KR20100126291A - 아이디 토큰에서 속성을 판독하는 방법 - Google Patents

아이디 토큰에서 속성을 판독하는 방법 Download PDF

Info

Publication number
KR20100126291A
KR20100126291A KR1020107017469A KR20107017469A KR20100126291A KR 20100126291 A KR20100126291 A KR 20100126291A KR 1020107017469 A KR1020107017469 A KR 1020107017469A KR 20107017469 A KR20107017469 A KR 20107017469A KR 20100126291 A KR20100126291 A KR 20100126291A
Authority
KR
South Korea
Prior art keywords
computer system
token
attribute
user
read
Prior art date
Application number
KR1020107017469A
Other languages
English (en)
Other versions
KR101584510B1 (ko
Inventor
프랑크 디트리히
프랑크 비스치오
맨프레드 패쉬크
Original Assignee
분데스드룩커라이 게엠베하
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 분데스드룩커라이 게엠베하 filed Critical 분데스드룩커라이 게엠베하
Publication of KR20100126291A publication Critical patent/KR20100126291A/ko
Application granted granted Critical
Publication of KR101584510B1 publication Critical patent/KR101584510B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/347Passive cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1075PIN is checked remotely
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1091Use of an encrypted form of the PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 ID 토큰에서 적어도 하나의 속성을 판독하는 방법에 관한 것으로, ID 토큰은 사용자에게 할당된다. 본 발명의 방법은 ID 토큰에 대해 사용자를 인증하는 단계, ID 토큰에 대해 제 1 컴퓨터 시스템을 인증하는 단계, ID 토큰에 대한 사용자와 제 1 컴퓨터 시스템의 성공적인 인증 후에, 적어도 하나의 속성을 제 2 컴퓨터 시스템으로 전송하기 위해 제 1 컴퓨터 시스템이 ID 토큰에 저장된 적어도 하나의 속성으로 판독 액세스를 수행하는 단계를 포함한다.

