DE102013101834A1 - Attribute network entity for providing personal attributes for the creation of digital attribute certificates - Google Patents

Attribute network entity for providing personal attributes for the creation of digital attribute certificates Download PDF

Info

Publication number
DE102013101834A1
DE102013101834A1 DE102013101834.3A DE102013101834A DE102013101834A1 DE 102013101834 A1 DE102013101834 A1 DE 102013101834A1 DE 102013101834 A DE102013101834 A DE 102013101834A DE 102013101834 A1 DE102013101834 A1 DE 102013101834A1
Authority
DE
Germany
Prior art keywords
attribute
network entity
person
identification
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102013101834.3A
Other languages
German (de)
Other versions
DE102013101834B4 (en
Inventor
Marcel Selhorst
Ulrich Matejek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE102013101834.3A priority Critical patent/DE102013101834B4/en
Priority to PCT/EP2014/053295 priority patent/WO2014128199A1/en
Publication of DE102013101834A1 publication Critical patent/DE102013101834A1/en
Application granted granted Critical
Publication of DE102013101834B4 publication Critical patent/DE102013101834B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die Erfindung betrifft eine Attributnetzwerkentität (100) zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten, mit einer Attributdatenbank (101) mit einem Attributdatensatz (105), wobei der Attributdatensatz (105) zumindest ein Attribut einer Person umfasst, und wobei dem Attributdatensatz (105) eine Attributidentifikation zugeordnet ist, und einer Kommunikationsschnittstelle (103), welche ansprechend auf den Empfang einer Referenzidentifikation über ein Kommunikationsnetzwerk ausgebildet ist, den Attributdatensatz (105) über ein Kommunikationsnetzwerk auszusenden, falls die Referenzidentifikation der Attributidentifikation entspricht.The invention relates to an attribute network entity (100) for providing personal attributes for the creation of digital attribute certificates, with an attribute database (101) with an attribute data set (105), the attribute data set (105) comprising at least one attribute of a person, and the attribute data set (105) an attribute identification is assigned, and a communication interface (103) which is designed to send the attribute data set (105) over a communication network in response to the receipt of a reference identification via a communication network, if the reference identification corresponds to the attribute identification.

Description

Die vorliegende Erfindung betrifft das Gebiet der digitalen Attributzertifikate. The present invention relates to the field of digital attribute certificates.

Zur elektronischen Signierung von Dokumenten können digitale Signaturzertifikate verwendet werden, welche einer signierenden Person zugeordnet sind. Digitale Signaturzertifikate werden üblicherweise von Zertifizierungsstellen, beispielsweise D-Trust, ausgestellt. For electronic signing of documents digital signature certificates can be used, which are assigned to a signing person. Digital signature certificates are usually issued by certification authorities, such as D-Trust.

Ein digitales Signaturzertifikat kann beispielsweise die Angaben gemäß der EG-Signaturrichtlinie 1999/93/EG umfassen wie den Namen der Person und einen Signaturprüfschlüssel. Das Signaturzertifikat kann ferner eines oder mehrere Attribute der Person angeben. Hierbei kann es sich um eine Organisationszugehörigkeitsbestätigung (OZB) oder um eine Angabe einer Stellung der Person in einer Organisation, beispielsweise in einem Unternehmen, handeln. Ein digitales Signaturzertifikat mit der Angabe des Attributs der Person wird auch als ein digitales Signaturzertifikat für die qualifizierte elektronische Signatur (QES) bezeichnet. Die digitalen Signaturzertifikate werden üblicherweise auf einer sicheren Signaturerstellungseinheit (SSEE), beispielsweise einer Signaturkarte, oder in einem elektronisch auslesbaren Chip eines Identifikationsdokuments gespeichert. A digital signature certificate can, for example, the information according to the EC Signature Directive 1999/93 / EC include such as the name of the person and a signature verification key. The signature certificate may further specify one or more attributes of the person. This may be an Organization Affiliation Confirmation (OZB) or an indication of a position of the person in an organization, such as a company. A digital signature certificate indicating the attribute of the person is also referred to as a digital signature certificate for Qualified Electronic Signature (QES). The digital signature certificates are usually stored on a secure signature creation unit (SSEE), for example a signature card, or in an electronically readable chip of an identification document.

Die Attribute von Personen werden derzeit durch die Zertifizierungsstellen verwaltet. Dadurch ist das Ausstellen von unterschiedlichen digitalen Attributzertifikaten für Personen unterschiedlicher Organisationen erschwert. The attributes of people are currently managed by the certification authorities. This makes it difficult to issue different digital attribute certificates for people from different organizations.

Es ist die Aufgabe der vorliegenden Erfindung, ein effizienteres Konzept zur Erzeugung von digitalen Attributzertifikaten zu schaffen. It is the object of the present invention to provide a more efficient concept for generating digital attribute certificates.

Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der anhängigen Ansprüche, der Beschreibung und der Figuren. This object is solved by the features of the independent claims. Advantageous forms of further development are the subject matter of the appended claims, the description and the figures.

Die Erfindung basiert auf der Erkenntnis, dass die obige Aufgabe durch die Schaffung zumindest einer dezentralen Attributdatenbank, in welcher beispielsweise organisationsspezifische bzw. unternehmensspezifische Attribute von Personen abgelegt sind, gelöst werden kann. Die Attributdatenbank kann beispielsweise durch eine Zertifizierungsstelle akkreditiert werden. Die Attributdatenbank kann mittels einer Attributnetzwerkentität realisiert werden, welche mit einer Zertifizierungsstelle über ein Kommunikationsnetzwerk kommunizieren kann. Dadurch wird die Verwaltung der Attribute dezentralisiert, sodass die Zertifizierungsstellen beispielsweise auf unterschiedliche Attributdatenbanken zugreifen können, um beispielsweise unterschiedliche Attribute derselben Person für verschiedene Organisationen abzurufen. The invention is based on the finding that the above object can be achieved by creating at least one decentralized attribute database in which, for example, organization-specific or company-specific attributes of persons are stored. The attribute database can be accredited, for example, by a certification authority. The attribute database can be realized by means of an attribute network entity which can communicate with a certification authority via a communication network. This decentralizes the management of the attributes so that, for example, the certification authorities can access different attribute databases, for example, to retrieve different attributes of the same person for different organizations.

Auf diese Weise wird eine vorteilhafte, dezentrale und von einer Zertifizierungsstelle getrennte Verwaltung von Attributen von Personen erreicht. Dies ermöglicht das Betreiben einer Mehrzahl von beispielsweise unternehmensspezifischen Attributnetzwerkentitäten, sodass stets eindeutige Attribute bereitgestellt und zur Erzeugung von digitalen Attributzertifikaten verwenden werden können. In this way, an advantageous, decentralized and separate from a certification authority management of attributes of persons is achieved. This allows for the operation of a plurality of, for example, enterprise-specific attribute network entities, so that unique attributes can always be provided and used to generate digital attribute certificates.

