 , welche eine oder mehrere Seiten sein kann, dient als die Nutzerschnittstelle zur Architektur100 aus1 . Ein Webserver124 ist eine Softwareanwendung, welche Webseiten wie beispielsweise die Webseite122 oder andere HTML-Ausgaben auf einen Webbrowser-Client bedient, welcher ohne Einschränkungen ein Apache- oder ein Microsoft Internet Information-Server sein kann. Der Webbrowser126 liegt auf einer Client-Plattform128 , welche jeder Nutzer-Computer sein kann. Der Webbrowser126 ist eine Client-Softwareanwendung zum Durchschauen von Webseiten, wie beispielsweise von HTML- oder XML-Protokollen oder anderen Protokollen, ist aber nicht darauf beschränkt. Der Webbrowser126 ist darauf programmiert, mit PKI-Zertifikaten/privaten PKI-Schlüsseln zu arbeiten, welche von der Zertifikatsinstanz110 ausgegeben werden. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, sind der Netscape Navigator und der Microsoft Internet Explorer. Die Marke130 ist eine Smartcard oder eine andere Hardware-Marke, die in der Lage ist, PKI-Zertifikate zu erzeugen, zu speichern und zu nutzen. Ein Nutzer132 ist eine Person, welche die Architektur100 verwendet. Ein Nutzer132 durchläuft eine Zahl von Zuständen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen ehemaligen Nutzer, welcher nicht länger ein Mitglied der Gruppe oder des Unternehmens ist, umfassen. Die persönliche Widerrufsinstanz144 ist eine Person, welche für den Widerruf von Mitgliedern aus dem Netzwerk100 verantwortlich ist. Die persönliche Registrierungsinstanz146 ist eine Person, welche für die Registrierung von Mitgliedern in das Netzwerk100 verantwortlich ist. - Eine Beschränkung besteht bei den Verfahren, welche verwendet werden, um Zertifikate/private Schlüssel für den Nutzer
132 zwischen seiner Marke130 und der Server-Plattform106 der Zertifikatsinstanz110 sicher zu transportieren. In typischen PKI-Architekturen werden ein eindeutiger privater Schlüssel nach X.509 und ein Schlüsselchiffrierzertifikat/privater Schlüssel an jede Serverplattform106 ausgegeben. Dies wird ausgegeben, um eine SSL ("Secure Socket Layer")-Sitzung zwischen der Server-Plattform106 und der Client-Plattform128 zu erzeugen, so dass alle zwischen diesen Plattformen übertragenen Daten verschlüsselt und sicher sind. Jedoch besteht eine große Sicherheitsbeschränkung, weil die letzten "6 inches" des Datenpfads nicht verschlüsselt oder sicher sind; d.h., der Pfad zwischen der Marke130 und der Client-Plattform128 , mit welcher sie verbunden ist. Diese Daten werden physikalisch in Reintext übertragen. - Die Client-Plattform
128 ist daher ein Hauptpunkt einer Lücke. Bösartiger Code, wie beispielsweise Viren oder Trojanische Pferde, die heimlich auf der Client-Plattform128 laufen, könnten zwischen der Server-Plattform106 der Zertifikatsinstanz110 und der Zielmarke130 übertragene Daten korrumpieren, ersetzen oder abfangen. - Der springende Punkt unserer Basiserfindung liegt im Erkennen, dass Marken mit einer eindeutigen Identifikations- bzw. Kennungsnummer hergestellt werden, die diesen zugeordnet ist und in einer Nur-Lese-Stelle auf der Marke eingebrannt ist. Wir erzeugen ein eindeutiges Zertifikat mit privatem Schlüssel und öffentlichem Schlüssel für jede Marke. Im Wesentlichen behandeln wir die Marke
130 wie jede andere Endeinheit in einer Infrastruktur mit öffentlichem Schlüssel. Sie hat eine eindeutige Identität. Wir erzeugen ein Zertifikat für einen privaten Schlüssel und einen öffentlichen Schlüssel für sie. Nun kann die Marke130 der Anfangspunkt oder das Ziel jeglicher signierter und/oder verschlüsselter Datenkommunikationen sein. Vor dieser Erfindung waren Daten, die von der Server-Plattform106 und der Marke130 übertragen wurden, zwischen der Server-Plattform104 und der Client-Plattform128 verschlüsselt und wurden als Reintext (nicht verschlüsselt) zwischen der Client-Plattform128 und der Marke130 weitergeleitet. Nach der Erfindung sind die Daten auf dem ganzen Weg von der Server-Plattform106 zur Marke130 verschlüsselt. Die Client-Plattform128 leitet verschlüsselte Daten weiter, welche sie nicht entschlüsseln oder entpacken kann. Die vorher bestehende Sicherheitslücke tritt nicht auf. -
