DE102004032883A1 - Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider - Google Patents

Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider Download PDF

Info

Publication number
DE102004032883A1
DE102004032883A1 DE200410032883 DE102004032883A DE102004032883A1 DE 102004032883 A1 DE102004032883 A1 DE 102004032883A1 DE 200410032883 DE200410032883 DE 200410032883 DE 102004032883 A DE102004032883 A DE 102004032883A DE 102004032883 A1 DE102004032883 A1 DE 102004032883A1
Authority
DE
Germany
Prior art keywords
data
service provider
processing device
provider
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200410032883
Other languages
German (de)
Inventor
Wolfgang Clauss
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FIDUCIA IT AG
Original Assignee
FIDUCIA IT AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FIDUCIA IT AG filed Critical FIDUCIA IT AG
Priority to DE200410032883 priority Critical patent/DE102004032883A1/en
Publication of DE102004032883A1 publication Critical patent/DE102004032883A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

The method involves checking the authenticity of a request communicated from a subscriber (1) to a service provider (5) over a data network, by an authentication provider using authentication data. The data is previously provided from the service provider to the subscriber. The request is effected by the provider when the authentication provider confirms the authenticity of the subscriber to the service provider. Independent claims are also included for the following: (A) a data processing device with a subscriber and a service provider (B) a data processing system for electronic communication between a subscriber and a service provider.

Description

Die Erfindung betrifft ein Verfahren und ein Datenverarbeitungssystem zur datentechnisch gesicherten Kommunikation insbesondere zwischen Behörden und Bürgern.The The invention relates to a method and a data processing system for data-secure communication in particular between authorities and citizens.

Aus der DE 102 30 848 A1 ist ein Verfahren bekannt, mit dem datentechnisch gesichert eine Kommunikation auf elektronischem Weg zwischen einem Bürger und beispielsweise den Behörden seiner Heimatkommune erfolgen kann. Hierzu ist es allerdings erforderlich, dass der Bürger bei der Heimatkommune als Teilnehmer an dem Verfahren registriert ist und sich durch von der Heimatkommune unmittelbar oder mittelbar vorgegebene Authentifizierungsdaten authentifizieren kann.From the DE 102 30 848 A1 a method is known, with the data technology secured communication can be done electronically between a citizen and, for example, the authorities of his home township. For this purpose, however, it is necessary for the citizen to be registered with the home commune as a participant in the procedure and to be able to authenticate himself by authentication data directly or indirectly given by the home commune.

Möchte der Bürger beispielsweise für seinen geplanten Urlaub an die für den Urlaubsort zuständigen Kommune einen Auftrag erteilen, beispielsweise für die Regelung des Termins der Müllabfuhr oder dergleichen, müsste er sich zunächst für diese Kommune gültige Authentifizierungsdaten beschaffen, was mit einem Aufwand verbunden wäre, der im Hinblick auf den kurzen Urlaubsaufenthalt nicht angemessen ist.I would like that citizens for example his planned vacation to the for the resort competent Place an order with the municipality, for example for the regulation of the appointment the refuse collection or the like, would have he himself first for this Municipality valid Obtain authentication data, which is associated with an effort that would be with regard to the short holiday is not appropriate.

Um die Kommunikation und insbesondere Vorgänge wie Rechtsgeschäfte, Transaktionen oder dergleichen, vollelektronisch abwickeln zu können, laufen derzeit Bemühungen zur Einführung einer sogenannten „digitalen Signatur". Hierfür sind jedoch in großem Umfang Investitionen sowohl auf Seiten der Behörden als auch insbesondere auf Seiten der Bürger erforderlich, die mit hohen Kosten verbunden sind. Nicht zuletzt aus diesem Grund hat sich das Verfahren der digitalen Signatur jedenfalls derzeit noch nicht durchgesetzt.Around the communication and in particular transactions such as legal transactions, transactions or the like, fully electronic to be able to run, run currently efforts for the introduction a so-called "digital Signature. "But there are in big Scope Investments both on the part of the authorities and in particular on the part of the citizens required, which are associated with high costs. Not least For this reason, the process of digital signature has certainly currently not enforced.

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und ein Datenverarbeitungssystem zur datentechnisch gesicherten Kommunikation insbesondere zwischen Behörden und Bürgern bereitzustellen, das mit geringem Aufwand an Hardware und Software einführbar und ausführbar ist, und dass darüber hinaus ein hohes Maß an Sicherheit gegenüber Manipulationen und unbefugten Handlungen gewährleistet.Of the The present invention is therefore based on the object, a method and a data processing system for data-secure communication especially between public authorities and citizens to provide that with little effort on hardware and software insertable and executable is, and that about it a high level Security over Tampering and unauthorized actions are guaranteed.

Das Problem ist durch das im Anspruch 1 bestimmten Verfahren sowie durch das im nebengeordneten Anspruch bestimmte Datenverarbeitungssystem gelöst. Besondere Ausführungsarten der Erfindung sind in den Unteransprüchen bestimmt.The Problem is determined by the method defined in claim 1 and by the data processing system determined in the sibling claim solved. Special designs The invention are defined in the subclaims.

Erfindungsgemäß ist das Problem insbesondere dadurch gelöst, dass der Teilnehmer bei dem Dienstleistungsanbieter zwar Angaben macht, welche es dem Dienstleister ermöglichen, den Authentifizierungsanbieter zu identifizieren, gleichzeitig aber der Dienstleistungsanbieter keine Kenntnis von den zwischen dem Teilnehmer und dem Authentifizierungsanbieter vereinbarten oder dem Teilnehmer von dem Authentifizierungsanbieter vorgegebenen Authentifizierungsdaten erhält.This is according to the invention Problem solved in particular by that the subscriber to the service provider, although information makes it possible for the service provider, the authentication provider at the same time as the service provider not aware of the terms agreed between the participant and the authentication provider or the subscriber specified by the authentication provider Receives authentication data.

Umgekehrt ist es besonders vorteilhaft, dass die Übermittlung der Bestätigung der Authentizität des Teilnehmers von dem Authentifizierungsanbieter an den Dienstleistungsanbieter unter Ausschluss der Datenverarbeitungseinrichtung des Teilnehmers erfolgt. Dadurch ist eine Manipulation dieser Bestätigung oder gegebenenfalls Nicht-Bestätigung durch den Teilnehmer ausgeschlossen.Vice versa It is particularly advantageous that the transmission of the confirmation of Authenticity of the Participant from the authentication provider to the service provider excluding the data processing device of the subscriber he follows. This is a manipulation of this confirmation or if necessary, non-confirmation excluded by the participant.

In einer besonderen Ausführungsart der Erfindung ist der Authentifizierungsanbieter die Heimatkommune des Teilnehmers oder jedenfalls eine Kommune, mit welcher der Teilnehmer eine datentechnisch gesicherte Kommunikation entsprechend dem in der DE 102 30 848 A1 beschriebenen Verfahren etabliert wurde.In a particular embodiment of the invention, the authentication provider is the home community of the subscriber or at least a municipality with which the subscriber has a data-secure communication according to the in the DE 102 30 848 A1 was established.

Insbesondere während einer Einführungsphase des erfindungsgemäßen Verfahrens kann als Authentifizierungsanbieter auch das Kreditinstitut oder ein Rechenzentrum des Kreditinstituts des Teilnehmers auftreten, mit dem der Teilnehmer beispielsweise im Zusammenhang mit Onlinebanking-Verfahren bereits eine datentechnisch gesicherte Kommunikation etabliert hat. Insbesondere kann hierfür eine Identifikationszeichenfolge (PIN) und/oder eine Transaktionszeichenfolge (TAN) verwendet werden, wie sie aus dem Onlinebanking-Verfahren bekannt sind. Stehen für den Teilnehmer mehrere Authentifizierungsanbieter zur Auswahl, beispielsweise mehrere Kreditinstitute, mit denen er das Onlinebanking-Verfahren etabliert hat, oder alternativ hierzu auch seine Heimatkommune, kann der Teilnehmer einen oder mehrere Authentifizierungsanbieter auswählen und deren jeweilige Identifikationsdaten an den Dienstleistungsanbieter übermitteln.Especially while an introductory phase the method according to the invention as an authentication provider can also be the credit institution or a data center of the participant's financial institution occur with the participant, for example, in connection with online banking procedures already has established a data-technically secure communication. Especially can do this an identification string (PIN) and / or a transaction string (TAN) can be used as they are from the online banking process are known. Stand for the subscriber several authentication providers to choose from, for example Several banks with which he uses the online banking process has established, or alternatively, his home town, the subscriber may have one or more authentication providers choose and transmit their respective identification data to the service provider.

