DE102004025084B4 - Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren - Google Patents

Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren Download PDF

Info

Publication number
DE102004025084B4
DE102004025084B4 DE102004025084A DE102004025084A DE102004025084B4 DE 102004025084 B4 DE102004025084 B4 DE 102004025084B4 DE 102004025084 A DE102004025084 A DE 102004025084A DE 102004025084 A DE102004025084 A DE 102004025084A DE 102004025084 B4 DE102004025084 B4 DE 102004025084B4
Authority
DE
Germany
Prior art keywords
pad
key
user
service
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE102004025084A
Other languages
English (en)
Other versions
DE102004025084A1 (de
Inventor
Hsiang-Tsung Kung
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial Technology Research Institute ITRI
Original Assignee
Industrial Technology Research Institute ITRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/609,586 external-priority patent/US20050021954A1/en
Application filed by Industrial Technology Research Institute ITRI filed Critical Industrial Technology Research Institute ITRI
Publication of DE102004025084A1 publication Critical patent/DE102004025084A1/de
Application granted granted Critical
Publication of DE102004025084B4 publication Critical patent/DE102004025084B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Personen-Authentifizierungs-Vorrichtung (PAD), welche aufweist:
• mindestens ein Speichermedium zum Speichern von mindestens einem öffentlichen CA Schlüssel, wobei jeder öffentliche Schlüssel mit einer Zertifikations-Autorität (CA) assoziiert ist;
• ein oder mehrere Eingabemittel zum Empfangen von einem oder mehreren digitalen Zertifikaten, bei welcher das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweist, welches mindestens ein Dienst-Schlüssel-Erzeugungs-Programm oder eine Information, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm anzeigt, aufweist;
• eine Bearbeitungskomponente zum Authentifizieren des einen oder der mehreren empfangenen digitalen Zertifikate unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssels und zum Erzeugen mindestens eines Dienst-Schlüssels basierend auf dem einen oder den mehreren authentifizierten digitalen Zertifikaten; und
• ein Ausgabemittel zum Ausgeben des mindestens einen Dienst-Schlüssels.