2 ist ein Flussdiagramm einer beispielhaften Ausführungsform des Ablaufes zum Erhalten einer Marke130 in der vorliegenden Erfindung. Wie oben diskutiert, kann eine Marke bzw. ein Token130 eine Smartcard oder eine andere Vorrichtung sein, die fähig ist, PKI-Zertifikate/private PKI-Schlüssel zu speichern und zu verwenden, ist aber nicht darauf beschränkt. Das Verarbeiten beginnt bei Arbeitsgang200 und geht augenblicklich mit Arbeitsgang210 weiter. In Arbeitsgang210 wird die Marke130 mit einem eindeutigen Schlüssel geladen, welcher zum Einpacken bzw. 'Wrappen' von Zertifikaten/privaten Schlüsseln verwendet wird, welche öffentliche und private Schlüssel als auch Verschlüsselungszertifikate/private Verschlüsselungsschlüssel, Signaturzertifikate/private Signaturschlüssel und Rollenzertifikate/private Rollenschlüssel umfassen kann. Dieses Einpacken von Zertifikaten/privaten Schlüsseln dient der Funktion des Verschlüsselns und dem daraus folgenden Schützen aller in der Marke130 enthaltenen Inhalte vor Personen, welche nicht die zugehörige Passphrase besitzen. Das Verarbeiten geht dann mit Arbeitsgang220 weiter, wo der geheime/private Schlüssel, der in Arbeitsgang210 in dem Schlüsselpaar erzeugt worden ist, in der Marke130 gespeichert wird. Wie es genauer in Bezug auf die3 bis5 beschrieben werden wird, ist es für einen Nutzer nicht notwenig, ein sicheres Computersystem zu verwenden, um die Marke130 zu verwenden und zu aktualisieren, und zwar aufgrund dieses Einpackens von Zertifikaten/privaten Schlüsseln, welche den oben beschriebenen Einpackschlüssel verwenden. Bei Arbeitsgang230 werden die Identität und Eigenschaften des Nutzers von einer persönlichen Registrierungsinstanz146 verifiziert. Diese persönliche Registrierungsinstanz146 kann ein Ausweis oder ein Sicherheitsverantwortlicher sein. Danach signiert die persönliche Registrierungsinstanz146 eine Anfrage bzw. unterschreibt diese, welche als eine elektronischen Formblatt) vorliegt und welche die Nutzerkennung, die Markenkennung und einen organisatorischen Code enthält. Die Markenkennung wird in jeder Marke während des Herstellungsprozesses eingebettet und ist eine eindeutige Kennung. Diese Information wird an die Zertifikatsinstanz110 übertragen. In Arbeitsgang250 überprüft die Zertifikatsinstanz110 auf redundante Marken130 , die diesem Nutzer zugeordnet sind, und widerruft diese. In Arbeitsgang260 wird die elektronische Form mit Authentifizierungsdaten durch die Zertifikatsinstanz110 aus der Organisationsdatenbank des Nutzers ausgefüllt. In Arbeitsgang270 signiert die persönliche Registrierungsinstanz146 die elektronische Form nach Überprüfen der Authentifizierungsdaten gegen die vom Nutzer132 beigebrachten Berechtigungsnachweisen bzw. Beglaubigungsschreiben. Das Verarbeiten geht dann weiter mit Arbeitsgang280 , wo die Zertifikatsinstanz110 das persönliche Registrierungs-146- Signaturzertifikat/Privatschlüssel validiert. Arbeitsgang280 dient dazu, die Identität der persönlichen Registrierungsinstanz146 zu verifizieren und zu verhindern, dass Marken von nicht autorisierten Einzelpersonen ausgegeben werden. Das Verarbeiten macht dann mit Arbeitsgang290 weiter, wo alle Verschlüsselungs-, Signatur- und Rollenzertifikate/private Schlüssel von der Zertifikatsinstanz110 erzeugt und in den öffentlichen Schlüssel für die Marke130 eingepackt wird. Diese Einpackfunktion dient dazu, die Zertifikate/privaten Schlüssel zu verschlüsseln, um ein Abfangen durch nicht-autorisierte Einzelpersonen zu verhindern. Danach kann in Arbeitsgang300 die Marke130 die Zertifikate/privaten Schlüssel entpacken, welche unter Verwendung ihres privaten Schlüssels empfangen wurden, und dadurch die Zertifikate/privaten Schüssel aktivieren. Nur die Marke130 hat einen privaten Schlüssel, welcher auf den öffentlichen Schlüssel passt, und so in der Lage ist, ein Zertifikat/einen privaten Schlüssel zu öffnen und ihn zu aktivieren. Ferner kann eine Passphrase von der Marke130 benötigt werden, bevor versucht wird, ein Zertifikat/einen privaten Schlüssel zu öffnen. Das Verarbeiten wird dann in Arbeitsgang310 weitergeführt, wo das Verarbeiten beendet wird. -