Dieser wiederum kann gegebenenfalls aus mehreren zur Verfügung stehenden Authentifizierungsanbietern einen beliebigen oder einen für die beantragte Dienstleistung besonders geeigneten Authentifizierungsanbieter auswählen.This in turn, may optionally be made available from several Authentication providers any or one for the requested Select the most suitable authentication provider.

Die Kommunikation zwischen Teilnehmer und Dienstleistungsanbieter einerseits sowie zwischen Teilnehmer und Authentifizierungsanbieter andererseits kann über ein öffentlich zugängliches Datennetz erfolgen, insbesondere über das Internet. Hierzu kann vorzugsweise insbesondere für die Verbindung zwischen dem Teilnehmer und dem Authentifizierungsanbieter ein Datenübertragungsprotokoll mit einer höheren Sicherheitsstufe verwendet werden, beispielsweise nach dem Protokoll „https", eine Verschlüsselung der zu übertragenden Daten oder beispielsweise ein so genannter Message Authentification Code (MAC) zur Integritätsprüfung der übertragenen Daten eingesetzt werden.The communication between the subscriber and the service provider on the one hand and between the subscriber and the authentication provider on the other hand can take place via a publicly accessible data network, in particular via the Internet. For this purpose, preferably in particular for Ver be used between the subscriber and the authentication provider a data transmission protocol with a higher security level, for example, according to the protocol "https", encryption of the data to be transmitted or, for example, a so-called Message Authentication Code (MAC) used to verify the integrity of the transmitted data.

In einer besonderen Ausführungsart der Erfindung hängt der Dienstleistungsanbieter bei der Übermittlung der ermittelten Datennetzadresse an den Teilnehmer automatisch zweite Identifikationsdaten an den Datensatz an, welche den Auftrag des Teilnehmers an den Dienstleistungsanbieter identifizieren. Diese zweiten Identifikationsdaten werden vorzugsweise von dem Dienstleistungsanbieter nach eigener Maßgabe vergeben, beispielsweise eine den jeweiligen Vorgang eindeutig identifizierende, mehrstellige und fortlaufende Zeichenfolge oder Nummer. Insbesondere können auch bereits diese zweiten Identifikationsdaten eine Identifizierung des Dienstleisters beinhalten, beispielsweise durch Voranstellung der fünfstelligen Postleitzahl für den Fall, dass es sich bei den Dienstleistungsanbietern um die Behörden einer durch die Postleitzahl eindeutig gekennzeichneten Kommune handelt.In a particular embodiment the invention depends the service provider in the transmission of the determined Data network address to the subscriber automatically second identification data to the record indicating the order of the subscriber to the service provider identify. These second identification data are preferably assigned by the service provider on its own terms, for example a clearly identifies the respective process, multi-digit and consecutive string or number. In particular, too already this second identification data an identification of the service provider, for example by pre-employment the five-digit Postcode for the case that the service providers are the authorities of a by the postal code clearly marked municipality acts.

Alternativ oder ergänzend können bei der Ermittlung auch automatisch dritte Identifikationsdaten an den Datensatz angehängt werden, welche den Dienstleistungsanbieter eindeutig identifizieren, beispielsweise anhand der vorstehend genannten Postleitzahl oder auch einer einmalig vergebenen Registriernummer, die in einem auch dem Authentifizierungsanbieter zugänglichen Datenverzeichnis gespeichert ist.alternative or in addition can in the determination also automatically to third identification data attached the record which uniquely identify the service provider, for example, based on the aforementioned postal code or even a one time assigned registration number, in one too saved to the authentication provider accessible data directory is.

Die Übermittlung der Bestätigung der Authentizität des Teilnehmers von dem Authentifizierungsanbieter an den Dienstleistungsanbieter kann grundsätzlich auf verschiedenste Weise erfolgen und richtet sich insbesondere nach den technischen Möglichkeiten auf Seiten des Dienstleistungsanbieters. Eine Übermittlung über das elektronische Datennetz erlaubt eine automatische und damit auch schnelle Abwicklung des Vorgangs. Alternativ oder ergänzend kann die Bestätigung beispielsweise auch auf dem Weg der elektronischen Post, insbesondere per E-Mail über das Internet, erfolgen oder als elektronisch übermittelte Mitteilung über ein Intranet. Vorzugsweise kann der Dienstleistungsanbieter den Übertragungsweg bestimmen, beispielsweise indem er bei der Übermittlung der ermittelten Datennetzadresse des Authentifizierungsanbieters an den Teilnehmer automatisch Übermittlungsartdaten an den Datensatz anhängt, durch welche der Dienstleistungsanbieter festlegt, auf welchem Weg der Authentifizierungsanbieter dem Dienstleistungsanbieter die Bestätigung der Authentizität des Teilnehmers übermitteln soll.The transmission the confirmation the authenticity the subscriber from the authentication provider to the service provider can basically done in a variety of ways and is aimed in particular according to the technical possibilities on the part of the service provider. A transmission over the electronic data network allows automatic and therefore also fast processing of the process. Alternatively or additionally the confirmation the verification for example, by electronic mail, in particular via e-mail the Internet, or as an electronically transmitted notice of a Intranet. Preferably, the service provider may choose the transmission path determine, for example, by the transmission of the determined Data network address of the authentication provider to the subscriber automatically delivery type data attaches to the record, by which the service provider determines by which route the authentication provider confirms to the service provider authenticity of the participant should.

In einer besonderen Ausführungsart der Erfindung kann der Authentifizierungsanbieter auch aus den vom Teilnehmer empfangenen Daten, insbesondere aus zweiten Identifikationsdaten, die den Auftrag des Teilnehmers identifizieren, oder aus dritten Identifikationsdaten, die den Dienstleistungsanbieter identifizieren, unter Verwendung des Datenverzeichnisses den Dienstleistungsanbieter ermitteln, an den er die Bestätigung der Authentizität des Teilnehmers zu übermitteln hat. Gleichzeitig kann in diesem Datenverzeichnis auch ein Eintrag vorhanden sein, auf welchem Weg der Dienstleistungsanbieter die Bestätigung der Authentizität des Teilnehmers erwünscht, beispielsweise über das elektronische Datennetz, per Briefpost und/oder per Telefax.In a particular embodiment According to the invention, the authentication provider can also be selected from the Subscriber received data, in particular from second identification data, identifying the participant's job, or third Identification data identifying the service provider using the data directory, the service provider determine to which he the confirmation the authenticity of the participant Has. At the same time, an entry can also be made in this data directory be present on which way the service provider the confirmation the authenticity the participant wishes, for example about the electronic data network, by mail and / or by fax.

In einer besonderen Ausführungsart ist das Datenverzeichnis, aus dem der Dienstleistungsanbieter den Authentifizierungsanbieter ermittelt, und aus dem der Authentifizierungsanbieter den Dienstleistungsanbieter ermittelt, ein zentrales Verzeichnis der am Verfahren teilnehmenden Dienstleistungsanbieter und Authentifizierungsanbieter. Die Datenintegrität dieses Datenverzeichnisses muss gewährleistet sein, beispielsweise indem ein solches Datenverzeichnis an einer zentralen Stelle verwaltet wird und die Datenänderungen zentral eingepflegt werden. Die Abfrage dieses Datenverzeichnisses kann ebenfalls über ein elektronisches Datennetz erfolgen, gegebenenfalls sogar auch über das Internet. Für viele Anwendungen wird es vorteilhaft sein, wenn dieses Datenverzeichnis regelmäßig, beispielsweise täglich, von den Dienstleistungsanbietern oder den Authentifizierungsanbietern von der zentralen Stelle über ein Datennetz auf lokale Datenverarbeitungsvorrichtungen heruntergeladen wird und bei der Abarbeitung des erfindungsgemäßen Verfahrens mit einer lokalen Kopie des zentral verwalteten Datenverzeichnisses gearbeitet wird. Vorteilhaft ist außerdem, wenn der Teilnehmer keinen Zugriff auf das Datenverzeichnis hat.In a particular embodiment is the data directory from which the service provider provides the Authentication Provider and from which the authentication provider determines the service provider, a central directory of the participating in the process service providers and authentication providers. The data integrity this data directory must be guaranteed, for example by managing such a data directory in a central place will and the data changes be entered centrally. The query of this data directory can also over an electronic data network, possibly even on the Internet. For Many applications will be advantageous if this data directory regularly, for example daily of the service providers or the authentication providers from the central point over downloaded a data network to local computing devices is and in the execution of the method according to the invention with a local copy the centrally managed data directory is being worked on. Advantageous is also if the subscriber does not have access to the data directory.