Gemäß einem Aspekt betrifft die Erfindung eine Attributnetzwerkentität zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten, mit einer Attributdatenbank mit einem Attributdatensatz, wobei der Attributdatensatz zumindest ein Attribut einer Person umfasst, und wobei dem Attributdatensatz eine Attributidentifikation zugeordnet ist, und einer Kommunikationsschnittstelle, welche ansprechend auf den Empfang einer Referenzidentifikation über ein Kommunikationsnetzwerk ausgebildet ist, den Attributdatensatz über ein Kommunikationsnetzwerk auszusenden, falls die Referenzidentifikation der Attributidentifikation entspricht. Hierzu kann die Kommunikationsschnittstelle ausgebildet sein, die Referenzidentifikation von einer entfernten Zertifizierungsstelle über das Kommunikationsnetzwerk zu empfangen. According to one aspect, the invention relates to an attribute network entity for providing personal attributes for the creation of digital attribute certificates, comprising an attribute database having an attribute data record, wherein the attribute data record comprises at least one attribute of a person, and wherein the attribute data record is assigned an attribute identification, and a communication interface, which is responsive to the receipt of a reference identifier via a communication network adapted to transmit the attribute data set via a communication network, if the reference identification corresponds to the attribute identification. For this purpose, the communication interface can be designed to receive the reference identification from a remote certification authority via the communication network.

Das digitale Attributzertifikat sowie das Attribut können Eigenschaften einer Person gemäß dem Signaturgesetz in dem jeweiligen Land, beispielsweise in Deutschland, oder einer vergleichbaren Regelung umfassen. So kann das Attribut beispielsweise Angaben zur Stellung der Person in einer Organisation wie in einem Unternehmen, wie etwa Geschäftsführer oder Prokurist und einen Namen der Person umfassen. Das Attribut liegt in digitaler Form vor und formt den Attributdatensatz oder ist ein Element des Attributdatensatzes. Der Attributdatensatz kann mehrere Attribute derselben Person umfassen. Die Attributidentifikation ist vorgesehen, den Attributdatensatz in der Attributdatenbank eindeutig zu kennzeichnen. The digital attribute certificate and the attribute may include characteristics of a person according to the signature law in the respective country, for example in Germany, or a comparable regulation. For example, the attribute may include information about the person's position in an organization such as a company, such as a manager or authorized signatory, and a name of the person. The attribute is in digital form and forms the attribute data set or is an element of the attribute data set. The attribute record may include multiple attributes of the same person. The attribute identification is intended to uniquely identify the attribute record in the attribute database.

Die Attributnetzwerkentität kann beispielsweise einem bestimmten Unternehmen zugeordnet sein. In diesem Falle betrifft das Attribut gemäß einer Ausführungsform ausschließlich die Stellung der Person in diesem bestimmten Unternehmen, beispielsweise als Geschäftsführer. Ist diese Person beispielsweise ebenfalls in einem anderen Unternehmen tätig, beispielsweise als Prokurist, so kann eine weitere Attributnetzwerkentität, welche dem anderen Unternehmen zugeordnet ist, ein anderes Attribut dieser Person bereitstellen, welches ausschließlich die Stellung dieser Person in dem anderen Unternehmen betrifft. For example, the attribute network entity may be associated with a particular enterprise. In this case, according to one embodiment, the attribute relates exclusively to the position of the person in that particular company, for example as a manager. For example, if this person also works in another company, for example as an authorized officer, another attribute network entity associated with the other company may provide another attribute of that person which relates solely to that person's position in the other company.

Bei der Attributidentifikation kann es sich um eine Attributdatenbankangabe handeln, welche ein Auffinden eines Datensatzes in der Attributdatenbank ermöglicht. The attribute identification can be an attribute database specification, which makes it possible to find a data record in the attribute database.

Gemäß einer Ausführungsform identifiziert die Attributidentifikation auch die Attributnetzwerkentität. Dies ist besonders dann vorteilhaft, wenn beispielsweise unterschiedlichen Unternehmen unterschiedliche Attributnetzwerkentitäten zugeordnet sind, welche jeweils unterschiedliche Attribute derselben Person, welche in unterschiedlichen Unternehmen tätig sein kann, bereitstellen. Durch die eindeutige Identifizierung der Attributnetzwerkentität wird sichergestellt, dass genau das durch diese Attributnetzwerkentität bereitgestellte Attribut abgefragt wird. According to one embodiment, the attribute identification also identifies the attribute network entity. This is particularly advantageous if, for example, different companies are assigned different attribute network entities, each of which provides different attributes of the same person who can be active in different companies. The unique identification of the attribute network entity ensures that the exact attribute provided by this attribute network entity is queried.

Gemäß einer Ausführungsform ist die Attributdatenbank ausgebildet, einen weiteren Attributdatensatz bereitzustellen, welcher ein anderes Attribut der Person umfasst, und wobei dem weiteren Attributdatensatz eine weitere Attributidentifikation zugeordnet ist, und wobei die Kommunikationsschnittstelle ausgebildet ist, den weiteren Attributdatensatz über das Kommunikationsnetzwerk auszusenden, falls die Referenzidentifikation der weiteren Attributidentifikation entspricht. According to one embodiment, the attribute database is configured to provide a further attribute data record, which comprises another attribute of the person, and wherein the further attribute data record is assigned a further attribute identification, and wherein the communication interface is designed to send out the further attribute data record via the communication network, if the reference identification the further attribute identification corresponds.

Das andere Attribut der Person kann beispielsweise Angaben zur Stellung der Person in einem anderen Unternehmen betreffen. Dadurch wird erreicht, dass dieselbe Attributnetzwerkentität unterschiedliche Attribute derselben Person speichern kann. Die unterschiedlichen Attribute können beispielsweise Angaben zu unterschiedlichen Stellungen dieser Person in unterschiedlichen Unternehmen bereitstellen. The other attribute of the person may, for example, relate to the position of the person in another company. This ensures that the same attribute network entity can store different attributes of the same person. For example, the different attributes may provide information about different positions of that person in different companies.

Gemäß einer Ausführungsform ist der jeweilige Attributdatensatz durch genau ein Attribut oder durch mehrere Attribute der Person gebildet. According to one embodiment, the respective attribute data set is formed by exactly one attribute or by several attributes of the person.

Gemäß einer Ausführungsform ist die Attributnetzwerkentität ausgebildet, die Referenzidentifikation mit der jeweiligen Attributidentifikation zu vergleichen. Der Vergleich kann beispielsweise durch die Kommunikationsschnittstelle oder durch die Attributdatenbank oder durch einen Prozessor der Attributnetzwerkentität durchgeführt werden. Bei Übereinstimmung der Referenzidentifikation mit der jeweiligen Attributidentifikation ist festzustellen, dass die Referenzidentifikation der weiteren Attributidentifikation entspricht. According to one embodiment, the attribute network entity is configured to compare the reference identification with the respective attribute identification. The comparison can be performed, for example, by the communication interface or by the attribute database or by a processor of the attribute network entity. If the reference identification matches the respective attribute identification, it must be stated that the reference identification corresponds to the further attribute identification.

Gemäß einer Ausführungsform umfasst die jeweilige Attributidentifikation eine Attributnummer oder einen Attributindex, wobei die Referenzidentifikation eine Referenznummer oder einen Referenzindex umfasst. Bei dem jeweiligen Index oder bei der jeweiligen Nummer kann es sich um einen Attributdatenbankindex oder eine Attributdatenbanknummer handeln, welche ein Auffinden eines Datensatzes in der Attributdatenbank ermöglicht. According to one embodiment, the respective attribute identification comprises an attribute number or an attribute index, the reference identification comprising a reference number or a reference index. The particular index or number may be an attribute database index or an attribute database number that allows retrieval of a record in the attribute database.