Description

아이디 토큰에서 속성을 판독하는 방법{METHOD FOR READING ATTRIBUTES FROM AN ID TOKEN}
본 발명은 ID 토큰에서 적어도 하나의 속성을 판독하는 방법, 컴퓨터 프로그램 제품, ID 토큰 및 컴퓨터 시스템에 관한 것이다.
종래의 기술은 사용자의 디지털 ID로 알려진 것을 관리하는 여러 가지 방법을 개시한다.
마이크로소프트사의 Windows CardSpace는 인터넷 사용자가 그들의 디지털 ID를 온라인 서비스에 알리도록 해주는 클라이언트 기반 디지털 ID 시스템이다. 이에 관련된 결점은 특히 사용자가 자신의 디지털 ID를 조작할 수 있다는 것이다.
이에 비해, OPENID는 서버 기반 시스템이다. ID 서버로 알려진 것은 등록된 사용자의 디지털 ID를 데이터베이스에 저장한다. 이의 하나의 결점은 특히 불충분한 데이터 보호인데, 이는 사용자의 디지털 ID가 중앙 집중적으로 저장되어 있으며 사용자의 행동도 기록 될 수 있기 때문이다.
미국 특허 제 2007/0294431 A1호는 사용자 등록을 또한 요구하는 디지털 ID를 관리하는 다른 방법을 개시한다.
이에 비해, 본 발명은 적어도 하나의 속성을 판독하는 향상된 방법, 적절한 컴퓨터 프로그램 제품, ID 토큰 및 컴퓨터 시스템을 제공하려는 목적에 기초한다.
본 발명이 기초로 하는 목적들은 독립항의 특징에 의해 각각 달성된다. 본 발명의 실시예는 종속항에서 특정된다.
본 발명은 사용자와 연관된 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법을 제공한다. 상기 방법은 ID 토큰에 대해 사용자를 인증하는 단계; ID 토큰에 대해 제 1 컴퓨터 시스템을 인증하는 단계; ID 토큰에 대한 사용자와 제 1 컴퓨터 시스템의 성공적인 인증 뒤에, 적어도 하나의 속성이 서명되면 상기 적어도 하나의 속성을 제 2 컴퓨터 시스템으로 전송하기 위해, 제 1 컴퓨터 시스템이 ID 토큰에 저장된 적어도 하나의 속성으로 판독 액세스를 하는 단계를 포함한다. 이는 "신용 수단"이 제공되게 한다.
본 발명은 ID 토큰에 저장된 하나 이상의 속성이 제 1 컴퓨터 시스템에 의해 판독되도록 한다. ID 토큰과 제 1 컴퓨터 시스템 사이의 연결은 네트워크 특히 인터넷을 통해 설정될 수 있다. 상기 적어도 하나의 속성은 ID 토큰과 연관된 사용자의 ID 특히 사용자의 디지털 ID의 표시 일수 있다. 일례로서, 제 1 컴퓨터 시스템은 이러한 속성을, 예를 들면 온라인 서비스로 제 2 컴퓨터 시스템에 전송하기 위하여, 성, 이름, 주소 같은 속성을 판독한다.
그러나, 일례로서, 사용자의 ID를 규정하기 위해 사용되지 않으나, 특정 온라인 서비스를 사용하기 위해 사용자의 권한을 체크하는데 사용되는 사용자의 나이와 같은 단지 하나의 속성이 판독되는 것도 가능하다. 여기서, 사용자는 특정 나이 그룹을 위해 준비된 온라인 서비스를 사용하고 싶어 한다. 또는 온라인 서비스를 사용하도록 권한이 부여된 특정 그룹과 연관된 사용자임을 입증하는 다른 속성이 판독되는 것도 가능하다.
ID 토큰은 USB 스틱 같은 휴대용 전자 기구이거나, 특히 가치 문서나 보안 문서 같은 문서 일 수 있다.
본 발명에 따라, "문서"는 특히 여권, ID 카드, 비자와 운전 면허증, 차량 등록 인증서, 차량 등록 문서, 기업 인식 카드, 건강 수첩, 또는 다른 ID 문서와 칩 카드 같은 신원 확인 자료, 특히 은행 카드와 신용 카드 같은 지불 수단, 화물 운송장이나 다른 신용 증명서 같은 종이-기반/또는 플라스틱-기반 문서를 의미한다고 이해할 수 있는데, 이는 적어도 하나의 속성을 저장하는 데이터 메모리를 포함한다.
따라서 본 발명의 실시예들은 특히 유리한 이점이 있는데, 이는 적어도 하나의 속성이 특정 신용 가능한 문서, 예를 들어 사무실 문서로부터 판독되기 때문이다 . 또한 속성의 중앙 기억장치가 필요하지 않다는 것도 특히 유리한 이점이다. 따라서 본 발명은 최적의 데이터 보호에 의해 매우 편리한 처리를 수반하는 디지털 ID와 연관된 속성의 통신이 특히 높은 수준의 신용을 갖는다고 여긴다.
본 발명의 일 실시예에 따르면, 제 1 컴퓨터 시스템은 ID 토큰에 대해 제 1 컴퓨터 시스템을 인증하기 위해 사용되는 적어도 하나의 인증서를 포함한다. 인증서는 제 1 컴퓨터 시스템이 판독 권한을 갖는다는 속성의 표시를 포함한다. ID 토큰은 제 1 컴퓨터 시스템에 의해 판독 액세스가 수행될 수 있기 전에, 제 1 컴퓨터 시스템이 속성으로의 판독 액세스에 대해 필요한 판독 권한을 갖는지 체크하기 위해 상기 인증서를 사용한다.
본 발명의 일 실시예에 따르면, 제 1 컴퓨터 시스템은 ID 토큰으로부터 판독된 적어도 하나의 속성을 제 2 컴퓨터 시스템으로 직접 전송한다. 일례로서, 제 2 컴퓨터 시스템은 온라인 서비스나 뱅킹 서비스 같은 다른 서비스를 제공하거나 제품을 주문하는 서버일 수 있다. 일례로서, 사용자는 온라인으로 계좌를 개설할 수 있는데, 사용자의 ID를 포함하는 선단 속성들은 제 1 컴퓨터 시스템에서 은행의 제 2 컴퓨터 시스템으로 전송된다.
본 발명의 일 실시예에 따르면, ID 토큰으로부터 판독된 속성들은 우선 제 1 컴퓨터 시스템에서 사용자의 제 3 컴퓨터 시스템으로 전송된다. 일례로서, 제 3 컴퓨터 시스템은 사용자가 제 2 컴퓨터 시스템에서 웹 페이지를 오픈하기 위해 사용할 수 있는 보통의 인터넷 브라우저를 포함한다. 사용자는 웹 페이지에 요구나 서비스나 제품에 대한 주문을 입력할 수 있다.
그러면 제 2 컴퓨터 시스템은 예를 들어 사용자나 사용자의 ID 토큰의 속성들을 특정 하며, 이는 서비스를 제공하거나 주문을 하기 위해 요구된다. 이러한 속성의 명세 사항을 포함하는 해당 속성의 상세는 제 2 컴퓨터 시스템에서 제 1 컴퓨터 시스템으로 전송된다. 이는 제 3 컴퓨터 시스템의 간섭에 의해 또는 간섭 없이 행해 질 수 있다. 후자의 경우, 사용자는 예를 들어 제 1 컴퓨터 시스템의 URL을 제 3 컴퓨터 시스템으로부터 제 2 컴퓨터 시스템의 웹 페이지에 입력함으로써, 제 2 컴퓨터 시스템에 바람직한 제 1 컴퓨터 시스템을 특정할 수 있다.
본 발명의 일 실시예에 따르면, 사용자로부터 제 2 컴퓨터 시스템으로의 서비스 요구는 식별자의 표시를 포함하며, 식별자는 제 1 컴퓨터 시스템을 식별한다. 일례로서, 식별자는 예를 들면 제 1 컴퓨터 시스템의 URL인 링크이다.
본 발명의 일 실시예에 따르면, 속성의 상세는 제 2 컴퓨터 시스템에서 제 1 컴퓨터 시스템으로 직접 전송되지 않고, 우선 제 2 컴퓨터 시스템에서 제 3 컴퓨터 시스템으로 전송된다. 제 3 컴퓨터 시스템은 다수의 미리 정의된 구성 데이터 레코드를 포함하며, 제 3 컴퓨터는 다수의 미리 정의된 구성 데이터 레코드를 포함하고, 각각의 구성 데이터 레코드는 한 세트의 제 1 컴퓨터 시스템으로부터 속성, 적어도 하나의 데이터 소스 및 제 1 컴퓨터 시스템의 부분 집합을 특정하고, 속성의 상세는 우선 제 2 컴퓨터 시스템에서 제 3 컴퓨터 시스템으로 전송되어, 제 3 컴퓨터 시스템이 속성의 상세에 특정된 적어도 하나의 속성을 포함하는 속성의 부분 집합을 특정하는 적어도 하나의 구성 데이터 레코드를 선택하기 위해 이용되며, 제 3 컴퓨터는 속성의 상세를 제 1 컴퓨터 시스템으로 전송하고, 선택된 구성 데이터 레코드에서의 데이터 소스의 표시에 의해 특정된 ID 토큰으로의 연결이 설정된다.
본 발명의 일 실시예에 따르면, ID 토큰으로부터 판독된 속성은 제 1 컴퓨터 시스템에 의해 서명되어 제 3 컴퓨터 시스템으로 전송된다. 따라서 제 3 컴퓨터 시스템의 사용자는 속성을 변경할 수 는 없으나 속성을 판독할 수 있다. 사용자에 의한 공개 후에, 속성은 제 3 컴퓨터 시스템에서 제 2 컴퓨터 시스템으로 전송된다.
본 발명의 일 실시예에 따르면, 사용자는 속성이 전송되기 전에 속성에 다른 데이터를 추가할 수 있다.
본 발명의 일 실시예에 따르면, 제 1 컴퓨터 시스템은 다른 판독 권한을 갖는 다수의 인증서를 포함한다. 속성의 상세 수신에 기초해서, 제 1 컴퓨터 시스템은 ID 토큰 또는 다수의 다른 ID 토큰으로부터 관련 속성을 판독하기 위하여 하나 이상의 인증서를 선택한다.
본 발명의 일 실시예에 따르면, 제 3 컴퓨터 시스템은 네트워크를 통해 제 3 컴퓨터 시스템에게 다른 속성을 요구하는 외부 데이터 소스를 특정하는 적어도 하나의 구성 데이터 레코드를 포함한다.
본 발명의 일 실시예에 따르면, 적어도 하나의 속성이 ID 토큰으로부터 판독되고 제 3 컴퓨터 시스템이 제 1 컴퓨터 시스템으로부터 적어도 하나의 속성을 수신한 후에, 상기 다른 속성이 요구되는데, 상기 요구는 적어도 하나의 속성을 포함한다.
다른 면에서, 본 발명은 컴퓨터 프로그램 제품에 관한 것으로, 특히, 본 발명에 따른 방법을 수행하는 실행 가능한 프로그램 명령을 포함하는 디지털 저장장치 매체에 관한 것이다.
다른 면에서, 본 발명은 적어도 하나의 속성을 저장하는 보호된 메모리 영역; ID 토큰에 대해 ID 토큰과 연관된 사용자를 인증하는 수단; ID 토큰에 대해 제 1 컴퓨터 시스템을 인증하는 수단; 및 적어도 하나의 속성을 판독하기 위해 사용될 수 있는 제 1 컴퓨터 시스템에 대해 보호된 연결을 설정하는 수단을 포함하며, 제 1 컴퓨터 시스템에 의해 ID 토큰으로부터 적어도 하나의 속성을 판독하는 필요조건은 ID 토큰에 대한 사용자와 제 1 컴퓨터 시스템의 성공적인 인증인 ID 토큰에 관한 것이다
ID 토큰에 대한 제 1 컴퓨터 시스템의 인증 이외에, 본질적으로 "확장된 액세스 제어", 예를 들어 기계 판독 가능 여행 문서(MRTD)로 알려지고, 국제 민간 항공 기구(ICAO)에 의해 특정된 바와 같이, 사용자는 ID 토큰에 대해 자신을 인증해야 한다. 일례로서, ID 토큰에 대한 사용자의 성공적인 인증은 ID 토큰을 공개하고, 그에 따라 다음 단계, 즉 ID 토큰에 대한 제 1 컴퓨터 시스템의 인증 및/또는 속성 판독을 위한 보호된 연결 설정이 실행된다.
본 발명의 실시예에 따르면, ID 토큰은 종단간 암호화 수단을 포함한다. 사용자는 종단간 암호화를 위하여 연결을 통해 전송되는 데이터에 어떤 변경도 가하지 못하기 때문에, 종단간 암호화 수단은 ID 토큰과 제 1 컴퓨터 시스템 사이에 사용자의 제 3 컴퓨터 시스템을 통해 연결이 설정되게 한다.
다른 면에서, 본 발명은 제 1 컴퓨터 시스템과, 네트워크를 통해 적어도 하나의 속성을 특정하는 속성의 상세를 수신하는 수단; ID 토큰에 대해 인증하는 수단; 및 보호된 연결을 통해 ID 토큰으로부터 적어도 하나의 속성을 판독하는 수단을 포함하며, 적어도 하나의 속성을 판독하는 필요조건은 ID 토큰에 연관된 사용자와 컴퓨터 시스템의 ID 토큰에 대한 인증이라는 컴퓨터 시스템에 관한 것이다
본 발명의 실시예에 따르면, 제 1 컴퓨터 시스템은 사용자에 대한 요구를 생성하는 수단을 포함할 수 있다. 제 1 컴퓨터 시스템이 제 2 컴퓨터 시스템으로부터 속성의 상세를 수신하면, 예를 들어 제 1 컴퓨터 시스템은 요구를 사용자의 제 3 컴퓨터 시스템으로 전송하여, 사용자에게 ID 토큰에 대해 인증할 것을 요구한다. ID 토큰에 대한 사용자의 인증이 성공적으로 수행되면, 제 1 컴퓨터 시스템은 제 3 컴퓨터 시스템으로부터 확인을 수신한다. 그러면 제 1 컴퓨터 시스템은 ID 토큰에 대해 자신을 인증하고, ID 토큰과 제 1 컴퓨터 시스템 사이에는 종단간 암호화를 이용하여 보안 연결이 설정된다.
본 발명의 실시예에 따르면, 제 1 컴퓨터 시스템은 각각 다른 판독 권한을 특정하는 다수의 인증서를 포함한다. 속성의 상세의 수신 후에, 제 1 컴퓨터 시스템은 특정된 속성을 판독하기에 충분한 판독 권한을 갖는 적어도 하나의 인증서를 선택한다.