Soweit an dem erfindungsgemäßen Verfahren als Authentifizierungsanbieter Institutionen teilnehmen, beispielsweise Kreditinstitute, insbesondere deren Rechenzentren, oder Kommunen, die bereits ein Verfahren gemäß DE 102 30 848 A1 etabliert haben, ist es erforderlich, dass diese Institutionen ihre Authentifizierungsdienstleistung auch allgemeinen Dienstleistungsanbietern zur Verfügung stellen, insbesondere anderen Kommunen, und sich in dem Datenverzeichnis dementsprechend registrieren lassen. Als erste Identifikationsdaten, die den Authentifizierungsanbieter identifizieren, kommt bei einem Kreditinstitut oder dessen Rechenzentrum beispielsweise die Bankleitzahl in Betracht, bei einer Kommune die Postleitzahl usw. Besondere Vorteile und eine hohe Sicherheitsstufe ergeben sich in der Ausgestaltung des erfindungsgemäßen Verfahrens, in welcher der Dienstleistungsanbieter an dem Datenaustausch zwischen dem Teilnehmer und dem Authentifizierungsanbieter nicht beteiligt ist, soweit es die sicherheitssensitiven Authentifizierungsdaten betrifft, und andererseits der Teilnehmer nicht an dem Datenaustausch zwischen Authentifizierungsanbieter und Dienstleistungsanbieter beteiligt ist, soweit es die Anfrage und vor allem Bestätigung der Authentizität des Teilnehmers betrifft.Insofar as participate in the inventive method as an authentication provider institutions, such as credit institutions, in particular their data centers, or municipalities that already have a method according to DE 102 30 848 A1 It is necessary that these institutions also provide their authentication service to general service providers, especially other municipalities, and register accordingly in the data directory. The first identification data that identifies the authentication provider is, for example, the bank code in the case of a bank or its data center, the postal code in the case of a municipality, etc. Particular advantages and a high level of security result in the configuration tion of the inventive method in which the service provider is not involved in the data exchange between the subscriber and the authentication provider, as far as the security-sensitive authentication data, and on the other hand, the subscriber is not involved in the data exchange between the authentication provider and service provider, as far as the request and before all confirmation of the authenticity of the participant.

Die vorliegende Erfindung betrifft auch eine Datenverarbeitungsvorrichtung bei einem Teilnehmer, einem Dienstleistungsanbieter oder einem Authentifizierungsanbieter, soweit die Datenverarbeitungsvorrichtung programmtechnisch eingerichtet ist zur Durchführung des erfindungsgemäßen Verfahrens.The The present invention also relates to a data processing apparatus at a subscriber, a service provider or an authentication provider, as far as the data processing device program-technically set up is to carry the method according to the invention.

Außerdem betrifft die Erfindung auch ein Datenverarbeitungssystem, wie es im zugehörigen nebengeordneten Patentanspruch bestimmt ist. Diesbezüglich ist eine besondere Ausführungsart der Erfindung, wenn das erfindungsgemäße Datenverarbeitungssystem die datenverarbeitungstechnischen Gegebenheiten aus dem Onlinebanking- Verfahren dahingehend integriert, dass mittels einer vom Teilnehmer abgegebenen Identifikationszeichenfolge (PIN) die korrekte Identifizierung des Teilnehmers verifiziert wird, und dass mittels einer vom Teilnehmer abgegebenen Transaktionszeichenfolge (TAN) die korrekte Autorisierung des Teilnehmers für das jeweilige Rechtsgeschäft verifiziert wird. Insgesamt ergibt sich bei Übereinstimmung von PIN und TAN mit den in der Datenverarbeitungsvorrichtung des Authentifizierungsanbieters gespeicherten Daten eine Authentifizierung des Teilnehmers, die anschließend gemäß dem vorstehend beschriebenen Verfahren an den Dienstleistungsanbieter übermittelbar ist.It also concerns the invention also a data processing system, as in the associated sibling Claim is determined. In this regard, a particular embodiment of the invention, when the data processing system according to the invention the data processing conditions from the online banking process to that effect integrated by means of an identification string (PIN) issued by the subscriber the correct identification of the participant is verified, and that by means of a transaction string issued by the subscriber (TAN) the correct authorization of the participant for the respective transaction is verified. Overall results in agreement of PIN and TAN with the data processing device of the authentication provider stored data authentication of the subscriber, the subsequently according to the above described method to the service provider is.

Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus den Unteransprüchen sowie der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen mehrere Ausführungsbeispiele im Einzelnen beschrieben ist. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein.Further Advantages, features and details of the invention will become apparent the dependent claims as well as the following description, with reference to FIG the drawings several embodiments is described in detail. It can in the claims and mentioned in the description Features individually for themselves or be essential to the invention in any combination.

1 zeigt in schematischer Darstellung den Ablauf des erfindungsgemäßen Verfahrens, und 1 shows a schematic representation of the sequence of the method according to the invention, and

2 zeigt die Datenfelder der ausgetauschten Daten. 2 shows the data fields of the exchanged data.

Die 1 zeigt in schematischer Darstellung den Ablauf des erfindungsgemäßen Verfahrens zur datentechnisch gesicherten elektronischen Kommunikation insbesondere zwischen Behörden und Bürgern. Ein beispielsweise in Stuttgart wohnhafter Teilnehmer 1 ist mit seiner Datenverarbeitungsvorrichtung 2 über das Internet 3 mit der Datenverarbeitungsvorrichtung 4 dies Dienstleistungsanbieters 5 verbunden, beispielsweise dem Abfallwirtschaftsamt der Kommune Karlsruhe, in welcher der Teilnehmer 1 eine Ferienwohnung besitzt. Der Teilnehmer 1 möchte nun auf elektronischem Wege dem Dienstleistungsanbieter 5 den Auftrag erteilen, alle vier Wochen den Mülleimer seiner Ferienwohnung in Karlsruhe zu leeren. Er fordert hierzu von der Datenverarbeitungsvorrichtung 4 des Dienstleistungsanbieters 5 ein Formular an, das ihm auf elektronischem Wege über das Internet 3 auf seine Datenverarbeitungsvorrichtung 2 übermittelt wird 6. An seiner Datenverarbeitungsvorrichtung 2 macht der Teilnehmer 1 die erforderlichen Eingaben, beispielsweise Größe der Mülltonne, Modus der Abholung usw.The 1 shows a schematic representation of the flow of the inventive method for data-secure electronic communication in particular between authorities and citizens. A resident, for example, in Stuttgart participants 1 is with his data processing device 2 over the internet 3 with the data processing device 4 this service provider 5 connected, for example, the waste management office of the municipality of Karlsruhe, in which the participants 1 owns a holiday apartment. Of the participants 1 now wants to electronically the service provider 5 to place the order to empty the bin of his apartment in Karlsruhe every four weeks. He requires this from the data processing device 4 of the service provider 5 a form available to him electronically via the Internet 3 to his data processing device 2 is transmitted 6 , At his data processing device 2 makes the participant 1 the required inputs, such as size of the garbage bin, mode of pickup, etc.

Der Teilnehmer 1 ist außerdem beim Authentifizierungsanbieter 7 registriert, beispielsweise seinem Kreditinstitut oder seiner Heimatkommune Stuttgart, d. h. die Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7 speichert Authentifizierungsdaten, die zuvor von dem Authentifizierungsanbieter 7 dem Teilnehmer 1 überlassen wurden oder zwischen dem Authentifizierungsanbieter 7 und dem Teilnehmer 1 vereinbart wurden. Im dargestellten Ausführungsbeispiel handelt es sich bei dem Authentifizierungsanbieter um das Rechenzentrum des Kreditinstitutes des Teilnehmers 1, bei welcher dieser sein Konto führt. Zum Zwecke der Durchführung von Onlinebankgeschäften wurde zwischen dem Authentifizierungsanbieter 7 und dem Teilnehmer 1 sowohl ein mehrfach verwendbares Kennwort in Form einer PIN vereinbart, als auch von dem Authentifizierungsanbieter 7 dem Teilnehmer 1 eine nur einmal verwendbare Transaktionsnummer TAN vorgegeben.Of the participants 1 is also with the authentication provider 7 registered, for example, his credit institution or his home town Stuttgart, ie the data processing device 8th of the authentication provider 7 stores authentication data previously from the authentication provider 7 the participant 1 have been left or between the authentication provider 7 and the participant 1 were agreed. In the illustrated embodiment, the authentication provider is the data center of the participant's financial institution 1 in which this leads his account. For the purpose of conducting online banking transactions has been made between the authentication provider 7 and the participant 1 both a reusable password in the form of a PIN agreed as well as by the authentication provider 7 the participant 1 given a single-use transaction number TAN.

