DE102005030305A1 - Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer - Google Patents

Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer Download PDF

Info

Publication number
DE102005030305A1
DE102005030305A1 DE200510030305 DE102005030305A DE102005030305A1 DE 102005030305 A1 DE102005030305 A1 DE 102005030305A1 DE 200510030305 DE200510030305 DE 200510030305 DE 102005030305 A DE102005030305 A DE 102005030305A DE 102005030305 A1 DE102005030305 A1 DE 102005030305A1
Authority
DE
Germany
Prior art keywords
authentication data
data
computer
service
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200510030305
Other languages
English (en)
Inventor
Andreas Deppe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE200510030305 priority Critical patent/DE102005030305A1/de
Publication of DE102005030305A1 publication Critical patent/DE102005030305A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/346Cards serving only as information carrier of service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur digitalen Authentifizierung bei Diensten mit einem Computer und einem mobilen Datenträger, der eine eindeutige ID aufweist, wobei der mobile Datenträger am Computer angeschlossen ist und auf dem mobilen Datenträger digitale Authentifizierungsdaten abgelegt sind, die mit der eindeutigen ID verknüpft sind. Das Verfahren umfasst folgende Schritte bei der Authentifizierung: DOLLAR A - Lesen der Authentifizierungsdaten vom Datenträger, DOLLAR A - Lesen der ID vom Datenträger, DOLLAR A - Überprüfen, ob eine zulässige Verknüpfung von Authentifizierungsdaten mit der ID vorliegt, und wenn das der Fall ist, Bereitstellung der Authentifizierungsdaten.