3 ist ein modulares Diagramm, das den Ablauf darstellt, der verwendet wird, um ein Paar aus öffentlichem/privatem Schlüssel zu erzeugen, das verwendet wird, um die Zertifikate/privaten Schlüssel zu verschlüsseln, die in einer beispielhaften Ausführungsform der vorliegenden Erfindung in der Marke130 enthalten sind. Wie vorher in Bezug auf2 diskutiert, würde die Zertifikatsinstanz110 eine Anfrage zur Erzeugung einer Marke bzw. eines Tokens130 empfangen. Die Zertifikatsinstanz110 würde dann auf eine Schlüsselerzeugungs-Registrierungsinstanz320 zugreifen, um das Paar aus öffentlichem/privatem Schlüssel zu erzeugen, das von der Marke130 verlangt wird. Die Schlüsselerzeugungs-Registrierungsinstanz320 würde auf einen Kryptobeschleuniger330 zugreifen, um das Paar aus öffentlichem/privatem Schlüssel zu erzeugen. Sobald das Paar aus öffentlichem/privatem Schlüssel erzeugt worden wäre, würde dieses Schlüsselpaar zum Markenpersonalisierungssystem340 übermittelt, welches den notwendigen Eintrag in der verbindlichen Datenbank104 erzeugen würde. Dieser Eintrag würde die Markenkennung enthalten, welche durch die Herstellung der Marke130 erzeugt wird, und einen eindeutigen öffentlichen Schlüssel für die Marke130 . Danach würde ein passender privater Schlüssel in der Marke installiert werden. Einige Zeit später würden alle Zertifikate/private Schlüssel unter Verwendung des öffentlichen Schlüssels verschlüsselt werden, der in der autoritativen Datenbank gespeichert ist, und in die Marke130 in Form eines Herunterladepakets heruntergeladen. -
4 ist ein Flussdiagramm, das die Logik darstellt, welche verwendet wird, um Zertifikate/private Schlüssel zu widerrufen, die in einer Marke130 enthalten sind, welche verloren gegangen ist, und zwar in einer Ausführungsform der vorliegenden Erfindung. Das Abarbeiten beginnt in Arbeitsgang400 und macht unmittelbar mit Arbeitsgang410 weiter. In Arbeitsgang410 kontaktiert der Nutzer132 die persönliche Widerrufsinstanz144 oder die persönliche Registrierungsinstanz146 , um eine verlorene oder gestohlene Marke130 zu melden. In Arbeitsgang420 meldet die Widerrufsinstanz144 oder die persönliche Registrierungsinstanz146 den verlorenen Schlüssel130 der Zertifikatsinstanz110 , welche alle Zertifikate/privaten Schlüssel widerruft, die der Marke130 zugeordnet sind, so wie sie in der verbindlichen Datenbank104 enthalten und vorher in Bezug auf3 diskutiert worden sind. Das Bearbeiten schließt dann in Arbeitsgang430 ab. -
5 ist ein Flussdiagramm, das die Logik zeigt, die verwendet wird, um Zertifikate/private Schlüssel zu aktualisieren, die in einer Marke130 enthalten sind, und zwar in einer beispielhaften Ausführungsform der vorliegenden Erfindung. Das Aktualisieren bzw. Updaten der Marke130 würde alle Zertifikate/privaten Schlüssel umfassen, die darin enthalten sind, aber würde am relevantesten für Rollen-Zertifikate/private Schlüssel sein, welche sich häufiger ändern würden als die anderen. Das Abarbeiten beginnt in Arbeitsgang500 und macht unmittelbar mit Arbeitsgang510 weiter. In Arbeitsgang510 loggt sich ein Nutzer132 in die Zertifikatsinstanz110 ein und fordert eine Aktualisierung bzw. ein Update der Zertifikate/privaten Schlüssel an, die in einer bestimmten Marke130 enthalten sind. Dieser Ablauf des Einloggens in die Zertifikatsinstanz110 kann an jedem Computersystem durchgeführt werden, welches die Marke130 lesen kann. Das Computersystem, wie beispielsweise die Client-Plattform126 , mag ungesichert sein oder ungesicherte Kommunikationen verwenden, da jegliche übermittelte Zertifikate/private Schlüssel in den öffentlichen Schlüssel der Marke130 eingepackt wären und nur durch den in der Marke130 enthaltenen privaten Schlüssel aktiviert werden könnten. Das Abarbeiten geht dann weiter zu Arbeitsgang520 , wo die Zertifikatsinstanz110 vom Nutzer fordert, unter Verwendung des Signaturzertifikats/privaten Schlüssels auf der Marke130 zu