Zur Authentifizierung seines Auftrages an dem Dienstleistungsanbieter 5 fügt der Teilnehmer 1 nach dem Ausfüllen des Formulars noch erste Identifikationsdaten hinzu, im vorliegenden Fall die Bankleitzahl des Kreditinstitutes, das von dem Authentifizierungsanbieter 7 rechentechnisch betreut wird. Anschließend sendet der Teilnehmer 1 das ausgefüllte Formular zusammen mit den ersten Identifikationsdaten auf elektronischem Wege über das Internet 3 an die Datenverarbeitungsvorrichtung 4 des Dienstleistungsanbieters 5, wie dies der Pfeil 9 kennzeichnet.To authenticate his order to the service provider 5 adds the participant 1 after filling in the form still added first identification data, in the present case, the bank code of the credit institution, that of the authentication provider 7 computer-aided. Subsequently, the participant sends 1 the completed form together with the first identification data electronically via the Internet 3 to the data processing device 4 of the service provider 5 like the arrow 9 features.

In der Datenverarbeitungsvorrichtung 4 werden zunächst die Formulardaten aus dem empfangenen Datenstrom extrahiert und auf Vollständigkeit und gegebenenfalls auch Integrität geprüft. Erforderlichenfalls fordert die Datenverarbeitungsvorrichtung 4 von dem Teilnehmer 1 fehlende oder unstimmige Daten nochmals an.In the data processing device 4 First, the form data is extracted from the received data stream and checked for completeness and, where appropriate, integrity. If necessary, the data processing device requires 4 from the participant 1 missing or inconsistent Data again.

Außerdem werden von der Datenverarbeitungsvorrichtung 4 automatisch die ersten Identifikationsdaten aus dem empfangenen Datenstrom extrahiert. Im dargestellten Ausführungsbeispiel wird über eine Datenfernabfrage 10 eines Datenverzeichnisses 11 die Datennetzadresse, insbesondere die Internetadresse des Authentifizierungsanbieters 7 bzw. der zugehörigen Datenverarbeitungsvorrichtung 8 abgefragt 10 und an den Dienstleistungsanbieter 5 gesandt 12.In addition, the data processing device 4 automatically extracts the first identification data from the received data stream. In the illustrated embodiment is via a remote data query 10 a data directory 11 the data network address, in particular the Internet address of the authentication provider 7 or the associated data processing device 8th queried 10 and to the service provider 5 sent 12 ,

Die Datenverarbeitungsvorrichtung 4 ordnet der Anfrage des Teilnehmers 1 eine eindeutige Vorgangskennzeichen zu, verknüpft dieses mit der aus dem Datenverzeichnis 11 empfangenen Internetadresse zu einer URL (Uniform Resource Locator), und übermittelt 13 die verknüpften Daten auf elektronischem Wege an die Datenverarbeitungsvorrichtung 2 des Teilnehmers 1. Ergänzend kann außer dem Vorgangskennzeichen auch noch ein Teil oder die Gesamtheit der Daten der Anfrage des Teilnehmers 1 an den Dienstleistungsanbieter 5 in die URL eingebunden werden, und/oder eine kurze Beschreibung der Anfrage des Teilnehmers 1, beispielsweise in Form eines Datenstrings durch Konkatenation (Verkettung) analog des Aufbaus einer URL. Außerdem kann alternativ oder ergänzend noch ein so genannter MAC (Method Authentication Code) gebildet und an den Datenstring angehängt werden. Die Daten können teilweise oder vollständig verschlüsselt werden.The data processing device 4 maps the request of the participant 1 assigns a unique process indicator to this from the data directory 11 received Internet address to a URL (Uniform Resource Locator), and transmitted 13 the linked data electronically to the data processing device 2 of the participant 1 , In addition, in addition to the operation indicator also a part or the entirety of the data of the request of the subscriber 1 to the service provider 5 embedded in the URL, and / or a brief description of the subscriber's request 1 , for example in the form of a data string by concatenation (concatenation) analogous to the structure of a URL. In addition, alternatively or additionally, a so-called MAC (Method Authentication Code) can be formed and attached to the data string. The data can be partially or completely encrypted.

Der Internetbrowser an der Datenverarbeitungsvorrichtung 2 des Teilnehmers 1 wechselt 14 nun automatisch per URL-Redirect zu der Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7, ohne dass es hierfür einer Eingabe des Teilnehmers 1 bedarf. Die Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7 prüft automatisch die Integrität der erhaltenen Daten. Hierzu gehört zunächst eine Prüfung der Integrität beispielsweise des MAC. Anschließend richtet 15 die Datenverarbeitungsvorrichtung 8 eine Anfrage an den Teilnehmer 1 betreffend Eingabe der PIN und einer TAN.The Internet browser on the data processing device 2 of the participant 1 change 14 now automatically via URL redirect to the data processing device 8th of the authentication provider 7 without this being an input of the participant 1 requirement. The data processing device 8th of the authentication provider 7 automatically checks the integrity of the data received. This first involves an integrity check, for example, of the MAC. Then judges 15 the data processing device 8th a request to the participant 1 concerning entry of the PIN and a TAN.

Der Teilnehmer 1 erhält diesbezüglich von der Datenverarbeitungsvorrichtung 8 vorzugsweise eine ihm aus den Onlinebankingvorgängen bekannte Eingabemaske, vorzugsweise zusammen mit einer kurzen Beschreibung der Anfrage des Teilnehmers 1 beim Dienstleistungsanbieter 5, damit dem Teilnehmer 1 ersichtlich ist, auf welchen Vorgang sich die Anfrage nach PIN und TAN bezieht. Die kurze Beschreibung wird dabei vorzugsweise bereits von dem Dienstleistungsanbieter 5 an den Authentifizierungsanbieter 7 übermittelt und der Authentifizierungsanbieter 7 extrahiert automatisch diese Daten aus dem empfangenen Datenstrom und fügt sie vorzugsweise unverändert in die an den Teilnehmer übersandte Eingabemaske. Der Teilnehmer 1 gibt in die Eingabemaske seine mehrfach verwendbare PIN und eine nur einmal verwendbare TAN ein und sendet einen entsprechenden Datensatz zurück 16 an die Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7.Of the participants 1 receives in this regard from the data processing device 8th preferably an input mask known to him from the online banking processes, preferably together with a brief description of the request of the subscriber 1 at the service provider 5 so that the participant 1 It can be seen on which process the request for PIN and TAN refers. The brief description is preferably already made by the service provider 5 to the authentication provider 7 and the authentication provider 7 automatically extracts this data from the received data stream and preferably inserts it unchanged into the input mask sent to the subscriber. Of the participants 1 enters its reusable PIN and a TAN that can only be used once in the input mask and sends back a corresponding data record 16 to the data processing device 8th of the authentication provider 7 ,

Aufgrund der empfangenen Daten nimmt die Datenverarbeitungsvorrichtung 8 automatisch eine Prüfung vor und authentifiziert gegebenenfalls den Teilnehmer 1 anhand der empfangenen Daten. Die Datenverarbeitungsvorrichtung 4 des Dienstleistungsanbieters 5 ist hierbei nicht beteiligt, sodass ein Missbrauch der Authentifizierungsdaten des Teilnehmers 1, insbesondere eine Kenntnis seiner PIN und TAN, zuverlässig verhindert ist.Due to the received data, the data processing device takes 8th automatically checks and, if necessary, authenticates the participant 1 based on the received data. The data processing device 4 of the service provider 5 is not involved in this, so that an abuse of the authentication data of the participant 1 , in particular a knowledge of his PIN and TAN, is reliably prevented.