Gemäß einer Ausführungsform stammt die Referenzidentifikation von einer Kommunikationsnetzwerkadresse, wobei die Kommunikationsschnittstelle ausgebildet ist, den Attributdatensatz über das Kommunikationsnetzwerk an die Kommunikationsnetzwerkadresse auszusenden. Die Kommunikationsnetzwerkadresse kann beispielsweise eine URL einer Zertifizierungsstelle sein, wobei die Zertifizierungsstelle durch eine Zertifizierungsnetzwerkentität gebildet sein kann, welche über ein Kommunikationsnetzwerk mit der Attributnetzwerkentität kommunizieren kann, um das Attribut abzurufen und um ein digitales Attributzertifikat mit dem Attribut zu erzeugen. Eine derartige Zertifizierungsstelle ist nachfolgend beschrieben. According to one embodiment, the reference identification originates from a communication network address, wherein the communication interface is configured to send the attribute data record to the communication network address via the communication network. The communication network address may be, for example, a URL of a certification authority, wherein the certification authority may be a certification network entity that can communicate with the attribute network entity via a communication network to retrieve the attribute and generate a digital attribute certificate with the attribute. Such a certification authority is described below.

Gemäß einer Ausführungsform ist die Attributdatenbank ausgebildet, eine Mehrzahl von Attributdatensätzen, welche jeweils zumindest ein Attribut einer Person umfassen, bereitzustellen, wobei jedem Attributdatensatz eine Attributidentifikation zugeordnet ist. Dadurch wird erreicht, dass die Attributnetzwerkentität Attribute unterschiedlicher Personen bereitstellen kann. Diese Personen können beispielsweise eine Personengruppe desselben Unternehmens bilden oder unterschiedlichen Unternehmen zugeordnet sein. According to one embodiment, the attribute database is designed to provide a plurality of attribute data records, which each comprise at least one attribute of a person, wherein an attribute identification is assigned to each attribute data record. This ensures that the attribute network entity can provide attributes of different people. For example, these individuals may be a group of people from the same company or assigned to different companies.

Gemäß einem weiteren Aspekt betrifft die Erfindung eine Zertifizierungsnetzwerkentität zum Erzeugen eines digitalen Attributzertifikates, mit einer Kommunikationsschnittstelle zum Aussenden einer mit einer Person assoziierbaren Referenznummer über ein Kommunikationsnetzwerk an eine Attributnetzwerkentität, um einen Attributdatensatz, welcher zumindest ein Attribut der Person umfasst, von der Attributnetzwerkentität anzufordern, wobei die Kommunikationsschnittstelle ferner ausgebildet ist, den Attributdatensatz über das Kommunikationsnetzwerk ansprechend auf das Aussenden der Referenznummer zu empfangen, und einem Prozessor zum Erzeugen des digitalen Attributzertifikats auf der Basis des empfangenen Attributs. According to a further aspect, the invention relates to a certification network entity for generating a digital attribute certificate, having a communication interface for sending a person-associate reference number via a communication network to an attribute network entity, to request an attribute data record comprising at least one attribute of the person from the attribute network entity, wherein the communication interface is further configured to receive the attribute record via the communication network in response to the transmission of the reference number, and to a processor to generate the digital attribute certificate based on the received attribute.

Die Zertifizierungsnetzwerkentität bildet gemäß einer Ausführungsform eine Zertifizierungsstelle, welche ausgebildet sein kann, digitale Attributzertifikate und/oder digitale Signaturzertifikate gemäß dem Signaturgesetz in dem jeweiligen Land zu erzeugen. The certification network entity, according to one embodiment, forms a certification authority, which may be configured to generate digital attribute certificates and / or digital signature certificates in accordance with the signature law in the respective country.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ferner ausgebildet, ein digitales Signaturzertifikat der Person zu empfangen, insbesondere aus einem elektronisch auslesbaren Identifikationsdokument der Person auszulesen, wobei der Prozessor ausgebildet ist, das empfangene Attribut mit dem digitalen Signaturzertifikat zu verknüpfen, um das digitale Attributzertifikat zu erzeugen. Die Verknüpfung kann durch einen Verweis auf das digitale Signaturzertifikat in dem digitalen Attributzertifikat erfolgen. Ein Beispiel hierfür ist der Verweis auf das digitale Signaturzertifikat in dem digitalen Attributzertifikat gemäß dem deutschen Signaturgesetz. According to one embodiment, the communication interface is further configured to receive a digital signature certificate of the person, in particular to read out of an electronically readable identification document of the person, wherein the processor is configured to associate the received attribute with the digital signature certificate to generate the digital attribute certificate. The association may be by reference to the digital signature certificate in the digital attribute certificate. An example of this is the reference to the digital signature certificate in the digital attribute certificate according to the German Signature Law.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, die Referenznummer vor dem Aussenden zu empfangen. Die Referenznummer kann beispielsweise durch die Person selbst der Zertifizierungsnetzwerkentität übermittelt werden. Hierzu kann die Person die Referenznummer beispielsweise mithilfe einer graphischen Benutzerschnittstelle oder einer Web-Maske eingeben und ggf. über ein Kommunikationsnetzwerk an die Zertifizierungsnetzwerkentität übermitteln. Die Referenznummer kann jedoch auch durch einen Bediener der Zertifizierungsnetzwerkentität eingegeben werden, falls die Referenznummer beispielsweise als Ausdruck oder postalisch übermittelt wird. Die Referenznummer kann beispielsweise durch die vorgenannte Attributnetzwerkentität vorgegeben und der Person zugeteilt sein. In one embodiment, the communication interface is configured to receive the reference number prior to transmission. The reference number may be transmitted, for example, by the person himself of the certification network entity. For this purpose, the person can enter the reference number, for example by means of a graphical user interface or a web mask, and, if necessary, transmit it to the certification network entity via a communication network. However, the reference number may also be entered by a certification network entity operator if the reference number is transmitted, for example, as a printout or by mail. The reference number may be predetermined, for example, by the aforementioned attribute network entity and assigned to the person.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ferner ausgebildet, das digitale Attributzertifikat über das Kommunikationsnetzwerk auszusenden. According to one embodiment, the communication interface is further configured to transmit the digital attribute certificate via the communication network.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ferner ausgebildet, ein digitales Signaturzertifikat der Person aus einem elektronisch auslesbaren Identifikationsdokument der Person auszulesen, wobei der Prozessor ausgebildet ist, das digitale Attributzertifikat nur bei Gültigkeit des digitalen Signaturzertifikats zu erzeugen. Dadurch wird sichergestellt, dass die Person ein gültiges digitales Signaturzertifikat hat, mit dem das digitale Attributzertifikat, beispielsweise durch einen Verweis, verknüpft wird. Hierbei kann auch die Signatur der Person überprüft werden. According to one embodiment, the communication interface is further configured to read out a digital signature certificate of the person from an electronically readable identification document of the person, wherein the processor is configured to generate the digital attribute certificate only if the digital signature certificate is valid. This ensures that the person has a valid digital signature certificate to which the digital attribute certificate is linked, for example, by a reference. Here, the signature of the person can be checked.

Gemäß einer Ausführungsform ist die Zertifizierungsnetzwerkentität ferner ausgebildet, ein digitales Signaturzertifikat einer Person zu erzeugen. In one embodiment, the certification network entity is further configured to generate a digital signature certificate of a person.