signieren. Dieses Signaturzertifikat/dieser private Signaturschlüssel dient dazu, den Nutzer132 zu authentifizieren, da eine Passphrase für die Marke ebenfalls durch den Nutzer132 eingegeben worden wäre. In Arbeitsgang530 greift die Zertifikatsinstanz110 auf die autoritative Datenbank104 zu. Dann wird in Arbeitsgang540 , auf der Grundlage der Markenkennung, bestimmt, ob irgendein Zertifikat/privater Schlüssel, der dem Nutzer und dieser bestimmten Marke130 zugeordnet ist, sich geändert hat. Falls die Zertifikate/privaten Schlüssel für diese bestimmte Marke130 sich geändert haben, geht das Verarbeiten dann auf Arbeitsgang550 über. In Arbeitsgang550 werden die neu erzeugten Zertifikate/privaten Schlüssel in den öffentlichen Schlüssel der Marke130 eingepackt. Dieser öffentliche Schlüssel wird von der verbindlichen Datenbank104 auf der Grundlage der Markenkennungsnummer ausgelesen. In Arbeitsgang560 werden die neuen Zertifikate/privaten Schlüssel auf die Marke130 heruntergeladen, und in Arbeitsgang570 wird jede alte Marke130 , welche durch eine neue Marke130 ersetzt worden ist, gelöscht. Das Verarbeiten geht dann zu Arbeitsgang580 über, wo die Marke130 die neuen Zertifikate/privaten Schlüssel unter Verwendung ihres privaten Schlüssels aktivieren kann. Danach geht das Abarbeiten auf Arbeitsgang600 über, wo das Verarbeiten beendet wird. - Falls, weiterhin in Bezug auf
5 , in Arbeitsgang540 keine neuen Zertifikate/privaten Schlüssel in der verbindlichen Datenbank104 gefunden wurden, geht das Verarbeiten dann auf Arbeitsgang590 über. In Arbeitsgang590 wird eine Nachricht, die angibt, dass keine neuen Zertifikate/privaten Schlüssel gefunden wurden, an den Nutzer übermittelt, und wiederum wird das Verarbeiten in Arbeitsgang600 beendet. - Unter Verwendung der Ausführungsformen der vorliegenden Erfindung kann eine Organisation in einer Marke enthaltene Zertifikate/private Schlüssel erzeugen, widerrufen und aktualisieren. Sobald der Nutzer eine Marke von einer autorisierten Einheit empfängt, kann der Nutzer diese Marke auf jedem Computer oder jedem System verwenden, welche das geeignete Lesegerät aufweist. Diese Computer brauchen nicht gesichert zu sein oder sichere Kommunikationen für die Zertifikate/privaten Schlüssel auf der Marke aufweisen, um verwendet zu werden, da die heruntergeladenen Zertifikate/privaten Schlüssel in einem öffentlichen Schlüssel eingepackt sind. Weiterhin können, im Fall des Verlusts einer Marke, alle Zertifikate/privaten Schlüssel in der Marke widerrufen werden, und eine neue Marke mit neuen Zertifikaten/privaten Schlüsseln kann dem Nutzer bereitgestellt werden.
- Während wir nur einige wenige Beispiele hierin gezeigt und beschrieben haben, ist es so zu verstehen, dass vielfältige Änderungen und Modifikationen, so wie sie dem Fachmann bekannt sind, in Bezug auf die vorliegende Erfindung durchgeführt werden können. Beispielsweise kann jede Art von Computerarchitektur für die Ausführungsformen der vorliegenden Erfindung verwendet werden. Ferner kann die vorliegende Erfindung in jeder Mehrzweck-Computersprache geschrieben sein. Auch braucht die Marke nicht darauf beschränkt zu sein, Zertifikate/private Schlüssel zu enthalten, sondern kann auch für Pässe, Kreditkarten, Führerscheine, Geldautomatenkarten oder andere Arten von Karten verwendet werden, da sie alle durch Einpacken in den gleichen öffentlichen Schlüssel wie die Zertifikate/privaten Schlüssel gesichert würden. Daher möchten wir nicht auf die gezeigten und hierin beschriebenen Details beschränkt sein, sondern möchten alle solche Änderungen und Modifikationen abdecken, welche durch den Umfang der angehängten Ansprüche umfasst sind.
- Die obige Diskussion offenbart und beschreibt lediglich beispielhafte Ausführungsformen der vorliegenden Erfindung. Der Fachmann wird aus einer solchen Diskussion und aus den beiliegenden Zeichnungen und Ansprüchen erkennen, dass zahlreiche Änderungen, Modifikationen und Variationen daran durchgeführt werden können, ohne vom Umfang der Erfindung abzuweichen, so wie sie in den folgenden Ansprüchen definiert ist.
Claims (3)
- Marke (
130 ), die einem Nutzer (132 ) in einer Infrastruktur mit öffentlichen Schlüsseln entspricht, umfassend: eine in der Marke (130 ) verschlüsselte Kennzeichnungsnummer; einen in der Marke (130 ) gespeicherten eindeutigen privaten Schlüssel, wobei der eindeutige private Schlüssel einem Zertifikat für einen privaten und einen öffentlichen Schlüssel für die Marke (130 ) entspricht; und eine Vielzahl von dem Nutzer (132 ) entsprechenden Zertifikaten, die in der Marke (130 ) verschlüsselt und gespeichert sind. wobei jedes aus der Vielzahl der Zertifikate ein Paar aus öffentlichem und privatem Schlüssel umfasst und jedes aus der Vielzahl der Zertifikate dazu geeignet ist, dass darauf unter Verwendung einer dem Nutzer (132 ) bekannten Passphrase zugegriffen und es unter Verwendung des eindeutigen privaten Schlüssels entschlüsselt wird. - Marke (
130 ) nach Anspruch 1, wobei die Vielzahl der Zertifikate mindestens ein Signaturzertifikat, ein Verschlüsselungszertifikat und ein Rollenzertifikat, das einer organisatorischen Rolle entspricht, welcher der Nutzer angehört, umfassen. - Marke (
130 ) nach Anspruch 1, wobei die Marke eine Smartcard (130 ) ist.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/027,944 US7206936B2 (en) | 2001-12-19 | 2001-12-19 | Revocation and updating of tokens in a public key infrastructure system |
US27944 | 2001-12-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60211841D1 DE60211841D1 (de) | 2006-07-06 |
DE60211841T2 true DE60211841T2 (de) | 2006-09-21 |
Family
ID=21840666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60211841T Expired - Lifetime DE60211841T2 (de) | 2001-12-19 | 2002-12-17 | Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln |
Country Status (4)
Country | Link |
---|---|
US (1) | US7206936B2 (de) |
EP (1) | EP1326368B1 (de) |
JP (1) | JP2003234729A (de) |
DE (1) | DE60211841T2 (de) |
Families Citing this family (89)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7308482B2 (en) * | 2002-02-12 | 2007-12-11 | At&T Bls Intellectual Property, Inc. | Methods and systems for communicating with service technicians in a telecommunications system |
US8166311B1 (en) * | 2002-06-20 | 2012-04-24 | At&T Intellectual Property I, Lp | Methods and systems for promoting authentication of technical service communications in a telecommunications system |
US7885896B2 (en) | 2002-07-09 | 2011-02-08 | Avaya Inc. | Method for authorizing a substitute software license server |
US8041642B2 (en) | 2002-07-10 | 2011-10-18 | Avaya Inc. | Predictive software license balancing |
US20040034784A1 (en) * | 2002-08-15 | 2004-02-19 | Fedronic Dominique Louis Joseph | System and method to facilitate separate cardholder and system access to resources controlled by a smart card |
US7707116B2 (en) * | 2002-08-30 | 2010-04-27 | Avaya Inc. | Flexible license file feature controls |
US7966520B2 (en) * | 2002-08-30 | 2011-06-21 | Avaya Inc. | Software licensing for spare processors |
US7681245B2 (en) * | 2002-08-30 | 2010-03-16 | Avaya Inc. | Remote feature activator feature extraction |
US7698225B2 (en) | 2002-08-30 | 2010-04-13 | Avaya Inc. | License modes in call processing |
GB2394803A (en) * | 2002-10-31 | 2004-05-05 | Hewlett Packard Co | Management of security key distribution using an ancestral hierarchy |
US7890997B2 (en) | 2002-12-26 | 2011-02-15 | Avaya Inc. | Remote feature activation authentication file system |
US7260557B2 (en) * | 2003-02-27 | 2007-08-21 | Avaya Technology Corp. | Method and apparatus for license distribution |
US7603689B2 (en) * | 2003-06-13 | 2009-10-13 | Microsoft Corporation | Fast start-up for digital video streams |
US7421079B2 (en) * | 2003-12-09 | 2008-09-02 | Northrop Grumman Corporation | Method and apparatus for secure key replacement |
US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
US20050144144A1 (en) * | 2003-12-30 | 2005-06-30 | Nokia, Inc. | System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization |
US20050149724A1 (en) * | 2003-12-30 | 2005-07-07 | Nokia Inc. | System and method for authenticating a terminal based upon a position of the terminal within an organization |
US7711951B2 (en) * | 2004-01-08 | 2010-05-04 | International Business Machines Corporation | Method and system for establishing a trust framework based on smart key devices |
