DE102022105680A1 - User/account management for identification systems - Google Patents

User/account management for identification systems Download PDF

Info

Publication number
DE102022105680A1
DE102022105680A1 DE102022105680.5A DE102022105680A DE102022105680A1 DE 102022105680 A1 DE102022105680 A1 DE 102022105680A1 DE 102022105680 A DE102022105680 A DE 102022105680A DE 102022105680 A1 DE102022105680 A1 DE 102022105680A1
Authority
DE
Germany
Prior art keywords
user
ldap
existing
application
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022105680.5A
Other languages
German (de)
Inventor
Svilen Tenev
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elatec GmbH
Original Assignee
Elatec GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elatec GmbH filed Critical Elatec GmbH
Priority to DE102022105680.5A priority Critical patent/DE102022105680A1/en
Publication of DE102022105680A1 publication Critical patent/DE102022105680A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Ein Verfahren zur Benutzer/Kontenverwaltung für Identifikationssysteme umfasst die Schritte: wiederverwenden einer ID aus einer bestehenden Benutzerdaten-bank (LDAP), verpacken der ID in ein verschlüsseltes Token, entschlüssln der ID von jeder Anwendung, und delegieren der Authentifizierung an LDAP.A user/account management method for identification systems includes the steps of: reusing an ID from an existing user database (LDAP), packaging the ID into an encrypted token, decrypting the ID from each application, and delegating authentication to LDAP.

Description

Technisches GebietTechnical area

Die Erfindung betrifft ein Identifikationssystem basierend auf RFID Karten.The invention relates to an identification system based on RFID cards.

Stand der TechnikState of the art

Heutzutage sind RFID-Karten zur Authentifizierung weit verbreitet. Sie sind zuverlässig, einfach zu benutzen und bequem. Allerdings müssen sie physisch zu einem Benutzer transportiert werden und können kaputt gehen. Es gibt Ideen, diese durch „virtuelle mobile Ausweise“ zu ersetzen, indem eine eindeutige Kennung auf einem Mobiltelefon angebracht wird und die NFC- oder BLE-Verbindung des Mobiltelefons genutzt wird, um die ID-Informationen an einem Abfragepunkt, z. B. einem RFID-Lesegerät, anzuzeigen.Nowadays, RFID cards are widely used for authentication. They are reliable, easy to use and comfortable. However, they must be physically transported to a user and can break. There are ideas to replace these with "virtual mobile badges" by placing a unique identifier on a cell phone and using the cell phone's NFC or BLE connection to display the ID information at an interrogation point, such as a mobile phone. B. an RFID reader.

Oftmals sind jedoch bereits Systeme mit RFID-Karten installiert und in Betrieb. Wenn Sie nun auf mobile IDs umstellen wollen, muss das System wissen, welche Nutzung welche mobile ID erhält. Dies kann entweder dadurch geschehen, dass den mobilen Geräten der Mitarbeiter neue IDs zugewiesen werden und zwei IDs (RFID-Karte und mobiles Gerät) im System verfolgt werden, oder indem den Mitarbeitern eine Art Selbstregistrierung ermöglicht wird: Sobald die Mitarbeiter ihre registrierte RFID-Karte an einem (speziellen) Zugangspunkt vorlegen, besteht die Möglichkeit, eine zweite ID (z. B. vom Telefon) vorzulegen, und das System fügt diese zweite Nummer als sekundäre Authentifizierungs-ID zum Benutzerverzeichnis hinzu.However, systems with RFID cards are often already installed and in operation. If you now want to switch to mobile IDs, the system needs to know which usage gets which mobile ID. This can be done either by assigning new IDs to employees' mobile devices and tracking two IDs (RFID card and mobile device) in the system, or by allowing employees a form of self-registration: once employees have their registered RFID card at a (special) access point, there is an option to present a second ID (e.g. from the phone) and the system adds this second number to the user directory as a secondary authentication ID.

Bei einer typischen Mehrbenutzeranwendung wie der Zugangskontrolle zu einem Gebäude würde der Anwendungsanbieter ein Türschloss installieren und einen Schlüssel bereitstellen, der das Schloss für jede berechtigte Person öffnet. Um das System während seiner gesamten Lebensdauer funktionsfähig und sicher zu halten, müsste er eine Datenbank mit Benutzern und zugehörigen Schlüsseln einrichten und verwalten. Benötigt eine neue Person Zugang, wird ein neuer Schlüssel ausgegeben und ein Datensatz in die Datenbank aufgenommen. Wenn ein Schlüssel verloren geht, wird seine ID-Nummer aus der Datenbank entfernt, um einen unbefugten Zugang zu verhindern.In a typical multi-user application such as access control to a building, the application provider would install a door lock and provide a key that opens the lock for each authorized person. To keep the system functional and secure throughout its lifespan, he would need to set up and maintain a database of users and associated keys. If a new person needs access, a new key is issued and a data record is added to the database. If a key is lost, its ID number is removed from the database to prevent unauthorized access.

Wenn in derselben Umgebung eine neue Mehrbenutzeranwendung, z. B. sicheres Drucken, hinzugefügt wird, wird ein neuer Schlüsselsatz (in diesem Fall in Form von elektronischen Karten) und eine neue Benutzerdatenbank installiert.If a new multi-user application, e.g. When added, such as secure printing, a new set of keys (in this case in the form of electronic cards) and a new user database are installed.

Die Anzahl der Datenbanken und der Verwaltungsaufwand vervielfacht sich mit jeder neuen Anwendung um die Anzahl der Benutzer. Ein aufmerksamer Geist könnte auf die Idee kommen, die gesamte Benutzerverwaltung der verschiedenen Systeme zu vereinheitlichen, indem eine gemeinsame Datenbank und ein gemeinsames Protokoll-API geschaffen wird, das von allen Systemen wiederverwendet werden kann. Ein noch aufmerksamerer Geist würde jedoch feststellen, dass eine solche Datenbank und ein solches Protokoll bereits existieren und de facto Standard sind: Lightweight Directory Access Protocol, kurz LDAP.The number of databases and the administrative effort multiplies by the number of users with each new application. An attentive mind might come up with the idea of unifying the entire user management of the different systems by creating a common database and a common protocol API that can be reused by all systems. However, an even more attentive mind would notice that such a database and protocol already exist and are the de facto standard: Lightweight Directory Access Protocol, or LDAP for short.

Problematisch ist hier allerdings eine einfach handzuhabende, gesicherte Kommunikation mit der Datenbank, um die Benutzerkonten zu verwalten.What is problematic here, however, is easy-to-use, secure communication with the database in order to manage user accounts.

Darstellung der ErfindungPresentation of the invention

Der Erfindung liegt die Aufgabe zugrunde, ein verbessertes Identifikationssystem bereitzustellen, welches bei reduziertem Aufwand eine größere Anzahl von Benutzern verwalten kann und eine Vereinfachte Benutzerkontenverwaltung ermöglicht.The invention is based on the object of providing an improved identification system which can manage a larger number of users with reduced effort and enables simplified user account management.

Diese Aufgabe wird durch eine Vorrichtung nach Anspruch 1 gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen angegeben.This object is achieved by a device according to claim 1. Advantageous embodiments of the invention are specified in the subclaims.

Die Erfindung besteht aus der Idee, wie bestehende Subsysteme zur Benutzer-/Kontoverwaltung in komplette Identifikationssysteme integriert werden können, indem Benutzer-/Konto-IDs in den Identifikations-, Authentifizierungs- und Autorisierungsworkflows abgerufen und implementiert werden. Die Idee ermöglicht es Komponentenanbietern, komplette Systeme durch Wiederverwendung bestehender Subsysteme für die Kontenverwaltung aufzubauen.The invention consists of the idea of how existing user/account management subsystems can be integrated into complete identification systems by retrieving and implementing user/account IDs in the identification, authentication and authorization workflows. The idea allows component providers to build complete systems by reusing existing account management subsystems.

Moderne elektronische Systeme, die eine Benutzerverwaltung beinhalten, basieren auf einer Datenbank mit Benutzern/Accounts. Datenbanken wiederum verwenden eindeutige IDs für jeden Datensatz. Durch die Wiederverwendung der eindeutigen ID beim Einsatz von Token (z. B. Zugangskarten, mobile Berechtigungsnachweise) für jeden Benutzer wird der Aufbau eines parallelen Token-Verwaltungssystems vermieden. Die Token- und Benutzerverwaltungssysteme werden vereinheitlicht.Modern electronic systems that include user management are based on a database of users/accounts. Databases, in turn, use unique IDs for each record. Reusing the unique ID when deploying tokens (e.g. access cards, mobile credentials) for each user avoids the need to build a parallel token management system. The token and user management systems will be unified.

Die Erfindung umfasst die Schritte:

  • - Die ID aus der bestehenden Benutzerdatenbank (LDAP) wiederverwenden,
  • - sie in ein verschlüsseltes Token verpacken,
  • - von jeder Anwendung entschlüsseln lassen und
  • - die Authentifizierung an LDAP delegieren.
The invention includes the steps:
  • - Reuse the ID from the existing user database (LDAP),
  • - wrap them in an encrypted token,
  • - have it decrypted by any application and
  • - delegate authentication to LDAP.

Weiterhin umfasst die Erfindung eine Vorrichtung zur Ausführung dieser Erfindung.The invention further includes a device for carrying out this invention.

Damit wird die Single Database Authentication (oder SSO, Single Sign-On) von reinen Softwaresystemen für hybride Systeme mit hybriden ID-Tokens umgesetzt.This means that Single Database Authentication (or SSO, Single Sign-On) is implemented by pure software systems for hybrid systems with hybrid ID tokens.

Die Idee, ein sicheres System auf der Grundlage einer nicht geheimen ID/eines Tokens aufzubauen, wird durch die Sicherung jedes Schritts/Elements der Erstellungs- und Anwendungskette umgesetzt. Die Komponenten des Systems können aus Sicht der ID/Token in drei Kategorien eingeteilt werden: 1) Verpackung/Umwandlung, 2) Transport und 3) Anwendung/Nutzung. Wenn jede Komponente in Bezug auf die Verwaltung des Ausweises/Tokens gesichert ist, ist das gesamte System sicher, auch wenn der zugrunde liegende Ausweis/Token unsicher (nicht geheim) ist. Eine Parallele lässt sich zu persönlichen biometrischen Daten, ihrer Speicherung in einem Reisepass und ihrer Anwendung an automatisierten Passkontrollstellen ziehen. Die personenbezogenen Daten sind der nicht geheime Ausweis/Token; ihre Speicherung in einem Reisepass ist 1) Verpackung/Umformung; das Auslesen am automatisierten Gate ist 2) Transport und der Vergleich mit dem Kamerabild der realen Person am Gate ist 3) Anwendung/Nutzung.The idea of building a secure system based on a non-secret ID/token is implemented by securing each step/element of the creation and application chain. The components of the system can be divided into three categories from an ID/token perspective: 1) packaging/conversion, 2) transportation, and 3) application/usage. If each component is secured in relation to the management of the badge/token, the entire system is secure, even if the underlying badge/token is insecure (not secret). A parallel can be drawn with personal biometric data, its storage in a passport and its use at automated passport checkpoints. The personal data is the non-secret ID card/token; storing them in a passport is 1) packaging/forming; the reading at the automated gate is 2) transport and the comparison with the camera image of the real person at the gate is 3) application/use.

In dieser Idee wird 1) das Einpacken/Umwandeln sicher implementiert, indem ein verschlüsselter Token aus der ID mit einem Schlüssel erzeugt wird, der nur in Komponente 3 bekannt ist; 2) der Transport wird sicher mit einer Punkt-zu-Punkt-Verschlüsselungstechnologie (z. B. SSL/TLS) implementiert und 3) das Anwenden/Benutzen wird durch das Abrufen der zugrunde liegenden ID mit dem in Komponente 1 verwendeten Schlüssel gesichert.In this idea, 1) wrapping/transforming is implemented securely by generating an encrypted token from the ID with a key known only in component 3; 2) the transport is implemented securely using a point-to-point encryption technology (e.g. SSL/TLS) and 3) the application/use is secured by retrieving the underlying ID with the key used in Component 1.

Der Anmeldeserver verfügt über ein Konfigurationsmodul, in dem die Konfiguration des LDAP-Servers gespeichert ist (DNS-Adresse, Verzeichnisschema). Er ist als Pass-Through-Credential-Server für die Authentifizierung (in LDAP-Begriffen „Bindung“) gegenüber dem LDAP-Server eingerichtet. Nach erfolgreicher Authentifizierung wird die UUID des Benutzers abgerufen.The login server has a configuration module that stores the configuration of the LDAP server (DNS address, directory schema). It is set up as a pass-through credential server for authentication (in LDAP terms, “binding”) to the LDAP server. After successful authentication, the user's UUID is retrieved.

Die LDAP-UUID wird nun in der gesamten Mehrbenutzeranwendung als ID, Schlüssel, Kartennummer oder virtuelle Berechtigungsnachweis-ID verwendet. Der Vorteil dieser Idee ist im Diagramm zu sehen: Die Backend-Systeme sind vereinheitlicht. Sie benötigen keine separate Benutzerverwaltung. Derselbe Benutzer kann in mehreren Systemen authentifiziert und autorisiert werden, aber die Benutzerverwaltung muss nur einmal durchgeführt werden.The LDAP UUID is now used throughout the multi-user application as an ID, key, card number, or virtual credential ID. The advantage of this idea can be seen in the diagram: the backend systems are unified. You do not need any separate user administration. The same user can be authenticated and authorized in multiple systems, but user management only needs to be done once.

Die Definition der First-Level-Autorisierung - welcher Benutzer darf welche Anwendung nutzen - wird im LDAP-Server durch das Konzept der Gruppen realisiert. Für jede An-wendung wird eine neue Gruppe definiert. Die Gruppenkennung wird im Anwendungskonfigurationsmodul hinterlegt und als Filter im Identifikations-prozess eingesetzt. Wenn die Anmeldedaten des Benutzers ihn als Mitglied der für die Anwendung definierten Gruppe ausweisen, wird der Authentifizierungs-prozess gestartet. Andernfalls wird der Benutzer darüber informiert, dass er nicht berechtigt ist, die Anwendung zu nutzen.The definition of first-level authorization - which user is allowed to use which application - is implemented in the LDAP server through the concept of groups. A new group is defined for each application. The group identifier is stored in the application configuration module and used as a filter in the identification process. If the user's credentials identify them as a member of the group defined for the application, the authentication process is started. Otherwise, the user will be informed that he is not authorized to use the application.

Die Anwendung kann auf einer Cloud PaaS (Platform-as-a-Service) oder vor Ort bereitgestellt werden. Die Be-reitstellung vor Ort kann wiederum auf einem vorhandenen Server oder auf ei-nem dedizierten Server (z. B. Elatec TCPConv) erfolgen, der mit dem vorhande-nen Netzwerk verbunden ist.The application can be deployed on a cloud PaaS (Platform-as-a-Service) or on-premises. On-site deployment can in turn take place on an existing server or on a dedicated server (e.g. Elatec TCPConv) that is connected to the existing network.

Die Wiederverwendung einer bestehenden ID aus einer bestehenden Benutzerdatenbank/einem bestehenden Benutzerverzeichnis ist neu; bekannte Anwendungen fügen eine eigene Benutzerverwaltung mit eigenen IDs hinzu. Die Quelle der ID ist nicht auf LDAP beschränkt; jede Benutzerdatenbank mit einer API kann verwendet werden.Reusing an existing ID from an existing user database/directory is new; Well-known applications add their own user management with their own IDs. The source of the ID is not limited to LDAP; any user database with an API can be used.

Der Abruf der ID durch Authentifizierung des Benutzers mit seinen bereits vorhandenen Anmeldedaten des LDAP- oder eines anderen Benutzerverzeichnisservers ist neu.Retrieving the ID by authenticating the user with their pre-existing LDAP or other user directory server credentials is new.

Die Rolle einer bestehenden ID innerhalb einer einzigen Anwendung als Identifikations-Token ist neu; bekannte Anwendungen definieren ihre eigenen Nummern/IDs/Tokens.The role of an existing ID within a single application as an identification token is new; well-known applications define their own numbers/IDs/tokens.

Die gemeinsame Nutzung der vorhandenen ID durch andere Anwendungen ist neu; bisher sind die Anwendungen unabhängig und definieren unabhängige Ids.Sharing the existing ID among other applications is new; So far the applications are independent and define independent IDs.

Die Verwendung von Gruppen für die Zuordnung von Datenbankattributen zu Anwendungen ist neu; dies ermöglicht die automatische Benutzerautorisierung in jeder Anwendung durch Hinzufügen des Benutzers zu einer Gruppe im Verzeichnis.The use of groups to map database attributes to applications is new; this enables automatic user authorization in any application by adding the user to a group in the directory.

Der Aufbau eines sicheren Systems mit einer nicht geheimen ID/einem nicht geheimen Token, wie unter 4.5 beschrieben, ist neu. Bekannte/bestehende Systeme versuchen, die Sicherheit zu gewährleisten, indem sie die ID geheim halten. Eine geheime ID ist nur an ein System gebunden, was unterschiedliche IDs für dieselbe Person in verschiedenen Systemen erzwingt. Diese Idee ermöglicht die Interoperabilität von Systemen, indem eine ID auf sichere Weise wiederverwendet wird.Building a secure system with a non-secret ID/token, as described in 4.5, is new. Known/existing systems attempt to ensure security by keeping the ID secret. A secret ID is tied to only one system, meaning different IDs for the same person in different systems forced. This idea allows systems to be interoperable by reusing an ID in a secure way.

Alle oben genannten Möglichkeiten können beliebig miteinander kombiniert werden.All of the above options can be combined with each other as desired.

Nachfolgend sind einige wichtige Begriffe näher erläutert. Identifikation: Zuordnung einer physischen Person zu einem Datensatz in einem Computersystem über ein Identifikationsmerkmal, z. B. eine ID-NummerSome important terms are explained in more detail below. Identification: Assignment of a physical person to a data record in a computer system via an identification feature, e.g. B. an ID number

Authentifizierung: Sicherstellung, dass die Person, die ein Identifikations-Token übermittelt, auch wirklich der Besitzer des Tokens ist; z.B. durch ein geheimes PasswortAuthentication: ensuring that the person submitting an identification token is actually the owner of the token; e.g. through a secret password

Autorisierung: Zuordnung der authentifizierten Person zu einer Geschäftsrolle, die eine Aktion ausführen darf, z.B. eine Tür öffnen, einen Druckauftrag ausführenAuthorization: Assignment of the authenticated person to a business role that is allowed to carry out an action, e.g. open a door, execute a print job

Beschreibung der ZeichnungenDescription of the drawings

Die Erfindung wird nachstehend ohne Beschränkung des allgemeinen Erfindungsgedankens anhand von Ausführungsbeispielen unter Bezugnahme auf die Zeichnungen exemplarisch beschrieben.

  • 1 zeigt ein Blockdiagramm der Erfindung.
  • 2 zeigt eine typische Software-Umgebung eines Computernetzes.
  • 3 zeigt eine multifunktionale, hybride Umgebung mit mobilen Ids.
  • 4 zeigt eine Lösung des Problems aus 3.
  • 5 zeigt ein Diagramm eines ID-Abrufs.
  • 6 zeigt einen ID/Ausweis-Fluss in der Anwendungsumgebung.
  • 7 zeigt eine Implementierung der Autorisierung mit LDAP.
  • 8 zeigt eine Bereitstellung bei einem Vor-Ort-Einsatz.
  • 9 zeigt eine Bereitstellung bei einem Einsatz in der Cloud.
The invention is described below by way of example without restricting the general inventive concept using exemplary embodiments with reference to the drawings.
  • 1 shows a block diagram of the invention.
  • 2 shows a typical software environment of a computer network.
  • 3 shows a multifunctional, hybrid environment with mobile IDs.
  • 4 shows a solution to the problem 3 .
  • 5 shows a diagram of an ID retrieval.
  • 6 shows an ID/badge flow in the application environment.
  • 7 shows an implementation of authorization with LDAP.
  • 8th shows a deployment during an on-site deployment.
  • 9 shows a deployment when used in the cloud.

1 zeigt ein Blockdiagramm der Erfindung. Bei der LDAP-UUID handelt es sich um einen unveränderlichen Wert bzw. eine unveränderliche Zahl, die für jedes Konto während der gesamten Lebensdauer der Datenbank gleichbleibt. Eine zweite Eigenschaft der UUID ist, dass sie nicht geheim ist. Jeder Benutzer mit Lesezugriffsrechten auf die Datenbank kann die UUlDs anderer Benutzer lesen. Damit stellt die Verwendung der UUID ein zusätzliches Problem für sicherheitssensible Systeme dar, für das diese Idee ebenfalls eine Lösung bietet (siehe 4.5 Gewährleistung der sicheren Verwendung der UUID). 1 shows a block diagram of the invention. The LDAP UUID is an immutable value or number that remains the same for each account throughout the life of the database. A second property of the UUID is that it is not secret. Any user with read access rights to the database can read other users' UUlDs. The use of the UUID therefore represents an additional problem for security-sensitive systems, for which this idea also offers a solution (see 4.5 Ensuring the secure use of the UUID).

Nahezu jedes moderne elektronische Benutzerverwaltungssystem verwendet oder implementiert LDAP in Form einer Datenbank, die auf einem physischen Server läuft. Ein LDAP-Datenbankdatensatz hat eine Universally Unique ID (UUID). Die UUID eines Datensatzes ist garantiert unveränderlich. Das Protokoll ermöglicht die Abfrage der UUID durch Authentifizierung gegenüber dem Server als der Benutzer, zu dem der Datensatz gehört.Almost every modern electronic user management system uses or implements LDAP in the form of a database running on a physical server. An LDAP database record has a Universally Unique ID (UUID). The UUID of a record is guaranteed to be immutable. The protocol allows querying the UUID by authenticating to the server as the user to whom the record belongs.

2 zeigt eine typische Software-Umgebung eines Computernetzes mit mehreren Anwendungen, in der Username und Passwort verwendet werden, d. h. reine Software-Identifikations-Tokens 2 shows a typical software environment of a computer network with multiple applications in which username and password are used, ie pure software identification tokens

3 zeigt eine multifunktionale, hybride Umgebung mit mobilen IDs, d.h. hybriden ID-Tokens (teilweise physisch, teilweise Software). Problem: Mehrere Datenbanken, die nahezu dieselben Daten vervielfältigen und jeweils eigene IDs erstellen; vervielfachter Verwaltungsbedarf. 3 shows a multifunctional, hybrid environment with mobile IDs, i.e. hybrid ID tokens (partly physical, partly software). Problem: Multiple databases duplicating nearly the same data, each creating their own IDs; multiplied administrative needs.

4 zeigt eine Realiseitung der Erfindung und damit eine Lösung für das Problem in 3. Die ID aus der bestehenden Benutzerdatenbank (LDAP) wiederverwenden, sie in ein verschlüsseltes Token verpacken, von jeder Anwendung entschlüsseln lassen und die Authentifizierung an LDAP delegieren. Damit wird die Single Database Authentication (oder SSO, Single Sign-On) von reinen Softwaresystemen ( ) für hybride Systeme mit hybriden ID-Tokens umgesetzt. 4 shows a realization of the invention and thus a solution to the problem 3 . Reuse the ID from the existing user database (LDAP), wrap it in an encrypted token, have any application decrypt it, and delegate authentication to LDAP. This means that Single Database Authentication (or SSO, Single Sign-On) is used by pure software systems ( ) implemented for hybrid systems with hybrid ID tokens.

5 zeigt ein Diagramm eines ID-Abrufs Anwendungsserver - LDAP-Server-Authentifizierung und -Kommunikation. Der Anmeldeserver verfügt über ein Konfigurationsmodul, in dem die Konfiguration des LDAP-Servers gespeichert ist (DNS-Adresse, Verzeichnisschema). Er ist als Pass-Through-Credential-Server für die Authentifizierung (in LDAP-Begriffen „Bindung“) gegenüber dem LDAP-Server eingerichtet. Nach erfolgreicher Authentifizierung wird die UUID des Benutzers abgerufen. 5 shows a diagram of an ID retrieval application server - LDAP server authentication and communication. The login server has a configuration module that stores the configuration of the LDAP server (DNS address, directory schema). It is set up as a pass-through credential server for authentication (in LDAP terms, “binding”) to the LDAP server. After successful authentication, the user's UUID is retrieved.

6 zeigt einen ID/Ausweis(credential)-Fluss in der Anwendungsumgebung sowie die Verwendung der ID in der/den Anwendung(en). Die LDAP-UUID wird nun in der gesamten Mehrbenutzeranwendung als ID, Schlüssel, Kartennummer oder virtuelle Berechtigungsnachweis-ID verwendet. Der Vorteil dieser Idee ist im Diagramm zu sehen: Die Backend-Systeme sind vereinheitlicht. Sie benötigen keine separate Benutzerverwaltung. Derselbe Benutzer kann in mehreren Systemen authentifiziert und autorisiert werden, aber die Benutzerverwaltung muss nur einmal durchgeführt werden. 6 shows an ID/credential flow in the application environment and the use of the ID in the application(s). The LDAP UUID is now used throughout the multi-user application as an ID, key, card number, or virtual credential ID. The advantage of this idea can be seen in the diagram: the backend systems are unified. You do not need any separate user administration. The same user can be authenticated in multiple systems and authorized, but user management only needs to be done once.

7 zeigt eine Implementierung der Autorisierung mit LDAP. Die Definition der First-Level-Autorisierung - welcher Benutzer darf welche Anwendung nutzen - wird im LDAP-Server durch das Konzept der Gruppen realisiert. Für jede Anwendung wird eine neue Gruppe definiert. Die Gruppenkennung wird im Anwendungskonfigurationsmodul (Konfigurationsmodul aus 5) hinterlegt und als Filter im Identifikationsprozess eingesetzt. Wenn die Anmeldedaten des Benutzers ihn als Mitglied der für die Anwendung definierten Gruppe ausweisen, wird der Authentifizierungsprozess gestartet. Andernfalls wird der Benutzer darüber informiert, dass er nicht berechtigt ist, die Anwendung zu nutzen. 7 shows an implementation of authorization with LDAP. The definition of first-level authorization - which user is allowed to use which application - is implemented in the LDAP server through the concept of groups. A new group is defined for each application. The group identifier is set in the application configuration module (configuration module). 5 ) is stored and used as a filter in the identification process. If the user's credentials identify them as a member of the group defined for the application, the authentication process is started. Otherwise, the user will be informed that he is not authorized to use the application.

8 zeigt eine Bereitstellung bei einem Vor-Ort-Einsatz. 9 zeigt eine Bereitstellung bei einem Einsatz in der Cloud. Die Anwendung kann auf einer Cloud PaaS (Platform-as-a-Service) oder vor Ort bereitgestellt werden. Die Bereitstellung vor Ort kann wiederum auf einem vorhandenen Server oder auf einem dedizierten Server (z. B. Elatec TCPConv) erfolgen, der mit dem vorhandenen Netzwerk verbunden ist. 8th shows a deployment during an on-site deployment. 9 shows a deployment when used in the cloud. The application can be deployed on a cloud PaaS (Platform-as-a-Service) or on-premises. On-premises deployment can again be done on an existing server or on a dedicated server (e.g. Elatec TCPConv) connected to the existing network.

Claims (11)

Verfahren zur Benutzer/Kontenverwaltung für Identifikationssysteme umfassend die Schritte: - wiederverwenden einer ID aus einer bestehenden Benutzerdatenbank (LDAP), - verpacken der ID in ein verschlüsseltes Token, - entschlüssln der ID von jeder Anwendung, und - delegieren der Authentifizierung an LDAP.Procedure for user/account management for identification systems comprising the steps: - reusing an ID from an existing user database (LDAP), - pack the ID into an encrypted token, - decrypt the ID of each application, and - delegate authentication to LDAP. Verfahren nach Anspruch 1, umfassend den weiteren Schritt: - hinzufügen einer eigenen Benutzerverwaltung mit eigenen IDs durch bekannte Anwendungen.Procedure according to Claim 1 , comprising the next step: - adding your own user management with your own IDs through well-known applications. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Quelle der ID nicht auf LDAP beschränkt ist.Method according to one of the preceding claims, wherein the source of the ID is not limited to LDAP. Verfahren nach einem der vorhergehenden Ansprüche, wobei jede Benutzerdatenbank mit einer API verwendet werden kann.Method according to one of the preceding claims, wherein each user database can be used with an API. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Abruf der ID durch Authentifizierung des Benutzers mit seinen bereits vorhandenen Anmeldedaten des LDAP- oder eines anderen Benutzerverzeichnisservers erfolgt.Method according to one of the preceding claims, wherein the ID is retrieved by authenticating the user with his existing login data from the LDAP or another user directory server. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine bestehende ID die Rolle innerhalb einer einzigen Anwendung als Identifikations-Token übernimmt.Method according to one of the preceding claims, wherein an existing ID takes on the role within a single application as an identification token. Verfahren nach einem der vorhergehenden Ansprüche, wobei bekannte Anwendungen ihre eigenen Nummern/IDs/Tokens definieren.Method according to one of the preceding claims, wherein known applications define their own numbers/IDs/tokens. Verfahren nach einem der vorhergehenden Ansprüche, wobei die gemeinsame Nutzung der vorhandenen ID durch andere Anwendungen erfolgt.Method according to one of the preceding claims, wherein the existing ID is shared by other applications. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Verwendung von Gruppen für die Zuordnung von Datenbankattributen zu Anwendungen gemeinsame Nutzung der vorhandenen ID durch andere Anwendungen erfolgt.Method according to one of the preceding claims, wherein the use of groups for the assignment of database attributes to applications takes place by sharing the existing ID among other applications. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Aufbau eines sicheren Systems mit einer nicht geheimen ID/einem nicht geheimen Token erfolgt.Method according to one of the preceding claims, wherein the construction of a secure system takes place with a non-secret ID/a non-secret token. Vorrichtung umfassend eine Benutzerdatenbank zur Durchführung des Verfahrens nach wenigstens einem der vorhergehenden Ansprüche.Device comprising a user database for carrying out the method according to at least one of the preceding claims.
DE102022105680.5A 2022-03-10 2022-03-10 User/account management for identification systems Pending DE102022105680A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022105680.5A DE102022105680A1 (en) 2022-03-10 2022-03-10 User/account management for identification systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022105680.5A DE102022105680A1 (en) 2022-03-10 2022-03-10 User/account management for identification systems

Publications (1)

Publication Number Publication Date
DE102022105680A1 true DE102022105680A1 (en) 2023-09-14

Family

ID=87760044

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022105680.5A Pending DE102022105680A1 (en) 2022-03-10 2022-03-10 User/account management for identification systems

Country Status (1)

Country Link
DE (1) DE102022105680A1 (en)

Similar Documents

Publication Publication Date Title
EP3289508B1 (en) Method for generating an electronic signature
EP2245573B1 (en) Method for reading attributes from an id token
EP2338255B1 (en) Method, computer program product and system for authenticating a user of a telecommunications network
EP3261011B1 (en) Method for reading attributes from an id token
DE69927643T2 (en) Information processing and data storage
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
EP2454704A1 (en) Method for reading attributes from an id token
DE102008042262A1 (en) Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol
DE10124111A1 (en) System and procedure for distributed group management
DE10117038A1 (en) User authentication system for multi-function terminal uses processor for extracting transmission logic from memory for authentication of user password
EP3245607B1 (en) Method for reading attributes from an id token
DE102010041745A1 (en) Method for reading an RFID token, RFID card and electronic device
EP3743844B1 (en) Blockchain-based identity system
DE102008042582A1 (en) Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol
DE102022105680A1 (en) User/account management for identification systems
EP3289509B1 (en) Method for generating an electronic signature
EP3125464B1 (en) Blocking service for a certificate created using an id token
EP1604505A1 (en) Loading media data into a portable data carrier
EP2169579A1 (en) Method and device for accessing a machine readable document
EP3312753B1 (en) Physical security element for resetting a password
EP3248356B1 (en) Certificate token for providing a digital certificate of a user
EP3289507B1 (en) Id token, system, and method for generating an electronic signature
DE102020121666A1 (en) Onboarding procedure for a digital user group
DE102013101834B4 (en) System and method for creating a digital attribute certificate with an attribute network entity and a certification network entity
EP3304807A1 (en) Identifying a person on the basis of a transformed biometric reference feature

Legal Events

Date Code Title Description
R012 Request for examination validly filed