Description

  • Die Erfindung betrifft ein Verfahren, einen Datenträger und ein Computersystem zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums, auf dem die Authentifizierungsinformationen abgelegt sind.
  • Gebiet der Erfindung:
  • Benutzer von netzbasierten Diensten müssen sich in der Regel eine Reihe von Passwörtern merken, die für unterschiedliche Dienste meistens verschieden ausfallen, um den Dienst verwenden zu können. Mögliche Dienste sind hierbei Onlinebanking, Email-Verwaltung, Internetshops etc. Die Industrie hat hierfür bereits eine Reihe von Lösungen entwickelt, die z.B. auf der Abspeicherung von Passwörtern auf USB-Sticks basieren, die wahlweise auch durch biometrische Daten gesichert sind. Andere externe Speichermedien wie EC-Karten sind ebenfalls im Einsatz.
  • Aus den Seiten http://www.password-depot.com/knowhow/security standard.htm und
    http://www.sharewareconnection.com/titles/passwordgenerator.htm
    sind Verfahren bekannt, die eine Ablage von Passwörtern oder Authentifizierungsinformationen auf einem USB-Stick oder einem anderen Speichermedium erlauben. Nachteilig bei dem Stand der Technik ist es jedoch, dass diese Informationen einfach zu kopieren sind.
    •
  • Aufgabe der Erfindung:
  • Aufgabe der Erfindung ist es, einen schwer kopierbaren Authentifizierungsdatenträger bereitzustellen.
  • Übersicht über die Erfindung: Diese Aufgabe wird durch die Erfindung mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.
  • Eine eindeutige Authentifizierung eines Benutzers erfolgt mit Hilfe von Hardware in Form eines externen Datenträgers (z.B. einem USB-Stick). Hierbei wird, wie beim USB-Stick, auf schwer fälschbare Merkmale des USB-Sticks selbst zurückgegriffen – nämlich einer eindeutigen ID-Nummer, die bei der Herstellung des Stick einmalig und eindeutig vergeben wird. Diese Nummer wird z.B. an Passwörter oder andere Authentifizierungsdaten gebunden. Aufgrund dieser Bindung ist ein Kopieren des Inhalts des USB-Sticks nicht möglich, da ein neuer USB-Stick eine andere ID-Nummer aufweist.
  • So sind wesentliche Bestandteile der Erfindung und der möglichen Ausführungsformen, dass
    • a) eine Client/Server gestützte Authentifizierung mit einem Identity Provider unterstützt wird;
    • b) die verschlüsselten Identitätsdaten an eine eindeutige Hardware Seriennummer gebunden sind;
    • c) der USB-Stick herstellerunabhängig funktioniert.
  • Die zwei vorgestellten neuen Lösungen ermöglichen es eine Passwortspeicherung bzw. ein Single Sign On mit Hilfe eines gewöhnlichen USB Speicher Sticks vorzunehmen. Der Vorteile liegt darin, dass diese Speichersticks eine inzwischen hohe Marktverbreitung besitzen und den Besitzern somit ein herstellerunabhängiges Verfahren zur Verwaltung ihrer Passwörter angeboten werden kann.
  • In einer Ausführungsform des Verfahrens kann nicht nur ein Benutzername und Passwort auf dem Stick gespeichert und verschlüsselt werden, sondern es werden die Credentials (User ID, Passwörter oder Token) mit Hilfe eines kryptografischen Verfahrens, das die einmalige Hardware Id eines solchen USB-Sticks oder eines anderen externen Speichergeräts, das eine eindeutige ID aufweist, verschlüsselt, wodurch diese an den Stick gebunden werden und damit eine Kopie unbrauchbar wird. Eine falsche Hardware ID führt folglich dazu, dass der Inhalt des externen Speichermediums nicht mehr lesbar ist.
  • Des Weiteren wird ein zweites Verfahren vorgestellt, das auf der Vergabe eines geheimen Tokens beruht, den der Benutzer selber nicht kennt – und somit entgegen einem Passwort auch nicht mündlich oder schriftlich weitergeben kann.
  • Detaillierte Beschreibung:
  • Microsoft legt in der USB Mass Storage Class Bulk-Only Transport Specification (4.1.1) für alle Memory Sticks mit „Designed for Windows" Logo fest, dass diese eine eindeutige 12-stellige Seriennummer besitzen müssen. Diese Nummer kann über eine entsprechende API ausgelesen werden.
  • Beide hier beschriebenen Verfahren machen sich diesen Ansatz zunutze und setzten auf eine solche API (z.B. Java-JUSB) auf. Es ist auch denkbar den Zugriff auf die ID über andere Verfahren zu steuern. Z.B. kann der Speicherstick, die Informationen auf der Basis eines Interrupts zur Verfügung stellen.
  • Ein wesentlicher Bestandteil des Ablaufs der Verfahren ist die Verwendung der HW-Seriennummer des Memory-Sticks in Verbindung mit einer persönlichen Id als Identifikations- und Authentifikations-Kriterium von Personen.
  • Im Folgenden wird die Verschlüsslung und Hardware Bindung von Username und Passwort beschrieben.
  • Beim Surfen im Internet erkennt ein Web-Browser PlugIn die Web-Seite, die mit einer Passwortabfrage versehen ist. Dies kann anhand des HTML-Codes und der URL erfolgen. Ferner merkt bzw. speichert das Verfahren die angesteuerten Web-Seiten die einen Benutzernamen oder eine Passwortabfrage enthalten.
  • Gelangt ein Benutzer das erste Mal auf eine Seite, die eine solche Abfrage enthält, fragt das PlugIn ob die Login Daten auf einem Memory-Stick gespeichert werden sollen. Ist dies der Fall, wird entweder auf einem angeschlossenen USB-Stick die Hardware Id ausgelesen oder der Benutzer wird aufgefordert, einen Stick an den Rechner anzuschließen.
  • Nachdem das PlugIn die Hardware Id des Sticks ermittelt hat, wird über diese Daten eine Prüfsumme gebildet. Danach verschlüsselt das Programm den eingegeben Usernamen und das Passwort mit Hilfe eines Hashwert-Verfahrens, das als Schlüssel die Hardware Id des Memory Sticks verwendet. Andere Verschlüsselungsverfahren sind ebenfalls denkbar, wie sie bei Standardverschlüsselungsverfahren (DES, AES) eingesetzt werden. Die erzeugten Daten werden gemeinsam mit der Prüfsumme mit einem aus der URL der betreffenden Seite gebildeten Code als Dateinamen in einem dafür eingerichteten Verzeichnis des Sticks abgelegt.
  • In einer weiteren möglichen Ausführungsform wird zusätzlich ein Zugangspasswort in das Standardverschlüsselungsverfahren integriert, so dass zumindest beim ersten Zugriff auf die Daten auf dem Stick ein Schutz gegen unberechtigtes Lesen besteht. Die Einstellung kann jedoch auch so aussehen, dass das Passwort vor jedem Zugriff auf die Login-Daten abgefragt wird.
  • Gelangt der Benutzer ein zweites Mal auf die Webseite, sucht das PlugIn auf dem ggf. angeschlossenen Memory Stick nach der codierten Datei, die durch die verschlüsselte URL repräsentiert wird. Es wird darauf hingewiesen, dass auch andere Ansätze gewählt werden können, um eine Zuordnung des Login-Dialogs zu den Passwörtern sicherzustellen. Da sich die Seiten im Internet häufig ändern, sollten Bestandteile in die Zuordnung der Login-Daten zum Login-Dialog bzw. zur Web-Site mit den Login-Feldern gut gewählt werden. Häufig verändert sich nicht die Domain, die Namen der Eingabefelder und auch in einigen Fällen die URL nicht. Aus diesen Parametern kann ein Hash-Wert erzeugt werden, der es ermöglicht auf die richtigen Login-Daten zuzugreifen.
  • Wird folglich bei der Suche die Datei mit den Login-Daten gefunden, wird sie durch das PlugIn gemeinsam mit der Hardware Id des Sticks eingelesen. Das PlugIn versucht nun die Daten mit Hilfe der Hardware ID wieder zu entschlüsseln. Gelangt dies ggfs. in Kombination mit einem Passwort, stimmt folglich die gespeicherte Prüfsumme mit der errechneten überein. In diesem Fall werden die Login Daten in die entsprechenden Felder der Login Maske eingetragen.
  • Kopiert ein Benutzer die Dateien auf einen anderen Stick oder manipuliert er den Inhalt der Dateien ist eine Entschlüsselung nicht mehr möglich. In diesem Fall wird der Benutzer vom Programm zurückgewiesen und muss seine Daten mit der Hand eingeben.
  • Ein weitere Ausführungsform der Erfindung liegt im Single Sing On mit Hilfe eines Token im Sun Liberty-Kontext.
  • Im Gegensatz zum Beispiel 1 arbeitet hier kein Browser PlugIn sondern ein signiertes Java Applet oder andere signierte Programme, die vom Identitätsprovider beim Aufruf seiner Web-Seite geliefert werden.
  • Der Benutzer verbindet sich über eine authentifizierte Verbindung (z.B. seinen eigenen Telefonanschluss) mit seinem Identity Provider. Der Identity Provider liefert ein signiertes Java-Applet oder andere Programme, die ihrerseits auf den USB-Port des Rechners zugreifen und dort die Hardware Id des Memory Sticks auslesen; und nach einer Datei mit einer Id-Nummer suchen, die zuvor vom Identity Provider einmalig festgelegt wurde.
  • Im Fall der Erstanmeldung wird diese Id nicht gefunden. In diesem Fall fordert das Applet die Eingabe von Username und Passwort, baut eine SSL verschlüsselte Verbindung zu dem Identity Provider auf und übermittelt die Hardware Id sowie Username und Passwort. Der Identity Provider prüft Username und Pw und generiert, wenn diese richtig sind und zu dem Anschluss passen, aus der HW-Id und den User Credentials eine eindeutige kombinierte User/Stick-Id als einen eindeutigen Dateinamen. Diese Daten werden über das Applet zurückgeliefert. Das Applet schreibt die Id unter dem gegeben Dateinamen auf den USB-Stick.
  • Für den Fall das, der Benutzer über einen Redirect von einem anderen Dienst zu seinem Identity Provider kommt, wird auch noch ein Liberty Token zurückgeliefert, das dann vom Applet über den Browser an denn aufrufenden Dienst zurück gegeben wird.
  • Wenn der Benutzer bereits registriert ist, läuft der Vorgang ebenso wie gerade beschrieben ab, nur dass der Benutzer nicht mehr zur Eingabe von Username und Passwort aufgefordert wird, sondern das Applet die aus der Datei ausgelesene Id und die HW-Id des Memory Stick direkt an den Identity Provider überträgt. Dieser antwortet – wenn die Daten stimmen – mit einem Liberty Token, mit dem der Benutzer am aufrufenden Dienst wie er bei Liberty beschrieben ist, authentifiziert wird.
  • Für nicht Liberty basierte Systeme ist es auch denkbar, dass unterschiedliche Provider eine identische Serversoftware betreiben, die eine Auswertung vornimmt. In diesem Fall wäre ein Memory Stick mit allen Providern kompatibel, die über eine entsprechende Host Software verfügen.
    •
  • Kurze Beschreibung der Figuren:
  • Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen näher erläutert, die in den Figuren schematisch dargestellt sind. Gleiche Bezugsziffern in den einzelnen Figuren bezeichnen dabei gleiche Elemente. Im Einzelnen zeigt:
  • 1 einen Ablauf einer Registrierung einer Web-Seite, die eine Authentifizierung benötigt;
  • 2 einen Ablaufplan einer Authentifizierung einer Web-Seite basierend auf dem Verfahren nach 1;
  • 3 einen Ablaufplan einer Registrierung auf der Basis eines Java Applets und dem Liberty Ansatz;
  • 4 einen Ablaufplan einer Authentifizierung mit Java Applet und Liberty basierend auf der Registrierung nach 3.
  • Bevorzugte Ausführungsformen:
  • Im Rahmen der Erfindung sind zahlreiche Abwandlungen und Weiterbildungen der beschriebenen Ausführungsbeispiele verwirklichbar.
  • Die Figuren sind so detailliert, dass sie in der Regel selbstbeschreibend sind. In 1 greift der Benutzer auf einen Service zu. Dieser Service ist eine Web Applikation. Diese Applikation wird über eine URL angesprochen. Als Antwort verlangt der Service den Benutzernamen und das Passwort. In der vorliegenden Ausführungsform wird die URL durch einen bestimmten Algorithmus in einen Dateinamen übersetzt. Andere Ansätze sind jedoch auch denkbar, so kann über einen Index (z.b. Hash Index) auf eine bestimmte Position in einer Datei gesprungen werden. Im Folgenden wird überprüft, ob der Dateiname vorhanden ist. Da es sich um eine Erstanmeldung handelt, ist der Dateiname auf dem externen Speichermedium nicht vorhanden. Somit wird die Datei mit dem Benutzernamen, dem Passwort sowie der Verknüpfung mit der ID des Speichermediums abgelegt. Bei der Ablage wird die Datei mit dem Benutzernamen, dem Passwort und mit der Hardware ID verschlüsselt, zusätzlich kann ebenfalls die URL zur Verschlüsselung dienen und es kann eine Prüfsummen gebildet werden. Die so erzeugte Datei wird auf dem externen Speicher abgelegt. Danach werden die gespeicherten Benutzernamen und das Passwort durch das PlugIn im Formular des Browsers abgelegt und an den Dienst übertragen, so dass ein Login erfolgen kann.
  • 2 zeigt den Ablauf des Zugriffs, wenn bereits eine Registrierung wie nach 1 erfolgt ist. Anhand der URL und des Benutzernamens wird der Dateiname bestimmt. Die Datei wird durch den Speicherstick zur Verfügung gestellt. Es wird durch das PlugIn die Hardware ID des Speichermediums ausgelesen. Im Folgenden wird dann eine Entschlüsselung der Datei vorgenommen. Ferner wird die Prüfsumme überprüft. Der so bereitgestellte Benutzername und das Passwort werden durch das PlugIn in das Formular im Browser eingetragen und an den Dienst übermittelt, so dass ein Login erfolgen kann.
  • Die 3 zeigt die Registrierung auf der Basis des Liberty Ansatzes mit einem Java Applet. Im ersten Schritt wird ein Identity Provider adressiert, der gegebenenfalls durch einen Redirect adressiert wird. Der Liberty Server übermittelt ein Java Applet, das nach einem Dateinamen sucht. Das Java Applet wird auf dem Rechner des Benutzers gestartet, um dann auf dem Speicherelement zu prüfen, ob der Dateiname vorhanden ist. Im vorliegenden Fall ist die Datei nicht vorhanden, so dass sie zu erzeugen ist. Das Java Applet liest die Hardware ID des Speichermediums aus und fragt in einer Benutzerinteraktion nach einem Benutzernamen und einem Passwort. Die gesammelten Informationen wie Benutzername, Passwort und Hardware ID werden an den Libertyserver übermittelt. Der generiert aus diesen Informationen eine verschlüsselte Datei, die an das Java Applet übermittelt wird. Ferner wird eine Token übermittelt, der als Zugangskennung für den Dienst dient. Das Java Applet schreibt die Datei auf das externe Speichermedium. Der übermittelte Token wird verwendet, um sich beim Dienst beziehungsweise Service anzumelden.
  • Die 4 zeigt die Authentifizierung nach dem Liberty Verfahren, falls eine Registrierung für den Service in 3 bereits erfolgt ist. Zuerst wird der Identity Provider z. B. in Form des Liberty Servers aufgerufen. Dieser übermittelt ein Java Applet. Es können jedoch auch andere ausführbare Dateien bzw. Programme (.Net etc.) übermittelt werden. Nach dem Start des Java Applet überprüft dieses, ob eine Datei mit einem entsprechenden Dateinamen existiert, wie sie vom Liberty Server vorgegeben wurde. Falls die Datei existiert, wird die Hardware ID des externen Speichermediums ausgelesen. Die Hardware ID wird über eine sichere Verbindung (SSL) zum Liberty Server gesendet. Dieser überprüft die Hardware ID und die Daten der Datei, die auf dem externen Speichermedien abgelegt waren, um dann zu entscheiden, ob ein Token übermittelt wird, der zur Authentifizierung an einem Service dient. Ist die Überprüfung erfolgreich wird ein Token an das Java Applet übermittelt. Der Token wird wiederum beim Service hinterlegt, um so eine Authentifizierung zu erlangen.
    • Liste der zitierten Literatur: http://www.password-depot.com/know-how/security standard.htm http://www.sharewareconnection.com/titles/passwordgenerator.htm

Claims (17)

  1. Verfahren zur digitalen Authentifizierung bei Diensten mit einem Computer und einem mobilen Datenträger, der eine eindeutige ID aufweist, wobei der mobile Datenträger am Computer angeschlossen ist und auf dem mobilen Datenträger digitale Authentifizierungsdaten abgelegt sind, die mit der eindeutigen ID verknüpft sind, umfassend folgende Schritte bei der Authentifizierung: – Lesen der Authentifizierungsdaten vom Datenträger, – Lesen der ID vom Datenträger, – Überprüfen, ob eine zulässige Verknüpfung von Authentifizierungsdaten mit der ID vorliegt, und wenn das der Fall ist, Bereitstellung der Authentifizierungsdaten.
  2. Verfahren nach dem vorhergehenden Anspruch, wobei die Überprüfung, ob eine zulässige Verknüpfung vorliegt, über einen Identity-Provider erfolgt, wobei die Authentifizierungsdaten und die ID an diesen übermittelt werden, um durch den Identity-Provider Zugangsinformationen bereitzustellen, insbesondere einen Liberty Token, die dann an den Service übermittelt werden.
  3. Verfahren nach dem vorhergehenden Anspruch, wobei der Identity-Provider überprüft, ob die Authentifizierungsdaten mit der ID korrespondieren.
  4. Verfahren nach einem oder mehreren der vorhergehenden zwei Ansprüche, wobei die Verbindung zum Identity-Provider über eine authentifizierte Verbindung erfolgt.
  5. Verfahren nach einem oder mehreren der vorhergehenden drei Ansprüche, wobei die Zugangsinformation direkt vom Liberty-Service an den Dienst oder über den Computer mit dem externen Datenträger weitergereicht werden.
  6. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Authentifizierungsdaten als Datei auf einem Flash-Speichermedium abgelegt sind.
  7. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Authentifizierungsdaten auf einem USB-Speicherstick abgelegt sind.
  8. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Authentifizierungsdaten und die ID durch eine Prüfsumme miteinander verknüpft sind.
  9. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Authentifizierungsdaten durch die ID verschlüsselt sind.
  10. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Authentifizierungsdaten zusätzlich durch ein Passwort gesichert sind, das eine zusätzliche Verschlüsselung vornimmt.
  11. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Vielzahl von Authentifizierungsdaten für unterschiedliche Dienste gespeichert sind.
  12. Verfahren nach dem vorhergehenden Anspruch, wobei eine Zuordnung von Diensten zu jeweils den Authentifizierungsdaten erfolgt, so dass ein Zugriff über die Kennung des Dienstes auf die Authentifizierungsdaten erfolgen kann.
  13. Verfahren nach einem oder mehreren der vorhergehenden zwei Ansprüche, wobei die Zuordnung durch ein Browser PlugIn erfolgt, dass anhand von Eigenarten und/oder Besonderheiten der Web-Seite die richtigen Authentifizierungsdaten lädt, um sie dann in die Authentifizierungsfelder der Web-Seite einzutragen.
  14. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei beim Fehlen von Authentifizierungsdaten auf dem Speichermedium diese auf dem Speichermedium erstellt werden, wobei ein Benutzerdialog erfolgen kann und wobei die ID Daten mit den Authentifizierungsdaten verknüpft werden.
  15. Software für einen Computer, dadurch gekennzeichnet, dass ein Verfahren nach einem oder mehreren der vorhergehenden Ansprüche implementiert ist.
  16. Datenträger für einen Computer, gekennzeichnet durch die Speicherung einer Software nach dem vorhergehenden Softwareanspruch.
  17. Computersystem, gekennzeichnet durch eine Einrichtung, die beim Starten den Ablauf eines Verfahrens nach einem oder mehreren der vorhergehenden Verfahrensansprüche implementiert.
DE200510030305 2005-06-23 2005-06-23 Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer Withdrawn DE102005030305A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510030305 DE102005030305A1 (de) 2005-06-23 2005-06-23 Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510030305 DE102005030305A1 (de) 2005-06-23 2005-06-23 Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer

Publications (1)

Publication Number Publication Date
DE102005030305A1 true DE102005030305A1 (de) 2007-01-04

Family

ID=37544967

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510030305 Withdrawn DE102005030305A1 (de) 2005-06-23 2005-06-23 Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer

Country Status (1)

Country Link
DE (1) DE102005030305A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009052983A1 (de) * 2007-10-24 2009-04-30 Giesecke & Devrient Gmbh Internet-smart-card
EP2096570A1 (de) 2008-02-29 2009-09-02 Micon e.V. - Verein zur Förderung der Mobilität im Internet und in Kommunikationsnetzen e.V. Mobiles Computersystem zum Ausführen von sicheren Transaktionen über ein ungeschütztes Kommunikationsnetzwerk
DE102014113576A1 (de) 2014-09-19 2016-03-24 Universität Paderborn Verfahren und Vorrichtung zum Übermitteln von Daten zwischen einem mobilen Gerät und einem Computer
CN111831998A (zh) * 2020-07-28 2020-10-27 武汉市测绘研究院 一种离线状态下bs应用服务绑定硬件码的身份验证方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050074122A1 (en) * 2003-10-07 2005-04-07 Koolspan, Inc. Mass subscriber management
WO2005059793A1 (en) * 2003-12-01 2005-06-30 Hyungmin Kim Electronic settlement system and method using serial number including identification of software, contents or electronic information, and computer-readable recording medium for recording program for performing the method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050074122A1 (en) * 2003-10-07 2005-04-07 Koolspan, Inc. Mass subscriber management
WO2005059793A1 (en) * 2003-12-01 2005-06-30 Hyungmin Kim Electronic settlement system and method using serial number including identification of software, contents or electronic information, and computer-readable recording medium for recording program for performing the method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009052983A1 (de) * 2007-10-24 2009-04-30 Giesecke & Devrient Gmbh Internet-smart-card
US9210168B2 (en) 2007-10-24 2015-12-08 Giesecke & Devrient Gmbh Internet-smart-card
EP2096570A1 (de) 2008-02-29 2009-09-02 Micon e.V. - Verein zur Förderung der Mobilität im Internet und in Kommunikationsnetzen e.V. Mobiles Computersystem zum Ausführen von sicheren Transaktionen über ein ungeschütztes Kommunikationsnetzwerk
DE102008012427A1 (de) 2008-02-29 2009-09-03 MICON e.V. - Verein zur Förderung der Mobilität im Internet und in Kommunikationsnetzen e.V. Mobiles Computersystem zum Ausführen von sicheren Transaktionen über ein ungeschütztes Kommunikationsnetzwerk
DE102014113576A1 (de) 2014-09-19 2016-03-24 Universität Paderborn Verfahren und Vorrichtung zum Übermitteln von Daten zwischen einem mobilen Gerät und einem Computer
CN111831998A (zh) * 2020-07-28 2020-10-27 武汉市测绘研究院 一种离线状态下bs应用服务绑定硬件码的身份验证方法

Similar Documents

Publication Publication Date Title
EP2245573B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2454703B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2454704B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2304642B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP1358533B1 (de) Verfahren, anordnung und sicherheitsmedium zur authentifizierung eines benutzers
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
EP2332313A2 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
EP3748521B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2620892B1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
DE102005030305A1 (de) Verahren zur digitalen Authentifizierung unter Verwendung eines externen Speichermediums für einen Computer
WO2013152986A1 (de) Sichere generierung eines nutzerkontos in einem dienstserver
EP3206151B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
EP3244331B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3298526B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3304846B1 (de) Identifikation einer person auf der basis eines transformierten biometrischen referenzmerkmals
DE102005061999B4 (de) Online-Banking-Verfahren zum sicheren, elektronischen Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
EP1365363B1 (de) Verfahren zur Ausführung einer Datentransaktion mittels einer aus einer Haupt- und einer trennbaren Hilfskomponente bestehenden Transaktionsvorrichtung
EP2645670A1 (de) Bereitstellung von Identitätsattributen eines Nutzers
EP3283999A1 (de) Elektronisches system zur erzeugung eines zertifikats
WO2017009019A1 (de) Verfahren zum lesen von attributen aus einem id-token, id-token, attribut-provider-computersystem und computersystem
EP3304807A1 (de) Identifikation einer person auf der basis eines transformierten biometrischen referenzmerkmals

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
8130 Withdrawal