US7849326B2 (en) * | 2004-01-08 | 2010-12-07 | International Business Machines Corporation | Method and system for protecting master secrets using smart key devices |
JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
US20050262361A1 (en) * | 2004-05-24 | 2005-11-24 | Seagate Technology Llc | System and method for magnetic storage disposal |
JP2006050209A (ja) * | 2004-08-04 | 2006-02-16 | Ricoh Co Ltd | 電子署名付与方法、電子署名付与装置、携帯型情報処理装置、電子署名付与システム、電子署名付与プログラム、署名データ作成プログラム及び記録媒体 |
JP4653436B2 (ja) * | 2004-08-04 | 2011-03-16 | 株式会社リコー | 電子署名付与方法、電子署名付与装置、電子署名付与プログラム、及び記録媒体 |
US7707405B1 (en) * | 2004-09-21 | 2010-04-27 | Avaya Inc. | Secure installation activation |
US7747851B1 (en) | 2004-09-30 | 2010-06-29 | Avaya Inc. | Certificate distribution via license files |
US8229858B1 (en) | 2004-09-30 | 2012-07-24 | Avaya Inc. | Generation of enterprise-wide licenses in a customer environment |
US20060291700A1 (en) * | 2005-06-08 | 2006-12-28 | Ogram Mark E | Internet signature verification system |
US7627125B2 (en) * | 2005-06-23 | 2009-12-01 | Efunds Corporation | Key loading systems and methods |
US7809940B2 (en) * | 2005-06-29 | 2010-10-05 | Microsoft Corporation | Remote certificate management |
JP4698323B2 (ja) * | 2005-08-02 | 2011-06-08 | フェリカネットワークス株式会社 | 情報処理装置および方法、並びにプログラム |
US7814023B1 (en) | 2005-09-08 | 2010-10-12 | Avaya Inc. | Secure download manager |
US20070255951A1 (en) * | 2005-11-21 | 2007-11-01 | Amiram Grynberg | Token Based Multi-protocol Authentication System and Methods |
JP2007174314A (ja) * | 2005-12-22 | 2007-07-05 | Ricoh Co Ltd | 電子証明書管理方法および画像処理装置 |
US7992203B2 (en) | 2006-05-24 | 2011-08-02 | Red Hat, Inc. | Methods and systems for secure shared smartcard access |
US8098829B2 (en) * | 2006-06-06 | 2012-01-17 | Red Hat, Inc. | Methods and systems for secure key delivery |
US8180741B2 (en) | 2006-06-06 | 2012-05-15 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
US7822209B2 (en) * | 2006-06-06 | 2010-10-26 | Red Hat, Inc. | Methods and systems for key recovery for a token |
US20080022088A1 (en) * | 2006-06-06 | 2008-01-24 | Red Hat, Inc. | Methods and systems for key escrow |
US8364952B2 (en) * | 2006-06-06 | 2013-01-29 | Red Hat, Inc. | Methods and system for a key recovery plan |
US8495380B2 (en) | 2006-06-06 | 2013-07-23 | Red Hat, Inc. | Methods and systems for server-side key generation |
US8332637B2 (en) | 2006-06-06 | 2012-12-11 | Red Hat, Inc. | Methods and systems for nonce generation in a token |
US8707024B2 (en) | 2006-06-07 | 2014-04-22 | Red Hat, Inc. | Methods and systems for managing identity management security domains |
US8099765B2 (en) | 2006-06-07 | 2012-01-17 | Red Hat, Inc. | Methods and systems for remote password reset using an authentication credential managed by a third party |
US9769158B2 (en) * | 2006-06-07 | 2017-09-19 | Red Hat, Inc. | Guided enrollment and login for token users |
US8412927B2 (en) * | 2006-06-07 | 2013-04-02 | Red Hat, Inc. | Profile framework for token processing system |
US8589695B2 (en) | 2006-06-07 | 2013-11-19 | Red Hat, Inc. | Methods and systems for entropy collection for server-side key generation |
US8787566B2 (en) | 2006-08-23 | 2014-07-22 | Red Hat, Inc. | Strong encryption |
US8806219B2 (en) | 2006-08-23 | 2014-08-12 | Red Hat, Inc. | Time-based function back-off |
US9038154B2 (en) | 2006-08-31 | 2015-05-19 | Red Hat, Inc. | Token Registration |
US8074265B2 (en) * | 2006-08-31 | 2011-12-06 | Red Hat, Inc. | Methods and systems for verifying a location factor associated with a token |
US8356342B2 (en) * | 2006-08-31 | 2013-01-15 | Red Hat, Inc. | Method and system for issuing a kill sequence for a token |
US8977844B2 (en) | 2006-08-31 | 2015-03-10 | Red Hat, Inc. | Smartcard formation with authentication keys |
US8693690B2 (en) | 2006-12-04 | 2014-04-08 | Red Hat, Inc. | Organizing an extensible table for storing cryptographic objects |
GB0624577D0 (en) * | 2006-12-08 | 2007-01-17 | Skype Ltd | Communication Systems |
US8813243B2 (en) * | 2007-02-02 | 2014-08-19 | Red Hat, Inc. | Reducing a size of a security-related data object stored on a token |
US8639940B2 (en) * | 2007-02-28 | 2014-01-28 | Red Hat, Inc. | Methods and systems for assigning roles on a token |
US8832453B2 (en) | 2007-02-28 | 2014-09-09 | Red Hat, Inc. | Token recycling |