Gemäß einer Ausführungsform ist die Zertifizierungsnetzwerkentität durch einen Zertifizierungsserver gebildet. Auf diese Weise wird eine elektronisch-basierte Zertifizierungsstelle geschaffen. According to one embodiment, the certification network entity is formed by a certification server. This will create an electronic-based certification authority.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein Verfahren zum Erstellen eines digitalen Attributzertifikats, mit Aussenden einer mit einer Person assoziierbaren Referenznummer über ein Kommunikationsnetzwerk an eine Attributnetzwerkentität, um einen Attributdatensatz, welcher zumindest ein Attribut der Person umfasst, von der Attributnetzwerkentität anzufordern, ansprechend auf das Aussenden der Referenznummer, Empfangen des Attributdatensatzes mit dem Attribut der Person über das Kommunikationsnetzwerk, und Erzeugen des digitalen Attributzertifikats auf der Basis des empfangenen Attributs. According to a further aspect, the invention relates to a method for creating a digital attribute certificate, sending a person associable reference number via a communication network to an attribute network entity to request an attribute data set comprising at least one attribute of the person from the attribute network entity, in response to the Broadcasting the reference number, receiving the attribute record with the attribute of the person via the communication network, and generating the digital attribute certificate based on the received attribute.

Das Verfahren wird gemäß einer Ausführungsform durch ein Betreiben der erfindungsgemäßen Attributnetzwerkentität und der erfindungsgemäßen Zertifizierungsnetzwerkentität ausgeführt. Dabei wird das digitale Attributzertifikat durch die Zertifizierungsnetzwerkentität erzeugt. The method is executed according to an embodiment by operating the attribute network entity according to the invention and the certification network entity according to the invention. The digital attribute certificate is generated by the certification network entity.

Das Kommunikationsnetzwerk kann beispielsweise das Internet sein. Das Identifikationsdokument ist beispielsweise ein Ausweisdokument, ein Reisepass, ein Zahlungsmittel, beispielsweise eine Bankkarte oder eine Kreditkarte, ein Führerschein, ein Unternehmensausweis, ein Frachtbrief oder ein Berechtigungsausweis mit einem integrierten Schaltkreis zur Bereitstellung eines digitalen Signaturzertifikats der Person. The communication network may be, for example, the Internet. The identification document is for example an identification document, a passport, a means of payment, for example a bank card or a credit card, a driver's license, a company ID card, a bill of lading or an authorization card with an integrated circuit for providing a digital signature certificate of the person.

Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen: Further embodiments will be explained with reference to the accompanying drawings. Show it:

1 ein Blockdiagramm einer Attributnetzwerkentität gemäß einer Ausführungsform; 1 a block diagram of an attribute network entity according to an embodiment;

2 ein Blockdiagramm einer Zertifizierungsnetzwerkentität gemäß einer Ausführungsform; und 2 a block diagram of a certification network entity according to an embodiment; and

3 ein Blockdiagramm eines Systems zur Erstellung eines digitalen Attributzertifikats gemäß einer Ausführungsform. 3 a block diagram of a system for creating a digital attribute certificate according to an embodiment.

1 zeigt ein Blockdiagramm einer Attributnetzwerkentität 100 zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten gemäß dem jeweiligen Signaturgesetz in dem jeweiligen Land oder einer analogen Regelung. 1 shows a block diagram of an attribute network entity 100 for the provision of personal attributes for the creation of digital attribute certificates in accordance with the respective signature law in the respective country or an analogue regulation.

Ein digitales Attributzertifikat ist die ggf. elektronisch signierte Bindung zwischen Eigenschaften, welche durch ein oder mehrere Attribute angegeben sind und einem digitalen Signaturzertifikat einer Person. Das Attribut kann als Eigenschaft beispielsweise die Stellung einer Person in einem Unternehmen, wie etwa Geschäftsführung oder Prokura, umfassen. A digital attribute certificate is the possibly electronically signed binding between properties that are indicated by one or more attributes and a digital signature certificate of a person. The attribute may include as a property, for example, the position of a person in a company, such as management or power of attorney.

Die Attributnetzwerkentität 100 ist gemäß einer Ausführungsform jedoch keine Zertifizierungsstelle und daher nicht vorgesehen, digitale Attributzertifikate zu erzeugen. Vielmehr ist die Attributnetzwerkentität 100 vorgesehen, Attribute bereitzustellen, welche von einer Zertifizierungsstelle zur Erstellung von digitalen Attributzertifikaten über ein Kommunikationsnetzwerk von der Attributnetzwerkentität 100 abgerufen werden können. Auf diese Weise wird eine dezentrale Verwaltung von Attributen ermöglicht. The attribute network entity 100 However, according to one embodiment, it is not a certification authority and therefore not intended to generate digital attribute certificates. Rather, that is Attributnetzwerkentität 100 provided attributes provided by a certification authority for creating digital attribute certificates over a communication network from the attribute network entity 100 can be retrieved. This allows decentralized management of attributes.

Die Attributnetzwerkentität 100 umfasst eine Attributdatenbank 101 und eine Kommunikationsschnittstelle 103. Die Attributnetzwerkentität 100 kann optional einen in 1 nicht dargestellten Prozessor umfassen. Der Prozessor kann der Attributdatenbank 101 oder der Kommunikationsschnittstelle 103 zugeordnet oder ein separates Element der Attributnetzwerkentität 100 sein. The attribute network entity 100 includes an attribute database 101 and a communication interface 103 , The attribute network entity 100 can optionally have an in 1 not shown processor include. The processor can be the attribute database 101 or the communication interface 103 assigned or a separate element of the attribute network entity 100 be.

Die Attributdatenbank 101 ist vorgesehen, einen Attributdatensatz 105 bereitzustellen, wobei der Attributdatensatz 105 zumindest ein Attribut einer Person umfasst, wobei dem Attributdatensatz 105 eine Attributidentifikation zugeordnet ist. Die Attributidentifikation ermöglicht das Auffinden des Attributdatensatzes 105 in der Attributdatenbank 101. Der Attributdatensatz 105 stellt das Attribut beispielsweise in digitaler Form bereit. Der Attributdatensatz 105 kann auch mehrere Attribute derselben Person umfassen. The attribute database 101 is provided, an attribute data set 105 provide the attribute record 105 at least one attribute of a person, wherein the attribute record 105 an attribute identification is assigned. The attribute identification makes it possible to find the attribute data record 105 in the attribute database 101 , The attribute record 105 provides the attribute in digital form, for example. The attribute record 105 may also include multiple attributes of the same person.

Die Attributdatenbank 101 kann eine Mehrzahl von unterschiedlichen Attributdatensätzen bereitstellen, welche unterschiedlichen Personen zugeordnet sind. Diese Personen können beispielsweise demselben Unternehmen oder unterschiedlichen Unternehmen angehören. Die Attributdatenbank 101 kann jedoch auch unterschiedliche Attributdatensätze bereitstellen, welche dieselbe Person betreffen und beispielsweise jeweils die Stellung dieser Person in unterschiedlichen Unternehmen angeben. The attribute database 101 may provide a plurality of different attribute records associated with different people. For example, these individuals may belong to the same company or to different companies. The attribute database 101 However, it can also provide different attribute data sets that relate to the same person and, for example, each indicate the position of this person in different companies.

Die Attributdatenbank 101 kann daher einen weiteren Attributdatensatz 107 bereitstellen, welcher einer anderen Person oder derselben Person zugeordnet ist. Der Attributdatensatz 107 ist durch eine weitere Attributidentifikation in der Attributdatenbank 101 eindeutig identifizierbar. The attribute database 101 may therefore have another attribute record 107 provide that is associated with another person or person. The attribute record 107 is by another attribute identification in the attribute database 101 clearly identifiable.

Die Attributidentifikationen, welche jeweils unterschiedliche Attributdatensätze identifizieren, können gemäß einer Ausführungsform auch die Attributnetzwerkentität 100 eindeutig identifizieren. Hierzu kann die Kommunikationsnetzwerkadresse der Attributnetzwerkentität 100, beispielsweise die URL, oder eine Netzwerkkennung der Attributnetzwerkentität 100, welche die Attributnetzwerkentität 100 in einem Kommunikationsnetzwerk eindeutig identifiziert, herangezogen werden. Dadurch wird erreicht, dass beispielsweise nur das Attribut oder die Attribute der Person abgerufen werden, welche deren Stellung beispielsweise nur in einem bestimmten Unternehmen betreffen. The attribute identifiers, which each identify different attribute records, may also, according to one embodiment, the attribute network entity 100 clearly identify. This may be the communication network address of the attribute network entity 100 For example, the URL or a network identifier of the attribute network entity 100 representing the attribute network entity 100 uniquely identified in a communication network, are used. This ensures that, for example, only the attribute or attributes of the person are retrieved, which affect their position, for example, only in a particular company.

Die Kommunikationsschnittstelle 103 ist ausgebildet, die Attributnetzwerkentität 100 an ein Kommunikationsnetzwerk, beispielsweise das Internet, anzubinden. Dadurch wird erreicht, dass eine Zertifizierungsstelle das Attribut bei der Attributnetzwerkentität 100 über das Kommunikationsnetzwerk abrufen kann. Hierzu kann die Zertifizierungsstelle beispielsweise eine Referenznummer an die Attributnetzwerkentität 100 aussenden, um das Attribut abzurufen. The communication interface 103 is formed, the attribute network entity 100 to connect to a communication network, such as the Internet. This ensures that a CA has the attribute at the attribute network entity 100 via the communication network. For example, the certification authority may provide a reference number to the attribute network entity 100 to retrieve the attribute.

Die Kommunikationsschnittstelle 103 ist hierzu ausgebildet, eine Referenzidentifikation über das Kommunikationsnetzwerk zu empfangen und denjenigen Attributdatensatz über das Kommunikationsnetzwerk auszusenden, dessen Attributidentifikation der Referenzidentifikation entspricht. Dies kann auf der Basis einer Attributdatenbankabfrage mit der empfangenen Referenzidentifikation durchgeführt werden. The communication interface 103 is designed for this purpose to receive a reference identification via the communication network and to send out that attribute data record via the communication network whose attribute identification corresponds to the reference identification. This can be done on the basis of an attribute database query with the received reference identifier.

2 zeigt ein Blockdiagramm einer Zertifizierungsnetzwerkentität 200 zum Erzeugen eines digitalen Attributzertifikates. Die Zertifizierungsnetzwerkentität 200 kann beispielsweise durch einen Zertifizierungsserver gebildet sein, welcher eine elektronische Zertifizierungsstelle formt oder ein Element einer Zertifizierungsstelle ist. 2 shows a block diagram of a certification network entity 200 for generating a digital attribute certificate. The certification network entity 200 may for example be formed by a certification server, which forms an electronic certification authority or is an element of a certification authority.

Die Zertifizierungsnetzwerkentität 200 umfasst eine Kommunikationsschnittstelle 201 zum Aussenden einer mit einer Person assoziierbaren Referenznummer über ein Kommunikationsnetzwerk an eine Attributnetzwerkentität, beispielsweise an die Attributnetzwerkentität 100, um einen Attributdatensatz, welcher zumindest ein Attribut der Person umfasst, von der Attributnetzwerkentität anzufordern. The certification network entity 200 includes a communication interface 201 for sending a person associable reference number over a communication network to an attribute network entity, for example to the attribute network entity 100 to request an attribute record comprising at least one attribute of the person from the attribute network entity.

Die Kommunikationsschnittstelle 201 ist ferner ausgebildet, den Attributdatensatz über das Kommunikationsnetzwerk von der Attributnetzwerkentität, beispielsweise von der Attributnetzwerkentität 100, zu empfangen. Dadurch werden eines oder mehrere Attribute der Person für die Ausstellung eines digitalen Attributzertifikats bereitgestellt. The communication interface 201 is further configured to extract the attribute data set via the communication network from the attribute network entity, for example from the attribute network entity 100 , to recieve. This provides one or more attributes of the person for issuing a digital attribute certificate.

Zur Erzeugung des digitalen Attributzertifikats umfasst die Zertifizierungsnetzwerkentität 200 einen Prozessor 203. Der Prozessor 203 ist gemäß einer Ausführungsform ausgebildet, das digitale Attributzertifikat in an sich bekannter Weise zu erzeugen. Hierbei kann der Prozessor 203 das digitale Attributzertifikat mit einem digitalen Signaturzertifikat der Person verknüpfen. To generate the digital attribute certificate, the certification network entity includes 200 a processor 203 , The processor 203 According to one embodiment, it is configured to generate the digital attribute certificate in a manner known per se. Here, the processor 203 Associate the digital attribute certificate with a person's digital signature certificate.

Der Prozessor 203 kann gemäß einer Ausführungsform ausgebildet sein, das digitale Signaturzertifikat der Person zu erzeugen. The processor 203 For example, according to one embodiment, it may be configured to generate the person's digital signature certificate.

Gemäß einer Ausführungsform kann die Zertifizierungsnetzwerkentität 200, beispielsweise über die Kommunikationsschnittstelle 201 oder über eine andere Kommunikationsschnittstelle eine weitere, interne oder externe, Netzwerkentität anweisen, das digitale Signaturzertifikats zu erzeugen. Gemäß einer Ausführungsform kann die Attributzertifikat generierende Funktionalität des Prozessors 203 auf die weitere Netzwerkentität ausgelagert werden. According to one embodiment, the certification network entity 200 , for example via the communication interface 201 or instruct another internal or external network entity via another communication interface to generate the digital signature certificate. According to one embodiment, the attribute certificate generating functionality of the processor 203 be outsourced to the other network entity.

3 zeigt ein Blockdiagramm eines Systems zur Erstellung eines digitalen Attributzertifikats mit der Attributnetzwerkentität 100 und der Zertifizierungsnetzwerkentität 200, welche miteinander über die jeweilige Kommunikationsschnittstelle 201 und 103 sowie ein Kommunikationsnetzwerk 301, beispielsweise das Internet, kommunizieren können. 3 Figure 12 shows a block diagram of a system for creating a digital attribute certificate with the attribute network entity 100 and the Certification Network Entity 200 which communicate with each other via the respective communication interface 201 and 103 as well as a communication network 301 For example, the Internet, can communicate.

Zur Erzeugung eines digitalen Attributzertifikates übermittelt beispielsweise eine Person der Zertifizierungsnetzwerkentität 200 eine Referenzidentifikation, unter welcher in der Attributnetzwerkentität 100 ein Attributdatensatz mit einem oder mehreren Attributen der Person in der Attributdatenbank 101 abgelegt ist. Die Referenzidentifikation, beispielsweise eine Referenznummer, kann über eine Web-Maske der Zertifizierungsnetzwerkentität 200 eingegeben und übermittelt werden. For example, to create a digital attribute certificate, a person submits the certification network entity 200 a reference identifier under which in the attribute network entity 100 an attribute record containing one or more attributes of the person in the attribute database 101 is stored. The reference identification, such as a reference number, may be via a web mask of the certification network entity 200 be entered and transmitted.

Daraufhin übermittelt die Zertifizierungsnetzwerkentität 200 die Referenzidentifikation über das Kommunikationsnetzwerk 301 an die Attributnetzwerkentität 100, um den Attributdatensatz der Person abzurufen. Then the certification network entity submits 200 the reference identification via the communication network 301 to the attribute network entity 100 to retrieve the person's attribute record.

Die Attributnetzwerkentität 100 vergleicht daraufhin die empfangene Referenzidentifikation mit Attributidentifikationen, welche jeweils einem Attributdatensatz zugeordnet sind, und übermittelt einen Attributdatensatz, dessen Attributidentifikation der Referenzidentifikation entspricht, über das Kommunikationsnetzwerk an die Zertifizierungsnetzwerkentität 200. Der übermittelte Attributdatensatz umfasst eines oder mehrere Attribute der Person, welche die Stellung und/oder Befugnisse dieser Person in einem bestimmten Unternehmen angeben. The attribute network entity 100 then compares the received reference identification with attribute identifications, each associated with an attribute record, and transmits an attribute record whose attribute identification corresponds to the reference identification to the certification network entity via the communication network 200 , The submitted attribute record comprises one or more attributes of the person indicating the position and / or authority of that person in a particular company.

Die Zertifizierungsnetzwerkentität 200 kann auf der Basis des von der Attributnetzwerkentität 100 übermittelten Attributdatensatzes bzw. Attributs überprüfen, ob die Person als Antragsteller und die in dem Attributdatensatz bzw. ob die in dem Attribut hinterlegten Daten identisch sind. Hierzu kann die Zertifizierungsnetzwerkentität 200 über das Kommunikationsnetzwerk 301 eine Kommunikationsverbindung zu einem Identifikationsdokument 303 der Person aufbauen. Das Identifikationsdokument 303 kann elektronisch mittels eines Dokumentenlesers auslesbar sein und hierzu einen digitalen Schaltkreis 305 umfassen, welcher beispielsweise einen RFID-Chip realisiert. Der digitale Schaltkreis 305 kann beispielsweise einen öffentlichen Signaturprüfschlüssel der Person sowie ein digitales Signaturzertifikat der Person umfassen. Der digitale Schaltkreis 305 kann ferner Angaben zu der Person wie etwa einen Namen, Geburtsdatum und eine Adresse bereitstellen. Diese Angaben können ebenfalls in dem Attributdatensatz enthalten sein. The certification network entity 200 can be based on the attribute network entity 100 transmitted attribute data set or attribute check whether the person as the applicant and in the attribute data set or whether the data stored in the attribute are identical. This can be done by the certification network entity 200 over the communication network 301 a communication connection to an identification document 303 build up the person. The identification document 303 can be read electronically by means of a document reader and this a digital circuit 305 comprising, for example, realizes an RFID chip. The digital circuit 305 For example, it may include a person's public signature verification key and a person's digital signature certificate. The digital circuit 305 may also provide information about the person such as a name, date of birth, and an address. This information may also be included in the attribute record.

Die Zertifizierungsnetzwerkentität 200 erzeugt auf der Basis des empfangenen Attributes ein digitales Attributzertifikat in an sich bekannter Weise. The certification network entity 200 generates a digital attribute certificate in a manner known per se on the basis of the received attribute.

Hierzu kann die Zertifizierungsnetzwerkentität 200 über das Kommunikationsnetzwerk 301 eine Kommunikationsverbindung zu dem Identifikationsdokument 303 aufbauen, um festzustellen, ob die Person bereits ein digitales Signaturzertifikat hat. This can be done by the certification network entity 200 over the communication network 301 a communication connection to the identification document 303 to determine if the person already has a digital signature certificate.

Falls der digitale Schaltkreis 305 kein digitales Signaturzertifikat der Person umfasst, so kann die Zertifizierungsnetzwerkentität 200 ein digitales Signaturzertifikat der Person erzeugen und dieses in einem Speicherbereich des digitalen Schaltkreises 305 ablegen. Dieses digitale Signaturzertifikat wird für die Erzeugung des digitalen Attributzertifikats der Person, beispielsweise durch einen Verweis, verwendet. If the digital circuit 305 does not include a digital signature certificate of the person, so the certification network entity 200 Create a digital signature certificate of the person and this in a memory area of the digital circuit 305 lay down. This digital signature certificate is used to generate the person's digital attribute certificate, for example, by reference.

Gemäß einer Ausführungsform kann die Zertifizierungsnetzwerkentität 200 mit dem digitalen Signaturzertifikat eine Sichere Signaturerstellungseinheit (SSEE), beispielsweise gemäß der Richtlinie 1999/93/EG , personalisieren. According to one embodiment, the certification network entity 200 with the digital signature certificate, a Secure Signature Creation Unit (SSEE), for example, according to the Directive 1999/93 / EC , personalize.

Falls der digitale Schaltkreis 305 bereits ein digitales Signaturzertifikat der Person umfasst, so kann die Zertifizierungsnetzwerkentität 200 dieses digitale Signaturzertifikat auslesen und zur Erzeugung des digitalen Attributzertifikats verwenden. Um die Echtheit des digitalen Signaturzertifikats zu verifizieren kann dieses vor der Übermittlung mit einer digitalen Signatur der Person versehen sein. If the digital circuit 305 already includes a digital signature certificate of the person, so the certification network entity 200 read this digital signature certificate and use it to generate the digital attribute certificate. In order to verify the authenticity of the digital signature certificate, it may be provided with a digital signature of the person prior to transmission.

Das digitale Signaturzertifikat kann gemäß einer Ausführungsform ein qualifiziertes digitales Signaturzertifikat (QES) sein. The digital signature certificate may, according to one embodiment, be a qualified digital signature certificate (QES).

Durch die dezentrale Verwaltung von Attributen wird gemäß einer Ausführungsform eine kostengünstige Einbindung einer Mehrzahl von Bestätigungsstellen erreicht, wobei ein elektronisch auslesbares Identifikationsdokument sowohl privat als auch beruflich genutzt werden kann. Due to the decentralized administration of attributes, a cost-effective integration of a plurality of confirmation points is achieved according to an embodiment, wherein an electronically readable identification document can be used both privately and professionally.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100 100
Attributnetzwerkentität Attributnetzwerkentität
101 101
Attributdatenbank Attribute database
103 103
Kommunikationsschnittstelle Communication Interface
105 105
Attributdatensatz Attribute record
107 107
Attributdatensatz Attribute record
200 200
Zertifizierungsnetzwerkentität Zertifizierungsnetzwerkentität
201 201
Kommunikationsschnittstelle Communication Interface
203 203
Prozessor processor
301 301
Kommunikationsnetzwerk Communication network
303 303
Identifikationsdokument identification document
305 305
Digitaler Schaltkreis Digital circuit

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • EG-Signaturrichtlinie 1999/93/EG [0003] EC Signature Directive 1999/93 / EC [0003]
  • Richtlinie 1999/93/EG [0060] Directive 1999/93 / EC [0060]

Claims (15)

Attributnetzwerkentität (100) zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten, mit: einer Attributdatenbank (101) mit einem Attributdatensatz (105), wobei der Attributdatensatz (105) zumindest ein Attribut einer Person umfasst, und wobei dem Attributdatensatz (105) eine Attributidentifikation zugeordnet ist; und einer Kommunikationsschnittstelle (103), welche ansprechend auf den Empfang einer Referenzidentifikation über ein Kommunikationsnetzwerk ausgebildet ist, den Attributdatensatz (105) über ein Kommunikationsnetzwerk auszusenden, falls die Referenzidentifikation der Attributidentifikation entspricht. Attribute network entity ( 100 ) for providing personal attributes for the creation of digital attribute certificates, comprising: an attribute database ( 101 ) with an attribute data record ( 105 ), the attribute data set ( 105 ) comprises at least one attribute of a person, and wherein the attribute data record ( 105 ) is assigned an attribute identification; and a communication interface ( 103 ), which is designed in response to the receipt of a reference identification via a communication network, the attribute data record ( 105 ) via a communication network if the reference identification corresponds to the attribute identification. Attributnetzwerkentität (100) nach Anspruch 1, wobei die Attributidentifikation auch die Attributnetzwerkentität (100) identifiziert. Attribute network entity ( 100 ) according to claim 1, wherein the attribute identification also includes the attribute network entity ( 100 ) identified. Attributnetzwerkentität (100) nach Anspruch 1 oder 2, wobei die Attributdatenbank (101) ausgebildet ist, einen weiteren Attributdatensatz (107) bereitzustellen, welcher ein anderes Attribut der Person umfasst, und wobei dem weiteren Attributdatensatz (107) eine weitere Attributidentifikation zugeordnet ist, und wobei die Kommunikationsschnittstelle (103) ausgebildet ist, den weiteren Attributdatensatz (107) über das Kommunikationsnetzwerk auszusenden, falls die Referenzidentifikation der weiteren Attributidentifikation entspricht. Attribute network entity ( 100 ) according to claim 1 or 2, wherein the attribute database ( 101 ) is formed, another attribute data set ( 107 ), which comprises another attribute of the person, and wherein the further attribute data record ( 107 ) is assigned a further attribute identification, and wherein the communication interface ( 103 ), the further attribute data record ( 107 ) via the communication network, if the reference identification corresponds to the further attribute identification. Attributnetzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei der jeweilige Attributdatensatz (105, 107) durch genau ein Attribut oder durch mehrere Attribute der Person gebildet ist. Attribute network entity ( 100 ) according to one of the preceding claims, wherein the respective attribute data record ( 105 . 107 ) is formed by exactly one attribute or by several attributes of the person. Attributnetzwerkentität nach einem der vorstehenden Ansprüche, welche ausgebildet ist, die Referenzidentifikation mit der jeweiligen Attributidentifikation zu vergleichen.  An attribute network entity according to any one of the preceding claims, adapted to compare the reference identification with the respective attribute identification. Attributnetzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei die jeweilige Attributidentifikation eine Attributnummer oder einen Attributindex umfasst, und wobei die Referenzidentifikation eine Referenznummer oder einen Referenzindex umfasst. Attribute network entity ( 100 ) according to one of the preceding claims, wherein the respective attribute identification comprises an attribute number or an attribute index, and wherein the reference identification comprises a reference number or a reference index. Attributnetzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei die Referenzidentifikation von einer Kommunikationsnetzwerkadresse stammt, und wobei die Kommunikationsschnittstelle (103) ausgebildet ist, den Attributdatensatz (105, 107) über das Kommunikationsnetzwerk an die Kommunikationsnetzwerkadresse auszusenden. Attribute network entity ( 100 ) according to one of the preceding claims, wherein the reference identification originates from a communication network address, and wherein the communication interface ( 103 ), the attribute data set ( 105 . 107 ) via the communication network to the communication network address. Attributnetzwerkentität nach einem der vorstehenden Ansprüche, wobei die Attributdatenbank (101) ausgebildet ist, eine Mehrzahl von Attributdatensätzen (105, 107), welche jeweils zumindest ein Attribut einer Person umfassen, bereitzustellen, wobei jedem Attributdatensatz (105, 107) eine Attributidentifikation zugeordnet ist. Attribute network entity according to one of the preceding claims, wherein the attribute database ( 101 ), a plurality of attribute data sets ( 105 . 107 ), each comprising at least one attribute of a person, each attribute data set ( 105 . 107 ) an attribute identification is assigned. Zertifizierungsnetzwerkentität (200) zum Erzeugen eines digitalen Attributzertifikates, mit: einer Kommunikationsschnittstelle (201) zum Aussenden einer mit einer Person assoziierbaren Referenznummer über ein Kommunikationsnetzwerk an eine Attributnetzwerkentität, um einen Attributdatensatz, welcher zumindest ein Attribut der Person umfasst, von der Attributnetzwerkentität anzufordern, wobei die Kommunikationsschnittstelle (201) ferner ausgebildet ist, den Attributdatensatz über das Kommunikationsnetzwerk ansprechend auf das Aussenden der Referenznummer zu empfangen; und einem Prozessor (203) zum Erzeugen des digitalen Attributzertifikats auf der Basis des empfangenen Attributs. Certification Network Entity ( 200 ) for generating a digital attribute certificate, comprising: a communication interface ( 201 ) for transmitting a person associable reference number via a communication network to an attribute network entity to request an attribute data set comprising at least one attribute of the person from the attribute network entity, the communication interface ( 201 ) is further adapted to receive the attribute data set via the communication network in response to the transmission of the reference number; and a processor ( 203 ) for generating the digital attribute certificate based on the received attribute. Zertifizierungsnetzwerkentität (200) nach Anspruch 9, wobei die Kommunikationsschnittstelle (201) ferner ausgebildet ist, ein Signaturzertifikat der Person zu empfangen, insbesondere aus einem elektronisch auslesbaren Identifikationsdokument der Person auszulesen, und wobei der Prozessor (203) ausgebildet ist, das empfangene Attribut mit dem digitalen Signaturzertifikat zu verknüpfen, um das digitale Attributzertifikat zu erzeugen. Certification Network Entity ( 200 ) according to claim 9, wherein the communication interface ( 201 ) is further configured to receive a signature certificate of the person, in particular read out of an electronically readable identification document of the person, and wherein the processor ( 203 ) is adapted to associate the received attribute with the digital signature certificate to generate the digital attribute certificate. Zertifizierungsnetzwerkentität (200) nach Anspruch 9 oder 10, wobei die Kommunikationsschnittstelle (201) ausgebildet ist, die Referenznummer vor dem Aussenden zu empfangen. Certification Network Entity ( 200 ) according to claim 9 or 10, wherein the communication interface ( 201 ) is adapted to receive the reference number before sending. Zertifizierungsnetzwerkentität (200) nach Anspruch 9, 10 oder 11, wobei die Kommunikationsschnittstelle (201) ferner ausgebildet ist, das digitale Attributzertifikat über das Kommunikationsnetzwerk auszusenden. Certification Network Entity ( 200 ) according to claim 9, 10 or 11, wherein the communication interface ( 201 ) is further adapted to transmit the digital attribute certificate over the communication network. Zertifizierungsnetzwerkentität (200) nach einem der Ansprüche 9 bis 12, wobei die Kommunikationsschnittstelle (201) ferner ausgebildet ist, ein digitales Signaturzertifikat der Person aus einem elektronisch auslesbaren Identifikationsdokument der Person auszulesen, und wobei der Prozessor (203) ausgebildet ist, das digitale Attributzertifikat nur bei Gültigkeit des digitalen Signaturzertifikats zu erzeugen. Certification Network Entity ( 200 ) according to one of claims 9 to 12, wherein the communication interface ( 201 ) is further adapted to read out a digital signature certificate of the person from an electronically readable identification document of the person, and wherein the processor ( 203 ) is configured to generate the digital attribute certificate only if the digital signature certificate is valid. Zertifizierungsnetzwerkentität (200) nach einem der Ansprüche 9 bis 13, welche ferner ausgebildet ist, ein digitales Signaturzertifikat einer Person zu erzeugen. Certification Network Entity ( 200 ) according to any one of claims 9 to 13, further adapted to generate a digital signature certificate of a person. Verfahren zum Erstellen eines digitalen Attributzertifikats, mit: Aussenden einer mit einer Person assoziierbaren Referenznummer über ein Kommunikationsnetzwerk an eine Attributnetzwerkentität, um einen Attributdatensatz, welcher zumindest ein Attribut der Person umfasst, von der Attributnetzwerkentität anzufordern; Empfangen des angeforderten Attributdatensatzes mit dem Attribut der Person über das Kommunikationsnetzwerk; und Erzeugen des digitalen Attributzertifikats auf der Basis des empfangenen Attributs. A method for creating a digital attribute certificate, comprising: Sending a person associable reference number over a communication network to an attribute network entity to request an attribute data set comprising at least one attribute of the person from the attribute network entity; Receiving the requested attribute record with the attribute of the person via the communication network; and generating the digital attribute certificate based on the received attribute.
DE102013101834.3A 2013-02-25 2013-02-25 System and method for creating a digital attribute certificate with an attribute network entity and a certification network entity Active DE102013101834B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102013101834.3A DE102013101834B4 (en) 2013-02-25 2013-02-25 System and method for creating a digital attribute certificate with an attribute network entity and a certification network entity
PCT/EP2014/053295 WO2014128199A1 (en) 2013-02-25 2014-02-20 Attribute network entity for providing person-specific attributes in order to generate digital attribute certificates

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013101834.3A DE102013101834B4 (en) 2013-02-25 2013-02-25 System and method for creating a digital attribute certificate with an attribute network entity and a certification network entity

Publications (2)

Publication Number Publication Date
DE102013101834A1 true DE102013101834A1 (en) 2014-08-28
DE102013101834B4 DE102013101834B4 (en) 2024-06-27

Family

ID=50156755

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013101834.3A Active DE102013101834B4 (en) 2013-02-25 2013-02-25 System and method for creating a digital attribute certificate with an attribute network entity and a certification network entity

Country Status (2)

Country Link
DE (1) DE102013101834B4 (en)
WO (1) WO2014128199A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005048137A2 (en) * 2003-11-11 2005-05-26 Datic Systems Incorporated Method and apparatus for distributing indexed specific electronic information using unique index codes
DE102007019541A1 (en) * 2007-04-25 2008-10-30 Wincor Nixdorf International Gmbh Method and system for authenticating a user
DE60132552T2 (en) * 2000-11-01 2009-01-22 Sony Computer Entertainment Inc. Content Delivery System and Content Delivery Method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5078257B2 (en) 2003-08-28 2012-11-21 インターナショナル・ビジネス・マシーンズ・コーポレーション Attribute information providing server, attribute information providing method, and program
WO2008029723A1 (en) 2006-09-06 2008-03-13 Nec Corporation Data use managing system
US7984490B2 (en) 2007-05-31 2011-07-19 Red Hat, Inc. Method for issuing attribute certificate from an LDAP entry

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60132552T2 (en) * 2000-11-01 2009-01-22 Sony Computer Entertainment Inc. Content Delivery System and Content Delivery Method
WO2005048137A2 (en) * 2003-11-11 2005-05-26 Datic Systems Incorporated Method and apparatus for distributing indexed specific electronic information using unique index codes
DE102007019541A1 (en) * 2007-04-25 2008-10-30 Wincor Nixdorf International Gmbh Method and system for authenticating a user

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
BSI: Technical Guideline TR-03112-2, eCard-API-Framework - eCard-Interface, Version 1.1.2, 2012. *
BSI: Technical Guideline TR-03112-2, eCard-API-Framework – eCard-Interface, Version 1.1.2, 2012.
EG-Signaturrichtlinie 1999/93/EG
Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG), Mai 2001. *
Richtlinie 1999/93/EG
Verordnung zur elektronischen Signatur (Signaturverordnung - SigV), November 2001. *

Also Published As

Publication number Publication date
DE102013101834B4 (en) 2024-06-27
WO2014128199A1 (en) 2014-08-28

Similar Documents

Publication Publication Date Title
DE102016220656A1 (en) Provision and verification of the validity of a virtual document
EP3452941B1 (en) Method for electronically documenting license information
DE102009046205A1 (en) Method of creating a web page
EP3743844B1 (en) Blockchain-based identity system
EP3735650B1 (en) Personal document block chain structure
EP3913886A1 (en) Issue of digital documents with a blockchain
AT525728B1 (en) Method and device for creating electronic signatures
DE19961151A1 (en) Preparation and vintages of a new type of certificate for the certification of keys on chip cards
EP3117359B1 (en) Id provider computer system, id token, and method for confirming a digital identity
EP3539044B1 (en) Access control for data objects
DE102013101834A1 (en) Attribute network entity for providing personal attributes for the creation of digital attribute certificates
EP3125464B1 (en) Blocking service for a certificate created using an id token
DE102021106261A1 (en) Method for authorizing a first participant in a communication network, processing device, motor vehicle and infrastructure device
WO2016116392A1 (en) Certificate token for providing a digital certificate of a user
EP3304846B1 (en) Identification of a person on the basis of a transformed biometric reference feature
DE102004031446B4 (en) Method for authorizing digital signatures in PDF documents
EP3186741B1 (en) Access protection for external data in the non-volatile memory of a token
EP3248356B1 (en) Certificate token for providing a digital certificate of a user
DE102016206199A1 (en) Validation and blocking of certificates
EP3289507B1 (en) Id token, system, and method for generating an electronic signature
EP3304807B1 (en) Identifying a person on the basis of a transformed biometric reference feature
WO2022063851A1 (en) Server for handling transactions
DE102021127976A1 (en) Recovering a Cryptographic Key
WO2020245043A1 (en) Method and control device for securely checking an electronic ticket
DE102018103150A1 (en) Procedure for generating a claim

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R082 Change of representative

Representative=s name: PATENTSHIP PATENTANWALTSGESELLSCHAFT MBH, DE

R018 Grant decision by examination section/examining division