Außerdem ermittelt die Datenverarbeitungsvorrichtung 8 aufgrund der empfangenen Daten die Identität des Dienstleistungsanbieters 5, gegebenenfalls durch Abfrage 17 des Datenverzeichnisses 11. Entweder in dem von der Datenverarbeitungsvorrichtung 4 erzeugten und über die Datenverarbeitungsvorrichtung 2 des Teilnehmers 1 übermittelten 14 Datenstroms ist bereits eine Angabe enthalten, auf welchem Wege der Dienstleistungsanbieter 5 eine Bestätigung der Authentifizierung des Teilnehmers wünscht, oder eine solche Angabe ist fest im erfindungsgemäßen System vorgegeben, oder eine solche Angabe enthält die Datenverarbeitungsvorrichtung 8 von dem Datenverzeichnis 11 im Wege der Antwort 18 auf eine diesbezügliche Anfrage 17.In addition, the data processing device determines 8th based on the data received the identity of the service provider 5 , if necessary by query 17 of the data directory 11 , Either in the of the data processing device 4 generated and via the data processing device 2 of the participant 1 submitted 14 Data stream is already an indication of how the service provider 5 a confirmation of the authentication of the subscriber wishes, or such an indication is fixed in the system according to the invention, or such an indication contains the data processing device 8th from the data directory 11 in the way of the answer 18 on a request in this regard 17 ,

Die Kommunikation zwischen Dienstleistungsanbieter 5 und Datenverzeichnis 11 und zwischen Authentifizierungsanbieter 7 und Datenverzeichnis 11 kann elektronisch über ein Datennetz erfolgen, beispielsweise über das Internet 3, oder über ein Intranet, oder das Datenverzeichnis 11 kann lokal am Ort des Dienstleistungsanbieters 11 bzw. des Authentifizierungsanbieters 7 verfügbar sein, beispielsweise als regelmäßig angefertigte Kopie eines zentral verwalteten Datenverzeichnisses 11.Communication between service providers 5 and data directory 11 and between authentication providers 7 and data directory 11 can be done electronically via a data network, for example via the Internet 3 , or via an intranet, or the data directory 11 can be locally on the site of the service provider 11 or the authentication provider 7 be available, for example, as a regularly made copy of a centrally managed data directory 11 ,

Die Bestätigung der Authentifizierung kann von der Datenverarbeitungsvorrichtung 8 an den Dienstleistungsanbieter 5 auf verschiedenen Wegen erfolgen, grundsätzlich auch über das Internet 3. Vorzugsweise erfolgt eine solche Bestätigung der Authentifizierung unter Ausschluss der Datenverarbeitungsvorrichtung 2 des Teilnehmers 1, damit diesbezügliche Manipulationen ausgeschlossen sind. So kann die Bestätigung beispielsweise auf einem gesonderten elektronischen Datenkanal 19 erfolgen, per vorzugsweise automatisch erstellter Telefaxnachricht, per automatisch gesteuertem Anruf, oder sogar per Briefpost. Die Kommunikation zwischen dem Dienstleistungsanbieter 5 bzw. dessen Datenverarbeitungsvorrichtung 4 und dem Authentifizierungsanbieter 7 bzw. dessen Datenverarbeitungsvorrichtung 8 kann auch über besonders sichere signaturkonforme Verfahren abgewickelt werden. Die Kommunikation von und zu dem Teilnehmer 1 über das Internet 3 wird vorzugsweise unter Verwendung des Internetprotokolls „https" durchgeführt.The authentication confirmation may be from the data processing device 8th to the service provider 5 in different ways, in principle also over the Internet 3 , Preferably, such authentication of the authentication takes place to the exclusion of the data processing device 2 of the participant 1 , so that manipulations in this regard are excluded. For example, the confirmation may be on a separate electronic data channel 19 done by preferably automatically created fax message, automatically controlled call, or even by mail. The communication between the service provider 5 or its data processing device 4 and the authentication provider 7 or its data processing device 8th can also be handled via particularly secure signature-compliant procedures. The communication from and to the participant 1 over the internet 3 is preferably performed using the internet protocol "https".

Seitens des Dienstleistungsanbieters 5 oder des Authentifizierungsanbieters 7 werden vorzugsweise automatisch elektronische Protokolle über alle relevanten Datenverarbeitungsvorgänge erstellt, insbesondere über die empfangenen und gesendeten Daten, damit eine Nachweisbarkeit von Transaktionen weitestgehend gewährleistet ist.On the part of the service provider 5 or the authentication provider 7 Preferably, electronic logs are automatically generated on all relevant data processing operations, in particular on the received and transmitted data, so that a traceability of transactions is largely ensured.

Bei dem Authentifizierungsanbieter 7 kann es sich auch um die Heimatkommune des Teilnehmers 1 handeln, sofern dieser dort für ein entsprechendes Verfahren, wie es in der DE 102 30 848 A1 beschrieben ist, registriert ist. Auch hierbei kann es zu einer Einbindung der aus dem Onlinebanking bekannten und gut etablierten Verfahren mit der anerkannt hohen Übertragungssicherheit kommen.At the authentication provider 7 It can also be the home community of the participant 1 provided that they are there for an appropriate procedure, as stated in the DE 102 30 848 A1 is registered. Here, too, there may be an integration of the well-established and well-established online banking processes with the acknowledged high transmission reliability.

Die 2 zeigt die Datenfelder der zwischen den Datenverarbeitungsvorrichtungen 2, 4 und 8 des Teilnehmers 1, des Dienstleistungsanbieters 5 bzw. des Authentifizierungsanbieters 7 ausgetauschten Daten. Dem Teilnehmer 1 wird auf seiner Datenverarbeitungsvorrichtung 2 das über das Internet 3 übermittelte Formular betreffend die Regelung der Müllabfuhr übersandt.The 2 shows the data fields of the between the data processing devices 2 . 4 and 8th of the participant 1 , the service provider 5 or the authentication provider 7 exchanged data. The participant 1 is on his data processing device 2 that over the internet 3 submitted form concerning the garbage collection system.

Der Teilnehmer 1 macht diesbezügliche Angaben, beispielsweise das es sich bei der Mülltonne um einen 80 I-Behälter handelt, dass die Müllabfuhr ab dem 1. März 2004 erfolgen soll und dass die Müllabfuhr alle vier Wochen erfolgen soll. Die zugehörigen Daten werden in einem Teildatenfeld 21 zusammengefasst, das die eigentlichen Formulardaten umfasst.Of the participants 1 makes relevant information, for example, that it is the bin 80 I container, that the garbage disposal should take place from 1 March 2004 and that the garbage removal should take place every four weeks. The associated data is in a sub-data field 21 summarized, which includes the actual form data.

Weiterhin fügt der Teilnehmer 1 erste Identifikationsdaten 22 hinzu, durch welche er den Authentifizierungsanbieter 7 bestimmt und dieser für den Dienstleistungsanbieter 5 identifizierbar ist. Dabei kann es sich beispielsweise um die Bankleitzahl seines Kreditinstitutes handeln, mit dem er zuvor Authentifizierungsdaten vereinbart hat. Alternativ oder ergänzend kann es sich um die Postleitzahl seiner Heimatkommune handeln, mit der er entsprechende Authentifizierungsdaten vereinbart hat. Insbesondere kann der Teilnehmer 1 mehrere Authentifizierungsanbieter 7 dem Dienstleistungsanbieter 5 zur Auswahl stellen. Die ersten Identifikationsdaten werden in dem Teildatenfeld 22 zusammengefasst.Furthermore, the participant adds 1 first identification data 22 through which he is the authentication provider 7 certainly and this for the service provider 5 is identifiable. This can be, for example, the bank code of his bank, with which he has previously agreed on authentication data. Alternatively or additionally, it may be the postcode of his home town, with whom he has agreed appropriate authentication data. In particular, the participant can 1 multiple authentication providers 7 the service provider 5 to choose from. The first identification data is in the sub-data field 22 summarized.

Die beiden Teildatenfelder 21, 22 werden als Gesamtdatenfeld 20 an die Datenverarbeitungsvorrichtung 4 des Dienstleistungsanbieters 5 über das Internet 3 zurückgesandt 9.The two partial data fields 21 . 22 be as a total data field 20 to the data processing device 4 of the service provider 5 over the internet 3 returned 9 ,

Die Datenverarbeitungsvorrichtung 4 extrahiert das Teildatenfeld 21 und prüft dieses automatisch auf Vollständigkeit und Schlüssigkeit; erforderlichenfalls wird der Teilnehmer 1 über das Internet 3 zur ergänzenden oder korrigierenden Dateneingabe aufgefordert.The data processing device 4 extracts the sub data field 21 and automatically checks this for completeness and conclusiveness; if necessary, the participant 1 over the internet 3 for supplementary or corrective data entry.

Die Datenverarbeitungsvorrichtung 4 extrahiert das Teildatenfeld 22 und ermittelt durch elektronischen Datenaustausch 10, 12 mit dem Datenverzeichnis 11 die Internetadresse des vom Teilnehmer 1 vorgegebenen Authentifizierungsanbieters 7. Insbesondere erhält 12 die Datenverarbeitungsvorrichtung 4 des Dienstleistungsanbieters 5 eine Datennetzadresse, insbesondere eine Internetadresse, des Authentifizierungsanbieters 7 bzw. dessen Datenverarbeitungsvorrichtung 8. Diese Datennetzadresse 23 wird einem von dem Dienstleistungsanbieter 5 erzeugten Datenfeld 24 als Adressfeld 23 vorangestellt. Weiterhin fügt der Dienstleistungsanbieter 5 automatisch zweite Identifikationsdaten 25 hinzu, welche den Auftrag des Teilnehmers 1 an den Dienstleistungsanbieter 5 eindeutig identifizieren. Außerdem fügt der Dienstleistungsanbieter 5 dritte Identifikationsdaten 26 hinzu, welche den Dienstleistungsanbieter 5 gegenüber dem Authentifizierungsanbieter 7 identifizieren. Zuletzt werden noch Übermittlungsartdaten 27 angehängt, durch welche der Dienstleistungsanbieter 5 festlegt, auf welchem Wege der Authentifizierungsanbieter dem Dienstleistungsanbieter 5 die Bestätigung der Authentizität des Teilnehmers 1 übermitteln soll.The data processing device 4 extracts the sub data field 22 and determined by electronic data exchange 10 . 12 with the data directory 11 the internet address of the participant 1 given authentication provider 7 , In particular receives 12 the data processing device 4 of the service provider 5 a data network address, in particular an Internet address, of the authentication provider 7 or its data processing device 8th , This data network address 23 becomes one of the service provider 5 generated data field 24 as an address field 23 prefixed. Furthermore, the service provider adds 5 automatically second identification data 25 add the order of the participant 1 to the service provider 5 clearly identify. It also adds the service provider 5 third identification data 26 which is the service provider 5 to the authentication provider 7 identify. Last are still delivery type data 27 attached by which the service provider 5 determines the way in which the authentication provider the service provider 5 the confirmation of the authenticity of the participant 1 should transmit.

Das Gesamtdatenfeld 24 wird über das Internet 3 an die Datenverarbeitungsvorrichtung 2 des Teilnehmers 1 in Form einer URL zurückgesandt 13. Daraufhin baut die Datenverarbeitungsvorrichtung 2 automatisch, und ohne dass es einer Mitwirkung des Teilnehmers 1 bedarf, eine Verbindung zu der Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7 auf 14. Diese übermittelt 15 an den Teilnehmer 1 eine Eingabemaske 28, die zunächst Angaben 29 enthält, welche den vom Teilnehmer 1 an den Dienstleistungsanbieter 5 übermittelten Auftrag identifizieren. Weiterhin fordert die Eingabemaske 28 den Teilnehmer 1 zur Eingabe seiner PIN und einer TAN auf. Diese Eingaben werden an die Datenverarbeitungsvorrichtung 8 des Authentifizierungsanbieters 7 übermittelt 16, beispielsweise auch über die bestehende Internetverbindung 3.The total data field 24 is over the internet 3 to the data processing device 2 of the participant 1 in the form of a URL returned 13 , Then the data processing device builds 2 automatically, and without the participation of the participant 1 requires a connection to the data processing device 8th of the authentication provider 7 on 14 , This transmitted 15 to the participant 1 an input mask 28 , the first information 29 Contains which of the participant 1 to the service provider 5 identify the submitted order. Furthermore, the input mask requests 28 the participant 1 to enter his PIN and a TAN. These inputs are sent to the data processing device 8th of the authentication provider 7 transmitted 16 , for example, over the existing Internet connection 3 ,

Daraufhin ermittelt der Authentifizierungsanbieter 7 durch einen Datenaustausch 17, 18 mit dem Datenverzeichnis 11 zunächst eine Adresse des Dienstleistungsanbieters 5 unter Berücksichtigung der Übermittlungsartdaten 27. Gegebenenfalls übermittelt der Authentifizierungsanbieter 7 eine Bestätigung der Authentizität des Teilnehmers 1 an den Dienstleistungsanbieter 5. Erfolgt diese Bestätigung auf elektronischem Wege, wird hierzu ein Datenfeld 30 übermittelt, welches zunächst die aus dem Datenverzeichnis 11 ermittelte Adresse 31 des Dienstleistungsanbieters 5 enthält. Weiterhin umfasst das Datenfeld 30 die vom Dienstleistungsanbieter 5 vergebene Vorgangsnummer 25 sowie ein vereinbartes Datenformat 32 zur Bestätigung der Authentizität des Teilnehmers 1. Die Übermittlung der Bestätigung kann gegebenenfalls auch auf nicht elektronischem Wege erfolgen, beispielsweise durch Telefax, Briefpost oder Anruf.The authentication provider then determines 7 through a data exchange 17 . 18 with the data directory 11 first an address of the service provider 5 taking into account the transmission type data 27 , If necessary, the authentication provider submits 7 a confirmation of the authenticity of the participant 1 to the service provider 5 , If this confirmation is sent electronically, this will be a data field 30 transmitted, which first from the data directory 11 determined address 31 of the service provider 5 contains. Furthermore, the data field includes 30 those from the service provider 5 assigned transaction number 25 as well as an agreed data format 32 to confirm the authenticity of the participant 1 , The transmission of the confirmation may also be made by non-electronic means, for example by fax, mail or phone call.

Alternativ zum beschriebenen Ausführungsbeispiel wäre es auch möglich, dass die vom Dienstleistungsanbieter 5 vergebene Vorgangsnummer 25 von dem Dienstleistungsanbieter 5 direkt an den Authentifizierungsanbieter 7 übermittelt wird, insbesondere unter Ausschluss der Datenverarbeitungsvorrichtung 2 des Teilnehmers 1, um diesbezügliche Manipulationsmöglichkeiten auszuschließen. Eine solche Übermittlung kann ebenfalls auf elektronischem Wege erfolgen, gegebenenfalls sogar ebenfalls über das Internet 3 oder über ein sonstiges Datennetz. In diesem Fall werden von dem Dienstleistungsanbieter 5 an den Authentifizierungsanbieter 7 zusammen mit den Daten 25 zur Identifikation des Vorganges auch Daten zur Identifikation des Teilnehmers 1 übermittelt, damit der Authentifizierungsanbieter 7 den zur Authentifizierung anstehenden Vorgang dem jeweiligen Teilnehmer 1 zuordnen kann.Alternatively to the described embodiment, it would also be possible for the service provider 5 assigned transaction number 25 from the service provider 5 directly to the authentication provider 7 is transmitted, in particular to the exclusion of the data processing device 2 of the participant 1 to exclude any possibility of manipulation. Such a transmission can also be done electronically, possibly even via the internet 3 or via another data network. In this case, the service provider 5 to the authentication provider 7 along with the data 25 To identify the process also data for the identification of the participant 1 submitted to the authentication provider 7 the process awaiting authentication to the respective participant 1 can assign.

Der Dienstleistungsanbieter 5 kann dem an den Authentifizierungsanbieter 7 zu übermittelnden Datenfeld 24 auch Signaturdaten 32 hinzufügen, durch welche der Authentifizierungsanbieter 7 die Integrität der vom Teilnehmer 1 erhaltenen Daten anhand von im Datenverzeichnis 11 gespeicherten Referenzdaten überprüfen kann. Das Datenverzeichnis 11 ist für den Teilnehmer 1 bzw. dessen Datenverarbeitungsvorrichtung 2 nicht zugänglich, sodass diesbezügliche Manipulationsmöglichkeiten ausgeschlossen sind.The service provider 5 can that to the authentication provider 7 to be transmitted data field 24 also signature data 32 add through which the authentication provider 7 the integrity of the participant 1 obtained data in the data directory 11 stored reference data can check. The data directory 11 is for the participant 1 or its data processing device 2 not accessible, so that related manipulation possibilities are excluded.