본 발명에 따른 제 1 컴퓨터 시스템의 실시예들은 특히 유리한 효과가 있는데, 이는 ID 토큰에 대한 사용자의 인증 필요성과 결합하여 위조되지 않은 사용자의 디지털 ID에 대한 신용수단을 형성하기 때문이다. 이에 관련한 특히 유리한 효과는 사용자와 컴퓨터 시스템 또는 디지털 ID를 형성하는 사용자의 속성을 저장하는 중앙 저장소의 사전등록을 필요로 하지 않는다는 것이다.
본 발명의 일 실시예에 따르면, 제 1 컴퓨터 시스템은 속성의 명세와 함께 제 2 컴퓨터 시스템에 대한 식별자를 수신한다. 이 식별자를 이용하여, 제 2 컴퓨터 시스템에게 식별 서비스를 요구하기 위해, 컴퓨터 시스템은 식별 서비스를 이용하고자 하는 제 2 컴퓨터 시스템을 식별한다.
본 발명의 일 실시예에 따르면, 컴퓨터 시스템은 공식적으로 인증된 신용 센터, 특히, 서명 행위에 준거하는 신용 센터이다.
이하, 도면을 참조하여 본 발명의 실시예들을 더욱 자세하게 설명한다.
도 1은 본 발명에 따른 컴퓨터 시스템의 제 1 실시예의 블록도이다.
도 2는 본 발명에 따른 방법의 실시예의 흐름도이다.
도 3은 본 발명에 따른 컴퓨터 시스템의 다른 실시예의 블록도이다.
도 4는 본 발명에 따른 방법의 또 다른 실시예의 UML(Unified Modeling Language) 도 이다.
이하, 서로 상응하는 실시예의 요소는 동일한 도면 부호로 나타낸다.
도 1은 사용자(102)의 사용자 컴퓨터 시스템(100)을 도시한다. 사용자 컴퓨터 시스템(100)은 퍼스널 컴퓨터, 랩탑이나 팜탑 컴퓨터와 같은 휴대용 컴퓨터, PDA, 특히 스마트 폰과 같은 이동 통신 기구일 수 있다. 사용자 컴퓨터 시스템(100)은 적절한 인터페이스(108)를 포함하는 ID 토큰(106)과의 통신을 위한 인터페이스(104)를 포함한다.
사용자 컴퓨터 시스템(100)은 프로그램 명령(112)을 실행하는 적어도 하나의 프로세서(110) 및 네트워크(116)를 통한 통신을 위한 네트워크 인터페이스(114)를 포함한다. 네트워크는 인터넷과 같은 컴퓨터 네트워크일 수 있다.
ID 토큰(106)은 보호된 메모리 영역(120,122,124)을 갖는 전자 메모리(118)를 포함한다. 보호된 메모리 영역(120)은 ID 토큰(106)에 대해 사용자(102)를 인증하기 위해 요구되는 기준 값을 저장하는데 사용된다. 기준 값은, 예를 들어 특히, 개인 식별 번호(PIN)로 알려진 식별자이거나, ID 토큰(106)에 대해 사용자(102)를 인증하기 위해 사용될 수 있는 사용자(102)의 생체 인식 특징에 대한 기준 데이터 이다.
보호된 영역(122)은 비밀키를 저장하기 위해 사용되고, 보호된 메모리 영역(124)은 예를 들어 사용자의 이름, 거주지, 생일, 성별과 같은 사용자(102)의 속성 및/또는 ID 토큰을 생성하거나 발행한 기관, ID 토큰의 유효 기간, 또는 여권번호나 신용 카드 번호와 같은 ID 토큰에 대한 식별자와 같은 ID 토큰 자체에 관한 속성을 저장하기 위해 사용된다.
전자 메모리(118)는 또한 인증서를 저장하는 메모리 영역(126)을 포함할 수 있다. 인증서는 보호된 메모리 영역(122)에 저장된 비밀키와 연관된 공개키를 포함한다. 인증서는 예를 들어 X.509 표준에 기초한 공개키 기반 (PKI) 표준에 기초하여 생성될 수 있다.
인증서는 반드시 ID 토큰(106)의 전자 메모리(118)에 저장되어야 하는 것은 아니다. 대안적으로 또는 추가적으로, 인증서는 공개 디렉토리 서버에 저장될 수 있다.
ID 토큰(106)은 프로세서(128)를 포함한다. 프로세서(128)는 프로그램 명령(130,132,134)을 실행시키는데 사용된다. 프로그램 명령(130)은 사용자 인증, 즉, ID 토큰에 대한 사용자 인증에 사용된다.
개인 식별 번호를 사용한 실시예에서, 사용자(102)는 자신을 인증하기 위하여, 예를 들어 사용자 컴퓨터 시스템(100)을 통해 자신의 개인 식별 번호를 ID 토큰(106)에 입력한다. 그러면 프로그램 명령(130)의 수행은, 입력된 개인 식별 번호와 보호된 메모리 영역에 저장된 개인 식별 번호에 대한 기준 값을 비교하기 위해서 보호된 메모리 영역(120)으로 액세스한다. 입력된 개인 식별 번호가 개인 식별 번호의 기준 값과 일치하면, 사용자(102)는 인증된 것으로 간주된다.
대안적으로, 사용자(102)의 생체 인식 특징이 캡쳐된다. 일례로서, ID 토큰(106)은 이러한 목적을 위해 지문 센서를 포함한다, 즉, 지문 센서가 사용자 컴퓨터 시스템(100)에 연결된다. 본 실시예에서, 사용자(102)로부터 캡쳐된 생체 인식 데이터는 보호된 메모리 영역(120)에 저장된 생체 인식 기준 데이터와 프로그램 명령(130)을 실행함으로써 비교된다. 사용자(102)로부터 캡쳐된 생체 인식 데이터와 생체 인식 기준 데이터가 충분히 매치되면, 사용자(102)는 인증된 것으로 간주된다.
프로그램 명령(134)은, ID 토큰(106)에 대해 ID 제공자 컴퓨터 시스템(136)을 인증하기 위하여, ID 토큰(106)에 관련된 암호화 프로토콜 단계를 실시하기 위해 사용된다. 암호화 프로토콜은 한 쌍의 대칭키 또는 비대칭키에 기초한 도전/응답(challenge/응답) 프로토콜일 수 있다.
일례로서, 국제 민간 항공 기구(ICAO)에 의해 기계 판독 가능 여행 문서(MRTD)로 특정되는 바와 같이, 암호화 프로토콜은 확장된 액세스 컨트롤 방법을 실현한다. 암호화 프로토콜의 성공적인 실행은 ID 제공자 컴퓨터 시스템(136)을 ID 토큰에 대해 인증되게 하며, 그에 따라 보호된 메모리 영역(124)에 저장된 속성을 판독하는 판독 권한을 입증한다. 인증은 상호적으로 이루어질 수 있는데, 즉 ID 토큰(106) 또한 동일한 또는 다른 암호화 프로토콜에 기초하여 ID 제공자 컴퓨터 시스템(136)에 대해 인증될 필요가 있다.
프로그램 명령(132)은 보호된 메모리 영역(124)으로부터 ID 제공자 컴퓨터 시스템(136)에 의해 판독된 최소한의 속성을 제외한 ID 토큰(106)과 ID 제공자 컴퓨터 시스템(136) 사이에 전달된 데이터의 종단간 암호화를 위해 사용된다. 종단간 암호화는, 예를 들어 암호화 프로토콜이 실행될 경우, ID 토큰(106)과 ID 제공자 컴퓨터 시스템(136) 사이에서 일치된 대칭키를 사용하는 것이 가능하다.
도 1에서 보여진 실시예의 대안으로서, 사용자 컴퓨터 시스템(100)은, ID 토큰(106)에 대해서, 인터페이스(108)와 직접적인 방법이 아닌 인터페이스(104)에 연결된 리더를 통해서 통신하기 위한 인터페이스(104)를 사용할 수 있다. 예를 들어 제 2 칩 카드 단말로 알려진 이 리더는 또한 개인 식별 번호를 입력하기 위해 사용될 수 있다.
ID 제공자 컴퓨터 시스템(136)은 네트워크(116)를 통한 통신을 위해 네트워크 인터페이스(138)를 포함한다. ID 제공자 컴퓨터 시스템(136)은 또한 ID 제공자 컴퓨터 시스템(136)에 대한 비밀키(142)와 적절한 인증서(144)를 저장하는 메모리(140)를 포함한다. 이 인증서는 예를 들어 X.509와 같은 공개키 기반(PKI) 표준에 기초한 인증서일 수 있다.
또한, ID 제공자 컴퓨터 시스템(136)은 프로그램 명령(146,148)을 실행하는 적어도 하나의 프로세서(145)를 포함한다. 프로그램 명령(146)을 실행함으로써, ID 제공자 컴퓨터 시스템(136)에 관련된 암호화 프로토콜 단계가 실행된다. 결국, ID 토큰(106)의 프로세서(128)에 의한 프로그램 명령(134)의 실행을 통해서 그리고 ID 제공자 컴퓨터 시스템(136)의 프로세서(145)에 의한 프로그램 명령(146)의 실행을 통해서, 암호화 프로토콜이 실현된다.
프로그램 명령(148)은 예를 들어 암호화 프로토콜이 실행될 때, ID 토큰(106)과 ID 제공자 컴퓨터 시스템(136) 사이에서 일치된 대칭키에 기초해서 ID 제공자 컴퓨터 시스템(136)에서 종단간 암호화를 실현하기 위해 사용된다. 원칙적으로, 본래 Diffie-Hellman 키 교환과 같이 미리 알려진 종단간 암호와에 대한 대칭키를 승인하는 어떤 방법도 사용 가능하다.
바람직하게 ID 제공자 컴퓨터 시스템(136)은, 특히, 신용 센터로 알려진, 특별하게 보호된 환경에 놓여지고, 그 결과 ID 제공자 컴퓨터 시스템(136)은 ID 토큰(106)에 대한 사용자(102)의 인증의 필요성과 결합된 ID 토큰(106)으로부터 판독된 속성의 신뢰성에 대한 신용 수단을 형성하는 것이다.
서비스 컴퓨터 시스템(150)은 서비스 또는 제품, 특히, 온라인 서비스에 대한 주문이나 명령 을 받도록 설계되었다. 일례로서, 사용자(102)는 네트워크(116)를 통해 은행계좌를 개설하거나 온라인으로 다른 금융 또는 뱅킹 서비스를 사용할 수 있다. 또한, 서비스 컴퓨터 시스템(150)은 온라인 보관소의 형식을 가질 수 있어서, 사용자(102)는 예를 들어 온라인으로 모바일 폰 등을 구매할 수 있다. 게다가, 서비스 컴퓨터 시스템(150)은 또한 예를 들어 음악 데이터 및/또는 비디오 데이터의 다운로드를 위한 디지털 컨텐츠를 운반하도록 설계될 수 있다.
이러한 목적을 달성하기 위하여, 서비스 컴퓨터 시스템(150)은 네트워크(116)을 연결하기 위한 네트워크 인터페이스(152)를 포함한다. 게다가, 서비스 컴퓨터 시스템(150)은 프로그램 명령(156)을 실행하는 적어도 하나의 프로세서(154)를 포함한다. 프로그램 명령(156)의 실행으로, 예를 들어 사용자(102)가 그의 명령이나 주문을 입력할 수 있는 다이나믹 HTML 페이지를 생성한다.
명령되거나 주문된 제품이나 서비스의 특질에 따라, 서비스 컴퓨터 시스템(150)은 하나 이상의 규정된 기준을 사용하여 사용자(102) 및/또는 그의 ID 토큰(106)의 하나이상의 속성을 검사할 필요가 있다. 이러한 검사가 통과된 경우에만, 사용자(102)로부터의 주문이나 명령이 받아들여지거나/또는 실행된다.
일례로서, 은행 계좌의 개설이나 관련된 계약에 따른 모바일 폰 구매는 사용자로 하여금 서비스 컴퓨터 시스템(150)으로의 신분 기재와 기재된 신분의 검사를 요구한다. 종래 기술에서, 사용자(102)는 신분증을 제시함으로서 이를 행해야 했다. 이 과정은 사용자의 ID 토큰(106)으로부터 사용자(102)의 디지털 ID를 판독하는 것으로 바뀌었다.
그러나, 응용의 실례에 따라서, 사용자(102)는 그의 신분을 서비스 컴퓨터 시스템(150)에 기재할 필요가 없고, 예를 들어 속성 중 하나만을 전달하는 것으로 충분하다. 일례로서, 사용자(102)는 다운로드를 하기 위해 서비스 컴퓨터 시스템(150)에 저장된 데이터로의 접근이 승인된 사람들의 특정 그룹에 속한다는 증거를 제시하는 속성 중 하나를 사용할 수 있다. 일례로서, 이러한 기준은 사용자(102)의 최소 연령이나, 특정 기밀 데이터에 대한 접근 권한을 갖는 사람들의 그룹과 사용자(102)의 연관성일 수 있다.
서비스 컴퓨터 시스템(150)에 의해 제공되는 서비스를 사용하기 위한 절차는 다음과 같다.
1. ID 토큰(106)에 대한 사용자(102) 인증
사용자(102)는 ID 토큰(106)에 대해 자신을 인증한다. 개인 식별 번호를 이용한 실행에서, 사용자(102)는 예를 들어 사용자 컴퓨터 시스템(100) 또는 이에 연결된 칩 카드 단말을 이용하여 개인 식별 번호를 입력함으로써 인증을 수행한다. 프로그램 명령(130)을 실행함에 의해, ID 토큰(106)은 입력된 개인 식별 번호의 정확성을 검사한다. 입력된 개인 식별 번호가 보호된 메모리 영역(120)에 저장된 개인 식별 번호의 기준값과 매치되면, 사용자(102)는 인증된 것으로 간주된다. 상술된 바와 같이 사용자(102)의 생체 인식 특징이 사용자를 인증하기 위해 사용되면, 인증 절차는 유사하다.