Description

  • Diese Anmeldung beansprucht den Vorteil der U.S. Provisional Patent Anwendung Nr. 60/473,365 , welche am 23.Mai 2003 eingereicht wurde und der U.S. Patent Anwendung Nr. 10/609,586 , welche am 01.Juli 2003 eingereicht wurde, beide mit dem Titel "Personal Authentication Device and System and Method Thereof", welche beide durch Bezugnahme hierin inkorporiert sind.
  • Diese Erfindung betrifft im Allgemeinen eine digitale Authentifizierung, insbesondere eine Personen-Authentifizierungs-Vorrichtung, welche digitale Zertifikate verwendet.
  • Unter "Authentifizierung" versteht man im Allgemeinen den Bestimmungsprozess, dass eine Person, egal ob Er oder Sie, auch derjenige (diejenige) ist, für den er oder sie sich ausgibt. Flugreisende, zum Beispiel, authentifizieren sich am Flughafen dem entsprechenden Personal mittels Darlegens eines ein Foto enthaltenden Dokuments, welches den Namen des Reisenden aufweist, wie beispielsweise ein Führerschein oder ein Reisepass (ein "Zertifikat"), und mittels des Gesichts des Reisenden (ein "Credential"), welches mit dem Foto in dem Dokument verglichen werden kann. Bei diesem Beispiel kontrolliert ein Offizieller einer Fluglinie den Credential in Abhängigkeit von der Information auf dem Zertifikat und, wenn es übereinstimmt, ist der Reisende authentifiziert und berechtigt, an Bord des Flugzeuges zu gehen.
  • Der Begriff der "Authentifizierung" ist eng verwandt mit solchen Begriffen wie "Authorisation" und "Abrechnung" ("accounting"). Eine Person wird üblicherweise authentifiziert, bevor sie die Erlaubnis hat, einen Dienst in Anspruch zu nehmen, wohingegen die Abrechnung ausgeführt wird, nachdem der Service bereitgestellt wurde.
  • Eine Public-Key-Infrastruktur PKI ist eine Sicherheitsarchitektur, welche entwickelt wurde, um einen erhöhten Grad an Sicherheit zum elektronischen Austausch von Informationen über ein unsicheres Netzwerk bereitzustellen. Eine PKI kann viele unterschiedliche Elemente aufweisen, aber bezieht sich im Allgemeinen auf die Verfahren, Techniken und Vorrichtungen, welche zusammen eine sichere Infrastruktur bereitstellen. PKIs können verwendet werden, um den Sender oder den Empfänger von elektronischen Informationen zu authentifizieren und/oder zu authentifizieren, dass der Inhalt eines elektronischen Dokuments oder Nachricht nicht absichtlich verändert oder auf andere Weise modifiziert wurde. Eine PKI stellt im Allgemeinen Sicherheit unter Verwendung einer mathematischen Technik bereit, welche als Öffentliche-Schlüssel-Kryptografie bezeichnet wird. Öffentliche-Schlüssel-Kryptografie verwendet ein Paar von mathematisch verknüpften kryptografischen Schlüsseln, bezeichnet als der "private Schlüssel" (oder "geheime Schlüssel") und als der "öffentliche Schlüssel". Wenn ein Schlüssel verwendet wird, um eine Information zu verschlüsseln, dann kann nur der diesem Schlüssel entsprechende Schlüssel diese Information entschlüsseln. Wenn man einen dieser Schlüssel kennt, lässt sich nicht einfach berechnen, welcher der andere entsprechende ist. Da sie ihre Namen angeben, ist beabsichtigt, dass der private Schlüssel eindeutig mit einem Anwender assoziiert ist und daher geheim bleibt. Der öffentliche Schlüssel kann frei verteilt sein und jedem bekannt sein.
  • Öffentliche-Schlüssel-Verschlüsselung kann verwendet werden, um Informationen vertraulich zu versenden. Ein Versender kann beispielsweise eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsseln, welchen der Versender vom Empfänger empfangen hat oder von einem öffentlichen Verzeichnis erhalten hat. Der Empfänger kann dann seinen privaten Schlüssel verwenden, um die Nachricht zu entschlüsseln.
  • "Digitale Zertifikate" und eine "Zertifikations-Autorität" (CA) können verwendet werden, um die Identität der Person, welche mit dem öffentlichen/privaten Schlüsselpaar assoziiert ist, zu authentifizieren. Eine CA ist eine vertrauenswürdige Einzelperson oder Organisation (öffentlich oder privat), welche digitale Zertifikate herausgibt, verwaltet und widerruft. Obwohl einige Anwendungen, wie beispielsweise, PGP, den Anwendern erlaubt, digitale Zertifikate selbst zu erzeugen, kann ein "vertrauenswürdigeres" digitales Zertifikat von einer echten CA erhalten werden.
  • Die CA kann das öffentliche/private Schlüsselpaar in dem digitalen Zertifikat erzeugen oder kann den öffentlichen Schlüssel eines Antragstellers (nachdem die CA die Identität des Antragstellers verifiziert hat) signieren. Die CA verifiziert die Credentials, welche von dem Zertifikats-Antragsteller bereitgestellt wurden und signiert digital das digitale Zertifikat mit dem privaten Schlüssel der CA, nachdem die CA die Identität des Antragstellers validiert hat.
  • Eine digital signierte Nachricht oder Zertifikat kann mittels Bestimmens, ob die digitale Signatur auf der Nachricht oder dem Zertifikat gültig ist, authentifiziert werden. Der Versender kann, wenn er eine signierte Nachricht sendet, seinen öffentlichen Schlüssel ebenfalls, einzeln oder in einem digitalen Zertifikat enthalten, senden. Ein signiertes Zertifikat wird auch die Identität der CA zu erkennen geben, welche das digitale Zertifikat ausgegeben hat. Der Antragsteller einer digital signierten Nachricht oder Zertifikat kann den öffentlichen Schlüssel, welcher mit dem Signierer assoziiert ist, ebenso wie andere Informationen in dem digitalen Zertifikat verwenden, um zu ermitteln, ob die Signatur gültig ist.
  • Bei herkömmlichen elektronischen Authentifizierungs-Systemen erfordert die Authentifizierung der digitalen Zertifikate oftmals eine Netzwerkverbindung zwischen einem Authentifizierungs-Server (wie beispielsweise der Server der CA, welche ein digitales Zertifikat ausgestellt hat) und der Einzelperson, welche den Wunsch hat, ein Dokument zu authentifizieren (oder dem Knoten der Vorrichtung, an welchem die Einzelperson lokalisiert ist).
  • In der US 2002/00 26 578 A1 wird eine Vorrichtung und ein Verfahren zur sicheren Verwendung von digitalen Zertifikaten und den zugehörigen Schlüsseln mittels eines Sicherheits-Tokens offenbart. Dabei wird einmalig ein Stammzertifikat einer CA importiert und der in dem Zertifikat gespeicherte öffentliche Schlüssel der CA wird extrahiert und gespeichert. Anschließend können Benutzerzertifikate importiert werden, deren Echtheit mit dem gespeicherten öffentlichen Schlüssel der CA überprüft werden. Kann die Echtheit der Benutzerzertifikate bestätigt werden, wird der in dem Benutzerzertifikat enthaltene öffentliche Schlüssel extrahiert und ebenfalls in dem Sicherheits-Token gespeichert. Die einzelnen gespeicherten öffentlichen Schlüssel können bei Bedarf ausgegeben werden.
  • Um ein digitales Zertifikat, einen Anwender oder eine Vorrichtung unter Verwendung herkömmlicher Authentifizierungs-Dienste zu authentifizieren, muss sich eine Person typischerweise über ein Netzwerk an einen Authentifizierungs-Server anschließen, welcher dann die Authentifizierung an dem Netzwerkserver durchführt. Fehlerhaft unterbrochene oder ungesicherte Netzwerk- und Serverzustände, wie beispielsweise ein Netzwerk oder Server unter denial-of-service-Angriffen, können unerwünscht in einer fehlerhaften oder verfehlten Authentifizierung resultieren.
  • Es gibt deshalb gemäß dem Stand der Technik einen generellen Bedarf für eine Authentifizierungs-Vorrichtung und ein Verfahren, welches zumindest die oben genannten Mängel des Stands der Technik bewältigt. Ein besonderer Bedarf an einer Authentifizierungs-Vorrichtung und einem Verfahren existiert im Stand der Technik, um die Nachteile bei der Authentifizierung über Netzwerke bei fehlerhaften Netzwerk- und Serverzuständen zu bewältigen.
  • Ein Ausführungsbeispiel gemäß dieser Erfindung ist auf eine Personen-Authentifizierungs-Vorrichtung, ein Verfahren und ein System gerichtet, welches eines oder mehrere der Probleme infolge von den Beschränkungen und Nachteilen des Stands der Technik umgeht.
  • Um diese und andere Vorteile zu erhalten, welche gemäß dem Zweck der Erfindung ausführlich beschrieben werden, wird in der Erfindung eine Personen-Authentifizierungs-Vorrichtung (PAD) bereitgestellt, welche mindestens ein Speichermedium zum Speichern mindestens eines öffentlichen CA Schlüssels, wobei jeder öffentliche Schlüssel mit einer Zertifikations-Autorität (CA) assoziiert ist, aufweist. Die PAD weist auch ein oder mehrere Eingabeeinrichtungen zum Empfang von einem oder mehreren digitalen Zertifikaten auf, bei welchen das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweist, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm oder Informationen, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm anzeigen, aufweisen. Eine Bearbeitungskomponente authentifiziert das eine oder die mehreren empfangenen digitalen Zertifikate unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssel, und erzeugt mindestens einen Dienst-Schlüssel, welcher auf einem oder mehreren digitalen Zertifikaten basiert. Eine Ausgabeeinrichtung gibt den mindestens einen Dienst-Schlüssel aus.
  • Ferner wird ein Authentifizierungs-Verfahren bereitgestellt. Mindestens ein öffentlicher CA Schlüssel, wobei jeder öffentliche Schlüssel mit einer Zertifikations-Autorität (CA) assoziiert ist, wird auf einer Personen-Authentifizierungs-Vorrichtung (PAD) gespeichert. Ein digitales Zertifikat oder mehrere digitale Zertifikate, bei welchen das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweisen, welches mindestens ein Dienst-Schlüssel-Erzeugungs-Programm oder eine Information, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm anzeigt, aufweist, werden von der PAD empfangen. Das eine oder die mehreren empfangenen digitalen Zertifikate werden unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssel authentifiziert. Mindestens ein Dienst-Schlüssel wird auf Grundlage des einen oder der mehreren authentifizierten digitalen Zertifikate erzeugt und mittels des PAD ausgegeben.
  • Die anhängenden Figuren, welche ein Bestandteil dieser Erfindung sind, stellen unterschiedliche Ausführungsbeispiele der Erfindung dar, und mittels der ausführlichen Beschreibung sind die Prinzipien dieser Erfindung leicht verständlich.
  • Es zeigen:
  • 1 ein Blockdiagramm einer Personen-Authentifierungs-Vorrichtung (PAD) gemäß den Prinzipien dieser Erfindung;
  • 2 ein Flussdiagramm, welches ein exemplarisches Verfahren der Authentifizierung gemäß den Prinzipien dieser Erfindung zeigt; und
  • 3 ein Flussdiagramm, welches die Schritte eines exemplarischen Verfahrens zum Verwenden des einen oder der mehreren digitalen Zertifikate, welche bei Schritt 215 der 2 empfangen werden, gemäß den Prinzipien dieser Erfindung darstellt.
  • Bezug wird nun in Detail auf die Ausführungsbeispiele dieser Erfindung genommen, Beispiele, welche mit Bezug auf die anhängenden Figuren dargestellt werden. Wenn immer möglich, werden überall in den Figuren gleiche Bezugszeichen verwendet, um sich auf die gleichen oder ähnlichen Elemente zu beziehen.
  • Verfahren und Systeme, welche mit dieser Erfindung konsistent sind, stellen ein Authentifizierungs-System bereit, welches ein umfangreiches Gebiet von Anwendungen unterstützen kann. Bestimmte Verfahren und Systeme, welche mit dieser Erfindung konsistent sind, stellen ein Authentifizierungs-System bereit, welches "nicht im Netz" (offline) verwendet werden kann, d.h., ohne eine Netzwerkverbindung zur Authentifizierung zu benötigen. Diese Erfindung stellt weiter eine Authentifizierungs-Vorrichtung bereit, dessen genauer Betrieb flexibel sein kann und mittels der digitalen Zertifikate, welche die Authentifizierungs-Vorrichtung während des Betriebs empfängt, bestimmt wird. Diese Erfindung stellt ferner eine Authentifizierungs-Vorrichtung bereit, welches einen Dienst-Schlüssel ausgibt, der in Abhängigkeit von der Anwendung verwendet werden kann, um einen Zugang zu einem kontrollierten Raum oder zu einer anderen Instanz zu erhalten.
  • 1 ist ein Blockdiagramm einer Personen-Authentifizierungs-Vorrichtung (PAD), welche konsistent mit den Prinzipien dieser Erfindung ist. Wie gezeigt in 1, weist eine PAD 100, welche konsistent mit dieser Erfindung ist, einen Prozessor 110 und einen Speicher 120 auf, welche beide mittels eines Bus 125 operativ miteinander gekoppelt sind. Der Prozessor 110 kann eine oder mehrere Bearbeitungsvorrichtungen repräsentieren, welche konfiguriert sind, um die Software auszuführen und um bestimmte Authentifizierungs-Prozesse, welche konsistent mit den bestimmten Aspekten dieser Erfindung sind, durchzuführen. Der Speicher 120 kann eine oder mehrere Speichervorrichtungen sein, welche sowohl die Daten als auch die Software und den Steuerungscode speichern, welche mittels des Prozessors und anderer Hardware auf der PAD verwendet und/oder ausgeführt werden. Obwohl ein einziger Speicher 120 gezeigt wird, kann der Speicher 120 eine beliebige Anzahl an Speichern aufweisen. Der Speicher 120 kann zum Beispiel einen oder mehrere Speicher aufweisen, welche Softwarekomponenten speichern, die einen oder mehrere Authentifizierungs-Prozesse durchführen, wenn sie vom Prozessor 110 ausgeführt werden. Der Speicher 120 kann auch einen oder mehrere der RAM, ROM, magnetische und optische Speicher, organische Speicher, Audioscheiben und Videoscheiben aufweisen.
  • Wie gezeigt in 1, kann der Speicher 120 einen privaten PAD Schlüssel (PAD Schlüssel 122) und einen oder mehrere öffentliche CA Schlüssel (CA Schlüssel1 124, CA Schlüssel2 126, ..., CA SchlüsselN 128) speichern. In bestimmten Ausführungsbeispielen ist der PAD Schlüssel 122 der private Schlüssel eines Paares von mathematisch ähnlichen kryptografischen Schlüsseln, welche unter Verwendung der öffentlichen Schlüssel-Kryptografie erzeugt werden welche mit PAD 100 assoziiert sind. Jeder der CA Schlüssel1-N kann der öffentliche Schlüssel eines Paares von mathematisch verknüpften kryptografischen Schlüsseln sein, welche unter Verwendung der öffentlichen Schlüssel-Kryptografie erzeugt wurden, und wobei jedes der Paare von Schlüsseln mit einem jeweiligen CA 1-N assoziiert ist.
  • PAD 100 kann optional einen privaten PAD Schlüssel (PAD Schlüssel 122) aufweisen. PAD Schlüssel 122 ist eindeutig mit einem PAD oder einer Gruppe von PADs unter der gleichen Verwaltung assoziiert. Während der korrespondierende öffentliche Schlüssel jedem bekannt sein kann, ist PAD 122 geheimer, welcher den Anwendern nicht bekannt ist. In bestimmten Ausführungsbeispielen werden Hardware- und Softwaremittel bereitgestellt, um den PAD Schlüssel 122 vor Auslesen von außerhalb der PAD 100 zu schützen. PAD 100 kann zum Beispiel PAD Schlüssel 122 verwenden, um PAD 100 gegenüber einem Anwender zu authentifizieren, um einen Dienst-Schlüssel zu signieren, welchen PAD 100 ausgibt und um den Inhalt eines empfangenen digitalen Zertifikats zu entschlüsseln, welches mit dem entsprechenden öffentlichen Schlüssel von PAD 100 verschlüsselt ist.
  • In mindestens einem Ausführungsbeispiel sind der PAD Schlüssel 122 und/oder die CA Schlüssel1-N 124, 126, 128 nicht wieder beschreibbar. In diesem Beispiel werden diese Schlüssel nur einmal in die PAD 100 geschrieben. Der PAD Schlüssel 122 und/oder die CA Schlüssel1-N können zum Beispiel während des Herstellungsprozesses einmal in den Speicher gebrannt werden. In mindestens einem Ausführungsbeispiel können der PAD Schlüssel 122 und/oder die CA Schlüssel1-N zwar nicht wieder beschrieben werden, aber sie können von außerhalb der PAD 100 in den Speicher eingelesen werden.
  • In bestimmten Ausführungsbeispielen kann PAD 100 auch eine PAD Seriennummer 121 aufweisen, welche eine eindeutige Nummer sein kann, welche mit der PAD 100 assoziiert ist. Die PAD Seriennummer 121 kann zum Beispiel in dem Speicher 120 gespeichert sein und kann auch während des Herstellungsprozesses einmal in den Speicher eingebrannt werden oder kann in den Speicher von außerhalb der PAD 100 in solcher Weise eingelesen werden, dass die PAD Seriennummer nur einmal geschrieben wird. In bestimmten Ausführungsbeispielen kann die PAD Seriennummer 121 zum Erzeugen der Dienst-Schlüssel verwendet werden. In einigen Ausführungsbeispielen kann die PAD Seriennummer 121 mit den Dienst-Schlüsseln assoziiert sein, welche mittels der entsprechenden PAD 100 in solch einer Art erzeugt wurden, dass es möglich sein kann zu bestimmen, welche PAD 100 den Dienst-Schlüssel erzeugte.
  • Die PAD 100 kann auch optional einen Zufallszahlen-Generator (RNG) 130 (oder einen Pseudo-Zufallszahlen-Gnerator) aufweisen. RNG 130 (oder ein Pseudo-Zufallsnummer-Generator) kann zum Beispiel verwendet werden, um Sitzungs-Schlüssel oder andere Parameter, welche bei dem Authentifizierungs-, Authorisierungs- und Abrechnungs-Prozesses verwendet werden, zu erzeugen. RNG 130 (oder ein Pseudo-Zufallsnummer-Generator) kann zum Beispiel verwendet werden, um in einem Aufforderungs- und Antwortprotokoll (response protcol) Zufalls-(oder Pseudo-Zufalls-)Sitzungs-Schlüssel zu erzeugen. RNG 130 kann überdies verwendet werden, um Zufalls-(oder Pseudo-Zufalls)Einmal-Schlüssel zu erzeugen. In bestimmten Ausführungsbeispielen kann PAD 100 einen Einmal-Schlüssel zur Erzeugung eines Cookies, welches ein bestimmter Typ des Dienst-Schlüssels ist, verwenden. PAD 100 kann den Einmal-Schlüssel in Speicher 120 speichern. Nachdem ein Cookie von PAD 100 empfangen wurde, kann ein Anwender den Cookie in Verbindung mit einer zukünftigen Dienst-Anfrage der PAD 100 vorlegen. Basierend auf dem gespeicherten Einmal-Schlüssel, wird PAD 100 den vorgelegten Cookie validieren. Wenn die Bestätigung des Cookies erfolgreich ist, kann PAD 100 den Dienst genehmigen. Wenn der Dienst genehmigt ist, kann PAD 100 den Einmal-Schlüssel, welcher im Speicher 120 gespeichert ist, annullieren, so dass PAD 100 nicht in der Lage sein wird, zukünftig den gleichen Cookie zu validieren, wodurch die Wiedergabe des gleichen Cookies verhindert wird.
  • Dieser Cookie-Mechanismus kann bei einer Vielzahl von verschiedenen Anwendungen hilfreich sein. In einem exemplarischen Ausführungsbeispiel, wie beispielsweise ein Digitales-Rechte-Verwaltungs-System (Digital Rights Management System) (DRM), kann PAD 100 in eine Cookie-Benutzungs-Information hinein schreiben, welche zum Beispiel beschreiben kann, wie oft der assoziierte Inhalt verwendet werden kann oder verwendet worden ist. Um eine neue Benutzung des Inhalts zu aktivieren, muss PAD 100 einen Cookie empfangen, welcher den Cookie-Validierungs-Prozess passieren kann. Wenn der empfangene Cookie validiert ist und wenn die Benutzungszähler in den empfangenen Cookie eine spezifizierte Grenze nicht übersteigt, kann PAD 100 die Einmal-Verwendung des Inhalts genehmigen und kann den Einmal-Schlüssel, welcher im Speicher 120 gespeichert ist, annullieren. In bestimmten Ausführungsbeispielen kann PAD 100 einen neuen Cookie erzeugen, welcher zum Beispiel einen neuen Einmal-Schlüssel aufweist. In dem neuen Cookie können die Benutzungszähler angehoben werden, um die genehmigte Benutzung wiederzuspiegeln, welche aufgetreten ist, seitdem der Cookie empfangen wurde und der neue Cookie kann dem Anwender übermittelt werden. Dieser Typ von Cookie basiertem Schema kann auch verwendet werden, um die Verwendungen von mehreren Teilen des Inhalts simultan zu verfolgen, wobei zum Beispiel jeder Cookie alle jeweiligen Benutzungszähler aufgezeichnet hat.
  • PAD 100 kann optional eine Uhr 132 aufweisen, welche zum Beispiel verwendet werden kann zur Bestimmung, ob das aktuelle Datum und die aktuelle Zeit sich innerhalb der Gültigkeitsperiode der digitalen Zertifikate befinden oder nicht, und zum Erzeugen von Zeitstempeln, welche in die Dienst-Schlüssel enthalten sind, die von PAD 100 erzeugt werden. Eine Zeitstempel auf einem Dienst-Schlüssel kann zum Beispiel helfen, zu bestimmen, ob der Dienst-Schlüssel zu alt ist oder ob die Uhr 132 abgewichen ist. Wenn irgendeiner dieser Fälle wahr ist, dann kann es ein Dienstanbieter (service provider) vorziehen, den Dienst-Schlüssel nicht anzuerkennen. Außerdem kann eine Uhr 132 zum Beispiel verwendet werden zum Bestimmen, ob ein oder mehrere Rechte auf den digitalen Inhalt in einem DRM-System abgelaufen sind oder nicht.
  • PAD 100 kann optional einen oder mehrere Timer 133 aufweisen, welche zum Beispiel verwendet werden können zum Bestimmen, ob der digitale Inhalt in einem DRM-System verwendet oder innerhalb einer genehmigten Benutzungsperiode darauf zugegriffen wird oder nicht. Die Timer 133 können zum Beispiel auch verwendet werden zum Bestimmen der Zeit, welche vergangen ist, seitdem ein Timer zurückgesetzt wurde.
  • PAD 100 kann optional einen oder mehrere Zähler 134 aufweisen, welche zum Beispiel verwendet werden können zum Bestimmen, ob sich der digitale Inhalt in einem DRM-System innerhalb einer erlaubten Benutzungsanzahl befindet oder nicht. Zähler können zum Beispiel auch verwendet werden zum Bestimmen, wie oft ein Ereignis aufgetreten ist, seitdem ein Zähler zurückgesetzt wurde.
  • In bestimmten Ausführungsbeispielen sind eine oder mehrere der Komponenten von PAD 100, oder PAD 100 selbst, manipulationssicher. Eine Komponente oder eine Vorrichtung ist für den Zweck dieser Anmeldung manipulationssicher, wenn die Komponente oder die Vorrichtung vor unauthorisiertem Zugriff mittels Techniken, welche unauthorisierten Zugriff unmöglich oder schwierig machen, geschützt wird. Techniken, welche eine Komponente oder eine Vorrichtung manipulationssicher machen, können verschieden sein, in Abhängigkeit, ob die Komponente in der Hardware oder in der Software implementiert ist. Eine Hardwarekomponente, zum Beispiel, welche manipulationssicher ist, kann unter Verwendung von Materialien, die nicht körperlich geöffnet oder betreten werden können, konstruiert werden. Die Manipulationssicherheit von elektronischen Daten kann mittels Speicherns der Daten in solch einer Weise erreicht werden, dass sie ohne Authorisation nicht gelesen, verändert oder gelöscht werden können. In bestimmten Ausführungsbeispielen dieser Erfindung wird der PAD Schlüssel 122 mittels solcher manipulationssicheren Techniken geschützt, um zu verhindern, dass er von außerhalb der PAD 100 gelesen werden kann.
  • In Ausführungsbeispielen gemäß dieser Erfindung, weist PAD 100 entweder eine Eingabeeinrichtung auf oder, wie in 1 gezeigt, ist PAD 100 operativ an eine Eingabeeinrichtung, wie beispielsweise, Eingabeeinrichtung 140, gekoppelt. Die Eingabeeinrichtung 140 kann irgendeine Einrichtung sein, welche zum Empfangen von Informationen und zum Umwandeln dieser in digitale Informationen für die Verwendung mittels PAD 100 eingerichtet ist. Die Eingabeeinrichtung 140 kann zum Beispiel eine Tastatur oder eine Teil-Tastatur (key pad), ein Kartenleser, eine USB-Vorrichtung, ein Fingerabdruck-Leser oder andere Biometrie-Leser, eine Kamera, ein Scanner, eine CD/DVD Leser, ein Handset oder eine Handheld-Vorrichtung, ein persönlicher digitaler Assistent (personal digital assistant (PDA)), ein Drahtlos-Schnittstelle, ein Personalcomputer und/oder eine Internetverbindung sein. Die Eingabeeinrichtung 140 kann zum Beispiel verwendet werden, um digitale Zertifikatinformationen von einer Chipkarte (Smartcard), einer Magnetstreifenkarte oder einem gedrucktem Dokument zu lesen. Die Eingabeeinrichtung 140 kann zum Beispiel auch verwendet werden, um Anwender-Identifikations-Informationen, wie beispielsweise PINs, Passwörter, Fingerabdrücke, Netzhautmuster oder andere biometrische Informationen zu empfangen. Die Verbindung 115 kann jeden Typ von Verbindung sein, durch welche die digitalen Daten hindurch gehen können, wie beispielsweise unter anderem ein Bus oder eine Drahtlos-Verbindung.
  • In Ausführungsbeispielen gemäß dieser Erfindung weist PAD 100 entweder eine Ausgabeeinrichtung auf oder, wie in 1 gezeigt, ist PAD 100 operativ an eine Ausgabeeinrichtung, wie beispielsweise die Ausgabeeinrichtung 150, gekoppelt. Die Ausgabeeinrichtung 150 kann irgendeine Einrichtung sein, welche eingerichtet ist, einen Dienst-Schlüssel an andere Vorrichtungen, wie beispielsweise, ein Bildschirm, ein Drucker, ein Kartenleser, eine USB-Vorrichtung, ein CD/DVD Schreiber, ein Türschloss, ein Handset oder eine Handheld-Vorrichtung, ein persönlicher digitaler Assistent (PDA), ein Personalcomputer, ein Server und/oder eine Internetverbindung auszugeben. Die Ausgabeeinrichtung 150 kann zum Beispiel verwendet werden, um einen Dienst-Schlüssel an ein Türschloss zum Öffnen der Tür, an einen Drucker zum Ausdrucken eines Dienst-Coupons oder an einen Bildschirm zum Angeben einer Dienstnummer auszugeben. Die Ausgabeeinrichtung 150 kann zum Beispiel auch verwendet werden, um einen Dienst-Schlüssel auf einer tragbaren Speichervorrichtung, wie beispielsweise, eine Chipkarte, eine Magnetstreifenkarte, oder eine andere tragbare Speichervorrichtung zu speichern. In einigen Ausführungsbeispielen kann die Ausgabeeinrichtung 150 eine Einrichtung sein, welche zum drahtlosen Übertragen des Dienst-Schlüssels an einen Dienst-Schlüssel-Empfänger, wie beispielsweise ein elektronisches Türschloss, eingerichtet ist. Die Verbindung 117 kann irgendein Typ von Verbindung sein, durch welche die digitalen Daten hindurch gehen können, wie beispielsweise, unter anderem ein Bus oder eine Drahtlos-Verbindung.
  • In einem exemplarischen Ausführungsbeispiel kann der Betrieb der augenblicklichen Erfindung konsistent mit den Schritten, welche in dem Flussdiagramm der 2 dargestellt sind, sein. Es sollte jedoch so verstanden werden, dass andere alternative Verfahrensschritte angewendet werden können und sogar mit dem Verfahren, welches in 2 dargestellt ist, kann der teilweise Ablauf der Ereignisse variieren, ohne vom Schutzumfang dieser Erfindung abzuweichen. Ferner können bestimmte Schritte nicht vorhanden sein und zusätzliche Schritte können hinzugefügt sein, ohne von dem Schutzumfang und dem Gedanken der Erfindung, wie er beansprucht ist, abzuweichen.
  • Wie gezeigt in 2, kann der Authentifizierungs-Prozess mit dem Wunsch des Anwenders, die PAD 100 zu authentifizieren, beginnen. Vor der Benutzung der PAD kann ein Anwender zum Beispiel wünschen, zu ermitteln, dass der Anwender die korrekte physikalische Vorrichtung hat oder zu überprüfen, dass die PAD 100 mit einem bestimmten privaten Schlüssel assoziiert ist (auch bezeichnet als "Besitznachweis"-Test ("proof of possession")). Ein Anwender kann PAD 100 zum Beispiel mittels Eingabe einer PAD Authentifizierungs-Anfrage (Schritt 205) authentifizieren. Ein PAD Anwender kann, wie in 1 gezeigt, eine PAD Authentifizierungs-Anfrage mittels der Eingabeeinrichtung 140 eingeben.
  • Die PAD Authentifizierungs-Anfrage kann zum Beispiel ein Aufforderungs- und Antwortprotokoll enthalten, wobei der Anwender der PAD 100 zum Beispiel einen zufällig ausgewählten Wert vorlegt, welcher mit dem dem PAD Schlüssel 122 korrespondierenden öffentlichen Schlüssel verschlüsselt wurde, und PAD 100 auffordert, den Wert zu entschlüsseln. Eine PAD mit dem richtigen PAD Schlüssel 122 wird in der Lage sein, erfolgreich auf die Aufforderung zu reagieren. In diesem Fall ist PAD 100 gegenüber dem Anwender authentifiziert.
  • Wenn PAD 100 eine übermäßige Anzahl an PAD Authentifizierungs-Anfragen empfängt, kann PAD 100 versuchen zu bestimmen, ob diese Anfragen einen Angriff darstellen (Schritt 211), was zum Beispiel ein Versuch sein könnte, den privaten PAD Schlüssel (PAD Schlüssel 122) zu erraten. PAD 100 kann die Vorrichtung funktionsunfähig machen (Schritt 212), wenn es ermittelt, dass es einen Angriff gibt. PAD 100 kann zum Beispiel eine bestimmte Anzahl an PAD Authentifizierungs-Anfragen in einer gegebenen Zeitperiode erlauben, bevor alle zukünftigen Verwendungen der Vorrichtung geblockt werden.
  • Wenn PAD 100 authentifiziert ist (Schritt 210), können ein oder mehrere digitale Zertifikate in die PAD 100 eingeben werden. Herkömmliche digitale Zertifikate, wie beispielsweise solche, die mit dem ITU (= International Telecommunication Union)(IETF: = Internet Engeneering Task Force) Standard X.509 v3, welcher die digitalen Zertifikate verwaltet, konform sind, weisen typischerweise digitale Zertifikat-Informationen, wie beispielsweise den Namen des Zertifikateigentümers, einen öffentlichen Schlüssel, welcher mit dem Zertifikateigentümer assoziiert ist, ein Gültigkeitsdatum des Zertifikats, den Namen der CA, welche das digitale Zertifikat ausgestellt hat, die Aktivitäten, zu denen die Schlüssel verwendet werden können und das Verfahren, welches die CA verwendet hat, um das digitale Zertifikat zu signieren (z.B. RSA (= Rivest-Shamir-Adleman Kryptosystem)).
  • In bestimmten Ausführungsbeispielen können digitale Zertifikate auch andere Informationen zusätzlich zu diesen oder anstelle dieser, welche in herkömmlichen digitalen Zertifikaten gefunden werden, aufweisen. Die digitalen Zertifikate können zum Beispiel Informationen aufweisen, welche verwendet werden können, um die Uhr, die Timer oder die Zähler von der PAD zurückzusetzen. In einigen Ausführungsbeispielen können digitale Zertifikate einen Inhalts-Entschlüsselungs-Schlüssel und/oder Beschreibungen von einem Rechte-Inhalt aufweisen, welche die PAD überprüft, bevor der Inhalts-Entschlüsselungs-Schlüssels als ein Dienst-Schlüssel ausgegeben wird. In bestimmten Ausführungsbeispielen können die digitalen Zertifikate andere Digitale-Rechte-Verwaltungs-Informationen aufweisen, welche die Beschränkungen bei einer Inhalts-Ablaufzeit, bei einer Inhalts-Benutzungsperiode und/oder bei einer Inhalts-Benutzungshäufigkeit beschreiben oder definieren.
  • Digitale Zertifikate und digitale Zertifikat-Informationen können mittels der signierenden CA erzeugt worden sein oder die Informationen in einem digitalen Zertifikat können mittels dritter (einschließlich des Zertifikateigentümers) erzeugt worden sein und wurden von der CA signiert. In vielen Fällen verifiziert die CA die Credentials, welche von dem Zertifikateigentümer bereitgestellt wurden und nachdem die Identität des Zertifikateigentümers validiert wurde, signiert die CA digital das digitale Zertifikat mit dem privaten CA Schlüssel.
  • Digitale Zertifikate und digitale Zertifikat-Informationen können auf viele verschiedene Weisen, welche dem Fachmann bekannt sind, in PAD 100 eingeben werden. Die digitalen Zertifikate können zum Beispiel auf einem physikalischen Medium, wie beispielsweise auf einem Papier, Karte oder Chip gespeichert werden und die digitalen Zertifikat-Informationen, welche auf einem physikalischen Medium gespeichert sind, können in PAD 100 zum Beispiel mittels Lesen der Informationen von dem physikalischen Medium unter Verwendung einer Eingabeeinrichtung, wie beispielsweise ein Scanner, ein Kartenleser oder andere Eingabeeinrichtungen eingegeben werden. Die Eingabeeinrichtung kann von PAD 100 getrennt sein und zum elektronischen Bereitstellen von Daten, entweder über physikalische Verbindung oder drahtlos, zur PAD 100 eingerichtet sein. In bestimmten Ausführungsbeispielen können digitale Zertifikate und digitale Zertifikat-Informationen in die PAD 100 zum Beispiel von einer anderen Vorrichtung oder von einem Computer über Internet oder von einer anderen Netzwerkverbindung eingegeben werden. In anderen Ausführungsbeispielen werden die digitalen Zertifikat-Informationen in PAD 100 zum Beispiel unter Verwendung einer Tastatur, einer Maus, einer Anwenderschnittstelle oder einer anderen herkömmlichen Eingabeeinrichtung eingegeben.
  • In bestimmten Ausführungsbeispielen werden alle digitalen Zertifikat-Informationen empfangen oder sind lokal verfügbar und alle Authentifizierungs-Operationen können bei PAD 100 ausgeführt werden, ohne dass Internet oder Netzwerkverbindungen erforderlich sind.
  • Ein oder mehrere der digitalen Zertifikate, welche bei Schritt 215 empfangen werden, können bei Schritt 220 authentifiziert werden. Die Authentifizierung von digitalen Zertifikaten kann zum Beispiel die Überprüfung, ob das digitale Zertifikat noch gültig ist, enthalten. Wie oben beschrieben, kann ein digitales Zertifikat Informationen, welche die Gültigkeitsperiode angeben, aufweisen. Wenn dem so ist, kann der Authentifizierungs-Prozess die Überprüfung des aktuellen Datums und der Zeit (welche zum Beispiel mittels der Uhr 132 erhalten werden kann) gegenüber der Gültigkeitsperiode des digitalen Zertifikats enthalten.
  • Zusätzlich können die digitalen Zertifikate mittels einer erteilenden CA unter Verwendung des privaten CA Schlüssel signiert werden. In diesem Beispiel können das eine oder die mehreren digitalen Zertifikate unter Verwendung des korrespondierenden gespeicherten öffentlichen CA Schlüssels authentifiziert werden. Ein anderes exemplarisches Verfahren zum Authentifizieren und Verwenden von digitalen Zertifikaten, welches gemäß dieser Erfindung ist, wird weiter unten im Detail mit Bezug auf 3 beschrieben.
  • Wenn das eine oder die mehreren digitalen Zertifikate nicht authentifiziert sind (Schritt 275), kann PAD 100 optional eine Fehlermeldung an den Anwender zurückschicken und den Betrieb unterlassen. Alternativ kann PAD 100 lediglich den Betrieb unterlassen, ohne dem Anwender eine Fehlermeldung bereitzustellen.
  • Wenn das ein oder die mehreren digitalen Zertifikate authentifiziert sind (Schritt 275), können die Informationen, welche in PAD 100 gespeichert sind und mit dem einen oder den mehreren digitalen Zertifikaten assoziiert sind, verwendet werden, um einen Dienst-Schlüssel (Schritt 280) zu erzeugen. Ein oder mehrere Dienst-Schlüssel-Erzeugungs-Programme können zum Beispiel auf PAD 100 gespeichert werden und die Informationen in dem einen oder den mehreren digitalen Zertifikaten können das bestimmte Dienst-Schlüssel-Erzeugungs-Programm und die dazu zuverwendenden Parameter angeben. In einigen Ausführungsbeispielen kann das Dienst-Schlüssel-Erzeugungs-Programm mittels des einen oder der mehreren digitalen Zertifikate der PAD 100 bereitgestellt werden. In einem anderen Ausführungsbeispiel können das eine oder die mehreren digitalen Zertifikate ein oder mehrere Dienst-Schlüssel-Erzeugungs-Programme angeben und, woher diese erhalten werden können, wobei jedoch das Dienst-Schlüssel-Erzeugungs-Programm mittels der Eingabeeinrichtung 140 erhalten werden kann. In bestimmten Ausführungsbeispielen kann der Dienst-Schlüssel unter Verwendung des privaten PAD Schlüssels 122 digital signiert werden.
  • Bei Schritt 285 kann der Dienst-Schlüssel zum Beispiel unter Verwendung von Ausgabeeinrichtung 150 der 1 ausgegeben werden. Der ausgegebene Dienst-Schlüssel kann viele Formen annehmen. Der Dienst-Schlüssel kann zum Beispiel einem Drucker oder einer Anzeigevorrichtung zum späteren Gebrauch durch den Anwender ausgegeben werden. In bestimmten Ausführungsbeispielen kann der Dienst-Schlüssel elektronisch oder drahtlos einer Schlüsselvorrichtung übertragen werden, wo er dann permanent oder temporär gespeichert werden kann. In einigen Ausführungsbeispielen, wie beispielsweise einem elektronischen Türschlossbeispiel, kann der Dienst-Schlüssel in einem Signal enthalten sein und drahtlos einem Schlüssel-Empfänger, welcher sich in einer Tür befindet, übertragen und zum Aufschließen der Tür verwendet werden.
  • 3 stellt die Schritte eines exemplarischen Verfahrens zum Verwenden von dem einen oder den mehreren digitalen Zertifikaten dar, welche bei Schritt 215 der 2 empfangen wurden. Wie gezeigt in 3, werden ein oder mehrere digitale Zertifikate in PAD 100 eingegeben (Schritt 310). Das eine oder die mehreren digitalen Zertifikate können verschiedenartige Informationen aufweisen, welche zum Authentifizieren des Anwenders und zum Erzeugen eines Dienst-Schlüssels verwendet werden.
  • Das eine oder die mehreren digitalen Zertifikate können zum Beispiel Informationen aufweisen, welche den Anwender identifizieren, wie beispielsweise den Namen des Anwenders, seine Adresse, seine Email-Adresse, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Kreditkartennummer oder andere Informationen, welche den Anwender identifizieren können. Ein digitales Zertifikat, welches die Informationen zur Identifikation des Anwenders aufweist, wird hierin als "Anwender-Identifikations-Zertifikat" bezeichnet. Die Menge der Anwender identifizierenden Informationen, welche mittels eines digitalen Zertifikats bereitgestellt werden, kann zum Beispiel in Abhängigkeit von den Anforderungen an die Anwendung variieren. Bei einer Eincheck-Anwendung einer Fluggesellschaft zum Beispiel, kann die Fluggesellschaft verlangen, dass der Anwender seinen Namen, seine Adresse, sein Geburtsdatum oder andere Informationen bereitstellt. Eine Anwendung bezüglich eines Hotelschlüssels kann jedoch weniger Informationen erfordern.
  • Ein oder mehrere digitale Zertifikate können Anwender-Qualifikations-Informationen bereitstellen, welche derartige Informationen sind, die angeben, dass ein Anwender "qualifiziert" oder berechtigt ist, Zugang zu bestimmten Diensten zu empfangen. Bei einer Eincheck-Anwendung einer Fluggesellschaft zum Beispiel, können Anwender-Qualifikations-Informationen Informationen aufweisen, welche angeben, dass ein Anwender jemand ist, der regelmäßig fliegt oder ein Mitglied eines Clubs einer Fluggesellschaft ist, welcher dem Fluggast gestattet, eine bestimmte Lounge zu benutzen. Bei einer Hotelschlüssel Anwendung zum Beispiel, können die Anwender-Qualifikations-Informationen Informationen aufweisen, welche angeben, dass einem Hotelangestellten, der die Reinigung durchführt, nur während den Geschäftszeiten den Zugang zu jedem Raum gewährt ist.
  • Andere digitale Zertifikate, gemäß dieser Erfindung, können Informationen zum Ausweiten des Zugangs zu Diensten, welche dem Anwender zugänglich sind, bereitstellen. Man stelle sich beispielsweise einen Fluggast vor, der regelmäßig mit der gleichen Fluggesellschaft fliegt, und dem Zugang zu ihren privaten Lounges gewährt wird. Wenn die Fluggesellschaften in gegenseitigen Vereinbarungen übereingekommen sind, wobei zwei oder mehrere Fluggesellschaften zustimmen, ihren regelmäßigen Fluggästen den Besuch der jeweils anderen Lounges zu erlauben, dann können diese regelmäßigen Fluggäste auch Zugang zu diesen Gesellschaftsräumen der anderen Fluggesellschaften erhalten. Digitale-Zertifikat-Informationen können PAD 100 bereitgestellt werden, welche anzeigt, dass der Anwender auch für einen zusätzlichen Satz entsprechender Dienste authentifiziert ist, wenn ein Anwender für einen bestimmten Satz von Diensten authentifiziert wurde.
  • Ein oder mehrere digitale Zertifikate können Informationen aufweisen, welche sich auf die Erzeugung des Dienst-Schlüssels beziehen. Solche Zertifikate werden hierin als "Ticket-Erzeugungs-Zertifikate" bezeichnet und schließen zum Beispiel Informationen ein, welche den Dienstumfang eines Schlüssels, ein Schlüssel-Erzeugungs-Programm oder einen Algorithmus und ein Format zur Ausgabe des Schlüssels angeben.
  • 3 beschreibt ein exemplarisches Verfahren zur Verwendung der verschiedenartigen Informationen, welche mittels des einen oder der mehreren digitalen Zertifikate empfangen werden. Wenn zum Beispiel PAD 100 ermittelt, dass sie ein Anwender-Identifikations-Zertifikat empfangen hat (Schritt 315), kann PAD 100 zuerst das digitale Zertifikat authentifizieren und danach die Informationen in dem Anwender-Identifikations-Zertifikat verwenden, um den Anwender zu authentifizieren. (Schritt 320). Ein digitales Zertifikat kann, wie oben beschrieben, mittels Ermittelns der Zertifikat ausgebenden Autorität und mittels des Ermittelns, ob die digitale Signatur auf dem Zertifikat mit der spezifizierten ausgebenden Autorität, assoziiert ist, was unter Verwendung des öffentlichen CA Schlüssels geschieht, authentifiziert werden. In bestimmten Ausführungsbeispielen dieser Erfindung ist der öffentliche Schlüssel der CA, welche das Anwender-Identifikations-Zertifikat herausgab, einer der CA Schlüssel1-N, welche in PAD 100 gespeichert sind.
  • Wenn PAD 100 bestimmt, dass das Anwender-Identifikations-Zertifikat authentifiziert ist, kann PAD 100 auf Grundlage von den Informationen in dem Anwender-Identifikations-Zertifikat und bestimmten Anwender-Credentials, welche vom Anwender empfangen werden, den Anwender authentifizieren. Anwender-Credentials, welche hierin verwendet werden, bedeuten Informationen, welche eindeutig mit dem Anwender assoziiert sind, wie beispielsweise ein privater Schlüssel des Anwenders in einer PKI, biometrische Informationen des Anwenders, Personen-Identifikations-Nummer (PIN), welche nur dem Anwender bekannt ist oder andere Informationen, welche unter Verwendung der PIN ermittelt werden. Die Anwender-Credentials können vom Anwender über die Eingabeeinrichtung 140 der 1 empfangen werden. Die Anwender-Credentials, wie beispielsweise eine PIN oder ein privater Schlüssel, können zum Beispiel vom Anwender unter Verwendung einer Teil-Tastatur oder eines Kartenleser eingegeben werden. Die Anwender-Credentials, wie beispielsweise biometrische Informationen, können mittels eines Biometrie-Lesers, wie beispielsweise ein Fingerabdruck-Leser, Netzhautscanner oder eine Videokamera erhalten werden. Zusätzlich können Anwender-Credentials aus einem oder mehreren anderen Anwender-Credentials, wie beispielsweise der PIN, ermittelt werden.
  • Um den Anwender zu authentifizieren, können die Anwender-Credentials mit den Informationen auf dem Anwender-Identifikations-Zertifikat verglichen werden. Wenn der Anwender in Schritt 320 nicht authentifiziert wird, kann der Prozess abbrechen und die PAD 100 kann außer Funktion gesetzt werden. Wenn der Anwender authentifiziert werden kann, läuft der Prozess, wie beispielsweise mit Schritt 325 weiter.
  • Wenn PAD 100 eine übermäßige Anzahl von Anwender-Authentifizierungs-Anfragen empfängt, kann PAD 100 versuchen zu bestimmen, ob diese Versuche einen Angriff darstellen, wie beispielsweise einen Versuch eines Anwenders, die Anwender-Credentials von einigen anderen Anwendern zu erraten. Wenn dem so ist, kann PAD 100 die Vorrichtung außer Funktion setzen. PAD 100 kann zum Beispiel innerhalb einer vorgegebenen Zeitperiode eine bestimmte Anzahl von Anwender-Authentifizierungs-Anfragen erlauben, bevor alle zukünftigen Verwendungen der Vorrichtung blockiert werden. Diese Situation ist ähnlich dem Schritt 212.
  • Ein oder mehrere der digitalen Zertifikate, welche in PAD 100 eingegeben werden, können ein Anwender-Qualifikations-Zertifikat enthalten. Ein Anwender-Qualifikations-Zertifikat, so wie es hierin verwendet wird, ist ein digitales Zertifikat, welches Informationen aufweist, welche einen Dienst, den ein Anwender zu empfangen berechtigt ist oder eine Aktivität, zu der der Anwender die Genehmigung hat, diese durchzuführen, identifiziert.
  • Wenn das Anwender-Qualifikations-Zertifikat authentifiziert wird (Schritt 330), können ein oder mehrere Dienste, zu welchen der Anwender Zugang haben soll, auf Grundlage des Zertifikats identifiziert werden. Das Anwender-Qualifizierungs-Zertifikat kann zum Beispiel, wie oben erwähnt, Informationen aufweisen, welche angeben, dass ein Anwender berechtigt ist, hochwertige Dienste zu nutzen, oder bei einer Hotelschlüssel Anwendung, ihm nur der Zugang zu bestimmten Bereichen gewährt ist.
  • Das eine oder die mehreren digitalen Zertifikate können optional ein Ticket-Erzeugungs-Zertifikat enthalten (Schritt 340). Wie oben beschrieben kann ein Ticket-Erzeugungs-Zertifikat zum Beispiel ein Dienst-Schlüssel-Erzeugungs-Programm oder Informationen, welche ein Dienst-Schlüssel-Erzeugungs-Programm angeben, aufweisen. Informationen, welche ein Dienst-Schlüssel-Erzeugungs-Programm angeben, können zum Beispiel Informationen enthalten, welche ein Dienst-Schlüssel-Erzeugungs-Programm identifizieren, welches auf PAD 100 gespeichert werden kann oder über eine oder mehrere Eingabeeinrichtungen 140 verfügbar ist.
  • Wenn das Ticket-Erzeugungs-Zertifikat nicht authentifiziert ist (Schritt 345), kann der Prozess stoppen und PAD 100 kann außer Funktion gesetzt werden. Wenn das Ticket-Erzeugungs-Zertifikat authentifiziert ist, wird ein Dienst-Schlüssel-Erzeugungs-Programm identifiziert und der Prozess läuft weiter mit Schritt 280 der 2.
  • 3 zeigt ein Beispiel von Verfahrensschritten, gemäß dieser Erfindung, und zeigt die Verwendung von mehreren digitalen Zertifikaten. Erfindungsgemäß können jedoch auch die Digitalen-Zertifikat-Informationen empfangen werden, auf welche hierin in Form eines digitalen Zertifikats Bezug genommen wird.
  • Das eine oder die mehreren digitalen Zertifikate können optional andere Informationen, wie beispielsweise Informationen, welche sich darauf beziehen, wie eine PAD 100 für eine oder mehrere Verwendungen arbeiten kann, aufweisen. Das eine oder die mehreren digitalen Zertifikate können zum Beispiel "Betriebsinformationen" aufweisen, welche zum Beispiel beschreiben, auf welche Weise ein oder mehrere digitale Zertifikate miteinander gekoppelt sind, Aufforderungs- und Antwortprotokolle für Anwender und PAD-Authentifizierung, Informationen, welche das Format für den ausgegebenen Dienst-Schlüssel angeben, sichere Protokolle für Dateneingabe und Datenausgabe und andere Verwaltungsprotokolle.
  • Digitale Zertifikate können zusätzlich in die PAD 100 eingegeben werden, um die öffentlichen Schlüssel von zusätzlichen CAs, andere als solche, die in PAD 100 gespeichert sind, bereitzustellen. Diese digitalen Zertifikate können so in Bezug gebracht werden, dass sie irgendeine Anzahl von Vertrauensmodellen, wie es von einem Fachmann verstanden wird, ausbilden. Die digitalen Zertifikate können zum Beispiel "Kreuz-Zertifikate" sein, bei welchen ein Zertifikat von einer CA erzeugt wird, welche den öffentlichen Schlüssel einer anderen CA zertifiziert. In bestimmten Ausführungsbeispielen können die digitalen Zertifikate eine Zertifikat-Kette oder "Vertrauenskette" ausbilden, so dass jedes der Zertifikate in der Kette den öffentlichen Schlüssel der CA, welche dieser in der Kette vorausgeht, zertifiziert. Andere Vertrauensmodelle, wie beispielsweise hirarchische Modelle oder Wurzelmodelle, können ebenfalls verwendet werden.
  • Diese Erfindung kann zum Beispiel in einem Sicherheitssystem angewendet werden, wie beispielsweise eines, welches in einem Hotel verwendet wird. In diesem Hotelbeispiel können viele PADs 100 zur Verwendung als Zugangsschlüssel hergestellt werden, welche von beiden, den Hotelgästen und den Hotelangestellten verwendet werden. Jede einzelne der vielen PADs 100 kann gleich untergebracht und konfiguriert sein, wobei sie im Allgemeinen die gleiche Struktur und die gleichen Komponenten aufweist. Diese vielen PADs 100 können zum Beispiel den gleichen privaten PAD Schlüssel (PAD Schlüssel 122) aufweisen. Jede der PADs 100 kann jedoch auf Grundlage der empfangenen digitalen Zertifikate programmiert werden, um unterschiedliche Operationen für unterschiedliche Sitzungen auszuführen. Bezüglich des Hotelsbeispiels kann ein PAD 100 zum Beispiel unter Verwendung eines Anwender-Identifikations-Zertifikats programmiert werden, so dass der Dienst-Schlüssel, welcher die Tür jedes bestimmten Raumes öffnen kann, nur von dem entsprechenden Anwender erzeugt werden kann. Es kann möglich sein, dass jeder Gast oder Angestellter, sich selbst über die PAD 100 authentifizieren muss, um dafür den Dienst-Schlüssel zu erzeugen. Zusätzlich kann ein PAD 100 unter Verwendung der Anwender-Qualifizierungs-Zertifikate programmiert werden, um anzugeben, welche Dienste einem Anwender zum Verwenden erlaubt werden sollten. Bezüglich des Hotelbeispiels können zum Beispiel unter Verwendung der Anwender-Qualifizierungs-Zertifikate nur Gäste der gehobenen Klasse die Dienst-Schlüssel zum berechtigten Zugang zu einem speziellen Badebereich oder zu anderen Diensten, für welche der Gast einen Aufpreis entrichten muss, erzeugen. Zertifikate können ebenfalls derart verwendet werden, dass es Angestellten gestattet ist, Dienst-Schlüssel nur für diese Bereiche zu erzeugen, in welchen die Angestellten gebraucht werden.
  • Diese Erfindung kann Anwendung in anderen exemplarischen Systemen finden, wie beispielsweise in Computer-Sicherheitssystemen, welche eine Vielzahl von Anwenderterminals aufweist, beschränkt zugängliche Datenbanken oder Sicherheitssysteme, und einen Computer oder ein Netzwerk oder ein Datenbanksystem, welches viele Vorrichtungsknoten aufweist.
  • In einem anderen Beispiel können die erfindungsgemäßen Prinzipien werden, um den Zugang zu einem überwachten Bereich, wie beispielsweise ein Büro oder Labor, zu kontrollieren.
  • Andere Ausführungsbeispiele dieser Erfindung in Bezug auf Spezifikationen und praktischem Nutzen der Erfindung, welche hierin offenbart sind, sind dem Fachmann ersichtlich. Deshalb sollen alle diese Spezifikationen und Beispiele, welche nur als exemplarisch betrachtet sind, vom Schutzbereich und Gedanken der Erfindung, wie in den anhängenden Ansprüchen definiert, umfasst sein.

Claims (79)

  1. Personen-Authentifizierungs-Vorrichtung (PAD), welche aufweist: • mindestens ein Speichermedium zum Speichern von mindestens einem öffentlichen CA Schlüssel, wobei jeder öffentliche Schlüssel mit einer Zertifikations-Autorität (CA) assoziiert ist; • ein oder mehrere Eingabemittel zum Empfangen von einem oder mehreren digitalen Zertifikaten, bei welcher das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweist, welches mindestens ein Dienst-Schlüssel-Erzeugungs-Programm oder eine Information, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm anzeigt, aufweist; • eine Bearbeitungskomponente zum Authentifizieren des einen oder der mehreren empfangenen digitalen Zertifikate unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssels und zum Erzeugen mindestens eines Dienst-Schlüssels basierend auf dem einen oder den mehreren authentifizierten digitalen Zertifikaten; und • ein Ausgabemittel zum Ausgeben des mindestens einen Dienst-Schlüssels.
  2. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des mindestens einen empfangenen Ticket-Erzeugungs-Zertifikat unter Verwendung mindestens eines gespeicherten öffentlichen CA Schlüssels, aufweist; und zum Erzeugen des mindestens einen Dienst-Schlüssel basierend auf dem mindestens einen authentifizierten Dienst-Schlüssel-Erzeugungs-Programm, falls ein oder mehrere Ticket-Erzeugungs-Zertifikate authentifiziert sind, wobei der mindestens eine Dienst-Schlüssel von einem Anwender verwendet werden kann, um Zugang zu mindestens einen Dienst zu erlangen.
  3. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher das eine oder die mehreren digitalen Zertifikate aufweisen: • ein Anwender-Identifikations-Zertifikat, welches Informationen aufweist, die eindeutig mit einem Anwender assoziiert sind; und bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des empfangenen Anwender-Indentifikations-Zertifikats unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssel aufweist und zum Authentifizieren des Anwenders basierend auf dem Anwender-Identifikations-Zertifikat, falls das Anwender-Identifikations-Zertifikat authentifiziert ist.
  4. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1 oder 3, bei welcher das eine oder die mehreren digitalen Zertifikate aufweisen: • mindestens ein Anwender-Qualifikations-Zertifikat, welches mindestens einen Dienst und einen oder mehrere Anwender angibt, welche Zugang zu mindestens einem Dienst haben; und bei welchem die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des mindestens einen empfangenen Anwender-Qualifikations-Zertifikats basierend auf dem mindestens einen öffentlichen CA Schlüssel, wenn der Anwender authentifiziert ist, aufweist; und zum Bestimmen mindestens eines Dienstes, so dass der authentifizierte Anwender basierend auf dem mindestens einen authentifizierten Anwender-Qualifikations-Zertifikat Zugang zu diesem haben kann, falls das mindestens eine Anwender-Qualifikations-Zertifikat authentifiziert ist.
  5. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher der mindestens eine Dienst-Schlüssel mindestens einen Cookie aufweist.
  6. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 5, bei welcher die Bearbeitungskomponente mindestens eine Komponente aufweist: • zum Erzeugen eines Einmal-Schlüssels und Speichern dieses in PAD; • zum Erzeugen des mindestens einen Cookies und zum Senden des erzeugten Cookies zum Anwender basierend auf dem Einmal-Schlüssel; • zum Empfangen des vorher erzeugten mindestens einen Cookies und zum Validieren des empfangenen Cookies unter Verwendung des gespeicherten Einmal-Schlüssels; und • falls der empfangene Cookie erfolgreich validiert wurde, zum Annullieren des Einmal-Schlüssels, welcher in der Cookie-Validierung verwendet wurde, zum Erzeugen eines neuen Einmal-Schlüssels und zum Speichern dieses in PAD, und basierend auf dem neuen Einmal-Schlüssel, zum Erzeugen eines neuen Cookies und zum Senden des neuen Cookie zum Anwender.
  7. Personen-Authentifizierung-Vorrichtung (PAD) gemäß Anspruch 5, bei welcher der Inhalt in dem einen oder den mehreren Cookies Benutzungszähler aufweist, welche angeben, wie oft ein oder mehrere Anwender einen oder mehrere Dienste genutzt haben.
  8. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 4, bei welcher die eine oder die mehreren Eingabemittel ferner ein oder mehrere Zertifikate empfangen, welche Informationen zum Gewähren des Zugangs des Anwenders zu mindestens einem zusätzlichen Dienst basierend auf dem mindestens einen Dienst, aufweisen
  9. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher das mindestens eine Speichermedium mindestens eine Komponente zum Speichern eines privaten PAD Schlüssels aufweist, welcher mit der PAD assoziiert ist.
  10. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 9, bei welcher die eine oder die mehreren Eingabemittel mindestens eine Komponente zum Empfangen einer PAD Authentifizierungs-Anfrage aufweisen, die Bearbeitungskomponente mindestens eine Komponente zum Beantworten der PAD Authentifizierungs-Anfrage unter Verwendung des gespeicherten privaten PAD Schlüssel, aufweist, und das Ausgabemittel mindestens eine Komponente zum Ausgeben der Antworten auf die PAD Authentifizierungs-Anfrage aufweisen.
  11. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 9, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Signieren des mindestens einen Dienst-Schlüssels unter Verwendung des gespeicherten privaten PAD Schlüssels aufweist.
  12. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 9, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Entschlüsseln der Inhalte auf dem einen oder den mehreren empfangenen digitalen Zertifikaten unter Verwendung des gespeicherten privaten PAD Schlüssels, wobei die Inhalte mit dem korrespondierenden öffentlichen PAD Schlüssel verschlüsselt werden, aufweist.
  13. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 4, bei welcher das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweisen, welches mindestens ein Dienst-Schlüssel-Erzeugungs-Programm entsprechend dem mindestens einen Dienst-Schlüssel angibt und wobei die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des mindestens einen Ticket-Erzeugungs-Zertifikats unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssels aufweist und, falls ein oder mehrere Ticket-Erzeugungs-Zertifikate authentifiziert sind, zum Erzeugen des mindestens einen Dienst-Schlüssels basierend auf dem mindestens einen authentifizierten Dienst-Schlüssel-Erzeugungs-Programm, wobei der mindesten eine Dienst-Schlüssel von einem Anwender verwendet werden kann, um Zugang zu mindestens einem Dienst zu erhalten.
  14. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 3, bei welcher die eine oder die mehreren Eingabemittel ferner einen oder mehrere Anwender-Credentials empfangen und die Bearbeitungskomponente mindesten eine Komponente zum Authentifizieren des Anwenders basierend auf dem authentifizierten Anwender-Identifikations-Zertifikat und dem einen oder den mehreren empfangenen Anwender-Credentials aufweist.
  15. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 14, bei welcher der eine oder die mehreren Anwender-Credentials einen oder mehrere private Schlüssel des Anwenders aufweisen.
  16. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 14, bei welcher der eine oder die mehreren Anwender-Credentials eine Personen-Identifikationsnummer (PIN), welche mit dem Anwender assoziiert ist, oder Informationen, welche von der PIN ermittelt werden, aufweisen.
  17. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 14, bei welcher der eine oder die mehreren Anwender-Credentials biometrische Informationen, welche mit dem Anwender assoziiert sind, aufweisen.
  18. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 14, welche ferner Vorrichtungen zum Abschalten der PAD aufweist, falls ein oder mehrere Versuche, den Anwender zu authentifizieren basierend auf dem authentifizierten Anwender-Identifikations-Zertifikat und dem einen oder den mehreren Anwender-Credentials fehlschlagen.
  19. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher das eine oder die mehreren digitalen Zertifikate ein Operationen-Zertifikat aufweisen, welche Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung aufweist.
  20. Personen-Authentifizierungs-Vorrrichtung (PAD) gemäß Anspruch 19, bei welcher die Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung eines oder mehrere der folgenden Merkmale aufweisen: • Informationen, welche den Eingang und Ausgang der PAD verwalten; • Aufforderungs- und Antwortprotokolle zur Anwender- und PAD-Authentifizierung; • sichere Protokolle zum Empfangen und Ausgeben von Daten; und • Protokolle für PAD Verwaltungszwecke.
  21. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 19, bei welcher die Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung Informationen aufweisen, welche das Verknüpfen von einem oder mehreren empfangenen Zertifikaten verwalten und wobei die Bearbeitungskomponente mindestens eine Komponente zum Verknüpfen von einem oder mehreren empfangenen Zertifikaten aufweist, basierend auf einem oder mehreren Zertifikaten, welche Informationen zum Gewähren des Zugangs des Anwenders zu mindestens einem zusätzlichen Dienst basierend auf dem mindestens einen Dienst, aufweisen.
  22. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher die eine oder die mehreren Eingabemittel ein oder mehrere Signatur-Verifikations-Zertifikate empfangen, welche eine Signatur-Verifikations-Kette ausbilden, wobei jedes Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette mit dem privaten Schlüssel einer Person signiert ist, deren öffentlicher Schlüssel mittels des vorangehenden Signatur-Verifikations-Zertifikats zertifiziert ist und wobei das erste Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette mittels des mindestens einen gespeicherten öffentlichen CA Schlüssels signiert ist und wobei die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des einen oder der mehreren empfangenen digitalen Zertifikate basierend auf der letzten Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette aufweist.
  23. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher die PAD manipulationssicher ist.
  24. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 9, bei welcher die öffentlichen CA Schlüssel und der private PAD Schlüssel in die PAD nur ein einziges Mal geschrieben werden.
  25. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 9, welche ferner einen Schutzmechanismus aufweist, welcher den privaten PAD Schlüssel von dem mindestens einen Speichermedium löscht, wenn es unauthorisierte Versuche zum Lesen oder Modifizieren des privaten PAD Schlüssels gibt.
  26. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher mindestens eines des einen oder der mehreren Eingabemittel Ausleseeinrichtungen sind, welche eingerichtet sind, mindestens eines des einen oder der mehreren digitalen Zertifikate und Anwender-Credentials von einem Speichermedium oder Netzwerkschnittstelle zu empfangen.
  27. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, welche ferner eine Uhr zum Ermitteln des aktuellen Datums und der aktuellen Zeit aufweist.
  28. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, welche ferner einen oder mehrere Timer zum Ermitteln der Zeit, die vergangen ist, seitdem ein Timer zurückgesetzt wurde, aufweist.
  29. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, welche ferner einen oder mehrere Zähler zum Ermitteln, wie oft ein Ereignis eingetreten ist, seitdem ein Zähler zurückgesetzt wurde, aufweist.
  30. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher ferner das eine oder die mehreren digitalen Zertifikate Informationen aufweisen, welche die Uhr, die Timer und die Zähler der PAD zurücksetzten können.
  31. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, bei welcher das eine oder die mehreren digitalen Zertifikate einen Inhalts-Entschlüsselungs-Schlüssel und einen Rechte-Inhalt aufweisen, welchen die PAD überprüfen wird, bevor der Inhalts-Entschlüsselungs-Schlüssel als ein Dienst-Schlüssel ausgegeben wird.
  32. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 31, bei welcher der Rechte-Inhalt Beschränkungen bei mindestens einem der folgenden Merkmale aufweist: • Zeitablauf des Inhalts • Benutzungsperiode des Inhalts • Benutzungshäufigkeit des Inhalts
  33. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 27, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Ermitteln, ob das aktuelle Datum und die Zeit innerhalb der Gültigkeitsperiode des einen oder der mehreren empfangenen digitalen Zertifikaten ist, aufweist
  34. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 27, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Erzeugen von Zeitstempeln aufweist, welche in Dienst-Schlüsseln, die PAD 100 erzeugt, enthalten sind.
  35. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, welche ferner eine einmal-geschriebene Seriennummer aufweist.
  36. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 35, bei welcher die Bearbeitungskomponente mindestens eine Komponente zum Erzeugen des mindestens einen Dienst-Schlüssels basierend auf der Seriennummer aufweist.
  37. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, wobei das mindestens eine Ticket-Erzeugungs-Zertifikat ferner einen Dienstumfang des mindestens einen Dienst-Schlüssels anzeigt.
  38. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, wobei das mindestens eine Ticket-Erzeugungs-Zertifikat ferner ein Format zum Ausgeben des mindestens einen Dienst-Schlüssels anzeigt.
  39. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, wobei die Information, die das mindestens eine Dienst-Schlüssel-Erzeugungs-Programm anzeigt, eine Information von der mindestens einem Dienst-Schlüssel-Erzeugungs-Programm aufweist, die auf dem PAD gespeichert ist.
  40. Personen-Authentifizierungs-Vorrichtung (PAD) gemäß Anspruch 1, wobei die Information, die das mindestens eine Dienst-Schlüssel-Erzeugungs-Programm anzeigt, eine Informationen von dem mindestens einen Dienst-Schlüssel-Erzeugungs-Programm aufweist, die über das eine oder die mehreren Eingabemittel verfügbar ist.
  41. Authentifizierungs-Verfahren, welches aufweist: • Speichern mindestens eines öffentlichen CA Schlüssels auf eine Personen-Authentifizierungs-Vorrichtung (PAD), wobei jeder öffentliche Schlüssel mit einer Zertikations-Autorität (CA) assoziiert ist; • Empfangen eines oder mehrerer digitaler Zertifikate, bei welchen das eine oder die mehreren digitalen Zertifikate mindestens ein Ticket-Erzeugungs-Zertifikat aufweisen, welches mindestens ein Dienst-Schlüssel-Erzeugungs-Programm oder eine Information, welche mindestens ein Dienst-Schlüssel-Erzeugungs-Programm anzeigt, aufweist; • Authentifizieren des einen oder der mehreren empfangenen digitalen Zertifikate unter Verwendung des mindestens einen gespeicherten öffentlichen CA Schlüssels; • Erzeugen mindestens eines Dienst-Schlüssels basierend auf dem einen oder den mehreren authentifizierten digitalen Zertifikaten; und • Ausgeben von mindestens dem Dienst-Schlüssel.
  42. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner aufweist: • Authentifizieren des mindestens einen empfangenen Ticket-Erzeugungs-Zertifikats unter Verwendung des mindestens einen öffentlichen CA Schlüssels; und • Erzeugen mindestens eines Dienst-Schlüssels basierend auf dem mindestens einen Dienst-Schlüssel-Erzeugungs-Programm, falls das mindestens eine Ticket-Erzeugungs-Zertifikat authentifiziert ist, wobei der mindestens eine Dienst-Schlüssel von einem Anwender zum Erhalten eines Zugangs zu mindestens einem Dienst verwendet werden kann.
  43. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner aufweist: • Empfangen eines Anwender-Identifikations-Zertifikats, welches Informationen aufweist, die eindeutig mit einem Anwender assoziiert sind; • Authentifizieren des empfangenen Anwender-Identifikations-Zertifikats basierend auf dem mindestens einen öffentlichen CA Schlüssels; und • Authentifizieren des Anwenders basierend auf dem authentifizierten Anwender-Identifikations- Zertifikat, falls das Anwender-Identifikations-Zertifikat authentifiziert ist.
  44. Authentifizierungs-Verfahren gemäß Anspruch 41 oder 43, welches weiter aufweist: • Empfangen mindestens eines Anwender-Qualifikations-Zertifikats, welches mindestens einen Dienst und einen oder mehrere Anwender anzeigt, die Zugang zu dem mindestens einen Dienst haben können; • Authentifizieren des mindestens einen empfangenen Anwender-Qualifikations-Zertifikats basierend auf dem mindestens einen öffentlichen CA Schlüssels; und • Ermitteln mindestens eines Dienstes, zu welchem der authentifizierte Anwender Zugang haben kann basierend auf dem mindestens einen authentifizierten Anwender-Qualifikations-Zertifikat, falls das mindestens eine Anwender-Qualifikations-Zertifikat authentifiziert ist.
  45. Authentifizierungs-Verfahren gemäß Anspruch 41, bei welchem der mindestens eine Dienst-Schlüssel mindestens einen Cookie aufweist.
  46. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner aufweist: • Erzeugen eines Einmal-Schlüssels und Speichern dieses auf der PAD; • Erzeugen des mindestens einen Cookies und Senden des erzeugten Cookies an den Anwender basierend auf dem Einmal-Schlüssel; • Empfangen des vorher erzeugten mindestens einen Cookies und Validieren des empfangenen Cookies unter Verwendung des gespeicherten Einmal-Schlüssels; und • falls der Cookie erfolgreich validiert wurde, Annullieren des Einmal-Schlüssels, welcher bei der Validierung des Cookies verwendet wurde, Erzeugen eines neuen Einmal-Schlüssels und Speichern dieses auf der PAD und basierend auf dem neuen Einmal-Schlüssel, Erzeugen eines neuen Cookies und Senden des neuen Cookies an den Anwender.
  47. Authentifizierungs-Verfahren gemäß Anspruch 46, bei welchem der Inhalt in einem oder mehreren Cookies Benutzungszähler aufweist, welche angeben, wie oft ein oder mehrere Anwender einen oder mehrere Dienste genutzt haben.
  48. Authentifizierungs-Verfahren gemäß Anspruch 41, welches einen privaten PAD Schlüssel, welcher mit der PAD assoziiert ist, auf die Personen-Authentifizierungs-Vorrichtung (PAD) speichert.
  49. Authentifizierungs-Verfahren gemäß Anspruch 48, welches aufweist: • Empfangen einer PAD Authentifizierungs-Anfrage; • Beantworten der PAD Autentifizierungs-Anfrage unter Verwendung des gespeicherten privaten PAD Schlüssels; und • Ausgeben der Antwort zu der PAD Authentifizierungs-Anfrage.
  50. Authentifizierungs-Verfahren gemäß Anspruch 48, welches das Signieren des mindestens einen Dienst-Schlüssels unter Verwendung des gespeicherten privaten PAD Schlüssels aufweist.
  51. Authentifizierungs-Verfahren gemäß Anspruch 48, welches das Entschlüsseln der Inhalte des einen oder der mehreren empfangenen digitalen Zertifikate unter Verwendung des gespeicherten privaten PAD Schlüssels aufweist, wobei die Inhalte mit dem korrespondierenden öffentlichen PAD Schlüssel verschlüsselt wurden.
  52. Authentifizierungs-Verfahren gemäß Anspruch 44, welches aufweist: • Authentifizieren des mindestens einen Ticket-Erzeugungs-Zertifikats unter Verwendung des mindestens einen öffentlichen CA Schlüssels, falls der authentifizierte Anwender bestimmt ist, um Zugang zu den Diensten zu haben. • Erzeugen mindestens eines Dienst-Schlüssels basierend auf dem mindestens einen Dienst-Schlüssel-Erzeugungs-Programms, falls das mindestens eine Ticket-Erzeugungs-Zertifikat authentifiziert ist, wobei der mindestens eine Dienst-Schlüssel von einem Anwender verwendet werden kann, um Zugang zu mindestens einem Dienst zu erhalten.
  53. Authentifizierungs-Verfahren gemäß Anspruch 44, welches das Gewähren des Zugangs des Anwenders zu mindestens einem zusätzlichen Dienst basierend auf dem mindestens einen Dienst und den empfangenen Digitalen-Zertifikat-Informationen aufweist.
  54. Authentifizierungs-Verfahren gemäß Anspruch 43, welches aufweist: • Empfangen einer oder mehrerer empfangener Anwender-Credentials; und • Authentifizierung des Anwenders basierend auf dem authentifizierten Anwender-Identifikations-Zertifikat und dem einen oder den mehreren Anwender-Credentials.
  55. Authentifizierungs-Verfahren gemäß Anspruch 54, bei welchem die Anwender-Credentials einen oder mehrere private Anwender-Schlüssel aufweisen.
  56. Authentifizierungs-Verfahren gemäß Anspruch 54, bei welchem die Anwender-Credentials eine Personen-Identifikationsnummer (PIN) aufweisen, welche mit dem Anwender assoziiert ist, oder Informationen, welche von der PIN ermittelt werden.
  57. Authentifizierungs-Verfahren gemäß Anspruch 54, bei welchem die Anwender-Credentials biometrische Informationen, welche mit dem Anwender assoziiert sind, aufweisen.
  58. Authentifizierungs-Verfahren gemäß Anspruch 54, welches das Annullieren der PAD aufweist, falls ein oder mehrere Versuche, den Anwender basierend auf dem authentifizierten Anwender-Identifikations-Zertifikat zu authentifizieren und dem einen oder den mehreren Anwender-Credentials zu authentifizieren, fehlschlagen.
  59. Authentifizierungs-Verfahren gemäß Anspruch 41, welches das Empfangen eines Operationen-Zertifikats, welches Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung aufweist, aufweist.
  60. Authentifizierungs-Verfahren gemäß Anspruch 59, bei welchem die Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung eines oder mehrere der folgenden Merkmale aufweisen: • Informationen, welche die Eingabe und Ausgabe der PAD verwalten; • Aufforderungs- und Antwortprotokolle für Anwender und PAD-Authentifizierung; • sichere Protokolle zum Empfangen und Ausgeben von Daten; und • Protokolle für PAD-Verwaltungszwecken.
  61. Authentifizierungs-Verfahren gemäß Anspruch 59, bei welchem die Informationen zum Überwachen der Operationen der PAD für eine aktuelle Sitzung Informationen aufweisen, welche das Verknüpfen von einem oder mehreren empfangenen Zertifikaten verwalten, und wobei das Verfahren ferner aufweist: • Verknüpfen eines oder mehrerer empfangener Zertifikate basierend auf einem oder mehreren Zertifikaten, welche Informationen zum Gewähren des Zugangs des Anwenders zu mindestens einem zusätzlichen Dienst basierend auf dem mindestens einen Dienst aufweisen.
  62. Authentifizierungs-Verfahren gemäß Anspruch 41, welches aufweist: • Empfangen eines oder mehrerer Signatur-Verifikations-Zertifikate zum Ausbilden einer Signatur-Verifikations-Kette, wobei jedes Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette mit dem privaten Schlüssel einer Person signiert wird, deren öffentlicher Schlüssel von dem vorhergehenden Signatur-Verifikations-Zertifikat zertifiziert wird und wobei das erste Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette von mindestens einem gespeicherten öffentlichen CA Schlüssel signiert wird; und • wobei die Bearbeitungskomponente mindestens eine Komponente zum Authentifizieren des einen oder mehrerer empfangenen digitalen Zertifikaten basierend auf dem letzten Signatur-Verifikations-Zertifikat in der Signatur-Verifikations-Kette aufweist.
  63. Authentifizierungs-Verfahren gemäß Anspruch 48, welches aufweist: • Löschen des privaten PAD-Schlüssels, wenn ein oder mehrere unauthorisierte Versuche zum Lesen oder Modifizieren des privaten PAD-Schlüssels erfasst werden.
  64. Authentifizierungs-Verfahren gemäß Anspruch 41, bei welchem mindestens eines des einen oder der mehreren digitalen Zertifikaten von einem Speichermedium oder von einer Netzwerkschnittstelle empfangen wird.
  65. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner das Ermitteln eines aktuellen Datums und einer aktuellen Zeit aufweist.
  66. Authentifizierungs-Verfahren gemäß Anspruch 65, welches das Ermitteln, ob das aktuelle Datum und die aktuelle Zeit innerhalb der Gültigkeitsperiode des einen oder der mehreren empfangenen digitalen Zertifikate sind, aufweist.
  67. Authentifizierungs-Verfahren gemäß Anspruch 41, bei welchem die Zeit ermittelt wird, die vergangen ist, seitdem ein vorheriges Ereignis eingetreten ist.
  68. Authentifizierungs-Verfahren gemäß Anspruch 41, bei welchem bestimmt wird, wie oft ein Ereignis seit einem vorher eingetretenen Ereignis eingetreten ist, bestimmt wird.
  69. Authentifizierungs-Verfahren gemäß Anspruch 41, welches das Empfangen eines oder mehrerer digitaler Zertifikate aufweist, welche Informationen zum Zurücksetzen des aktuellen Datums und der aktuellen Zeit, Informationen über die vergangene Zeit und Informationen, wie oft ein Ereignis eingetreten ist, enthalten.
  70. Authentifizierungs-Verfahren gemäß Anspruch 69, welches das Zurücksetzen der Uhr, der Timer oder der Zähler der PAD, basierend auf den Informationen in dem einen oder den mehreren digitalen Zertifikaten, aufweist.
  71. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner aufweist: • Empfangen eines oder mehrerer digitaler Zertifikate, welche einen Inhalts-Entschlüsselungs-Schlüssel und einen Rechte-Inhalt bereitstellen; und • Überprüfen des Rechte-Inhalts vor Ausgeben des Inhalts-Entschlüsselungs-Schlüssels als einen Dienst-Schlüssel.
  72. Authentifizierungs-Verfahren gemäß Anspruch 71, bei welchem der Rechte-Inhalt Beschränkungen bei mindestens einem der folgenden Merkmale aufweist: • Ablaufzeit des Inhalts; • Benutzungsperiode des Inhalts; und • Benutzungshäufigkeit des Inhalts.
  73. Authentifizierungs-Verfahren gemäß Anspruch 65, welches ferner das Erzeugen von Zeitstempeln, basierend auf dem aktuellen Datum und Zeit, aufweist, wobei die Zeitstempel in die Dienst-Schlüssel, welche die PAD erzeugt, enthalten sind.
  74. Authentifizierungs-Verfahren gemäß Anspruch 41, welches ferner das Erzeugen des mindestens einen Dienst-Schlüssels, basierend auf einer einmal-geschriebenen Seriennummer, aufweist.
  75. Authentifizierungs-Verfahren gemäß Anspruch 74, bei welcher ferner die Seriennummer in dem mindestens einen Dienst-Schlüssel enthalten ist.
  76. Authentifizierungs-Verfahren gemäß Anspruch 41, wobei das mindestens eine Ticket-Erzeugungs-Zertifikat ferner einen Dienstumfang des mindestens einen Dienst-Schlüssels anzeigt.
  77. Authentifizierungs-Verfahren gemäß Anspruch 41, wobei das mindestens eine Ticket-Erzeugungs-Zertifikat ferner ein Format zum Ausgeben des mindestens einen Dienst-Schlüssels anzeigt.
  78. Authentifizierungs-Verfahren gemäß Anspruch 41, wobei die Information, die das mindestens eine Dienst- Schlüssel-Erzeugungs-Programm anzeigt, eine Information von der mindestens einem Dienst-Schlüssel-Erzeugungs-Programm aufweist, die auf dem PAD gespeichert ist.
  79. Authentifizierungs-Verfahren gemäß Anspruch 41, wobei die Information, die das mindestens eine Dienst-Schlüssel-Erzeugungs-Programm anzeigt, eine Informationen von dem mindestens einen Dienst-Schlüssel-Erzeugungs-Programm aufweist, die über das eine oder die mehreren Eingabemittel verfügbar ist.
DE102004025084A 2003-05-23 2004-05-21 Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren Expired - Lifetime DE102004025084B4 (de)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US47336503P 2003-05-23 2003-05-23
US60/473365 2003-05-23
US10/609586 2003-07-01
US10/609,586 US20050021954A1 (en) 2003-05-23 2003-07-01 Personal authentication device and system and method thereof
US10/749558 2004-01-02
US10/749,558 US7694330B2 (en) 2003-05-23 2004-01-02 Personal authentication device and system and method thereof

Publications (2)

Publication Number Publication Date
DE102004025084A1 DE102004025084A1 (de) 2004-12-09
DE102004025084B4 true DE102004025084B4 (de) 2008-02-28

Family

ID=33458797

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004025084A Expired - Lifetime DE102004025084B4 (de) 2003-05-23 2004-05-21 Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren

Country Status (5)

Country Link
US (1) US7694330B2 (de)
JP (1) JP4668551B2 (de)
KR (1) KR20040101085A (de)
CN (1) CN100377521C (de)
DE (1) DE102004025084B4 (de)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003900413A0 (en) * 2003-01-31 2003-02-13 Mckeon, Brian Bernard Regulated issuance of digital certificates
US7694330B2 (en) 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
US20050021954A1 (en) * 2003-05-23 2005-01-27 Hsiang-Tsung Kung Personal authentication device and system and method thereof
US8607334B2 (en) * 2004-07-08 2013-12-10 Research In Motion Limited System and method for secure message processing
ES2420158T3 (es) 2004-07-15 2013-08-22 Anakam, Inc. Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
JP4390805B2 (ja) * 2004-08-19 2009-12-24 日本電信電話株式会社 イベント順序証明方法
KR100708777B1 (ko) * 2005-02-03 2007-04-17 주식회사 디뮤즈 인터넷 프로토콜 기반의 방송서비스 제공방법
US20100042830A1 (en) * 2005-06-30 2010-02-18 Jiang Shao Method for Controlling a Consumption Limit Date of Digital Contents Device for Consuming Such Contents, Means of Controlling Consumption and Server Distributing Such Contents
US7761226B1 (en) * 2005-07-27 2010-07-20 The United States Of America As Represented By The Secretary Of The Navy Interactive pedestrian routing system
US7653696B2 (en) * 2005-07-29 2010-01-26 Research In Motion Limited Method and apparatus for processing digitally signed messages to determine address mismatches
KR101305282B1 (ko) * 2005-11-30 2013-09-17 엘지전자 주식회사 디지털 저작권 관리에서의 장치 간 DRM Time 동기화방법 및 장치
WO2007064086A1 (en) * 2005-11-30 2007-06-07 Lg Electronics Inc. Method and device for drm time synchronization between devices in digital rights management
US7810139B2 (en) * 2006-03-29 2010-10-05 Novell, Inc Remote authorization for operations
US7561551B2 (en) * 2006-04-25 2009-07-14 Motorola, Inc. Method and system for propagating mutual authentication data in wireless communication networks
US8862881B2 (en) 2006-05-30 2014-10-14 Motorola Solutions, Inc. Method and system for mutual authentication of wireless communication network nodes
US20080148349A1 (en) * 2006-10-26 2008-06-19 Stevens Nicholas D Authorization to use content
US8683195B2 (en) * 2006-12-19 2014-03-25 Sandisk Technologies Inc. System and method for reducing fraud
US20080303630A1 (en) * 2007-06-06 2008-12-11 Danilo Jose Martinez DigiKey and DigiLock
US9262594B2 (en) * 2008-01-18 2016-02-16 Microsoft Technology Licensing, Llc Tamper evidence per device protected identity
JP5391551B2 (ja) * 2008-01-28 2014-01-15 ソニー株式会社 認証システム、サーバ装置および認証方法
JP5126968B2 (ja) * 2008-02-26 2013-01-23 日本電信電話株式会社 認証・認可システム、認証・認可方法
JP5374752B2 (ja) * 2009-01-19 2013-12-25 株式会社東芝 保護制御計測システムと装置、およびデータ伝送方法
US20110054952A1 (en) * 2009-08-31 2011-03-03 Mateer Craig C Remote check-in system
US10826885B2 (en) * 2010-03-02 2020-11-03 Liberty Plugins, Inc. Digital certificate and reservation
US8947200B2 (en) 2011-11-17 2015-02-03 Utc Fire & Security Corporation Method of distributing stand-alone locks
US9659336B2 (en) 2012-04-10 2017-05-23 Bags, Inc. Mobile baggage dispatch system and method
US9106405B1 (en) 2012-06-25 2015-08-11 Amazon Technologies, Inc. Multi-user secret decay
US9038148B1 (en) * 2012-08-23 2015-05-19 Amazon Technologies, Inc. Secret variation for network sessions
US8996860B1 (en) 2012-08-23 2015-03-31 Amazon Technologies, Inc. Tolerance factor-based secret decay
US9203818B1 (en) 2012-08-23 2015-12-01 Amazon Technologies, Inc. Adaptive timeouts for security credentials
CN104978144A (zh) * 2015-06-26 2015-10-14 中国工商银行股份有限公司 手势密码输入设备和系统,及基于该系统进行交易的方法
CN106095144A (zh) * 2016-07-29 2016-11-09 石家庄蜗牛科技有限公司 一种多重加密的鼠标及其认证方法
EP3291183A1 (de) * 2016-09-02 2018-03-07 Assa Abloy AB Delegationssequenz zur steuerung des zugangs zu einem zugangsobjekt
EP3291182A1 (de) * 2016-09-02 2018-03-07 Assa Abloy AB Sequenz von delegationen zur steuerung des zugriffs auf einen physischen raum
EP3422628B1 (de) * 2017-06-29 2021-04-07 Siemens Aktiengesellschaft Verfahren, sicherheitseinrichtung und sicherheitssystem
CN112884958A (zh) * 2021-02-02 2021-06-01 福建随行软件有限公司 一种电子凭证识别方法及门禁设备
CN115333779A (zh) * 2022-07-15 2022-11-11 天翼云科技有限公司 一种验证数据的方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001011845A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Security architecture with environment sensitive credentials
US6215872B1 (en) * 1997-10-24 2001-04-10 Entrust Technologies Limited Method for creating communities of trust in a secure communication system
US20020026578A1 (en) * 2000-08-22 2002-02-28 International Business Machines Corporation Secure usage of digital certificates and related keys on a security token

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4529870A (en) * 1980-03-10 1985-07-16 David Chaum Cryptographic identification, financial transaction, and credential device
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
US4661658A (en) * 1985-02-12 1987-04-28 International Business Machines Corporation Offline PIN validation with DES
US5020105A (en) * 1986-06-16 1991-05-28 Applied Information Technologies Corporation Field initialized authentication system for protective security of electronic information networks
GB2283349A (en) * 1993-10-29 1995-05-03 Ibm Transaction processing system
EP0723251A3 (de) * 1995-01-20 1998-12-30 Tandem Computers Incorporated Verfahren und Gerät für einen Benützer und Sicherheitsauthentisierungseinrichtung
US5790667A (en) * 1995-01-20 1998-08-04 Matsushita Electric Industrial Co., Ltd. Personal authentication method
US5604801A (en) * 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device
US5721781A (en) * 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
US6192131B1 (en) * 1996-11-15 2001-02-20 Securities Industry Automation Corporation Enabling business transactions in computer networks
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
US6513116B1 (en) * 1997-05-16 2003-01-28 Liberate Technologies Security information acquisition
JPH11120300A (ja) * 1997-10-09 1999-04-30 Fujitsu Ltd 可搬型カード媒体,可搬型カード媒体のメモリ空間管理方法,可搬型カード媒体の発行方法および可搬型カード媒体のプログラムデータ書込方法並びにメモリ空間管理プログラムが記録されたコンピュータ読取可能な記録媒体
US6226744B1 (en) * 1997-10-09 2001-05-01 At&T Corp Method and apparatus for authenticating users on a network using a smart card
US6073237A (en) * 1997-11-06 2000-06-06 Cybercash, Inc. Tamper resistant method and apparatus
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
GB2338381A (en) * 1998-06-10 1999-12-15 Barclays Bank Plc Cryptographic authentication for internet using two servers
US6138235A (en) * 1998-06-29 2000-10-24 Sun Microsystems, Inc. Controlling access to services between modular applications
US6397197B1 (en) * 1998-08-26 2002-05-28 E-Lynxx Corporation Apparatus and method for obtaining lowest bid from information product vendors
US6257486B1 (en) * 1998-11-23 2001-07-10 Cardis Research & Development Ltd. Smart card pin system, card, and reader
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US6792536B1 (en) * 1999-10-20 2004-09-14 Timecertain Llc Smart card system and methods for proving dates in digital files
KR20010096814A (ko) 2000-04-14 2001-11-08 홍기융 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법
CN1263026C (zh) 2000-08-16 2006-07-05 皇家菲利浦电子有限公司 用于控制数字作品的发行和使用的方法和装置
JP4654498B2 (ja) 2000-08-31 2011-03-23 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002089100A (ja) * 2000-09-19 2002-03-27 Crc Solutions Corp 入室管理システム、そのシステム内で使用されるicカード、そのシステムにおける入室管理装置、およびそのシステムにおける入室管理サーバ
KR20010008028A (ko) 2000-11-03 2001-02-05 박상관 피씨 보안 및 피케이아이 솔루션 기능을 갖는 스마트 카드판독 시스템 및 그 제어 방법
US6732278B2 (en) * 2001-02-12 2004-05-04 Baird, Iii Leemon C. Apparatus and method for authenticating access to a network resource
JP2003016397A (ja) * 2001-04-23 2003-01-17 Sony Corp データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム
EP1271875A1 (de) 2001-06-21 2003-01-02 Koninklijke Philips Electronics N.V. Vorrichtung zum Datenaustausch, und Verfahren zur Herstellung
JP2003030145A (ja) * 2001-07-16 2003-01-31 Fujitsu Ltd 情報処理方法およびプログラム
US20030028664A1 (en) * 2001-08-02 2003-02-06 Kaijun Tan Method and system for secure distribution and utilization of data over a network
JP4602606B2 (ja) * 2001-08-15 2010-12-22 ソニー株式会社 認証処理システム、認証処理方法、および認証デバイス、並びにコンピュータ・プログラム
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US7083090B2 (en) * 2002-08-09 2006-08-01 Patrick Zuili Remote portable and universal smartcard authentication and authorization device
US7694330B2 (en) 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6215872B1 (en) * 1997-10-24 2001-04-10 Entrust Technologies Limited Method for creating communities of trust in a secure communication system
WO2001011845A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Security architecture with environment sensitive credentials
US20020026578A1 (en) * 2000-08-22 2002-02-28 International Business Machines Corporation Secure usage of digital certificates and related keys on a security token

Also Published As

Publication number Publication date
US20040250076A1 (en) 2004-12-09
KR20040101085A (ko) 2004-12-02
DE102004025084A1 (de) 2004-12-09
JP2005050308A (ja) 2005-02-24
JP4668551B2 (ja) 2011-04-13
US7694330B2 (en) 2010-04-06
CN100377521C (zh) 2008-03-26
CN1574740A (zh) 2005-02-02

Similar Documents

Publication Publication Date Title
DE102004025084B4 (de) Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren
US11967186B1 (en) Blockchain-based election system
DE69635143T2 (de) Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69534490T2 (de) Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
EP2810400B1 (de) Kryptographisches authentifizierungs - und identifikationsverfahren mit realzeitverschlüsselung
US20050021954A1 (en) Personal authentication device and system and method thereof
EP3114600B1 (de) Sicherheitssystem mit zugriffskontrolle
EP3422274A1 (de) Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber
DE102020004121A1 (de) Verfahren, teilnehmereinheit, transaktionsregister und bezahlsystem zum verwalten von transaktionsdatensätzen
EP3206151B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102020108828A1 (de) Personalisierter, serverindividueller Authentifizierungsmechanismus
DE102012201209A1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
Geetha et al. A secure digital e-voting using blockchain technology
DE102009032355A1 (de) Verfahren und Vorrichtung zur Authentisierung von Komponenten innerhalb eines Geldautomaten
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
WO2011072952A1 (de) Vorrichtung und verfahren zum gewähren von zugriffsrechten auf eine wartungsfunktionalität
DE102012202744A1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102021103997A1 (de) Nutzerauthentifizierung unter Verwendung zweier unabhängiger Sicherheitselemente
DE102020004122A1 (de) Bezahlsystem, münzregister, teilnehmereinheit, transaktionsregister, überwachungsregister und verfahren zum bezahlen mit elektronischen münzdatensätzen
Feng et al. An electronic voting system using GSM mobile technology
DE102005057798A1 (de) Verfahren zur Vergabe und Prüfung einer Zugangsberechtigung für einen Restriktionsbereich
DE102023102687A1 (de) Verfahren zum erzeugen eines provisionierungstokens durch ein endgerät
DE10242673A1 (de) Verfahren zur Identifikation eines Benutzers
WO2022125041A1 (en) Electronic election and voting method and system with privacy protection and biometric authentication
DE102021103994A1 (de) Authentisierung unter Verwendung einer Mehrzahl von elektronischen Identitäten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8180 Miscellaneous part 1

Free format text: IN ANSPRUCH 15 IST DER RUECKBEZUG ZU AENDERN AUF ANSPRUCH 4

8364 No opposition during term of opposition
R071 Expiry of right