Claims (14)

Verfahren zur datentechnisch gesicherten elektronischen Kommunikation zwischen einem Teilnehmer (1) und einem Dienstleistungsanbieter (5), insbesondere zwischen einem Bürger und einer Behörde, wobei Teilnehmer (1) und Dienstleistungsanbieter (5) an ein elektronisches Datennetz angeschlossen sind, und wobei ein von dem Teilnehmer (1) an den Dienstleistungsanbieter (5) über das Datennetz kommunizierter Auftrag von einem Authentifizierungsanbieter (7) auf Authentizität geprüft wird anhand von Authentifizierungsdaten, welche zuvor von dem Authentifizierungsanbieter (7) dem Teilnehmer (1) überlassenen wurden oder zwischen dem Authentifizierungsanbieter (7) und dem Teilnehmer (1) vereinbart wurden, und wobei der Auftrag von dem Dienstleistungsanbieter (5) nur ausgeführt wird, wenn der Authentifizierungsanbieter (7) dem Dienstleistungsanbieter (5) die Authentizität des Teilnehmers bestätigt, dadurch gekennzeichnet, dass der Teilnehmer (1) seinem über das Datennetz kommunizierten Auftrag an den Dienstleistungsanbieter (5) erste Identifikationsdaten (22) hinzufügt, durch welche der Authentifizierungsanbieter (7) identifizierbar ist, • dass eine Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) aus dem vom Teilnehmer (1) empfangenen Datensatz (20) diese ersten Identifikationsdaten (22) automatisch extrahiert, • dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) aus den ersten Identifikationsdaten (22) mittels eines Datenverzeichnisses (11) automatisch eine Datennetzadresse (23) einer Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) ermittelt, • dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) die ermittelte Datennetzadresse (23) über das Datennetz automatisch an den Teilnehmer (1) übermittelt, und die Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) daraufhin automatisch eine Verbindung über das Datennetz zu der Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) aufbaut, • dass die Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) von dem Teilnehmer (1) Authentifizierungsdaten anfordert, diese nach Erhalt automatisch anhand der beim Authentifizierungsanbieter (7) gespeicherten Daten prüft, und gegebenenfalls dem Dienstleistungsanbieter (5) eine Bestätigung der Authentizität des Teilnehmers (1) übermittelt.Method for data-secure electronic communication between a subscriber ( 1 ) and a service provider ( 5 ), in particular between a citizen and an authority, whereby participants ( 1 ) and service providers ( 5 ) are connected to an electronic data network, and one of the participants ( 1 ) to the service provider ( 5 ) via the data network communicated order from an authentication provider ( 7 ) is checked for authenticity on the basis of authentication data which has previously been used by the authentication provider ( 7 ) the participant ( 1 ) or between the authentication provider ( 7 ) and the participant ( 1 ) and the order has been placed by the service provider ( 5 ) is executed only when the authentication provider ( 7 ) the service provider ( 5 ) confirms the authenticity of the subscriber, characterized in that the subscriber ( 1 ) its order communicated to the service provider via the data network ( 5 ) first identification data ( 22 ) by which the authentication provider ( 7 ) is identifiable, that a data processing device ( 4 ) of the service provider ( 5 ) from the participant ( 1 received record ( 20 ) this first identification data ( 22 ) automatically extracted, • that the data processing device ( 4 ) of the service provider ( 5 ) from the first identification data ( 22 ) by means of a data directory ( 11 ) a data network address ( 23 ) a data processing device ( 8th ) of the authentication provider ( 7 ), that the data processing device ( 4 ) of the service provider ( 5 ) the determined data network address ( 23 ) via the data network automatically to the subscriber ( 1 ), and the data processing device ( 2 ) of the participant ( 1 ) automatically connects via the data network to the data processing device ( 8th ) of the authentication provider ( 7 ), that the data processing device ( 8th ) of the authentication provider ( 7 ) of the participant ( 1 ) Requests authentication data after receiving it automatically using the authentication provider ( 7 ) and, if applicable, the service provider ( 5 ) a confirmation of the authenticity of the participant ( 1 ) transmitted. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) bei der Übermittlung der ermittelten Datennetzadresse (23) an die Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) automatisch zweite Identifikationsdaten (25) an den Datensatz (24) anhängt, welche den Auftrag des Teilnehmers (1) identifizieren.Method according to Claim 1, characterized in that the data processing device ( 4 ) of the service provider ( 5 ) in the transmission of the determined data network address ( 23 ) to the data processing device ( 2 ) of the participant ( 1 ) automatically generates second identification data ( 25 ) to the record ( 24 ), which matches the order of the participant ( 1 ). Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) bei der Übermittlung der ermittelten Datennetzadresse (23) an die Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) automatisch dritte Identifikationsdaten (26) an den Datensatz (24) anhängt, welche den Dienstleistungsanbieter (5) identifizieren.Method according to claim 1 or 2, characterized in that the data processing device ( 4 ) of the service provider ( 5 ) in the transmission of the determined data network address ( 23 ) to the data processing device ( 2 ) of the participant ( 1 ) automatically generates third identification data ( 26 ) to the record ( 24 ) indicating the service provider ( 5 ). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) bei der Übermittlung der ermittelten Datennetzadresse (23) an die Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) automatisch Übermittlungsartdaten (27) an den Datensatz (24) anhängt, durch welche der Dienstleistungsanbieter (5) festgelegt, auf welchem Weg der Authentifizierungsanbieter (7) dem Dienstleistungsanbieter (5) die Bestätigung der Authentizität des Teilnehmers (1) übermittelt.Method according to one of claims 1 to 3, characterized in that the data processing device ( 4 ) of the service provider ( 5 ) in the transmission of the determined data network address ( 23 ) to the data processing device ( 2 ) of the participant ( 1 ) automatically transmission type data ( 27 ) to the record ( 24 ) by which the service provider ( 5 ) determines the way in which the authentication provider ( 7 ) the service provider ( 5 ) the confirmation of the authenticity of the participant ( 1 ) transmitted. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Authentifizierungsanbieter (7) aus den vom Teilnehmer (1) empfangenen Daten mittels des Datenverzeichnisses (11) den Dienstleistungsanbieter (5) ermittelt, an den er die Bestätigung der Authentizität des Teilnehmers (1) zu übermitteln hat.Method according to one of claims 1 to 4, characterized in that the authentication provider ( 7 ) from the participants ( 1 ) received data by means of the data directory ( 11 ) the service provider ( 5 ) confirming the authenticity of the subscriber ( 1 ). Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der Dienstleistungsanbieter (5) und der Authentifizierungsanbieter (7) auf das gleiche Datenverzeichnis (11) zugreifen, dessen Datenintegrität gesichert ist.Method according to one of claims 1 to 5, characterized in that the service provider ( 5 ) and the authentication provider ( 7 ) to the same data directory ( 11 ) whose data integrity is secure. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Übermittlung der Bestätigung der Authentizität des Teilnehmers (1) von dem Authentifizierungsanbieter (7) an den Dienstleistungsanbieter (5) unter Ausschluss einer Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) erfolgt.Method according to one of Claims 1 to 6, characterized in that the transmission of the confirmation of the authenticity of the subscriber ( 1 ) by the authentication provider ( 7 ) to the service provider ( 5 ) excluding a data processing device ( 2 ) of the participant ( 1 ) he follows. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Authentifizierungsanbieter (7) die Heimatkommune des Teilnehmers (1) ist.Method according to one of claims 1 to 7, characterized in that the authentication provider ( 7 ) the home town of the participant ( 1 ). Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Authentifizierungsanbieter (7) das Kreditinstitut oder ein Rechenzentrum des Kreditinstituts des Teilnehmers (1) ist.Method according to one of claims 1 to 7, characterized in that the authentication provider ( 7 ) the credit institution or a computer center of the participant's credit institution ( 1 ). Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Authentifizierungsdaten des Teilnehmers (1) eine Identifikationszeichenfolge (PIN) und/oder die Transaktionszeichenfolge (TAN) umfassen.Method according to one of claims 1 to 9, characterized in that the authentication data of the subscriber ( 1 ) comprise an identification string (PIN) and / or the transaction string (TAN). Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass das Datennetz ein öffentlich zugängliches Datennetz ist, insbesondere das Internet (3).Method according to one of claims 1 to 10, characterized in that the data network is a publicly available data network, in particular the Internet ( 3 ). Datenverarbeitungsvorrichtung (2, 4, 8) bei einem Teilnehmer (1), einem Dienstleistungsanbieter (5) oder einem Authentifizierungsanbieter (7), dadurch gekennzeichnet, dass die Datenverarbeitungsvorrichtung (2, 4, 8) programmtechnisch eingerichtet ist zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 11.Data processing device ( 2 . 4 . 8th ) with a participant ( 1 ), a service provider ( 5 ) or an authentication provider ( 7 ), characterized in that the data processing device ( 2 . 4 . 8th ) is technically designed to carry out the method according to one of claims 1 to 11. Datenverarbeitungssystem zur datentechnisch gesicherten elektronischen Kommunikation zwischen einem Teilnehmer (1) und einem Dienstleistungsanbieter (5), insbesondere zwischen einem Bürger und einer Behörde, wobei Teilnehmer (1) und Dienstleistungsanbieter (5) mit jeweils einer Datenverarbeitungsvorrichtung (2, 4) an ein elektronisches Datennetz angeschlossen sind, und wobei ein von dem Teilnehmer (1) an den Dienstleistungsanbieter (5) über das Datennetz kommunizierter Auftrag von einem Authentifizierungsanbieter (7) mittels einer Datenverarbeitungsvorrichtung (8) auf Authentizität geprüft wird anhand von Authentifizierungsdaten, welche zuvor von dem Authentifizierungsanbieter (7) dem Teilnehmer (1) überlassenen wurden oder zwischen dem Authentifizierungsanbieter (7) und dem Teilnehmer (1) vereinbart wurden, und wobei der Auftrag von dem Dienstleistungsanbieter (5) nur ausgeführt wird, wenn der Authentifizierungsanbieter (7) dem Dienstleistungsanbieter (5) die Authentizität des Teilnehmers (1) bestätigt, dadurch gekennzeichnet, • dass der Teilnehmer (1) seinem über das Datennetz kommunizierten Auftrag an den Dienstleistungsanbieter (5) mittels seiner Datenverarbeitungsvorrichtung (2) erste Identifikationsdaten (22) hinzufügt, durch welche der Authentifizierungsanbieter (7) identifizierbar ist, • dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) aus einem vom Teilnehmer (1) empfangenen Datensatz (20) diese ersten Identifikationsdaten (22) automatisch extrahiert, • dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) aus den ersten Identifikationsdaten (22) mittels eines Datenverzeichnisses (11) automatisch eine Datennetzadresse (23) der Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) ermittelt, • dass die Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) die ermittelte Datennetzadresse (23) über das Datennetz automatisch an den Teilnehmer (1) übermittelt, und die Datenverarbeitungsvorrichtung (2) des Teilnehmers (1) daraufhin automatisch eine Verbindung über das Datennetz zu der Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) aufbaut, • dass die Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) von dem Teilnehmer (1) Authentifizierungsdaten anfordert, diese nach Erhalt automatisch anhand der in der Datenverarbeitungsvorrichtung (8) des Authentifizierungsanbieters (7) gespeicherten Daten prüft, und gegebenenfalls der Datenverarbeitungsvorrichtung (4) des Dienstleistungsanbieters (5) eine Bestätigung der Authentizität des Teilnehmers (1) übermittelt.Data processing system for data-secure electronic communication between a subscriber ( 1 ) and a service provider ( 5 ), in particular between a citizen and an authority, whereby participants ( 1 ) and service providers ( 5 ) each with a data processing device ( 2 . 4 ) are connected to an electronic data network, and one of the participants ( 1 ) to the service provider ( 5 ) via the data network communicated order from an authentication provider ( 7 ) by means of a data processing device ( 8th ) is checked for authenticity on the basis of authentication data which has previously been used by the authentication provider ( 7 ) the participant ( 1 ) or between the authentication provider ( 7 ) and the participant ( 1 ) and the order has been placed by the service provider ( 5 ) is executed only when the authentication provider ( 7 ) the service provider ( 5 ) the authenticity of the participant ( 1 ), characterized in that • the participant ( 1 ) its order communicated to the service provider via the data network ( 5 ) by means of its data processing device ( 2 ) first identification data ( 22 ) by which the authentication provider ( 7 ) is identifiable, that the data processing device ( 4 ) of the service provider ( 5 ) from one of the participants ( 1 received record ( 20 ) this first identification data ( 22 ) automatically extracted, • that the data processing device ( 4 ) of the service provider ( 5 ) from the first identification data ( 22 ) by means of a data directory ( 11 ) a data network address ( 23 ) of the data processing device ( 8th ) of the authentication provider ( 7 ), that the data processing device ( 4 ) of the service provider ( 5 ) the determined data network address ( 23 ) via the data network automatically to the subscriber ( 1 ), and the data processing device ( 2 ) of the participant ( 1 ) automatically connects via the data network to the data processing device ( 8th ) of the authentication provider ( 7 ), that the data processing device ( 8th ) of the authentication provider ( 7 ) of the participant ( 1 ) Requests authentication data on receipt of the data in the data processing device ( 8th ) of the authentication provider ( 7 ) and possibly the data processing device ( 4 ) of the service provider ( 5 ) a confirmation of the authenticity of the participant ( 1 ) transmitted. Datenverarbeitungssystem nach Anspruch 13, dadurch gekennzeichnet, dass durch die elektronische Kommunikation Vorgänge wie Rechtsgeschäfte, Transaktionen oder dergleichen, autorisierbar sind, insbesondere dass mittels einer vom Teilnehmer (1) abgegebenen Identifikationszeichenfolge (PIN) die korrekte Identifizierung des Teilnehmers (1) verifiziert wird, und dass mittels einer vom Teilnehmer (1) abgegebenen Transaktionszeichenfolge (TAN) die korrekte Autorisierung des Teilnehmers (1) für das jeweilige Rechtsgeschäft verifiziert wird.Data processing system according to claim 13, characterized in that transactions such as legal transactions, transactions or the like can be authorized by the electronic communication, in particular that by means of one of the subscriber ( 1 ) identification string (PIN) the correct identification of the subscriber ( 1 ) and that by means of one of the participants ( 1 ) Transaction string (TAN) the correct authorization of the participant ( 1 ) is verified for the respective legal transaction.
DE200410032883 2004-07-07 2004-07-07 Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider Withdrawn DE102004032883A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200410032883 DE102004032883A1 (en) 2004-07-07 2004-07-07 Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200410032883 DE102004032883A1 (en) 2004-07-07 2004-07-07 Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider

Publications (1)

Publication Number Publication Date
DE102004032883A1 true DE102004032883A1 (en) 2006-02-02

Family

ID=35530030

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410032883 Withdrawn DE102004032883A1 (en) 2004-07-07 2004-07-07 Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider

Country Status (1)

Country Link
DE (1) DE102004032883A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5740361A (en) * 1996-06-03 1998-04-14 Compuserve Incorporated System for remote pass-phrase authentication
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US20010037469A1 (en) * 1999-05-11 2001-11-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6510236B1 (en) * 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
DE10230848A1 (en) * 2002-07-04 2004-01-22 Fiducia Ag Karlsruhe/Stuttgart Process and data processing system for secure communication between authorities and citizens

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5740361A (en) * 1996-06-03 1998-04-14 Compuserve Incorporated System for remote pass-phrase authentication
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6510236B1 (en) * 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US20010037469A1 (en) * 1999-05-11 2001-11-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
DE10230848A1 (en) * 2002-07-04 2004-01-22 Fiducia Ag Karlsruhe/Stuttgart Process and data processing system for secure communication between authorities and citizens

Similar Documents

Publication Publication Date Title
EP3452941B1 (en) Method for electronically documenting license information
EP3949309B1 (en) Digital certificate and method for securely providing a public key
DE60122349T2 (en) METHODS FOR PRODUCING PROOF TESTS FOR SENDING AND RECEIVING AN ELECTRONIC WRITING AND ITS CONTENTS THROUGH A NETWORK
DE10028500A1 (en) Process for installing software in hardware
WO2013152986A1 (en) Secure generation of a user account in a service server
DE102007045981A1 (en) Online banking system and online banking method for data-secure electronic communication
DE102019217738A1 (en) Computer-implemented method for controlling and monitoring the distribution of verified personal user data of a user on a large number of provider servers
EP4224786A1 (en) Method and device for creating electronic signatures
DE10048731A1 (en) Billing procedure using SSL / TLS
EP1701282A1 (en) Computer system and method for signing, signature verification and/or archiving
DE102009031143B3 (en) Apparatus and method for creating and validating a digital certificate
DE102004032883A1 (en) Electronic data communication method for use in data processing system, involves effecting request by service provider when authentication provider confirms authenticity of subscriber to service provider
EP4193567A1 (en) Method for securely equipping a vehicle with an individual certificate
DE102017105396A1 (en) System for electronically signing a document
EP1625467B1 (en) Electronic transmission of documents
DE102005061999B4 (en) Online banking method for the secure, electronic transmission of data from a first data processing device to a second data processing device
EP1854241A1 (en) Method for preparation of electronic certificates for use in electronic signatures
EP1378843A1 (en) Method and data processing system for secure communication between authorities and citizens
WO2019096489A1 (en) Method and device for processing authenticity certificates for entities, particularly people-related, service-related and/or object-related digital certificates
DE10112166A1 (en) Proof of transaction
EP3840321B1 (en) Method and system for authenticating a mobile id using hash values
WO1998002991A1 (en) Key distribution process between two units in an isdn/internet connection
WO2002028005A2 (en) Method and reader used to produce digital signatures
DE3619566A1 (en) Method and system for data transmission
EP3881486B1 (en) Method for providing proof of origin for a digital key pair

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal