DE10061102B4 - System for status inquiry of digital certificates - Google Patents
System for status inquiry of digital certificates Download PDFInfo
- Publication number
- DE10061102B4 DE10061102B4 DE10061102A DE10061102A DE10061102B4 DE 10061102 B4 DE10061102 B4 DE 10061102B4 DE 10061102 A DE10061102 A DE 10061102A DE 10061102 A DE10061102 A DE 10061102A DE 10061102 B4 DE10061102 B4 DE 10061102B4
- Authority
- DE
- Germany
- Prior art keywords
- certificate status
- database
- central
- local
- status database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012795 verification Methods 0.000 claims abstract description 31
- 230000010076 replication Effects 0.000 claims abstract description 23
- 230000005540 biological transmission Effects 0.000 description 5
- 238000000034 method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 102100021870 ATP synthase subunit O, mitochondrial Human genes 0.000 description 1
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 1
- 102100024990 Tetraspanin-10 Human genes 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 108010007425 oligomycin sensitivity conferring protein Proteins 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2365—Ensuring data consistency and integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
System zur Statusabfrage von digitalen Zertifikaten mit einer zentralen Zertifikatstatusdatenbank (4), einer Vielzahl von lokalen Zertifikatstatusdatenbanken (12), die von außen zugänglich sind und als Datenbestand jeweils nur eine Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank (4) enthalten, und einer Repliziereinrichtung (6, 8, 10) zum Abgleich des Datenbestandes der lokalen Zertifikatstatusdatenbanken (12) jeweils mit der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank (4), gekennzeichnet durch eine Verifizierungseinrichtung (6, 8, 10), die eine Verifizierungsanforderung einer lokalen Zertifikatstatusdatenbank (12) an die zentrale Zertifikatstatusdatenbank (4) übermittelt, dann von dieser an die betreffende lokale Zertifikatstatusdatenbank (12) eine Verifizierungsantwort zurücksendet, die einen Hashwert über Seriennummer, Fingerprint, Zertifikatstatus und/oder Daten des aktuellen Status enthält, und anhand dieser Verifizierungsantwort in der lokalen Zertifikatstatusdatenbank (12) überprüft, ob deren Datenbestand mit der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank (4) übereinstimmt.A system for requesting digital certificates with a central certificate status database (4), a plurality of local certificate status databases (12) that are accessible from the outside and each contain only a subset of the data of the central certificate status database (4), and a replication device (6 , 8, 10) for comparing the dataset of the local certificate status databases (12) in each case with the corresponding subset of the dataset of the central certificate status database (4), characterized by a verification device (6, 8, 10) containing a verification request of a local certificate status database (12). sent to the central certificate status database (4), then returns from the local certificate status database (12) a verification response containing a hash value via serial number, fingerprint, certificate status and / or data of the current status, and from this verifi ciation response in the local certificate status database (12) checks whether its database matches the corresponding subset of the database of the central certificate status database (4).
Description
Die Erfindung betrifft ein System zur Statusabfrage von digitalen Zertifikaten, mit einer zentralen Zertifikatstatusdatenbank.The The invention relates to a system for status inquiry of digital certificates, with a central certificate status database.
Aufgrund der weltweit steigenden Teilnehmerzahlen in elektronische Netzen und insbesondere im Internet ist auch eine Zunahme von Waren und Dienstleistungen, die über derartige elektronische Netze angeboten werden, zu beobachten. Der Handel mit Waren und das Anbieten von Dienstleistungen über elektronische Netze und insbesondere über das Internet wird im allgemeinen auch als e-Commerce bezeichnet.by virtue of the worldwide increase in subscriber numbers in electronic networks and in particular on the internet is also an increase in goods and services, the above Such electronic networks are offered to watch. Of the Trade goods and offer services via electronic means Networks and in particular over the Internet is also commonly referred to as e-commerce.
Während es häufig vom Vorteil ist, sich in elektronischen Netzen anonym zu bewegen, um keine Datenspur zu hinterlassen, verlangt gleichwohl ein Großteil der Möglichkeiten, die bereits jetzt und auch in Zukunft elektronische Netze bieten, bestimmte Voraussetzungen in bezug auf die Nachprüfbarkeit der Identität einer Person. Dies ist besonders wichtig bei der Übertragung von vertraulichen Daten, insbesondere wenn die Person Zugriff auf fremde Daten haben kann. Dies gilt unter anderem auch für den Bereich des e-Commerce.While it often the advantage is to move anonymously in electronic networks, nevertheless, to leave no data trace demands a large part of the possibilities which already offer electronic networks now and in the future, certain conditions as to the verifiability of the identity one person. This is especially important during transmission of confidential data, especially if the person has access can have foreign data. This also applies to the area of e-commerce.
Zu den Voraussetzungen zählt die Gewährleistung von Sicherheit, Authentizität und Integrität übertragener Informationen.To the prerequisites counts the warranty of security, authenticity and integrity transmitted Information.
Die Forderung nach Sicherheit der elektronischen Kommunikation als erste der zuvor genannten Voraussetzungen folgt aus dem schlichten Umstand, daß es nur mit geringem Aufwand möglich ist, die Kommunikation und somit den Datenaustausch zwischen zwei oder mehreren Parteien abzuhören. Ein Ausweg besteht nun darin, die Kommunikation zu verschlüsseln und somit für Dritte unlesbar zu machen.The Demand for security of electronic communication as the first The above preconditions follow from the simple fact that it is only possible with little effort is the communication and thus the data exchange between two or to intercept several parties. One way out now is to encrypt the communication and thus for Make third unreadable.
Mit Hilfe der Authentizität als zweite der zuvor genannten Voraussetzungen ist es ferner möglich, Willensäußerungen einer bestimmten Person zuzuordnen. Durch die Authentizität ist es für die eine Person möglich, sich gegenüber einer anderen Person auszuweisen oder dieser gegenüber nachzuweisen, daß eine bestimmte Tätigkeit bzw. ein bestimmtes Dokument von dieser einer Person durchgeführt bzw. erstellt wurde. Authentizität wird durch eine digitale Signatur hergestellt.With Help of authenticity it is also possible, as the second of the aforementioned conditions, to express wills attributable to a specific person. By the authenticity it is for the a person possible opposite to identify or prove to another person, that one certain activity or a particular document carried out by that person or was created. authenticity is produced by a digital signature.
Durch die Integrität als dritte der zuvor genannten Voraussetzungen wird sichergestellt, daß Information, Daten und Dokumente nicht durch Dritte unbefugt geändert werden können, ohne daß dies bemerkbar wäre. Die Integrität wird durch einen sogenannten Hashwert gewährleistet, der der digitalen Signatur zugrunde liegt.By the integrity as the third of the aforementioned conditions, it is ensured that that information, Data and documents can not be changed by third parties without authorization can, without this noticeable would. The integrity is ensured by a so-called hash value, that of the digital signature underlying.
Alle drei genannten Voraussetzungen können durch die Nutzung der Public-Key-Kryptographie realisiert werden. Hierbei besitzt jeder Nutzer ein sogenanntes Schlüsselpaar, welches sich aus einem sogenannten Private Key und einem soge nannten Public Key zusammensetzt. Während der Private Key im allgemeinen gut geschützt ist, beispielsweise durch Verschlüsselung auf einem Datenträger wie z. B. einer Chipkarte, wird der Public Key dem Kommunikationspartner für Verschlüsselungszwecke zur Verfügung gestellt. Beide Schlüssel sind komplementär zueinander; d. h. was der eine verschlüsselt, kann nur von dem anderen wieder entschlüsselt werden. Zum Zwecke der Informationsverschlüsselung wird aber nur der Public Key des Empfängers verwendet, während mit dem Private Key, den nur der rechtmäßige Besitzer hat, die an ihn gerichtete verschlüsselte Nachricht wieder in lesbare Form gebracht werden kann.All three conditions realized through the use of public-key cryptography become. Each user has a so-called key pair, which consists of a so-called private key and a so-called public Key composed. While The private key is generally well protected, for example by encoding on a disk such as B. a smart card, the public key is the communication partner for encryption purposes to disposal posed. Both keys are complementary to each other; d. H. what one person encrypts can only be done by the other decrypted again become. For the purpose of information encryption but only the public Key of the recipient used while with the private key that only the rightful owner has to him directed encrypted message can be brought back into readable form.
Neben der Entschlüsselung wird der Private Key auch noch zur Signaturbildung benutzt, um die Forderung nach Authentizität und Integrität zu realisieren. Bei der Signaturbildung wird zunächst der bereits zuvor erwähnte Hashwert über die zu signierenden Daten berechnet. Auf diese Weise wird die Integrität gewährleistet, da eine Änderung in den signierten Daten auch zwangsläufig zu einer Änderung des Hashwertes führt. Dieser Hashwert wiederum wird mit Hilfe des Private Key des Verfassers bzw. Absenders verschlüsselt. Auf diese Weise wird die Authentizität gewährleistet, da lediglich der rechtmäßige Besitzer über den Private Key verfügt.Next the decryption the private key is also used to create the signature to the claim for authenticity and integrity to realize. When the signature is formed, the previously mentioned hash value is first determined via the calculated to be signed. In this way the integrity is ensured there a change in the signed data also inevitably to a change of the hash value. This hash value, in turn, is determined using the private key of the author or sender encrypted. In this way the authenticity is guaranteed, since only the lawful owner over the Private Key features.
Allerdings ist mit der reinen Existenz eines Private Key und eines Public Key noch nicht festzustellen, wem der Public Key, der für Verschlüsselungszwecke bereitgestellt wird, gehört. Um hier eine eindeutige Zuordnung zwischen dem Schlüsselpaar und der berechtigten Person vorzunehmen, haben sich vertrauenswürdige Instanzen etabliert, die als Zertifizierungsstellen bezeichnet werden und als Dienstleistung die Identifizierung von Personen und die anschließende Ausstellung eines sogenannten digitalen Zertifikates anbieten.Indeed is with the pure existence of a private key and a public key Not yet determined who the public key is for encryption purposes is provided. Here is a clear mapping between the key pair and the authorized person has trustworthy authorities established as certification bodies and as a service the identification of persons and the subsequent exhibition offer a so-called digital certificate.
Ein digitales Zertifikat besteht aus Informationen über den Zertifikatsinhaber (z. B. Name, Ort, Land, Firma, Abteilung, Adresse etc.), den Namen des Zertifikatsausstellers, den Gültigkeitszeitraum und den Public Key sowie aus der Signatur der Zertifizierungsinstanz.One digital certificate consists of information about the certificate holder (eg name, city, country, company, department, address etc.), the name of the Certificate issuer, the validity period and the public key as well as the signature of the certification authority.
Durch die Signatur der Zertifizierungsinstanz wird die Unverfälschbarkeit der im Zertifikat enthaltenen Angaben gewährleistet. Dies ist aber nur dann sinnvoll, wenn der Zertifizierungsinstanz ein entsprechendes Vertrauen bei der Ausstellung und dem Management vom Zertifikaten entgegengebracht wird.By The signature of the certification authority becomes the unalterability the information contained in the certificate. This is only then makes sense if the certification authority has a corresponding Confidence in issuing and managing certificates is met.
Bei der Zertifizierungsinstanz ist die eingangs erwähnte zentrale Zertifikatstatusdatenbank eingerichtet, in welcher der Status von sämtlichen von der Zertifizierungsinstanz verwalteten Zertifikaten abgespeichert ist.at the certification authority has the central certificate status database mentioned in the introduction, in which the status of all of the certificate authority managed certificates stored is.
Während der Gültigkeit des Zertifikates gemäß Gültigkeitszeitraum kann nun eine dritte Person, z. B. ein Anbieter von Waren und/oder Dienstleistungen, davon ausgehen, daß die Angaben im Zertifikat, welches ihm vom Zertifikatsbesitzer vorgelegt wird, der Wahrheit entsprechen, wenn sie das Zertifikat verifiziert hat.During the validity of the certificate according to validity period Now a third person, z. B. a provider of goods and / or Services, assume that the information in the certificate, which presented to him by the certificate holder, the truth, if she has verified the certificate.
Allerdings kann es vorkommen, daß ein Zertifikatsbesitzer seinen Datenträger (z. B. Chipkarte) mit dem Private Key verliert oder das der Private Key von einem Dritten kopiert und somit kompromittiert wurde. Um in einem solchen unerwünschten Fall den Mißbrauch so gering wie möglich zu halten, kann der Besitzer sein Zertifikat bei der Zertifizierungsinstanz, von der es auch ausgestellt wurde, umgehend sperren (revozieren) lassen.Indeed it can happen that one Certificate holder his data carrier (eg chip card) with the Private Key loses or the private key from a third party copied and thus compromised. To be in such an undesirable Case the abuse as low as possible to hold, the owner can be certificate at the certification authority, of it was also issued, immediately lock (revoke).