US9081948B2 (en) * | 2007-03-13 | 2015-07-14 | Red Hat, Inc. | Configurable smartcard |
US8392702B2 (en) * | 2007-07-27 | 2013-03-05 | General Instrument Corporation | Token-based management system for PKI personalization process |
US20090037729A1 (en) * | 2007-08-03 | 2009-02-05 | Lawrence Smith | Authentication factors with public-key infrastructure |
EP2068264A3 (de) * | 2007-11-27 | 2010-12-29 | FeliCa Networks, Inc. | Dienstbereitstellungssystem, Dienstbereitstellungsserver und Informationsendgerät |
US9281947B2 (en) * | 2008-01-23 | 2016-03-08 | Microsoft Technology Licensing, Llc | Security mechanism within a local area network |
WO2010105259A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Secure card access module for integrated circuit card applications |
EP2228746A1 (de) * | 2009-03-13 | 2010-09-15 | Assa Abloy Ab | Realisierung von Zugriffssteuerungszuständen als Boolesche Ausdrücke bei Passwortauthentifizierungen |
US20100235900A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Efficient two-factor authentication |
WO2010105260A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Transfer device for sensitive material such as a cryptographic key |
US9032058B2 (en) * | 2009-03-13 | 2015-05-12 | Assa Abloy Ab | Use of SNMP for management of small footprint devices |
US8332498B2 (en) * | 2009-03-13 | 2012-12-11 | Assa Abloy Ab | Synchronized relay messaging and coordinated network processing using SNMP |
JP4760938B2 (ja) * | 2009-03-23 | 2011-08-31 | 富士ゼロックス株式会社 | 鍵生成プログラム、鍵記録プログラム、鍵生成装置、pkiカード及び鍵記録システム |
US20110258434A1 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Online secure device provisioning with updated offline identity data generation and offline device binding |
US8453258B2 (en) * | 2010-09-15 | 2013-05-28 | Bank Of America Corporation | Protecting an electronic document by embedding an executable script |
WO2013019519A1 (en) * | 2011-08-02 | 2013-02-07 | Rights Over Ip, Llc | Rights-based system |
WO2013036816A1 (en) * | 2011-09-08 | 2013-03-14 | Silver Spring Networks, Inc. | Systems and methods for securing the manufacturing supply chain |
US8555079B2 (en) * | 2011-12-06 | 2013-10-08 | Wwpass Corporation | Token management |
US8744078B2 (en) | 2012-06-05 | 2014-06-03 | Secure Channels Sa | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths |
CN102833593B (zh) * | 2012-07-17 | 2015-12-16 | 晨星软件研发(深圳)有限公司 | 一种智能电视应用的授权方法、系统及智能电视 |
JP2014134881A (ja) * | 2013-01-08 | 2014-07-24 | Nippon Telegr & Teleph Corp <Ntt> | 権限委譲管理システム及びその方法 |
US20150091842A1 (en) | 2013-09-30 | 2015-04-02 | Synaptics Incorporated | Matrix sensor for image touch sensing |
US10042489B2 (en) | 2013-09-30 | 2018-08-07 | Synaptics Incorporated | Matrix sensor for image touch sensing |
US9298325B2 (en) | 2013-09-30 | 2016-03-29 | Synaptics Incorporated | Processing system for a capacitive sensing device |
JP2016224684A (ja) * | 2015-05-29 | 2016-12-28 | キヤノン株式会社 | サーバーシステム、サーバーシステムの制御方法、およびプログラム |
US10326602B2 (en) | 2015-09-18 | 2019-06-18 | Virginia Tech Intellectual Properties, Inc. | Group signatures with probabilistic revocation |
US10067587B2 (en) | 2015-12-29 | 2018-09-04 | Synaptics Incorporated | Routing conductors in an integrated display device and sensing device |
US9838203B1 (en) * | 2016-09-28 | 2017-12-05 | International Business Machines Corporation | Integrity protected trusted public key token with performance enhancements |
CN108011715B (zh) * | 2016-10-31 | 2021-03-23 | 华为技术有限公司 | 一种密钥的分发方法、相关设备和系统 |
WO2018145742A1 (en) | 2017-02-08 | 2018-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Private key updating |
US10673628B1 (en) * | 2017-04-27 | 2020-06-02 | EMC IP Holding Company LLC | Authentication and authorization token management using life key service |
CN108647968A (zh) * | 2018-05-10 | 2018-10-12 | 阿里巴巴集团控股有限公司 | 一种区块链数据处理方法、装置、处理设备及系统 |
EP3903518A1 (de) | 2018-12-28 | 2021-11-03 | Apple Inc. | Bereitstellung von verifizierten benutzeridentitätsansprüchen |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2704081B1 (fr) * | 1993-04-16 | 1995-05-19 | France Telecom | Procédé de mise à jour d'une carte à mémoire et carte à mémoire pour la mise en Óoeuvre de ce procédé. |
US5999711A (en) * | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
DE69533328T2 (de) * | 1994-08-30 | 2005-02-10 | Kokusai Denshin Denwa Co., Ltd. | Beglaubigungseinrichtung |
US6192131B1 (en) * | 1996-11-15 | 2001-02-20 | Securities Industry Automation Corporation | Enabling business transactions in computer networks |
US6003014A (en) * | 1997-08-22 | 1999-12-14 | Visa International Service Association | Method and apparatus for acquiring access using a smart card |
EP1090480B1 (de) * | 1998-06-03 | 2019-01-09 | Cryptography Research, Inc. | Verbesserungen zu des und anderen kryptographischen verfahren mit leckminimisierung für chipkarten und andere kryptosysteme |
GB2338381A (en) * | 1998-06-10 | 1999-12-15 | Barclays Bank Plc | Cryptographic authentication for internet using two servers |
IL126552A (en) * | 1998-10-13 | 2007-06-03 | Nds Ltd | Remote administration of smart cards for secure access systems |
US6734886B1 (en) * | 1999-12-21 | 2004-05-11 | Personalpath Systems, Inc. | Method of customizing a browsing experience on a world-wide-web site |
AU782518B2 (en) * | 2000-01-07 | 2005-08-04 | International Business Machines Corporation | A method for inter-enterprise role-based authorization |
-
2001
- 2001-12-19 US US10/027,944 patent/US7206936B2/en active Active
-
2002
- 2002-12-17 DE DE60211841T patent/DE60211841T2/de not_active Expired - Lifetime
- 2002-12-17 EP EP02028069A patent/EP1326368B1/de not_active Expired - Lifetime
- 2002-12-19 JP JP2002368957A patent/JP2003234729A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
DE60211841D1 (de) | 2006-07-06 |
EP1326368B1 (de) | 2006-05-31 |
EP1326368A3 (de) | 2003-12-03 |
US7206936B2 (en) | 2007-04-17 |
US20030115466A1 (en) | 2003-06-19 |
JP2003234729A (ja) | 2003-08-22 |
EP1326368A2 (de) | 2003-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60211841T2 (de) | Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE60121517T2 (de) | Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems | |
DE69932512T2 (de) | Gerät und verfahren zur elektronischen versendung, speicherung und wiedergewinnung von authentifizierten dokumenten | |
DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
DE69724947T2 (de) | Rechnersystem und Verfahren zur Sicherung einer Datei | |
DE112011100182B4 (de) | Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung | |
DE60023705T2 (de) | Sichere verteilung und schutz einer schlüsselinformation | |
DE3841393C2 (de) | Zuverlässiges System zur Feststellung der Dokumentenechtheit | |
DE69534490T2 (de) | Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem | |
DE60034159T2 (de) | Verfahren zur elektronischen speicherung und wiedergewinnung von authentifizierten originaldokumenten | |
DE19782258B4 (de) | Verfahren zum Verhindern, daß ein Druckerknoten ein Dokument ausgibt, bevor ein Empfänger des Dokuments in der Nähe des Druckerknotens authentisiert ist | |
DE60117598T2 (de) | Sichere transaktionen mit passiven speichermedien | |
EP2454704B1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
EP3596653A1 (de) | Ausstellen virtueller dokumente in einer blockchain | |
EP1322086A2 (de) | Vergabe von Benutzerzertifikaten/privaten Schlüsseln in einer Token-fähige Infrastruktur mit öffentlichen Schlüsseln | |
EP2810400B1 (de) | Kryptographisches authentifizierungs - und identifikationsverfahren mit realzeitverschlüsselung | |
DE10233297A1 (de) | Vorrichtung zur digitalen Signatur eines elektronischen Dokuments | |
DE60130832T2 (de) | Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token | |
DE60122349T2 (de) | Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk | |
DE102016202262A1 (de) | Verfahren und System zur Authentifizierung eines mobilen Telekommunikationsendgeräts an einem Dienst-Computersystem und mobilen Telekommunikationsendgerät | |
DE102006006489A1 (de) | Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte | |
DE102021127976B4 (de) | Wiederherstellen eines kryptografischen Schlüssels | |
DE10242673B4 (de) | Verfahren zur Identifikation eines Benutzers | |
DE102006009725A1 (de) | Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels | |
DE19923807A1 (de) | Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1326368 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1326368 Country of ref document: EP Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US Effective date: 20120814 |
|
R082 | Change of representative |
Ref document number: 1326368 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE Effective date: 20120814 |