2. ID 토큰(106)에 대한 ID 제공자 컴퓨터 시스템(136) 인증
이 목적을 달성하기 위하여, 사용자 컴퓨터 시스템(100)과 네트워크(116)를 통해서 ID 토큰(106)과 ID 제공자 컴퓨터 시스템(136) 사이에 연결이 설정된다. 일례로서, ID 제공자 컴퓨터 시스템(136)은 이 연결을 통하여 인증서(144)를 ID 토큰(106)으로 전송한다. 그러면, 프로그램 명령(134)은 예를 들어 도전이라고 알려진 임의의 숫자를 생성한다. 이 임의의 숫자는 ID 제공자 컴퓨터 시스템(136)의 공개키를 이용하여 암호화 되는데, 공개키는 인증서(144)에 포함된다. 그 결과로 생기는 암호는 ID 토큰(106)으로부터 이 연결을 통하여 ID 제공자 컴퓨터 시스템(136)으로 전송된다. ID 제공자 컴퓨터 시스템(136)은 비밀키(142)를 이용하여 암호를 해독하고, 이러한 방식으로 임의의 숫자를 획득한다. 임의의 숫자는 ID 제공자 컴퓨터 시스템(136)에 의해 연결을 통하여 ID 토큰(106)으로 리턴된다. 프로그램 명령(134)을 실행함으로써, 상기 ID 토큰은 ID 제공자 컴퓨터 시스템(136)으로부터 수신한 임의의 숫자가 처음에 생성된 임의의 숫자, 즉, 도전과 매치되는지 검사한다. 이러한 경우, ID 제공자 컴퓨터 시스템(136)은 ID 토큰(106)에 대해 인증된 것으로 간주된다. 임의의 숫자는 종단간 암호화를 위해 대칭키로 이용될 수 있다.
3. 사용자(102)가 ID 토큰(106)에 대해 사용자 자신을 성공적으로 인증하고 ID 제공자 컴퓨터 시스템(136)이 ID 토큰(106)에 대해 그 자신을 성공적으로 인증하면, ID 제공자 컴퓨터 시스템(136)은 속성을 판독하는 판독 권한과, 보호된 메모리 영역(124)에 저장된 다수의 속성 또는 모든 속성을 제공 받는다. ID 제공자 컴퓨터 시스템(136)이 연결을 통해 ID 토큰(106)으로 전송하는 관련된 판독 명령에 기초해서, 요구된 속성은 보호된 메모리 영역(124)으로부터 판독되고, 프로그램 명령(132)을 실행함으로써 암호화 된다. 암호화된 속성은 연결을 통해 ID 제공자 컴퓨터 시스템(136)으로 전송되는데, ID 제공자 컴퓨터 시스템(136)에서 암호화된 속성은 프로그램 명령(148)을 실행함으로써 해독 된다. 이는 ID 제공자 컴퓨터 시스템(136)에 ID 토큰(106)으로부터 판독된 속성에 대한 지식을 제공한다.
이러한 속성은 인증서(144)를 이용하여 ID 제공자 컴퓨터 시스템에 의해 서명되어 사용자 컴퓨터 시스템(100)을 통하여 전송되거나, 서비스 컴퓨터 시스템(150)으로 직접 전송된다. 이는 서비스 컴퓨터 시스템(150)에게 ID 토큰(106)에서 판독된 속성을 알림으로써, 서비스 컴퓨터 시스템(150)이 사용자(102)에 의해 요구된 서비스를 가능하게 제공하기 위하여 규정된 하나 이상의 기준을 사용하여 이러한 속성을 검사 할 수 있다.
ID 토큰(106)에 대해 사용자(102)를 인증하기 위한 필요성과 ID 토큰(106)에 대해 ID 제공자 컴퓨터 시스템(136)을 인증하기 위한 필요성은 필요한 신용 수단을 제공하여, 서비스 컴퓨터 시스템(150)이 ID 제공자 컴퓨터 시스템(136)에 의해 서비스 컴퓨터 시스템에 전달된 사용자(102)의 속성은 정확하며 왜곡된 것이 아니라는 것을 확신할 수 있게 한다.
실시예에 따라서, 인증의 순서는 다를 수 있다. 일례로서, 우선 첫 번째로, ID 토큰(106)에 대해 자신을 인증해야 하는 사용자(102)에 대한 제공이 이루어지고, ID 제공자 컴퓨터 시스템(136)이 그 뒤를 따를 수 있다. 그러나, 원칙상, ID 토큰(106)에 대해 자신을 인증해야 하는 ID 제공자 컴퓨터 시스템(136)이 우선 먼저이고, 사용자(102)가 그 뒤를 따르는 것도 가능하다.
첫 번째의 경우, 일례로서, ID 토큰(106)은 사용자(102)에 의한 정확한 개인 식별 번호 또는 정확한 생체 인식 특징의 입력을 통해서만 열리도록 (unlock) 설계된다. 이러한 열림만이 프로그램 명령(132,134)이 시작되고, 그에따라 ID 제공자 컴퓨터 시스템(136)이 인증되게 한다.
두 번째의 경우, 사용자(102)가 ID 토큰(106)에 대해서 자신을 인증하지 않았더라도, 프로그램 명령(132,134)을 시작할 수 있다. 이 경우, 일례로서서, 사용자(102)가 성공적으로 인증되었다고 프로그램 명령(130)이 알릴 때까지, ID 제공자 컴퓨터 시스템(136)은 하나 이상의 속성을 판독하기 위해 보호된 메모리 영역(124)에 대한 판독 액세스를 할 수 없도록 프로그램 명령(134)이 형성된다.
전자 상거래와 전자 정부 어플리케이션에 대한 ID 토큰(106)의 활용이라는 특정 효과는, 예를 들면, 특히 미디어 분열없이, ID 토큰(106)에 대해 인증될 사용자(102)와 ID 제공자 컴퓨터 시스템(136)에 대한 필요성에 의해 형성된 신용 수단에 합법적으로 기초한다. 다양한 사용자(102)의 속성에 대한 중앙 기억장치가 필요하지 않다는 특정 효과는, 종래의 기술에 존재하는 데이터 보호 문제가 해결됨을 의미한다. 본 방법의 응용의 편의와 관련되어서는, ID 제공자 컴퓨터 시스템(136)을 사용하기 위해 사용자(102)의 사전등록이 필요 없다는 효과가 있다.
도 2는 본 발명에 따른 방법의 실시예를 보여준다. 단계 200에서, 서비스 요구가 사용자 컴퓨터 시스템으로부터 서비스 컴퓨터 시스템으로 전송된다. 일례로서, 사용자는 사용자 컴퓨터 시스템에서 인터넷 브라우저를 시작하고 서비스 컴퓨터 시스템에서 웹 페이지를 호출하기 위하여 URL을 입력함으로써 이를 실행한다. 그리고 사용자는 예를 들어 서비스나 제품을 주문 또는 명령하기 위해, 사용자의 서비스 요구를 호출된 웹 페이지에 입력한다.
그러면, 단계 202에서, 서비스 컴퓨터 시스템(150)은 서비스 요구에 대한 사용자의 권한을 검사하기 위해 컴퓨터 시스템이 요구하는 하나 이상의 속성을 특정한다. 특히, 서비스 컴퓨터 시스템은 사용자(102)의 디지털 ID를 결정하는 속성을 특정 할 수 있다. 서비스 컴퓨터 시스템(150)에 의한 속성의 상세는 확고하게 규정되거나, 서비스 요구에 따라 규정된 규칙을 이용하여 서비스 컴퓨터 시스템(150)이 개별적으로 결정할 수 있다.
단계 204에서, 속성의 상세, 즉, 단계 202에서 실시된 하나 이상의 속성에 대한 상세는 직접적으로 또는 서비스 컴퓨터 시스템에서 ID 제공자 컴퓨터 시스템으로 사용자 컴퓨터 시스템을 통해서 전송된다.
단계 206에서, 사용자의 ID 토큰으로부터 속성을 판독할 기회를 ID 제공자 컴퓨터 시스템에게 제공하기 위해, 사용자는 ID 토큰에 대해 그 자신을 인증한다.
단계 208에서, ID 토큰과 ID 제공자 컴퓨터 시스템 사이의 연결이 설정된다. 바람직하게, 이는, 예를 들어 안전한 메시징 방법에 기초한, 보호된 연결이다.
단계 210에서, ID 제공자 컴퓨터 시스템은 단계 208에서 설정된 연결을 통해 ID 토큰에 대해 적어도 인증된다. 게다가, ID 제공자 컴퓨터 시스템에 대해 인증될 ID 토큰이 제공될 수 있다.
사용자와 ID 제공자 컴퓨터 시스템 모두가 성공적으로 ID 토큰에 대해 인증되면, ID 제공자 컴퓨터 시스템은 ID 토큰에 의해 속성을 판독하는 접근 권한을 제공 받는다. 단계 212에서, ID 제공자 컴퓨터 시스템은 속성의 상세에 따라 ID 토큰에게 요구되는 속성의 판독을 위한 하나 이상의 판독 명령을 전송한다. 그러면 속성은 보호된 연결을 통하여 ID 제공자 컴퓨터 시스템으로 종단간 암호화를 이용하여 전송되는데, ID 제공자 컴퓨터 시스템에서 속성의 암호가 해독된다.
단계 214에서, 판독된 속성 값이 ID 제공자 컴퓨터 시스템에 의해 서명된다. 단계 216에서, ID 제공자 컴퓨터 시스템은 서명된 속성 값을 네트워크를 통해 전송한다. 서명된 속성 값은 직접적으로 또는 사용자 컴퓨터 시스템을 통해 서비스 컴퓨터 시스템에 도달한다. 후자의 경우, 사용자는 서명된 속성 값을 메모하거나 및/또는 다른 데이터를 속성에 추가할 기회를 가질 수 있다. 사용자에 의한 공개 뒤에, 사용자 컴퓨터 시스템에서 서비스 컴퓨터 시스템으로 전송될 추가된 데이터와 함께 서명된 속성 값들이 제공될 수 있다. 이는 ID 제공자 컴퓨터 시스템에서 서비스 컴퓨터 시스템으로 전송된 속성에 관해서는 사용자에 대한 최대한의 투명성을 제공한다.
도 3은 본 발명에 따른 ID 토큰과 본 발명에 따른 컴퓨터 시스템의 실시예를 보인다. 도 3의 실시예에서, ID 토큰(106)은 통합 전자 회로 상태의 종이 기반 및/또는 플라스틱 기반 문서 형식인데, 통합 전자 회로는 인터페이스(108), 메모리(118) 및 프로세서(128)를 형성한다. 일례로서, 통합 전자 회로는 무선 태그일 수 있는데, 무선 태그는 또한 RFID 태그 또는 RFID 라벨이라 불린다. 또한, 인터페이스(108)는 중개자를 갖추거나, 듀얼 모드 인터페이스 형식 일 수 있다.
특히, 문서(106)는 전자 여권이나 전자 식별 카드 같은 기계 판독 가능 여행 문서와 같은 가치 문서 또는 보안 문서이거나, 신용 카드와 같은 지불 수단일 수 있다.
현재의 상황을 고려한 실시예에서, 보호된 메모리 영역(124)은 속성(i, 1 ≤ i ≤ n)를 저장한다. 이어서, 일반적 성질의 제한 없이, 도 3에서 일례로 도시된 ID 토큰(106)은 전자 식별 카드라고 가정한다. 일례로서, 속성 i가 1인 경우는 별명이고, 속성 i가 2인 경우는 이름이며, 속성 i가 3인 경우는 주소이고, 속성 i가 4인 경우는 생일이다.
이를 고려한 실시예에서, 사용자 컴퓨터 시스템(100)의 인터페이스(104)는 RFID 리더 형식일 수 있는데, RFID 리더는 사용자 컴퓨터 시스템의 필수적인 부분을 형성하거나, 개별 부품으로서 사용자 컴퓨터에 연결될 수 있다.
사용자(102)는 신용카드인 ID 토큰(106')과 같은 기본적으로 동일 디자인의 하나 이상의 ID 토큰을 가진다.
사용자 컴퓨터 시스템(100)은 다수의 구성 데이터 레코드(158, 160,....)를 저장할 수 있다. 각각의 구성 데이터 레코드는 특정한 속성의 세트 , 데이터 소소 및 열거된 데이터 소스를 판독할 수 있는 ID 제공자 컴퓨터 시스템을 나타낸다. 본 실시예에서, 사용자 컴퓨터 시스템(100)은 각각 다른 신용 센터와 연관된 ID 제공자 컴퓨터 시스템(136, 136', ..)을 어드레스하기 위해 네트워크(116)를 사용할 수 있다. 일례로서, ID 제공자 컴퓨터 시스템(136)은 신용 센터 A와 연관되고, 원칙적으로 동일한 디자인의 ID 제공자 컴퓨터 시스템(136)'은 또 다른 신용 센터 B와 연관될 수 있다.
ID 컨테이너라 불리는 구성 데이터 레코드(158)는 그 안에 정의된 한 세트의 속성(i, i는 1 내지 4)를 포함한다. 이러한 속성은 각각 ID 토큰(106)인 데이터 소스 "ID카드"와 그들과 연관된 ID 제공자 컴퓨터 시스템(136)인 신용 센터 A를 포함한다. 후자의 경우, 예를 들어 구성 데이터 레코드(158)와 같은 URL형식으로 특정될 수 있다.
한편, 구성 데이터 레코드(116)는 그 안에 정의된 한 세트의 속성(I, II, III)을 포함한다. 이러한 속성을 나타내는 데이터 소스는 각각의 신용카드, 즉 ID 토큰(106')이다. ID 토큰(106')은 속성(I, II, III)을 저장하는 보호된 메모리 영역(124')을 포함한다. 예를 들어, 속성(I)은 신용 카드 소지자의 이름, 속성(II)은 신용 카드 번호 및 속성(III)은 신용 카드의 유효 기간일 수 있다.
구성 데이터 레코드(160)에서 나타나는 ID 제공자 컴퓨터 시스템은 신용 센터 B의 ID 제공자 컴퓨터 시스템(136')이다.
도 3에서 보여지는 실시예의 대안으로서, 다른 데이터소스 및/또는 다른 ID 제공자 컴퓨터 시스템을 다른 속성에 대해 동일한 구성 데이터 레코드로 나타낼 수 있다.
도 3의 실시예에서, 각각의 ID 제공자 컴퓨터 시스템(136, 136', ..)은 각각 다수의 인증서를 포함 할 수 있다.
일례로서, 도 3에 예시되어있는 ID 제공자 컴퓨터 시스템(136)의 메모리(140)는, 각각의 연관된 비밀키(142.1,142.2)와 함께 저장된 인증서(144.1,144.2)와 같은, 다수의 인증서를 저장한다. 인증서(144.1)에서 ID 제공자 컴퓨터 시스템(136)에 대한 판독 권리는 속성(i, i는 1 내지 4)에 대해 정의되고, 그에 반해, 인증서(144.2)에서 판독 권리는 속성(I 내지 III)에 대해 정의된다.
서비스 컴퓨터 시스템(150)이 제공하는 서비스를 이용하기 위해, 예를 들어 원하는 서비스에 대한 요구를 서비스 컴퓨터 시스템(150)의 웹 페이지에 입력하기 위해, 사용자(102)는 우선 사용자 컴퓨터 시스템(100)으로 사용자 입력(162)을 실시한다. 상기 서비스 요구(164)는 사용자 컴퓨터 시스템(100)에서 네트워크(116)를 통해 서비스 컴퓨터 시스템(150)으로 전송된다. 그러면 서비스 컴퓨터 시스템(150)은 속성의 상세(166)로 응답한다, 즉, 사용자(102)로부터의 서비스 요구(164)를 처리하기위해 서비스 컴퓨터 시스템(150)이 요구하는 속성을 특정함으로써 응답한다. 일례로서, 속성의 상세는 성, 이름, 주소, 신용 카드 번호와 같은 속성 이름 형식으로 만들어 질 수 있다.
사용자 컴퓨터 시스템(100)이 사용자(102)에게 속성의 상세(166)의 수신을 알린다. 사용자(102)는 하나 또는 필요에 따라 속성의 상세(166)에 따른 속성을 포함하는 한 세트의 속성을 각각 정의하는 다수의 구성 데이터 레코드(158, 160, ...)를 적어도 부분 집합으로서 선택할 수 있다.
속성의 상세(166)가 단지 사용자(102)의 성, 이름 및 주소만을 알려주길 요구한다면, 예를 들어, 사용자(102)는 구성 데이터 레코드(158)를 선택할 수 있다. 반면, 속성의 상세(166)에 신용카드 번호가 추가적으로 명시되어 있다면, 사용자(102)는 구성 데이터 레코드(160)를 추가적으로 선택 할 수 있다. 이 과정은 또한 사용자 컴퓨터 시스템(100)에 의해서, 예를 들어 프로그램 명령(112)을 실행함으로써, 완전히 자동으로 실시될 수 있다.
다음으로, 우선 구성 데이터 레코드(158)와 같이 구성 데이터 레코드 중 오직 하나만이 속성의 상세(166)에 기초하여 선택된다고 가정한다.
그러면 사용자 컴퓨터 시스템(100)은, 예를 들어 신용 센터 A의 ID 제공자 컴퓨터 시스템(136)을 고려하여, 선택된 구성 데이터 레코드에서 지정된 ID 제공자 컴퓨터 시스템으로 요구(168)를 전송한다. 상기 요구(168)는 속성의 상세(166)에 따른 속성의 지시를 포함며, 이는 ID 제공자 컴퓨터 시스템(136)에 의해 구성 데이터 레코드(158)에서 나타난 데이터 소스로부터 판독될 필요가 있다.
그러면 ID 제공자 컴퓨터 시스템(136)은 이러한 속성을 판독하기 위해 요구되는 판독 권한을 갖는 하나 이상의 인증서를 선택한다. 일례로서, ID 카드로부터 속성(i)는 1 내지 3이라고 판독된다면, ID 제공자 컴퓨터 시스템(136)은 인증서(144.1)를 선택하며, 이는 속성에 대해 요구되는 판독 권한을 정의한다. 프로그램 명령(149)을 실행함에 의해 이인증서가 선택된다.
다음으로, 암호화 프로토콜의 수행이 시작된다. 일례로서, 이러한 목적을 달성하기 위하여, ID 제공자 컴퓨터 시스템(136)은 사용자 컴퓨터 시스템(100)으로 응답을 전송한다. 그러면 사용자 컴퓨터 시스템(100)은 사용자(102)에게 특정된 데이터 소스, 즉, 이 경우 ID 카드에 대한 인증을 요구한다.
그러면 사용자(102)는 자신의 ID 카드, 즉, ID 토큰(106)을 RFID 리더(104)의 유효 범위로 가져가서, 예를 들어 자신을 인증하기 위해, 개인 식별 번호를 입력한다. ID 토큰(106)에 대한 사용자(102)의 성공적인 인증은 암호화 프로토콜의 수행, 즉. 프로그램 명령(134)의 수행을 위해 ID 토큰을 공개한다.
다음으로, ID 제공자 컴퓨터 시스템(136)은 선택된 인증서(144.1), 예를 들어 도전/응답 방법을 이용하여 ID 토큰(106)에 대해 자신을 인증한다. 이 인증은 또한 상호간에 이루어질 수 있다. ID 토큰(106)에 대한 ID 제공자 컴퓨터 시스템(136)의 성공적인 인증 다음에, ID 제공자 컴퓨터 시스템은 사용자 컴퓨터 시스템(100)로 필요한 속성을 판독하기 위한 판독 요구를 전송하고, 사용자 컴퓨터 시스템은 이를 RFID 리더(104)를 통해 ID 토큰(106)으로 전송한다. ID 토큰(106)은 ID 제공자 컴퓨터 시스템(136)이 필요한 판독 권한을 갖는지 검사하기 위해 인증서(144.1)를 사용한다. 이 경우, 보호된 메모리 영역(124)에서 바람직한 속성이 판독되고, 종단간 암호화에 의해 사용자 컴퓨터 시스템(100)을 통해 ID 제공자 컴퓨터 시스템으로 전송된다.
그러면 ID 제공자 컴퓨터 시스템(136)은 판독된 속성을 포함하는 응답(170)을 네트워크(116)를 통해 서비스 컴퓨터 시스템(150)으로 전송한다. 응답(170)은 디지털 방식으로 인증서(144.1)로 서명된다.
반면, ID 제공자 컴퓨터 시스템(136)은 응답(170)을 사용자 컴퓨터 시스템(100)으로 전송한다. 그러면 사용자(102)는 응답(170)에 포함된 속성을 판독하고 정말로 이러한 속성을 서비스 컴퓨터 시스템(150)으로 보내고 싶은지 결정하는 기회를 제공 받는다. 사용자로부터의 공개 명령이 사용자 컴퓨터 시스템(100)에 입력되면, 응답(170)은 서비스 컴퓨터 시스템(150)으로 전송된다. 본 실시예에서는, 또한 사용자(102)가 응답(170)에 다른 데이터를 추가 하는 것이 가능하다.
다수의 ID 제공자 컴퓨터 시스템(136, 136', ..)이 포함되면, ID 제공자 컴퓨터 시스템으로부터의 개별적인 응답은 사용자 컴퓨터 시스템(100)에 의해서 속성의 상세(166)에 따른 모든 속성이 포함되어있는 하나의 응답으로 결합될 수 있는데, 그러면 상기 응답은 사용자 컴퓨터 시스템(100)에서 서비스 컴퓨터 시스템(150)으로 전송된다.
본 발명의 일 실시예에 따르면, 예를 들어 서비스 요구(164)의 일부로서 사용자 속성을 네트워크(116)를 통해 서비스 컴퓨터 시스템으로 전송함으로써, 사용자(102)는 서비스 요구(164)에 따라서 서비스 컴퓨터 시스템(150)으로 하나 이상의 사용자 속성을 개시 할 수 있다. 특히, 사용자(102)는 상기 속성을 서비스 컴퓨터 시스템(150)의 웹 페이지에 입력 할 수 있다. 그러면 이러한 속성의 정확성이 응답(170)에 의해 확인된다, 즉, 서비스 컴퓨터 시스템(150)은 사용자(102)로부터 수신한 속성과 ID 제공자 컴퓨터(136)에 의해 ID 토큰(106)으로부터 판독된 속성을 비교할 수 있으며, 그들이 일치하는지 검사 할 수 있다.
본 발명의 다른 일 실시예에 따르면, 적어도 하나의 다른 속성이 속성의 상세(166)에서 나타 날 수 있는데, 상기 속성은 사용자(102)의 ID 토큰 중 하나에 저장되지 않으나 외부 데이터 소스로부터 요구 될 수 있다. 일례로서, 이는 사용자(102)의 신용 가치에 관련된 속성을 포함 할 수 있다. 이러한 목적을 달성하기 위하여, 사용자 컴퓨터 시스템(100)은 데이터 소스의 표시와 속성(A)에 대한 ID 제공자 컴퓨터 시스템의 표시, 예를 들면, 신용 가치를 포함하는 또 다른 구성 데이터 레코드(161)를 포함 할 수 있다. 데이터 소스는 신용 조사소, Dun & Bradstreet와 같은 온라인 신용 조사기관일 수 있다. 예를 들어 도 3의 실시예에서와 같이, 표시된 ID 제공자 컴퓨터 시스템은 신용 센터 C 이다. 이 경우, 데이터 소스는 신용 센터 C에 위치한다.
속성 A를 요청하기 위해서, 사용자 컴퓨터 시스템(100)은 적절한 요구(도 3에 미도시)를 신용 센터 C, 즉 ID 제공자 컴퓨터 시스템(136)''으로 전송한다. 그러면 C 신용 센터는 속성 A를 운반하며, 속성 A는 사용자 컴퓨터 시스템(100)이 사용자(102)의 ID 토큰으로부터 판독된 다른 속성과 함께 서비스 컴퓨터 시스템(150)으로 전달한다.
바람직하게, 속성 A는, 예를 들어 사용자(102)의 디지털 ID에 관련된 속성이 이미 사용자(102)의 ID 토큰 중 하나로부터 요구되고 사용자 컴퓨터 시스템(100)에 의해서 서명된 응답으로 수신된 후에 요청된다. 그러면 사용자 컴퓨터 시스템(100)에 의한 ID 제공자 컴퓨터 시스템(136'')으로부터의 속성 A에 대한 요구는 서명된 응답(170)을 포함하여, ID 제공자 컴퓨터 시스템(136'')은 사용자(102)의 신분에 관한 믿을만한 정보를 갖게 된다.
도 4는 본 발명에 따른 방법의 다른 실시예를 보인다. 사용자(102)로부터의 사용자 컴퓨터 시스템(100)으로의 사용자 입력은, 사용자가 이용하고자 하는 서비스 컴퓨터 시스템에서 서비스를 특정하기 위하여 사용자에 의해 이용된다. 예를 들어, 서비스 컴퓨터 시스템에서 인터넷 페이지를 호출하거나 서비스 컴퓨터 시스템에 제공되는 서비스 중 하나를 선택함으로써 사용자 입력이 수행 된다. 사용자(102)로부터의 서비스 요구는 사용자 컴퓨터 시스템(100)에서 서비스 컴퓨터 시스템(150)으로 전송된다.
서비스 컴퓨터 시스템(150)은 속성의 상세, 즉, 예를 들어 속성 이름 리스트로 서비스 요구에 응답한다. 속성의 상세가 수신되면, 사용자 컴퓨터 시스템(100)은, 예를 들어 입력 요구의 수단으로 사용자(102)에게 ID 토큰(106)에 대해 인증할 것을 요구한다.
그러면 사용자(102)는, 예를 들어 개인 식별 번호를 입력함으로써, ID 토큰(106)에 대해 자신을 인증한다. 성공적인 인증의 뒤를 따라, 속성의 상세가 사용자 컴퓨터 시스템(100)에서 ID 제공자 컴퓨터 시스템(136)으로 전송된다. 그러면 ID 제공자 컴퓨터 시스템(136)은 ID 토큰(106)에 대해 인증하고, ID 토큰(106)에 대한 속성의 상세에 따라 속성을 판독하기 위한 판독 요구를 전송한다.
사용자(102)와 ID 제공자 컴퓨터 시스템(136)이 사전에 성공적으로 인증된다고 가정하면, ID 토큰(106)은 바람직한 속성으로 판독 요구에 응답한다. ID 제공자 컴퓨터 시스템(136)은 속성을 서명하고 서명된 속성을 사용자 컴퓨터 시스템(100)으로 전송한다. 사용자(102)에 의한 공개 후에, 서명된 속성은 서비스 컴퓨터 시스템(150)으로 전송되어, 필요에 따라 바람직한 서비스를 제공할 수 있다.
100 사용자 컴퓨터 시스템
102 사용자
104 인터페이스
106 ID 토큰
108 인터페이스
110 프로세서
112 프로그램 명령
114 네트워크 인터페이스
116 네트워크
118 전자 메모리
120 보호된 메모리 영역
122 보호된 메모리 영역
124 보호된 메모리 영역
126 메모리 영역
128 프로세서
130 프로그램 명령
132 프로그램 명령
134 프로그램 명령
136 ID 제공자 컴퓨터 시스템
138 네트워크 인터페이스
140 메모리
142 비밀키
144 인증서
145 프로세서
146 프로그램 명령
148 프로그램 명령
149 프로그램 명령
150 서비스 컴퓨터 시스템
152 네트워크 인터페이스
154 프로세서
156 프로그램 명령
158 구성 데이터 레코드
160 구성 데이터 레코드
161 구성 데이터 레코드
162 사용자 입력
164 서비스 요구
166 속성의 상세
168 요구
170 응답

Claims (21)

  1. ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하며 ID 토큰은 사용자(102)와 연관된 방법에 있어서,
    사용자가 ID 토큰에 대해 인증되는 단계;
    제 1 컴퓨터 시스템(136)이 ID 토큰에 대해 인증되는 단계; 및
    ID 토큰에 대한 사용자와 제 1 컴퓨터 시스템의 성공적인 인증 뒤에, 적어도 하나의 속성이 서명되면, 상기 적어도 하나의 속성을 제 2 컴퓨터 시스템 (150)으로 전송하기 위해, ID 토큰에 저장된 적어도 하나의 속성으로 제 1 컴퓨터 시스템이 판독 액세스를 수행하는 단계를 포함하는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  2. 제 1 항에 있어서, 상기 제 1 컴퓨터 시스템은 제 1 컴퓨터 시스템의 인증서(144)를 이용하여 ID 토큰에 대해 인증되며, 상기 인증서는 제 1 컴퓨터 시스템이 판독 액세스에 대한 권한을 부여 받는 ID 토큰에 저장된 속성의 표시를 포함하는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  3. 제 2 항에 있어서, 상기 ID 토큰은 인증서를 이용하여 적어도 하나의 속성으로의 판독 액세스에 대한 제 1 컴퓨터 시스템의 판독 권한을 검사하는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  4. 제 1 항, 제 2 항 및 제 3 항 중 어느 한 항에 있어서,
    제 1 컴퓨터 시스템이 ID 토큰으로부터 판독된 적어도 하나의 속성을 서명하는 단계; 및
    서명된 속성이 제 1 컴퓨터 시스템에서 제 2 컴퓨터 시스템으로 전송되는 단계를 더 포함하는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  5. 제 4 항에 있어서,
    요구(164)가 제 3 컴퓨터 시스템(100)에서 제 2 컴퓨터 시스템으로 전송되는 단계;
    제 2 컴퓨터 시스템이 하나 이상의 속성을 특정하는 단계; 및
    속성의 상세(166)가 제 2 컴퓨터 시스템에서 제 1 컴퓨터 시스템으로 전송되는 단계를 더 포함하며,
    제 1 컴퓨터 시스템에 의한 판독 액세스는 ID 토큰으로부터 속성의 상세에 특정된 하나 이상의 속성을 판독하기 위해 수행되는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  6. 제 5 항에 있어서, 상기 요구(164)는 제 2 컴퓨터 시스템이 제 1 컴퓨터 시스템을 식별하기 위한 식별자를 포함하며, 상기 속성의 상세는 제 3 컴퓨터 시스템의 개입 없이 제 2 컴퓨터 시스템에서 제 1 컴퓨터 시스템으로 전송되는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  7. 제 5 항에 있어서, 상기 제 3 컴퓨터 시스템은 복수의 미리 정의된 구성 데이터 레코드(158, 160, ...)를 포함하며, 각각의 구성 데이터 레코드는 속성의 부분 집합, 적어도 하나의 데이터 소스, 및 한 세트의 제 1 컴퓨터 시스템(136, 136', ...)으로부터의 제 1 컴퓨터 시스템을 특정하고, 속성의 상세는 우선 제 2 컴퓨터 시스템에서 제 3 컴퓨터 시스템으로 전송되어, 제 3 컴퓨터 시스템이 속성의 상세에서 특정된 적어도 하나의 속성을 포함하는 속성의 부분 집합을 특정하는 적어도 하나의 구성 데이터 레코드를 선택하기 위해 이용되며, 제 3 컴퓨터 시스템은 속성의 상세를 제 1 컴퓨터 시스템으로 전송하며, 그리고 제 1 컴퓨터 시스템과 선택된 구성 데이터 레코드에서의 데이터 소스의 표시에 의해 특정된 ID 토큰 사이의 연결이 제 3 컴퓨터 시스템을 통해 설정되는 ID 토큰(106, 106')에 저장된 적어도 하나의 속성을 판독하는 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서, 제 1 컴퓨터 시스템에 의해 ID 토큰에서 판독된 적어도 하나의 속성은 제 3 컴퓨터 시스템으로 전송되는데, 상기 속성은 사용자에 의한 공개에 뒤이어 제 2 컴퓨터 시스템으로 전송되는 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법.
  9. 제 8 항에 있어서, 상기 사용자는 속성이 제 2 컴퓨터 시스템으로 전송되기 전에 속성에 다른 데이터를 첨가할 수 있는 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법.
  10. 제 1 항 내지 제 9 항 중 어느 한 항에 있어서, 상기 제 1 컴퓨터 시스템은 다른 판독 권한을 갖는 다수의 인증서(144.1,144.2)를 포함하며, 상기 제 1 컴퓨터 시스템은, 속성의 상세에 특정된 속성을 판독하기에 충분한 판독 권한을 갖는 적어도 하나의 인증서 선택에 기초하여, 속성의 상세를 수신하는 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 있어서, 상기 제 3 컴퓨터 시스템은 네트워크(116)를 통해 제 3 컴퓨터 시스템에게 다른 속성(A)을 요구하는 외부 데이터 소스를 특정하는 적어도 하나의 구성 데이터 레코드(161)를 포함하는 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법.
  12. 제 11 항에 있어서, 상기 다른 속성은, 적어도 하나의 속성이 ID 토큰으로부터 판독됨과 아울러, 제 3 컴퓨터 시스템이 제 1 컴퓨터 시스템으로부터 적어도 하나의 서명된 속성을 수신한 이후에 요구되며, 상기 요구는 적어도 하나의 서명된 속성을 포함하는 ID 토큰에 저장된 적어도 하나의 속성을 판독하는 방법.
  13. 제 1 항 내지 제 12 항 중 어느 한 항에 따른 방법을 수행하기 위해 컴퓨터 시스템에 의해서 실행될 수 있는 명령어를 포함하는 컴퓨터 프로그램 제품.
  14. 적어도 하나의 속성을 저장하는 보호된 메모리 영역(124);
    ID 토큰에 대해, ID 토큰과 연관된 사용자(102)를 인증하는 수단(120,130);
    ID 토큰에 대해 제 1 컴퓨터 시스템(136)을 인증하는 수단(134); 및
    적어도 하나의 속성을 판독하기 위해 사용될 수 있는 제 1 컴퓨터 시스템에 대해 보호된 연결을 설정하는 수단(132)을 포함하며,
    제 1 컴퓨터 시스템이 ID 토큰으로부터 적어도 하나의 속성을 판독하기 위해 필요한 조건은 ID 토큰에 대한 사용자와 제 1 컴퓨터 시스템의 성공적인 인증으로 하는 ID 토큰.
  15. 제 14 항에 있어서, 제 1 컴퓨터 시스템으로 적어도 하나의 속성의 보호된 전송을 위한 연결의 종단간 암호화 수단을 포함하는 ID 토큰.
  16. 제 14 항 또는 제 15 항에 있어서, ID 토큰은 특히 USB 스틱 같은 전자 기구이거나, 특히 가치 문서나 보안 문서 같은 문서인 ID 토큰.
  17. 네트워크(116)를 통해 적어도 하나의 속성을 특정하는 속성의 상세(166)를 수신하는 수단(138);
    ID 토큰 (106)에 대해 인증하는 수단(142,144,146); 및
    보호된 연결을 통해 ID 토큰으로부터 적어도 하나의 속성을 판독하는 수단을 포함하며,
    적어도 하나의 속성을 판독하기 위해 필요한 조건은 ID 토큰에 연관된 사용자와 컴퓨터 시스템의 ID 토큰에 대한 인증인 컴퓨터 시스템.
  18. 제 17 항에 있어서, 속성의 상세의 수신에 기초하여 ID 토큰에 대한 인증을 위해 사용자에 대한 요구를 생성하는 수단을 포함하는 컴퓨터 시스템.
  19. 제 17 항 또는 제 18 항에 있어서, 상기 수단(138)은 제 2 컴퓨터 시스템으로부터 속성의 상세를 수신하도록 설계되며, 제 2 컴퓨터 시스템으로의 전송을 위해 ID 토큰으로부터 판독된 적어도 하나의 속성을 제 3 컴퓨터 시스템(100)으로 전송하는 수단(138)을 포함하는 컴퓨터 시스템.
  20. 제 17 항, 제 18 항, 또는 제 19 항에 있어서, 적어도 하나의 속성을 서명하는 수단(144)을 포함하며, 상기 서명된 속성은 전송되는 컴퓨터 시스템.
  21. 제 17 항 내지 제 20 항 중 어느 한 항에 있어서, 다른 판독 권한을 갖는 다수의 인증서(144.1,144.2)를 포함하며, 상기 컴퓨터 시스템은 속성의 상세에서 특정된 속성을 판독하기에 충분한 판독 권한을 갖는 적어도 하나의 인증서의 선택의 기초로서 속성의 상세를 수신하도록 설계된 컴퓨터 시스템.
KR1020107017469A 2008-01-16 2008-11-13 아이디 토큰에서 속성을 판독하는 방법 KR101584510B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008000067.1 2008-01-16
DE102008000067A DE102008000067C5 (de) 2008-01-16 2008-01-16 Verfahren zum Lesen von Attributen aus einem ID-Token

Publications (2)

Publication Number Publication Date
KR20100126291A true KR20100126291A (ko) 2010-12-01
KR101584510B1 KR101584510B1 (ko) 2016-01-22

Family

ID=40303693

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107017469A KR101584510B1 (ko) 2008-01-16 2008-11-13 아이디 토큰에서 속성을 판독하는 방법

Country Status (11)

Country Link
US (3) US9047455B2 (ko)
EP (2) EP3089061B1 (ko)
JP (1) JP5397917B2 (ko)
KR (1) KR101584510B1 (ko)
CN (1) CN101918954B (ko)
AU (1) AU2008347346B2 (ko)
CA (1) CA2712471C (ko)
DE (1) DE102008000067C5 (ko)
ES (1) ES2589050T3 (ko)
PL (1) PL2245573T3 (ko)
WO (1) WO2009089943A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200102852A (ko) * 2019-02-22 2020-09-01 데이터얼라이언스 주식회사 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법

Families Citing this family (91)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101048898B (zh) * 2004-10-29 2012-02-01 麦德托尼克公司 锂离子电池及医疗装置
US20090077655A1 (en) * 2007-09-19 2009-03-19 Novell, Inc. Processing html extensions to enable support of information cards by a relying party
US20090178112A1 (en) * 2007-03-16 2009-07-09 Novell, Inc. Level of service descriptors
US8151324B2 (en) 2007-03-16 2012-04-03 Lloyd Leon Burch Remotable information cards
US20090077627A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US20090204622A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings
US20090077118A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US8087060B2 (en) 2007-03-16 2011-12-27 James Mark Norman Chaining information card selectors
US20090199284A1 (en) * 2008-02-06 2009-08-06 Novell, Inc. Methods for setting and changing the user credential in information cards
US20090217368A1 (en) * 2008-02-27 2009-08-27 Novell, Inc. System and method for secure account reset utilizing information cards
US8079069B2 (en) 2008-03-24 2011-12-13 Oracle International Corporation Cardspace history validator
US20090272797A1 (en) * 2008-04-30 2009-11-05 Novell, Inc. A Delaware Corporation Dynamic information card rendering
US20100011409A1 (en) * 2008-07-09 2010-01-14 Novell, Inc. Non-interactive information card token generation
DE102008040416A1 (de) 2008-07-15 2010-01-21 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US20100031328A1 (en) * 2008-07-31 2010-02-04 Novell, Inc. Site-specific credential generation using information cards
EP2332313B1 (de) * 2008-09-22 2016-04-27 Bundesdruckerei GmbH Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
US20100095372A1 (en) * 2008-10-09 2010-04-15 Novell, Inc. Trusted relying party proxy for information card tokens
EP2200253A1 (en) * 2008-12-19 2010-06-23 Gemalto SA Method of managing sensitive data in an electronic token
US8083135B2 (en) 2009-01-12 2011-12-27 Novell, Inc. Information card overlay
DE102009000404B4 (de) * 2009-01-26 2024-05-29 Bundesdruckerei Gmbh Verfahren zur Freischaltung einer Chipkartenfunktion, Lesegerät für eine Chipkarte und Chipkarte
US8632003B2 (en) * 2009-01-27 2014-01-21 Novell, Inc. Multiple persona information cards
KR101648521B1 (ko) 2009-03-06 2016-08-16 제말토 에스에이 스마트 카드들로의 브라우저-기반의 액세스에 보안을 제공하는 시스템 및 방법
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
DE102009001959A1 (de) * 2009-03-30 2010-10-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung
DE102009026953A1 (de) 2009-06-16 2010-12-23 Bundesdruckerei Gmbh Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz
DE102009027682A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens
DE102009027686A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009027681A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren und Lesen von Attributen aus einem ID-Token
DE102009027676A1 (de) * 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Kommunikationsverfahren, Computerprogrammprodukt, Vorrichtung und Computersystem
DE102009027723A1 (de) * 2009-07-15 2011-01-27 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009046205A1 (de) 2009-10-30 2011-05-12 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer Web-Seite
EP2507935B1 (en) * 2009-12-01 2020-04-29 SecureKey Technologies Inc. System and methods for identity attribute validation
JP5404485B2 (ja) * 2010-03-19 2014-01-29 Kddi株式会社 端末における身元情報カードの表示方法、端末及びプログラム
US9558494B2 (en) * 2010-04-19 2017-01-31 Tokenex, L.L.C. Devices, systems, and methods for tokenizing sensitive information
DE102010028133A1 (de) 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
DE102010022794A1 (de) * 2010-06-05 2011-12-15 Günther Schmalz System und Gerät zum Verifizieren von Daten
DE102010030311A1 (de) 2010-06-21 2011-12-22 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
DE102010030590A1 (de) 2010-06-28 2011-12-29 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Zertifikats
DE102010041286A1 (de) * 2010-09-23 2012-03-29 Bundesdruckerei Gmbh Verfahren und Server zum Bereitstellen von Nutzerinformationen
DE102010041745A1 (de) 2010-09-30 2012-04-19 Bundesdruckerei Gmbh Verfahren zum Lesen eines RFID-Tokens, RFID-Karte und elektronisches Gerät
US9767807B2 (en) * 2011-03-30 2017-09-19 Ack3 Bionetics Pte Limited Digital voice signature of transactions
NL2006733C2 (en) * 2011-05-06 2012-11-08 Tele Id Nl B V Method and system for allowing access to a protected part of a web application.
US20120310837A1 (en) * 2011-06-03 2012-12-06 Holden Kevin Rigby Method and System For Providing Authenticated Access to Secure Information
DE102011078121A1 (de) 2011-06-27 2012-12-27 Bundesdruckerei Gmbh Computermaus und Verfahren zum Lesen von Daten aus einem Dokument
US10044713B2 (en) * 2011-08-19 2018-08-07 Interdigital Patent Holdings, Inc. OpenID/local openID security
DE102011082101B4 (de) 2011-09-02 2018-02-22 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
DE102011084728B4 (de) 2011-10-18 2015-04-02 Bundesdruckerei Gmbh Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen
DE102011122972B3 (de) 2011-10-18 2024-02-08 Bundesdruckerei Gmbh Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen
DE102011085538A1 (de) 2011-11-01 2013-05-02 Bundesdruckerei Gmbh Dokument, Verfahren zur Authentifizierung eines Benutzers, insbesondere zur Freischaltung einer Chipkartenfunktion, und Computersystem
CH705774B1 (de) * 2011-11-16 2016-12-15 Swisscom Ag Verfahren, System und Karte zur Authentifizierung eines Benutzers durch eine Anwendung.
EP2600270A1 (de) 2011-12-02 2013-06-05 Deutsche Telekom AG Identifikations-Element-basierte Authentisierung und Identifizierung mit verteilter Dienstnutzung
DE102011089580B3 (de) * 2011-12-22 2013-04-25 AGETO Innovation GmbH Verfahren zum Lesen von Attributen aus einem ID-Token
US9774581B2 (en) 2012-01-20 2017-09-26 Interdigital Patent Holdings, Inc. Identity management with local functionality
FR2986124B1 (fr) * 2012-01-25 2014-03-14 Ercom Engineering Reseaux Comm Procede d'authentification d'un dispositif comprenant un processeur et une carte a puce par generation d'un motif
DE102012201209A1 (de) 2012-01-27 2013-08-01 AGETO Innovation GmbH Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102012202744A1 (de) 2012-02-22 2013-08-22 AGETO Innovation GmbH Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102012202781A1 (de) 2012-02-23 2013-08-29 Bundesdruckerei Gmbh Computerimplementiertes Verfahren für eine Nutzungskontrolle, Computerprogrammprodukt, Datenverarbeitungssystem und Transportsystem
EP2658203A1 (en) * 2012-04-26 2013-10-30 OpenLimit SignCubes AG Method and computer communication system for the authentication of a client system
DE102012215630A1 (de) 2012-09-04 2014-03-06 Bundesdruckerei Gmbh Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem
DE102012219618B4 (de) 2012-10-26 2016-02-18 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
DE102012224083A1 (de) 2012-12-20 2015-08-20 Bundesdruckerei Gmbh Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem
EP2763370B1 (en) 2013-01-31 2016-12-21 Nxp B.V. Security token and service access system
ES2491491B1 (es) * 2013-03-05 2015-06-16 Vodafone España, S.A.U. Método para asociar de manera anónima mediciones de un dispositivo de monitorización sanitaria con un ID de usuario
DE102013212627B4 (de) * 2013-06-28 2021-05-27 Bundesdruckerei Gmbh Elektronisches Transaktionsverfahren und Computersystem
DE102013212646B4 (de) * 2013-06-28 2018-11-22 Bundesdruckerei Gmbh Elektronisches Transaktionsverfahren und Computersystem
DE102014204344B4 (de) * 2014-03-10 2020-02-13 Ecsec Gmbh Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE102014206325A1 (de) * 2014-04-02 2015-10-08 Bundesdruckerei Gmbh Verteiltes Authentifizierungssystem
US10298588B2 (en) * 2014-07-29 2019-05-21 BlackSands, Inc. Secure communication system and method
DE102014111679A1 (de) 2014-08-15 2016-02-18 Bundesdruckerei Gmbh Digitale Identitäten mit Fremdattributen
DE102014112347A1 (de) 2014-08-28 2016-03-03 Bundesdruckerei Gmbh Zugriffsschutz für Fremddaten im nichtflüchtigen Speicher einer Chipkarte
DE102015017060A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015017061A1 (de) 2015-01-13 2016-07-28 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015200313A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US10853592B2 (en) * 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
DE102015208098B4 (de) 2015-04-30 2022-07-21 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer elektronischen Signatur
DE102015208088A1 (de) 2015-04-30 2016-11-03 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer elektronischen Signatur
DE102015209073B4 (de) 2015-05-18 2019-02-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015108543A1 (de) * 2015-05-29 2016-12-01 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zur Authentifizierung eines Computersystems gegenüber einem Server, geschütztes Peripheriegerät und Verwendung eines geschützten Peripheriegeräts
DE102015213312A1 (de) 2015-07-15 2017-01-19 Bundesdruckerei Gmbh Verfahren zum Verwalten von Attributen aus einem ID-Token, ID-Token, Attribut-Provider-Computersystem und Computersystem
GB2541013A (en) * 2015-08-06 2017-02-08 De La Rue Int Ltd User identification system and method
DE102016202262A1 (de) 2016-02-15 2017-08-17 Bundesdruckerei Gmbh Verfahren und System zur Authentifizierung eines mobilen Telekommunikationsendgeräts an einem Dienst-Computersystem und mobilen Telekommunikationsendgerät
US9894062B2 (en) * 2016-03-16 2018-02-13 Dell Products, L.P. Object management for external off-host authentication processing systems
DE102016208038A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102016208040A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102016222170A1 (de) 2016-11-11 2018-05-17 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US10846417B2 (en) * 2017-03-17 2020-11-24 Oracle International Corporation Identifying permitted illegal access operations in a module system
US11012441B2 (en) * 2017-06-30 2021-05-18 Open Text Corporation Hybrid authentication systems and methods
DE102017212696A1 (de) * 2017-07-25 2019-01-31 Bundesdruckerei Gmbh Verfahren zur Authentisierung eines Nutzers gegenüber einem Diensteanbieter und Authentisierungseinrichtung
US11301847B1 (en) * 2018-02-15 2022-04-12 Wells Fargo Bank, N.A. Systems and methods for an authorized identification system
CN112801669A (zh) 2018-10-25 2021-05-14 创新先进技术有限公司 身份认证、号码保存和发送、绑定号码方法、装置及设备
CN110147661A (zh) * 2019-04-10 2019-08-20 珠海梅西互动技术有限公司 一种自动化设备权限管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138421A1 (en) * 2003-12-23 2005-06-23 Fedronic Dominique L.J. Server mediated security token access
KR20060104268A (ko) * 2005-03-30 2006-10-09 주식회사 네이비 유에스비를 이용한 개인 인증 및 저장 장치
KR20070012106A (ko) * 2005-07-22 2007-01-25 주식회사 엘립시스 개인용 인증토큰 및 인증방법
US20070204325A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Personal identification information schemas

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0754538B2 (ja) * 1986-01-31 1995-06-07 株式会社日立製作所 多目的icカ−ド及びその使用方法
FR2725537B1 (fr) * 1994-10-11 1996-11-22 Bull Cp8 Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe
KR19990087102A (ko) * 1996-02-21 1999-12-15 오오노 도시오 전자 상거래 시스템
US6257486B1 (en) * 1998-11-23 2001-07-10 Cardis Research & Development Ltd. Smart card pin system, card, and reader
US7889052B2 (en) * 2001-07-10 2011-02-15 Xatra Fund Mx, Llc Authorizing payment subsequent to RF transactions
AU2001251701A1 (en) * 2000-02-25 2001-09-03 Identix Incorporated Secure transaction system
US20010045451A1 (en) * 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
US20040139028A1 (en) * 2001-03-23 2004-07-15 Fishman Jayme Matthew System, process and article for conducting authenticated transactions
US7254705B2 (en) 2002-03-15 2007-08-07 Matsushita Electric Industrial Co., Ltd. Service providing system in which services are provided from service provider apparatus to service user apparatus via network
JP4510392B2 (ja) * 2002-03-15 2010-07-21 パナソニック株式会社 個人情報認証を行うサービス提供システム
US7770212B2 (en) * 2002-08-15 2010-08-03 Activcard System and method for privilege delegation and control
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
EP1513113B2 (en) * 2003-09-03 2011-02-23 France Telecom System and method for providing secured communication based on smart cards
GB2409316B (en) * 2003-12-17 2006-06-21 Motorola Inc Method and apparatus for programming electronic security token
GB0407369D0 (en) * 2004-03-31 2004-05-05 British Telecomm Trust tokens
US8504704B2 (en) * 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
CN1588388A (zh) * 2004-07-27 2005-03-02 杭州中正生物认证技术有限公司 一种具有指纹认证的手机支付方法
KR100930457B1 (ko) 2004-08-25 2009-12-08 에스케이 텔레콤주식회사 이동통신단말을 이용한 인증 및 결제 시스템과 방법
US20070208940A1 (en) * 2004-10-29 2007-09-06 The Go Daddy Group, Inc. Digital identity related reputation tracking and publishing
US8904040B2 (en) * 2004-10-29 2014-12-02 Go Daddy Operating Company, LLC Digital identity validation
US7536722B1 (en) * 2005-03-25 2009-05-19 Sun Microsystems, Inc. Authentication system for two-factor authentication in enrollment and pin unblock
CN1744124A (zh) * 2005-09-16 2006-03-08 蔡军 网络自助服务系统及其订购交付方法
US8069476B2 (en) * 2006-06-01 2011-11-29 Novell, Inc. Identity validation
US8275985B1 (en) * 2006-08-07 2012-09-25 Oracle America, Inc. Infrastructure to secure federated web services
US8387108B1 (en) * 2006-10-31 2013-02-26 Symantec Corporation Controlling identity disclosures
US8689296B2 (en) * 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8087060B2 (en) * 2007-03-16 2011-12-27 James Mark Norman Chaining information card selectors

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138421A1 (en) * 2003-12-23 2005-06-23 Fedronic Dominique L.J. Server mediated security token access
KR20060104268A (ko) * 2005-03-30 2006-10-09 주식회사 네이비 유에스비를 이용한 개인 인증 및 저장 장치
KR20070012106A (ko) * 2005-07-22 2007-01-25 주식회사 엘립시스 개인용 인증토큰 및 인증방법
US20070204325A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Personal identification information schemas

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200102852A (ko) * 2019-02-22 2020-09-01 데이터얼라이언스 주식회사 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법

Also Published As

Publication number Publication date
DE102008000067A1 (de) 2009-07-23
AU2008347346A1 (en) 2009-07-23
ES2589050T3 (es) 2016-11-08
US20110023103A1 (en) 2011-01-27
DE102008000067C5 (de) 2012-10-25
US9047455B2 (en) 2015-06-02
KR101584510B1 (ko) 2016-01-22
PL2245573T3 (pl) 2017-04-28
EP2245573B1 (de) 2016-07-27
EP2245573A1 (de) 2010-11-03
US10142324B2 (en) 2018-11-27
CN101918954B (zh) 2014-06-25
CA2712471A1 (en) 2009-07-23
JP2011510387A (ja) 2011-03-31
AU2008347346B2 (en) 2014-05-22
US20150256531A1 (en) 2015-09-10
JP5397917B2 (ja) 2014-01-22
US20160294815A1 (en) 2016-10-06
US9398004B2 (en) 2016-07-19
CA2712471C (en) 2017-07-11
CN101918954A (zh) 2010-12-15
DE102008000067B4 (de) 2009-12-31
EP3089061A1 (de) 2016-11-02
EP3089061B1 (de) 2017-07-05
WO2009089943A1 (de) 2009-07-23

Similar Documents

Publication Publication Date Title
US10142324B2 (en) Method for reading attributes from an ID token
JP5517314B2 (ja) ソフトトークンを生成する方法、プログラム及びコンピュータシステム
US8627437B2 (en) Method for reading attributes from an ID token
US9130931B2 (en) Method for reading an attribute from an ID token
JP5585969B2 (ja) Idトークンから属性を読み出す方法、プログラム及びコンピュータシステム
US9596089B2 (en) Method for generating a certificate
US8707415B2 (en) Method for storing data, computer program product, ID token and computer system

Legal Events

Date Code Title Description
AMND Amendment
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191224

Year of fee payment: 5