Die Zertifizierungsinstanz trägt in ihrer zentralen Zertifikatstatusdatenbank einen Verweis auf das betreffende Zertifikat in eine sogenannte Sperrliste (Certificate Revocation List, abgekürzt CRL) ein, die für jeden öffentlich zur Verfügung gestellt wird und dabei als Grundlage für eine Überprüfung von Zertifikaten dient. Bei einer solchen Sperrliste handelt es sich demnach um eine Negativliste, die nicht den gesamten Datenbestand, sondern lediglich die gesperrten Zertifikate, in der Regel deren Seriennummern, angibt.The Certification Authority bears in their central certificate status database, a reference to the relevant certificate in a so-called blacklist (Certificate Revocation List, abbreviated CRL) for everyone in public to disposal provided as the basis for a review of certificates. Such a revocation list is therefore a negative list, not the entire dataset, but only the locked ones Certificates, usually their serial numbers.
Obwohl die Sperrliste lediglich die gesperrten bzw. revozierten Zertifikate angibt, kann ihre Größe zu einem Problem werden. So muß bei jeder Überprüfung die aktuelle (relevante) Sperrliste vorliegen. Da Sperrungen jederzeit auftreten, muss auch die Sperrliste zu jedem Zeitpunkt entsprechend neu erstellt werden. Um ständig die aktuellen Sperrinformationen verfügbar zu haben, muss die Sperrliste bei jeder Überprüfung neu abgefragt werden. Da die Sperrliste den gesamten Datenbestand sämtlicher von der Zertifizierungsstelle gesperrten Zertifikate beinhaltet, wird für ihre Übertragung eine grosse Bandbreite benötigt.Even though the revocation list only revokes the revoked or revoked certificates indicates their size may be one Problem will be. So must with each review the current one (relevant) blacklist. Since blockages occur at any time, The revocation list must also be recreated at any time become. To constantly To have the current revocation information available, the revocation list must be available new at every check be queried. Since the blacklist contains the entire database of all of the certification authority holds revoked certificates for their transfer a large bandwidth needed.
Ein weiterer Nachteil der Sperrliste besteht darin, dass eine darauf basierende Aussage nur dann eine Positivaussage ist, wenn das entsprechende Zertifikat tatsächlich in der Sperrliste angegeben und somit gesperrt ist. Ansonsten lässt die Sperrliste hinsichtlich der gültigen Zertifikate nur eine Negativaussage zu, indem der Umkehrschluss dergestalt gezogen werden muss, dass das Nichtvorhandensein eines Zertifikates in der Sperrliste auf dessen Gültigkeit schließen lässt. Demnach ist aber bei Verwendung einer solchen Sperrliste eine Kompromittierung des Private Key der Zertifizierungsstelle oder eine unberechtigte Ausstellung eines Zertifikates nicht ohne weiteres erkennbar, da in einem solchen Fall das Zertifikat zumindest zunächst eine als gültig anerkannte Signatur der Zertifizierungsstelle besitzt, und zwar so lange, bis dieses Problem erkannt und aufgrund dessen das Zertifikat gesperrt wird.One Another disadvantage of the blacklist is that one on it based statement is only a positive statement, if the corresponding Certificate actually specified in the blacklist and thus locked. Otherwise leaves the Block list with regard to the valid Certificates only give a negative statement by reversing the conclusion must be drawn in such a way that the absence of a Certificate in the revocation list can be validated. Therefore but is a compromise of the use of such a blacklist Private key of the certification authority or an unauthorized exhibition of a certificate is not readily apparent, since in such a If the certificate at least initially recognized as valid Signature of the certification authority has, until such time This problem is detected and therefore the certificate is locked becomes.
Eine Alternative zum Anlegen einer Sperrliste besteht in der Bereitstellung eines Online-Zertifikatstatusprotokoll-Dienstes durch die Zertifizierungsstelle. Dieser Dienst wird auch als Online-Certificate-Status-Protocol-Dienst oder, abgekürzt, als OCSP-Dienst bezeichnet. In dem Dokument „MYERS, u. a.: RFC-2560-X. 509 Internet Public Key Infrastructure/Online Certificate Status Protocol. Network Working Group, Juni 1999” beispielsweise ist das OSCP beschrieben. Mit diesem Dienst wird ein Protokoll zur Verfügung gestellt, mit dem gezielt der Status einzelner Zertifikate und überlicherweise nur eines einzelnen Zertifikates überprüft werden kann. Hierdurch ist es möglich, die von vielen Anwendungen geforderte Aktualität zu gewährleisten. Allerdings stößt auch dieser Dienst bei einer hohen Anzahl zu überprüfender Zertifikate schnell an die Grenzen seiner Leistungsfähigkeit. Dadurch ist dieser Dienst im Hochlastbereich nur bedingt einsatzfähig, zumal durch die grosse Anzahl von Abfragen auch hier eine entsprechende Bandbreite notwendig ist, um die Antworten mit hoher Aktualität zu versenden.A An alternative to creating a revocation list is to deploy an online certificate status protocol service by the certification authority. This service is also called the Online Certificate Status Protocol service or, in short, as an OCSP service designated. In the document "MYERS, u. a .: RFC-2560-X. 509 Internet Public Key Infrastructure / Online Certificate Status Protocol. Network Working Group, June 1999 "for example is the OSCP described. This service is a protocol to disposal specifically with the status of individual certificates and usually only a single certificate can be checked. This is it is possible to ensure the timeliness demanded by many applications. However, also comes across this service quickly with a high number of certificates to be checked to the limits of its capacity. Thus, this service is only partially operational in the high load range, especially through the large number of queries also here a corresponding Bandwidth is necessary to send the answers up-to-date.
Die beiden zuvor beschriebenen Verifikationsverfahren decken zwei konträre Extremfälle ab. Die Sperrliste eignet sich für die Verifikation einer hohen Anzahl von Zertifikaten, da der komplette Datenbestand der gesperrten Zertifikate vorliegt. Allerdings führt hier die hohe Bandbreitenbelastung bei der Übertragung des Sperrlisteninhaltes und die daraus resultierende geringere Download-Wiederholfrequenz häufig zu einer mangelnden Aktualität.The Both of the verification procedures described above cover two contrary extreme cases. The Block list is suitable for the verification of a high number of certificates, since the complete There is a database of blocked certificates. However, here leads the high bandwidth load during the transmission of the revocation list content and the resulting lower download refresh rate often leads to a lack of up-to-dateness.
Der Online-Zertifikatstatusprotokoll-Dienst hingegen zeichnet sich durch seine hohe Aktualität der Statusinformationen aus. Allerdings hat dieses Verfahren seine Grenzen dort, wo eine hohe Anzahl von Verifikationen pro Zeiteinheit durchgeführt werden müssen. Dies gilt sowohl für die Requestorseite (Anwender), wo die Anfrage generiert werden muss, als auch für die Responderseite (Zertifizierungsstelle), wo die Anfrage entgegengenommen und anschliessend mit einer entsprechenden Antwort beantwortet werden muss. Zieht man weiterhin mehrere Requestoren pro Zertifizierungsstelle in Betracht, so kann sich leicht ein Volumen von mehreren hundert bis tausend Abfragen pro Sekunde ergeben.Of the On the other hand, online certificate status protocol service stands out its high relevance of Status information. However, this method has its limits where a high number of verifications are performed per unit of time have to. This applies to both the requestor page (user) where the request must be generated as also for the Responder (Certification Authority) where the request is received and then be answered with an appropriate answer got to. If you continue to pull several requestors per certification authority in consideration, it can easily be a volume of several hundred to yield a thousand queries per second.
Die
Das Dokument „Morrison, M.C.: CSCI 397C16: Object-Oriented Database Systems – Project 1 – IBM DB2 Data Replication, IBM Santa Teresa Lab, 1999” betrifft die kommerzielle relationale Datenbank DB2 der Firma IBM und befasst sich insbesondere mit einer dezentralen und flexiblen Bereitstellung von Daten der Datenbank, die den Anforderungen an Sicherheit und große Abfragevolumina gerecht wird. Als Lösungen hierfür werden eine Aufteilung und Replizierung der Datenbestände vorgeschlagen.The Document "Morrison, M.C .: CSCI 397C16: Object-Oriented Database Systems - Project 1 - IBM DB2 Data Replication, IBM Santa Teresa Lab, 1999 "relates to the commercial relational database DB2 of the company IBM and deals in particular with a decentralized and flexible provision of data of the Database that meets the requirements for security and large query volumes becomes. As solutions therefor a breakdown and replication of the databases are proposed.
Das Dokument „Wiesmann, M. et al: Understanding Replication in Databases and Distributed Systems” gewährt eine Übersicht über Techniken der Datenreplizierung in Datenbanken und in sog. „verteilten Systemen”, d. h. in Zusammenschlüssen von unabhängigen Computern, welche sich für einen Benutzer als ein einzelnes System präsentieren. Wesentliche Charakteristika der verschiedenen Methoden der Datenreplizierung betreffen dabei die Koordinierung der Bearbeitung verschiedener Benutzeranfragen.The Document "Wiesmann, M. et al: Understanding Replication in Databases and Distributed Systems "provides an overview of techniques Data replication in databases and in so-called "distributed Systems " d. H. in mergers from independent Computers, which are for present a user as a single system. Essential characteristics The different methods of data replication affect it Coordinating the processing of various user requests.
Aus
Aus keinem der genannten Dokumente des Stands der Technik lässt sich ein Bezug zu einer Verifikation bei der Datenübertragung herstellen, sondern es wird lediglich eine Replizierung in Datenbanksystemen beschrieben.Out none of the cited prior art documents can be relate to a verification in the data transmission, but only a replication in database systems is described.
Es ist nun Aufgabe der Erfindung, die vorteilhaften Eigenschaften der beiden zuvor erläuterten Verifikationsverfahren miteinander zu verknüpfen, ohne ihre Nachteile zu übernehmen.It Now is an object of the invention, the advantageous properties of both previously explained verification process to link with each other without to take over their disadvantages.
Diese Aufgabe wird bei einem System der Eingangs genannten Art dadurch gelöst, dass eine Vielzahl von lokalen Zertifikatstatusdatenbanken geschaffen wird, die von aussen zugänglich sind und als Datenbestand jeweils nur eine Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank enthalten, und eine Repliziereinrichtung zum Abgleich des Datenbestandes der lokalen Zertifikatstatusdatenbanken jeweils mit der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank vorgesehen ist.These Task is characterized by a system of the type mentioned by solved, that created a multitude of local certificate status databases becomes accessible from the outside are and as a database only a subset of the data the central certificate status database, and a replication facility to synchronize the dataset of the local certificate status databases each with the appropriate subset of the data of the central certificate status database is provided.
Mit Hilfe der Erfindung wird also ein Konzept geschaffen, welches, ausgehend von einer zentralen Datenbank bei einer Zertifizierungsstelle, diverse lokal installierte Datenbanken aktualisiert. Diese lokalen Zertifikatstatusdatenbanken sind bei Kunden der Zertifizierungsstelle eingerichtet, bei welchen es sich gewöhnlich um Geschäfte, Banken oder sonstige Unternehmen handelt. Mit Hilfe eines Protokolls werden somit, ausgehend von der zentralen Zertifikatstatusdatenbank bei der Zertifizierungsstelle, die für einzelne Kunden relevanten Zertifikatstatusinformationen mit den jeweiligen lokalen Datenbanken abgeglichen. In den lokalen Datenbanken wird jedoch nicht der komplette Datenbestand der zentralen Zertifikatstatusdatenbank, sondern erfindungsgemäß nur der für den jeweiligen Kunden relevante Teil repliziert. Die Änderung eines Zertifikatstatus oder im Falle einer Neuausstellung eines Zertifikates die Einrichtung des zugehörigen Zertifikatstatus wird initial in der zentralen Zertifikatstatusdatenbank durchgeführt. Anschließend wird diese Änderung in die lokale Zertifikatstatusdatenbank des diese Änderung betreffenden Kunden übertragen.With Help of the invention thus a concept is created, which, starting from a central database at a certification authority, various updated locally installed databases. These local certificate state databases are set up at customers of the certification authority, in which it usually is around shops, Banks or other companies. With the help of a protocol thus, starting from the central certificate status database at the certification authority, which is relevant for individual customers Certificate status information with the respective local databases adjusted. In the local databases, however, is not the complete Database of central certificate status database, but according to the invention only the for the relevant customer replicated part. The change a certificate status or in the case of a reissue of a Certificate is the establishment of the associated certificate status initially performed in the central certificate status database. Subsequently, will this change in the local certificate status database of this change transferred to the relevant customer.
Durch die erfindungsgemäße Einrichtung vieler verteilter lokaler Zertifikatstatusdatenbanken kann bei der Zertifikatsüberprüfung ein großes Abfragevolumen realisiert werden. Dadurch läßt sich für die Zertifikatstatusinformationen eine hohe Aktualität erzielen, so daß man für sämtliche Zertifikatstatusinformationen Aussagen erhält, die im wesentlichen den Charakter von Positivaussagen besitzen.By the inventive device many Distributed Local Certificate Status Databases Can Be Used During Certificate Verification great Query volume can be realized. This allows for the certificate status information to be up to date so that one for all Certificate status information receives statements that are essentially the Possess character of positive statements.
Zugriff auf die zentrale Zertifikatstatusdatenbank hat nur die sie verwaltende Zertifizierungsstelle; ein Zugriff von außen, also durch andere Personen wie beispielsweise Kunden ist erfindungsgemäß nicht möglich. Für den Anwender bzw. Kunden zugänglich ist erfindungsgemäß nur die ihm zugeordnete lokale Zertifikatstatusdatenbank, auf die selbstverständlich auch die Zertifizierungsstelle noch zugreifen kann.access the central certificate state database has only the one that manages it Certification Authority; external access, ie by other people like For example, customers is not possible according to the invention. For the user or customer accessible is according to the invention only the Of course, it also has a local certificate status database assigned to it the certification authority can still access.
Wegen der unterschiedlichen Kundenapplikationen sind die Datenbestände der lokalen Zertifikatstatusdatenbanken selbstverständlich unterschiedlich. Dabei handelt es sich erfindungsgemäß beim Datenbestand jeder lokalen Zertifikatstatusdatenbank jeweils um eine Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank, und zwar gewöhnlich derart, daß die Summe der Datenbestände aller lokaler Zertifikatstatusdatenbanken dem gesamten Datenbestand der zentralen Zertifikatstatusdatenbank entspricht.Of course, because of the different customer applications, the data sets of the local certificate status databases are different. According to the invention, the data store of each local certificate status database is in each case a subset of the database of the central certificate status database, usually in such a way that the sum of the databases of all local certificate status databases corresponds to the entire database of the central certificate status database.
Aufgrund der erfindungsgemäßen selektiven Datenübertragung an die dezentralen lokalen Datenbanken ist nur eine verhältnismäßig geringe Bandbreite erforderlich. Ein wesentlicher Vorteil der Erfindung in diesem Zusammenhang basiert auf der Annahme, daß die Abfragen eines Zertifikatstatus wesentlich häufiger vorkommen als die Änderung oder Neuausstellung von Zertifikaten. Die benötigte Bandbreite für die Nutzung eines Verifikationsdienstes kann somit drastisch gesenkt werden, da lediglich der Status der lokalen Datenbank und nicht jedes einzelne Zertifikat in der zentralen Zertifikatstatusdatenbank überprüft wird. Auf diese Weise läßt sich ein nahezu beliebiges Verifikationsvolumen bei relativ geringer Bandbreite realisieren.by virtue of the selective data transmission according to the invention to the decentralized local databases is only a relatively small Bandwidth required. A significant advantage of the invention in this context, based on the assumption that the queries certificate status is much more common than the change or reissuing certificates. The required bandwidth for use a verification service can thus be drastically reduced, because only the status of the local database and not every one Certificate in the central certificate status database is checked. In this way can be a nearly arbitrary verification volume at relatively low Realize bandwidth.
Außerdem lassen sich mit Hilfe des erfindungsgemäßen Systems Zertifikate erkennen, die mit einem komprimettierten Zertifizierungsstellenschlüssel erstellt worden sind, da derartige Zertifikate zwar eine gültig scheinende Zertifizierungsstellensignatur besitzen, aber nicht in die zentrale Datenbank der Zertifizierungsstelle eingetragen worden sind. Dies hat zur Folge, daß auch solche gültig scheinenden, tatsächlich jedoch gefälschten Zertifikate bei einem Update unberücksichtigt bleiben und daher auch nicht von der Kundenapplikation als gültig betrachtet werden.In addition, let with the help of the system according to the invention Detect certificates created with a compressed certification authority key Although such certificates are considered to be valid Own certification authority signature, but not in the central Database of the certification body. This has the consequence that too such valid shining, in fact however fake Certificates are ignored during an update and therefore also not considered valid by the customer application.
Schließlich besitzt das erfindungsgemäße System noch den Vorteil der Skalierbarkeit an die Bedürfnisse des jeweiligen Kunden.Finally owns the system according to the invention nor the advantage of scalability to the needs of each customer.
Die Repliziereinrichtung sollte den Datenbestand mindestens einer lokalen Zertifikatstatusdatenbank in bestimmten, vorzugsweise gleichmäßigen, Zeitintervallen mit der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank wiederholt vergleichen.The Replicator should have the database of at least one local Certificate status database at certain, preferably even, time intervals with the appropriate subset of the database of the central Compare certificate status database repeatedly.
Zweckmäßigerweise überprüft die Repliziereinrichtung, vorzugsweise regelmäßig, den Datenbestand der zentralen Zertifikatstatusdatenbank auf Änderungen und aktualisiert nur dann den Datenbestand einer lokalen Zertifikatstatusdatenbank, wenn sie in der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank Änderungen feststellt. Mit dieser Ausführung läßt sich eine besonders hohe Aktualität der Zertifikatstatusinformationen erzielen, während nur eine verhältnismäßig geringe Bandbreite bei der Übertragung benötigt wird, da nur bei Bedarf eine Aktualisierung der lokalen Zertifikatstatusdatenbanken vorgenommen wird.Conveniently, the replication device checks preferably regularly, the Database of the central certificate status database for changes and only updates the dataset of a local certificate status database, if they are in the appropriate subset of the database central certificate status database detects changes. With this execution can be one particularly high relevance the certificate status information, while only a relatively small Bandwidth during transmission needed will only update the local certificate state databases if necessary is made.
Gewöhnlich weist die Repliziereinrichtung einen Server und ein Netzwerk auf, über das die lokalen Zertifikatstatusdatenbanken mit der zentralen Zertifikatstatusdatenbank verbunden sind. Die Repliziereinrichtung kann auch Teil eines vorhandenen Netzwerkes mit Server sein oder auch im Server eines Netzwerkes enthalten sein. Der Server steuert das Netzwerk und befindet sich überlicherweise bei der Zertifizierungsstelle. Dabei überträgt das Netzwerk Änderungen einer Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank an die zugehörige lokale Zertifikatstatusdatenbank. Alternativ kann die Repliziereinrichtung aber auch beispielsweise in der zentralen Zertifikatstatusdatenbank enthalten sein; es ist aber auch denkbar, die Repliziereinrichtung verteilt in den lokalen Zertifikatstatusdatenbanken vorzusehen.Usually points the replicator has a server and a network over the local certificate status databases with the central certificate status database are connected. The replication facility can also be part of an existing network be with server or be included in the server of a network. The server controls the network and is usually located at the certification authority. The network transmits changes a subset of the database of the central certificate status database to the associated local certificate status database. Alternatively, the replication device but also for example in the central certificate status database be included; but it is also conceivable, the replication distributed in the local certificate status databases.
Eine weitere gegenwärtig besonders bevorzugte Ausführung der Erfindung zeichnet sich dadurch aus, daß die Repliziereinrichtung von der zentralen Zertifikatstatusdatenbank zu den lokalen Zertifikatstatusdatenbanken Update-Nachrichten übermittelt, die mit einer Sequenznummer versehen sind und Zertifikationsinformationen, wie z. B. Seriennummer, Fingerprint, Zertifikatstatus und/oder Datum des aktuellen Status, enthalten.A more currently particularly preferred embodiment The invention is characterized in that the replication device from the central certificate state database to the local certificate state databases Submit update messages, which are provided with a sequence number and certification information, such as Eg serial number, fingerprint, certificate status and / or date of the current status.
Üblicherweise werden hierzu Protokolle übermittelt, die bestimmte Protokollelemente enthalten, von denen ein Protokollelement aus der zuvor erwähnten Update- Nachricht besteht.Usually protocols are transmitted which contain specific protocol elements, one of which is a protocol element from the aforementioned Update message consists.
Bei einer Weiterbildung der zuvor erwähnten Ausführung der Erfindung fragt die Repliziereinrichtung in der betreffenden lokalen Zertifikatstatusdatenbank die Sequenznummer der zuletzt empfangenen Update-Nachricht ab und vergleicht diese mit der Sequenznummer der zuletzt an diese lokale Zertifikatstatusdatenbank übertragenen Update-Nachricht in der zentralen Zertifikatstatusdatenbank und übermittelt nur im Falle einer Übereinstimmung eine nächste Update-Nachricht von der zentralen Zertifikatstatusdatenbank an die betreffende lokale Zertifikatstatusdatenbank. Auf diese Weise läßt sich die Aktualität der betreffenden lokalen Zertifikatstatusdatenbank verifizieren. Für diese Maßnahme bietet sich insbesondere die Verwendung eines Ping-Request und einer zugehörigen Ping-Response an. Um nämlich den Empfang einer Update-Nachricht zu bestätigen, wird vom Kunden bzw. von dessen lokaler Zertifikatstatusdatenbank ein Ping-Request mit der Sequenznummer der zuletzt empfangenen Update-Nachricht an den Server der Zertifizierungsstelle verschickt. Auf diesen Ping-Request antwortet der Server der Zertifizierungsstelle mit einer Ping-Response, die die Sequenznummer der zuletzt übertragenen Update-Nachricht enthält und somit die Aktualität der lokalen Zertifikatstatusdatenbank des Kunden bestätigt.at a development of the aforementioned embodiment of the invention asks the Replication facility in the relevant local certificate status database the sequence number of the last received update message compares this with the sequence number of the last to this local Transfer certificate status database Update message in the central certificate status database and submitted only in case of a match a next one Update message from the central certificate status database the local certificate state database in question. In this way let yourself The actuality verify the relevant local certificate status database. For this measure in particular, the use of a ping request and a associated Ping response on. Namely to acknowledge the receipt of an update message, the customer or from its local certificate status database with a ping request the sequence number of the last received update message to the Server of the certification authority sent. On this ping request the server of the certification authority responds with a ping response, the sequence number of the last transmitted update message contains and thus the actuality the customer's local certificate status database.
Weiterhin kann der zuvor erwähnte Ping-Request dazu dienen, sogenannte ”Denial-of-Service”-Attacken zu erkennen, wenn die entsprechende Ping-Response oder Update-Nachricht nicht innerhalb eines vorbestimmten Zeitintervalls bzw. Timeouts zugestellt werden kann.Furthermore, the aforementioned Ping-Re quest to detect so-called "denial-of-service" attacks if the corresponding ping response or update message can not be delivered within a predetermined time interval or timeout.
Das aus Ping-Request und Ping-Response bestehende Protokollpaar stellen die am häufigsten genutzten Protokollelemente dar, da üblicherweise die Bestätigung der Aktualität einer Datenbank wesentlich häufiger überprüft wird, als sich Änderungen oder Neuausstellungen von Zertifikaten ergeben.The Ping request and ping response protocol pair the most used ones Protocol elements, since usually the confirmation the actuality a database is checked much more frequently, as changes or Reissues of certificates.
Ferner kann eine Verifizierungseinrichtung zur, vorzugsweise regelmäßigen, Über prüfung der Integrität der Datenbestände der lokalen Zertifikatstatusdatenbänke vorgesehen sein, um eine (lokale) Manipulation zu erkennen und ggf. den Neuaufbau der betreffenden Datenbank zu veranlassen.Further A verification device can be used to check, preferably regularly, the integrity of the databases local certificate status databases be provided to detect a (local) manipulation and possibly to initiate the rebuilding of the relevant database.
Üblicherweise vergleicht die Verifizierungseinrichtung die Datenbestände der lokalen Zertifikatstatusdatenbänke mit dem Datenbestand der zentralen Zertifikatstatusdatenbank. Ähnlich wie die Repliziereinrichtung kann auch die Verifizierungseinrichtung einen Server und ein Netzwerk aufweisen oder im Server eines Netzwerkes enthalten sein. Ferner ist es aber auch denkbar, die Verifizierungseinrichtung zentral bei der Zertifizierungsstelle und somit vorzugsweise in der zentralen Zertifikatstatusdatenbank oder alternativ verteilt in den lokalen Zertifikatstatusdatenbanken vorzusehen.Usually the verification device compares the databases of the local certificate status databases with the dataset of the central certificate status database. Similar to the replication means may also comprise the verification means have a server and a network or in the server of a network be included. Furthermore, it is also conceivable to use the verification device centrally at the certification center and thus preferably in the central certificate status database or alternatively distributed in the local certificate status databases.
Eine gegenwärtig besonders bevorzugte Weiterbildung der zuvor genannten Ausführung der Erfindung zeichnet sich dadurch aus, daß die Verifizierungseinrichtung eine Verifizierungsanforderung einer lokalen Zertifikatstatusdatenbank an die zentrale Zertifikatstatusdatenbank übermittelt, dann von dieser an die betreffende lokale Zertifikatstatusdatenbank eine Verifizierungsantwort zurücksendet, die vorzugsweise einen Hashwert über Seriennummer, Fingerprint, Zertifikatstatus und/oder Daten des aktuellen Status enthält, und anhand dieser Verifizierungsantwort in der lokalen Zertifikatstatusdatenbank überprüft, ob deren Datenbestand mit der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank übereinstimmt. Anhand dieses Hashwertes kann auf Kundenseite bzw. auf seiten der betreffenden lokalen Zertifikatstatusdatenbank überprüft werden, ob der dortige Zertifikatstatusdatenbestand mit dem von der Zertifizierungsstelle verwalteten Original identisch ist, indem bei der Zertifizierungsstelle nur die für den betreffenden Kunden bzw. die betreffende lokale Zertifikatstatusdatenbank relevante Teil betrachtet wird.A currently Particularly preferred development of the aforementioned embodiment of the invention is characterized by the fact that the Verification device a verification request a local Certificate status database sent to the central certificate status database, then from there to the relevant local certificate status database sends back a verification reply, preferably a hash over Serial number, fingerprint, certificate status and / or data of the current one Contains status and verifies that their. using this verification response in the local certificate state database Dataset with the corresponding subset of the dataset the central certificate status database matches. Based on this Hash values can be on the customer side or on the side of the relevant The local certificate status database checks to see if the local certificate status database is there identical to the original managed by the certification authority is, by the certification body only for the relevant Customer or local certificate status database relevant Part is considered.
Die zuvor erwähnte Verifizierungsanforderung, auch Verify-Request genannt, und die Verifizierungsantwort, auch Verify-Response genannt, bilden weitere Protokoll elemente im zu übermittelnden Protokoll. Verifizierungsanforderungen können in regelmäßigen Abständen gestellt werden, um neben der Aktualität, die durch das zuvor erwähnte Ping-Request- und Ping-Response-Paar gewährleistet wird, die Integrität der lokalen Zertifikatstatusdatenbank des betreffenden Kunden nachweisbar zu halten.The previously mentioned Verification Request, also called Verify Request, and the Verification Response, also called Verify Response, form more Protocol elements to be transmitted Protocol. Verification requests can be made at regular intervals be, in addition to the actuality, which by the previously mentioned Ping request and ping response pair ensures the integrity of the local Certificate status database of the respective customer verifiable hold.
Auch bei Fehlern im übermittelten Protokoll und/oder sonstigen verdächtigen Situationen, die auf einen möglichen Verlust der Integrität hinweisen, kann eine Verifizierungsanforderung gestellt werden.Also in case of errors in the transmitted Minutes and / or other suspicious situations affecting one potential Loss of integrity a verification request can be made.
Sollte bei der Verifizierung eine Unstimmigkeit aufgetreten sein – beispielsweise enthält die betreffende lokale Zertifikatstatusdatenbank nicht diejenigen Daten, die sie gemäß der Zertifizierungsstelle enthalten sollte – und ist dies nicht lediglich durch einen Verlust von Update-Nachrichten begründet, so wird vom Kunden, also von seiten der betreffenden lokalen Zertifikatstatusdatenbank, eine komplette Neuerstellung des dortigen Datenbestandes veranlaßt. Für die komplette Neuerstellung sendet der Kunde bzw. dessen lokale Zertifikatstatusdatenbank eine Full-Update-Anforderung oder -Request an die Zertifizierungsstelle, die daraufhin den kompletten Datenbestand gemäß der entsprechenden Teilmenge des Datenbestandes der zentralen Zertifikatstatusdatenbank durch eine spezielle Update-Nachricht überträgt.Should there was a discrepancy in the verification - for example contains the local certificate state database concerned is not those Data that they contain according to the certification authority should - and This is not just a loss of update messages justified this is done by the customer, ie by the local certificate status database, causes a complete rebuild of the local database. For the complete Rebuild sends the customer or its local certificate status database one Full update request or -request to the certification authority, which will then complete the data according to the corresponding Subset of the database of the central certificate status database transmits through a special update message.
Nachfolgend wird ein bevorzugtes Ausführungsbeispiel der Erfindung anhand der beiliegenden einzigen Figur näher erläutert, in der ein schematisches Blockschaltbild einer bevorzugten Ausführung eines Systems zur Statusabfrage von digitalen Zertifikaten dargestellt ist.following becomes a preferred embodiment of the invention explained in more detail with reference to the accompanying single figure, in FIG. 4 is a schematic block diagram of a preferred embodiment of a System for status inquiry of digital certificates shown is.
Hiernach
ist bei einer Zertifizierungsstelle
Ferner
weist die Zertifizierungsinstanz
Die
Kunden der Zertifizierungsinstanz
In
den lokalen Datenbanken
Mit
Hilfe des Servers
So
wird ein bestimmtes Protokoll verwendet, mit dem, ausgehend von
der zentralen Datenbank
1. Update-Nachricht:1. Update message:
Ein
Protokollelement mit dem, ausgehend von der zentralen Datenbank
2. Ping-Request/Ping-Response:2. Ping Request / Ping Response:
Um
die Aktualität
seiner lokalen Datenbank
Weiterhin dient der Ping-Request dazu, ”Denial-of-Service”-Attacken zu erkennen, wenn die entsprechende Ping-Response bzw. Update-Nachricht nicht innerhalb eines Timeouts zugestellt werden kann.Farther This ping request is used to denial-of-service attacks to detect if the appropriate ping response or update message is not can be delivered within a timeout.
Das Protokollpaar, bestehend aus Ping-Request und Ping-Response, stellt den Normalfall dar und bildet die am häufigsten genutzten Protokollelemente, da die Bestätigung der Aktualität einer Datenbank wesentlich häufiger überprüft wird, als sich Änderungen und Neuausstellungen von Zertifikaten ergeben.The Protocol pair consisting of ping request and ping response the normal case and forms the most frequently used protocol elements, because the confirmation the actuality a database is checked much more frequently, as changes and reissuing certificates.
3. Verify-Request/Verify-Response:3. Verify Request / Verify Response:
Die
Protokollelemente Verify-Request und Verify-Response sind darauf
ausgelegt, die Integrität aller
Datenbanken
Auf
einen Verify-Request einer lokalen Datenbank
Verify-Requests
können
in regelmäßigen Abständen gestellt
werden, um neben der Aktualität,
die durch das Ping-Request und Ping-Response-Paar gewährleistet
wird, auch die Integrität
der lokalen Datenbanken
Auch bei Protokollfehlern und sonstigen verdächtigen Situationen, die auf. einen möglichen Verlust der Integrität hinweisen, kann ein Verify-Request gestellt werden.Also in the case of protocol errors and other suspicious situations arising on. a possible Loss of integrity a verification request can be made.
Sollte
hierbei eine Unstimmigkeit aufgetreten sein, d. h. die lokale Datenbank
4. Fullupdate-Request:4. Fullupdate request:
Für die komplette
Neuerstellung sendet der Kunde über
seinen zugehörigen
Client
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10061102A DE10061102B4 (en) | 2000-12-07 | 2000-12-07 | System for status inquiry of digital certificates |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10061102A DE10061102B4 (en) | 2000-12-07 | 2000-12-07 | System for status inquiry of digital certificates |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10061102A1 DE10061102A1 (en) | 2002-06-27 |
DE10061102B4 true DE10061102B4 (en) | 2010-09-02 |
Family
ID=7666303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10061102A Expired - Fee Related DE10061102B4 (en) | 2000-12-07 | 2000-12-07 | System for status inquiry of digital certificates |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10061102B4 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7743248B2 (en) * | 1995-01-17 | 2010-06-22 | Eoriginal, Inc. | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5873096A (en) * | 1997-10-08 | 1999-02-16 | Siebel Systems, Inc. | Method of maintaining a network of partially replicated database system |
US5946689A (en) * | 1996-11-28 | 1999-08-31 | Hitachi, Ltd. | Distributed database system and method of detecting contention in data update involved in replication of database data |
-
2000
- 2000-12-07 DE DE10061102A patent/DE10061102B4/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5946689A (en) * | 1996-11-28 | 1999-08-31 | Hitachi, Ltd. | Distributed database system and method of detecting contention in data update involved in replication of database data |
US5873096A (en) * | 1997-10-08 | 1999-02-16 | Siebel Systems, Inc. | Method of maintaining a network of partially replicated database system |
Non-Patent Citations (4)
Title |
---|
MORRISON, M.C.: CSCI 397C16: Object-Oriented Database Systems- Project 1-IBM DB2 Data Replication, IBM Santa Teresa Lab., 1999 * |
MORRISON, M.C.: CSCI 397C16: Object-Oriented Database Systems- Project 1-IBM DB2 Data Replication, IBM Santa Teresa Lab., 1999 WIESMANN, M. u.a.: Understanding Replication in Databases and Distributed Systems. In: Proc. of the 20th International Conference on Distributed Computing Systems (ICDCS), Taipei, Taiwan, April 2000 MYERS, u.a.: RFC 2560-X.509 Internet Public Key Infrastructure/Online Certificate Status Protocol. Network Working Group, Juni 1999 |
MYERS, u.a.: RFC 2560-X.509 Internet Public Key Infrastructure/Online Certificate Status Protocol. Network Working Group, Juni 1999 * |
WIESMANN, M. u.a.: Understanding Replication in Databases and Distributed Systems. In: Proc. of the 20th International Conference on Distributed Computing Systems (ICDCS), Taipei, Taiwan, April 2000 * |
Also Published As
Publication number | Publication date |
---|---|
DE10061102A1 (en) | 2002-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69101257T2 (en) | Procedure for obtaining an estimated clear attestation in distributed information systems. | |
DE69022424T2 (en) | Non-rejection in computer networks. | |
EP2013811B1 (en) | Method and device for the pseudonymization of digital data | |
EP1805720B1 (en) | Method for securely transmitting data | |
DE10025626A1 (en) | Encrypt data to be stored in an IV system | |
DE102021004548A1 (en) | METHOD AND TRANSACTION SYSTEM FOR TRANSFERRING TOKENS IN AN ELECTRONIC TRANSACTION SYSTEM | |
WO2020074350A1 (en) | Linking identities in a distributed database | |
DE10233297A1 (en) | Digital signing device for electronic document, only generates digital signature when user has input information | |
WO2022200035A1 (en) | Method and device for generating, providing, and transferring a trusted electronic dataset or certificate based on an electronic document concerning a user | |
EP4381408A1 (en) | Secure element, method for registering tokens, and token reference register | |
WO2023011761A1 (en) | Secure element, method for registering tokens, and token reference register | |
EP4334872A1 (en) | Method for registering an electronic coin data set in a coin register; a coin register; a subscriber unit and a computer program product | |
DE102021005040A1 (en) | Coin management unit and method in a coin management unit | |
EP3629516B1 (en) | Decentralised identity management solution | |
DE102020104904A1 (en) | PROCEDURE, TERMINAL DEVICE, MONITORING INSTANCE AND PAYMENT SYSTEM FOR MANAGING ELECTRONIC COIN DATA RECORDS | |
DE10061102B4 (en) | System for status inquiry of digital certificates | |
WO2007099026A1 (en) | Method and device for the authentication of a public key | |
WO2020144123A1 (en) | Method and system for information transmission | |
EP3883215B1 (en) | Pseudonymous links between registers | |
EP1248432B1 (en) | Method and system for querying certificate data using dynamical certificate references | |
DE69332261T2 (en) | Method for authenticating a data processing system from a computer diskette | |
WO2024194142A1 (en) | Method and system for cryptographically secured data transmission | |
CH717898A1 (en) | Server for processing financial transactions. | |
EP4405879A1 (en) | Coin managing unit, and method in a coin managing unit | |
DE102020104902A1 (en) | PROCEDURE FOR DIRECT TRANSFER OF ELECTRONIC COIN DATA RECORDS BETWEEN TERMINAL DEVICES, PAYMENT SYSTEM, CURRENCY AND MONITORING INSTANCE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection | ||
8170 | Reinstatement of the former position | ||
8127 | New person/name/address of the applicant |
Owner name: TC TRUST CENTER GMBH, 20097 HAMBURG, DE |
|
8364 | No opposition during term of opposition | ||
R081 | Change of applicant/patentee |
Owner name: SYMANTEC CORP., MOUNTAIN VIEW, US Free format text: FORMER OWNER: TC TRUST CENTER GMBH, 20097 HAMBURG, DE Effective date: 20130110 Owner name: SYMANTEC CORP., US Free format text: FORMER OWNER: TC TRUST CENTER GMBH, 20097 HAMBURG, DE Effective date: 20130110 |
|
R082 | Change of representative |
Representative=s name: HARMSEN UTESCHER RECHTSANWALTS- UND PATENTANWA, DE Effective date: 20130110 Representative=s name: HARMSEN UTESCHER RECHTSANWAELTE - PATENTANWAEL, DE Effective date: 20130110 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |