DE60121517T2 - Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems - Google Patents

Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems Download PDF

Info

Publication number
DE60121517T2
DE60121517T2 DE60121517T DE60121517T DE60121517T2 DE 60121517 T2 DE60121517 T2 DE 60121517T2 DE 60121517 T DE60121517 T DE 60121517T DE 60121517 T DE60121517 T DE 60121517T DE 60121517 T2 DE60121517 T2 DE 60121517T2
Authority
DE
Germany
Prior art keywords
user
certificate
digital signature
public key
pki system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60121517T
Other languages
English (en)
Other versions
DE60121517D1 (de
Inventor
Kenneth W. Fairfax Aull
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northrop Grumman Systems Corp
Original Assignee
Northrop Grumman Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northrop Grumman Corp filed Critical Northrop Grumman Corp
Application granted granted Critical
Publication of DE60121517D1 publication Critical patent/DE60121517D1/de
Publication of DE60121517T2 publication Critical patent/DE60121517T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99951File or database maintenance
    • Y10S707/99952Coherency, e.g. same view to multiple users

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft eine Technik zum Erlangen eines einzelnen Anmeldungszertifikats bzw. Einzelanmeldungszertifikats unter Verwendung eines PKI ("Public Key Infrastructure"; Infrastruktur mit öffentlichem Schlüssel)-Systems mit starker Authentifizierung. Im Besonderen betrifft die vorliegende Erfindung ein Verfahren und ein Computerprogramm, durch welche digitale Zertifikate, die von verschiedenen Anbietern aufgegeben werden, erzeugt werden und unter einem PKI-System verwendet werden, welches eine starke Authentifizierung eingebaut hat, um sicherzustellen, dass nur autorisierte bzw. berechtigte Mitglieder der Firma Zugang haben.
  • Hintergrund der Erfindung
  • Seit Jahrhunderten haben Einzelpersonen, Behörden und Unternehmenseinheiten nach Mechanismen und Techniken gesucht, durch die eine sensible Information an berechtigte Dritte über große Entfernungen übertragen werden kann und immer noch sicher bleibt. Das Problem, vor dem die obigen Einheiten stehen, ist es, wie Information an Einzelpersonen oder Einheiten gesendet werden kann, welche sie benötigen, und wie es immer noch sichergestellt werden kann, dass nichtberechtigte Dritte nicht in der Lage sind, die übermittelte Information zu verstehen, sollten sie sie abfangen. Frühe Verfahren zum Absichern von Information haben Verwürflungstechniken, Nachschlagetabellen, Ersetzungschiffren und Codebücher verwendet, in welchen Buchstaben oder Ausdrücke gegen die ursprünglichen Buchstaben und Ausdrücke in der Information ausgetauscht wurden. Diese Techniken benötigten häufig, dass sowohl der Absender als auch der Empfänger von Information Zugang zum gleichen Codebuch besitzen. Eine Gefahr einer solchen Technik ist es, dass das Codebuch in nichtberechtigte Hände fallen könnte.
  • Im frühen 20. Jahrhundert, und insbesondere während des Zweiten Weltkriegs, wurden Codebücher durch elektromechanische Chiffriermaschinen ersetzt. Sowohl der Sender als auch der Empfänger würden eine identische Chiffriermaschine besitzen, die verwendet wird, gesendete Nachrichten zu verschlüsseln und zu entschlüsseln. Um es schwieriger zu machen, diese Nachrichten zu entschlüsseln, haben die Chiffriermaschinen die Fähigkeit, die in einer Nachricht verwendete Chiffre auszutauschen oder die Chiffre zu verändern, welche für alle paar Worte innerhalb einer Nachricht verwendet wird. Um dies zu erreichen, würde die Chiffriermaschine den Anfangszustand oder den verwendeten Schlüssel kennen müssen, um die Nachricht zu verschlüsseln.
  • In den vergangenen Jahren sind die Chiffriermaschinen durch digitale Verschlüsselungsalgorithmen ersetzt worden, in denen sowohl der Sender als auch der Empfänger eine identische Kopie des digitalen Verschlüsselungsalgorithmus besitzen, als auch einen gemeinsamen Schlüssel, der verwendet wird, um Nachrichten zu verschlüsseln und zu entschlüsseln. Sowohl der Verschlüsselungsalgorithmus als auch der Schlüssel werden sowohl vom Absender als auch vom Empfänger geheim gehalten.
  • Noch aktueller ist eine weitere Verschlüsselungstechnik entwickelt worden, bei welcher zwei getrennte Schlüssel für die Verschlüsselung und die Entschlüsselung verwendet werden. Ein öffentlicher Schlüssel wird frei demjenigen zugesandt, welcher ihn benötigt, und wird verwendet, um Nachrichten für einen bestimmten Empfänger zu verschlüsseln. Der Empfänger würde einen zugehörigen privaten Schlüssel besitzen, welcher verwendet werden kann, um die Nachricht zu entschlüsseln, die mit dem zugehörigen öffentlichen Schlüssel verschlüsselt worden ist. Für jeden öffentlichen Schlüssel existiert nur ein privater Schlüssel, und für jeden privaten Schlüssel existiert nur ein öffentlicher Schlüssel. Wenn eine Nachricht an verschiedene Empfänger gesendet wird, ist es notwendig, den öffentlichen Schlüssel jedes Empfängers zu besitzen. Die Nachricht würde dann separat unter Verwendung des öffentlichen Schlüssels jedes Empfängers verschlüsselt und diesem bestimmten Empfänger übermittelt. Falls daher zehn unterschiedliche Einheiten die gleiche Nachricht empfangen sollen, würden zehn getrennte Nachrichtenübertragen, wobei jede Nachricht mit dem öffentlichen Schlüssel der Einzelperson verschlüsselt worden wäre. Mit der Ankunft des Internet hat eine solche Infrastruktur mit öffentlichem Schlüssel eine erhebliche Akzeptanz erlangt, wie es in der Anfrage nach Kommentaren, Nr. 2459, von Ford et al., "Internet X.509 Public Key Infrastructure" diskutiert wurde.
  • Zusätzlich zum Bedürfnis nach Verschlüsselung und Entschlüsselung von Nachrichten hat sich mit der Ankunft der Email ("Electronic Mail"; elektronische Post) und dem Internet ein Bedürfnis nach einem sicheren Mechanismus entwickelt, um eine Zustimmung und Anerkennung durch eine Einzelperson anzuzeigen. In der Vergangenheit würde eine Einzelperson typischerweise seine Zustimmung oder Anerkennung zu solchen Gegenständen wie einem Vertrag oder einer Bestellung mittels einer handgeschriebenen Signatur bzw. Unterschrift, eines Stempels oder eines Siegels zeigen, welche nur von dieser Einzelperson aufbewahrt würden. Jeder andere, der versuchen würde, eine solche Signatur, Stempel oder Siegel nachzumachen, würde Straftaten begehen. Mit der Ankunft der Email und des Internets ist ein Bedürfnis danach ent standen, einen Vorteil aus der Einfachheit und der Geschwindigkeit der Email zu ziehen, um, durch eine Person oder eine Einheit mit richtiger Berechtigung, eine Zustimmung oder Anerkennung zu einem Vertrag oder einem Kauf anzuzeigen. Dies ist als digitale Signatur bekannt geworden, in welcher eine Einzelperson ein Dokument digital signieren bzw. unterschreiben kann.
  • Diese Fähigkeit zur digitalen Signatur ist unter Verwendung der gleichen Infrastruktur mit öffentlichem Schlüssel verwirklicht worden, welche oben diskutiert worden ist. Anstatt jedoch ein gesamtes Dokument zu verschlüsseln wird das Dokument selbst durch einen Einweg-Hash-Algorithmus geschickt, welcher ein kleines Dokument erzeugt, das als ein Extrakt bezeichnet wird. Dieses Extrakt wird dann unter Verwendung des privaten Schlüssels der Einzelperson, welcher auch als privater Signaturschlüssel bekannt ist, verschlüsselt und dem Dokument angehängt. Der Empfänger des Dokuments kann die Authentizität der digitalen Signatur (des Extrakts) durch Herausziehen der Signatur aus dem Dokument und Wiederberechnen der Hash-Funktion an dem Dokument, um es als ein empfangenes Extrakt zu erzeugen, verifizieren. Unter Verwendung des öffentlichen Signaturschlüssels, der in dem Dokument enthalten oder vorher empfangen wurde, ist es möglich, das Extrakt des Dokuments zu entschlüsseln und es mit dem Extrakt zu vergleichen, wie es empfangen wurde. Falls die beiden Extrakts übereinstimmen, ist die Signatur dann authentifiziert. Daher ist es unter Verwendung der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel möglich, Nachrichten sowohl zu verschlüsseln als auch zu entschlüsseln, als auch Dokumente digital zu signieren.
  • In der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel mögen jedoch, trotz der Anerkennung der Internet-X.509-Architektur, Zertifikate, die von der Software eines Herstellers erzeugt worden sind, nicht mit der Software eines anderen Herstellers verträglich sein. Beispielsweise stellte Microsoft in Windows 2000 die Erzeugung digitaler Zertifikate zum Zweck einer "einzelnen Anmeldung" für einen Nutzer für ein MicrosoftTM-Netzwerk bereit. Typischerweise würde der Nutzer ein solches einzelnes Anmeldungs-Zertifikat durch Verwenden eines herkömmlichen Web-Browsers anfordern, um auf eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zuzugreifen. Der Nutzer würde dann angeforderte Information ausfüllen, und die Domänenzertifizierungsstelle mag optional die Zustimmung eines Administrators anfordern, um die Ausgabe des Zertifikats zu genehmigen. Es sollte beachtet werden, dass der Benutzer nicht aufgefordert wird, irgendeinen Beweis seiner Identität beizubringen, und üblicherweise wird keine Authentifizierung der Identität durchgeführt. Jedoch wird das Zertifikat häufig nur von Windows 2000 akzeptiert, und Zertifikate, die von anderen PKI-Systemen erzeugt werden, mögen von Windows 2000 nicht akzeptiert werden.
  • Den nächsten Stand der Technik stellt der Artikel von M. Flemming Grubb et al. "Single Sign-One and the System Administrator", Twelfth Systems Administration Conference LISA '98, 6. Dezember 1998, S. 63–86, Boston (US) dar. Dieser Artikel handelt die Probleme des Entwickelns eines effizienten einzelnen Anmeldens für weit verteilte Systeme ab, ggfls. auf der Grundlage eines Zertifikats für einen öffentlichen Schlüssel. Dieser Artikel offenbart kein vollständiges Arbeitsverfahren zum Erzeugen eines solchen einzelnen Anmeldungszertifikats.
  • Was daher benötigt wird, sind ein Verfahren und ein Computerprogramm, in welchen ein Nutzer, der ein PKI-System besitzt, Zertifikate erzeugen kann, welche für andere PKI-Systeme in einem einzigen einfachen Prozessablauf verwendet werden können, welcher die Wiedereingabe von Daten nicht benötigt. Ferner sollten dieses Verfahren und dieses Computerprogramm eine Nutzerauthentifizierung und Nutzermobilität von einem Computer zum anderen erlauben.
  • Zusammenfassung der Erfindung
  • Eine Ausführungsform der vorliegenden Erfindung stellt ein Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems bereit. Dieses Verfahren beginnt damit, dass ein Nutzer auf ein PKI-System zugreift, in welchem ein digitales Signaturzertifikat vorher für den Nutzer erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System. Das PKI-System verifiziert dann die Identität und Gültigkeit des Nutzers durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats. Ein privatöffentliches Schlüsselpaar bzw. ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zur Signatur übertragen, welche den öffentlichen Schlüssel an den Nutzer zurücksendet, welcher durch die Domänenzertifizierungsstelle signiert worden ist.
  • Ferner ist eine Ausführungsform ein Computerprogramm, das auf einem computerlesbaren Medium verkörpert ist und durch einen Computer ausführbar ist. Dieses Computerprogramm beginnt dadurch, dass ein Nutzer auf ein PKI-System zugreift, in welchem ein digitales Signaturzertifikat vorher für den Nutzer erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System. Das PKI-System verifiziert dann die Identität und Gültigkeit des Nutzers durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats. Ein privatöffentliches Schlüsselpaar wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zur Signatur übertragen bzw. übermittelt, welche den öffentlichen Schlüssel, der von der Domänenzertifizierungsstelle signiert worden ist, zum Nutzer zurücksendet.
  • Und weiter ist eine Ausführungsform der vorliegenden Erfindung ein Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems. Dieses Verfahren beginnt mit Erzeugen eines digitalen Signaturzertifikats durch einen Sicherheitsverantwortlichen oder einen anderen Firmenangehörigen, welcher die Identität des Nutzers verifiziert und eine Zustimmung durch das Management des Nutzers empfängt. Dem Nutzer wird ein Passwort durch die Post an die Heimatadresse des Nutzers geliefert. Auf das PKI-System wird durch den Nutzer unter Verwendung des Passworts zugegriffen. Das digitale Signaturzertifikat wird vom PKI-System durch den Nutzer heruntergeladen. Auf das PKI-System wird durch den Nutzer unter Verwendung des digitalen Signaturzertifikats zugegriffen. Die Gültigkeit des Nutzers wird durch das PKI-System durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats verifiziert. Ein privatöffentliches Schlüsselpaar wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifizierungsstelle zur Signatur übertragen. Der öffentliche Schlüssel wird von der Domänenzertifizierungsstelle unterschrieben an den Nutzer zurückgesandt.
  • Diese und andere Merkmale dieses Systems, Verfahrens und Computerprogramms werden aus der folgenden Beschreibung klarer, wenn sie zusammen mit den beigefügten Zeichnungen gelesen wird, welche ausschließlich zum Zwecke der Darstellung erfindungsgemäße Beispiele zeigt.
  • Kurze Beschreibung der Zeichnungen
  • Das obige und ein besseres Verständnis der vorliegenden Erfindung wird aus der folgenden genauen Beschreibung beispielhafter Ausführungsformen und der Ansprüche klar, wenn sie zusammen mit den beiliegenden Zeichnungen gelesen werden, welche alle einen Teil der Offenbarung der Erfindung bilden. Während die vorhergehende und folgende niedergeschriebene und dargestellte Offenbarung sich auf ein Offenbaren beispielhafter Ausführungsformen der Erfindung konzentriert, sollte es klar verstanden werden, dass dies nur zur Darstellung und als Beispiel gedacht ist und die Erfindung nicht darauf beschränkt. Der Umfang der vorliegenden Erfindung ist nur durch die Ausdrücke der beiliegenden Ansprüche beschränkt.
  • Das Folgende stellt kurze Beschreibungen der Zeichnungen dar, worin:
  • 1 ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware ist, welche in den Ausführungsformen der vorliegenden Erfindung verwendet werden; und
  • 2 ein Flussdiagramm einer beispielhaften Ausführungsform des Ablaufs zum Erlangen eines einzelnen Anmeldungs-Zertifikats in der vorliegenden Erfindung ist.
  • GENAUE BESCHREIBUNG DER ZEICHNUNGEN
  • Vor Beginn einer genauen Beschreibung des Erfindungsinhalts ist folgende Anmerkung zu machen. Wenn es dienlich ist, können gleiche Bezugsziffern und -zeichen verwendet werden, um identische, entsprechende oder ähnliche Komponenten in unterschiedlichen Figurenzeichnungen zu bezeichnen. Ferner können in der folgenden genauen Beschreibung beispielhafte Größen/Modelle/Werte/Bereiche angegeben werden, obwohl die vorliegende Erfindung nicht auf diese beschränkt ist.
  • 1 ist ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware, welche in den erfindungsgemäßen Ausführungsformen verwendet wird. Die in 1 gezeigten Kästchen stellen Module, Code, Codesegmente, Befehle, Firmware, Hardware, Anweisungen und Daten dar, die mittels eines prozessorbasierten Systems bzw. prozessorbasierter Systeme ausführbar sind und in einer Programmiersprache geschrieben sein können, wie beispielsweise, aber nicht beschränkt auf, C++. Es sollte angemerkt werden, dass die in 1 dargestellten Module so gezeigt sind, dass sie auf getrennten Serverplattformen enthalten sind. Jedoch sind diese Module nicht darauf beschränkt, auf getrennten Servern abgelegt zu sein, und können auf einem Computer oder jeder Zahl von Computern abgelegt sein und ausgeführt werden, und zwar abhängig von der Zahl der Nutzer, die das System handhaben muss, und der verwendeten Kommunikationen. 2 bis 10 sind Flussdiagramme, welche Betriebsschritte weiter genauer ausführen, die durch die in 1 gezeigten Module ausgeführt werden.
  • 1 zeigt eine beispielhafte Architektur 100, in welcher die erfindungsgemäße Infrastruktur mit öffentlichem Schlüssel (PKI) praktiziert werden kann. Jedoch sollte, wie oben diskutiert, verstanden werden, dass die vorliegende Erfindung nicht auf die Architektur 100 aus 1 beschränkt ist. Die Architektur 100 umfasst eine Dateneingabe 102, welche eine Dateneingabefunktion für eine autoritative bzw. maßgebliche Datenbank 104 durchführt, welche sich auf der Serverplattform 106 befindet. Es wird sich in dieser Beschreibung auf eine Serverplattform 106 bezogen, aber es sollte verstanden werden, dass die vorliegende Erfindung nicht auf irgendeine spezielle Serverarchitektur beschränkt ist. Die Serverplattform 106 kann ohne Beschränkung UNIX- oder Windows NT-Server umfassen. Die autoritative Datenbank 104 enthält Information über Mitglieder der Gruppe oder des Unternehmens, für welche PKI-Dienstleistungen in Übereinstimmung mit der vorliegenden Erfindung durchgeführt werden. Die vorliegende Erfindung ist nicht auf die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der autoritativen Datenbank 104 gespeichert wird. Die Information der autoritativen Datenbank 104 umfasst, ohne Beschränkung, den Namen, die Adresse, Telefonnummern, Namen des Managers, Angestelltenkennung usw. der Mitglieder der Gruppe oder des Unternehmens. Ein Datenverzeichnis 108 hat die Struktur der Datenbank, ist aber zum schnellen Nachschlagen von darin gespeicherter Information optimiert, statt auf eine schnelle Dateneingabe. Die Daten in dem Datenverzeichnis 108 werden nicht häufig geändert, aber es wird von ihm verlangt, dass auf es "schnell zugegriffen werden kann und Online als ein schnelles Telefonbuch arbeitet", das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der autoritativen Datenbank 104 gespeichert ist. Eine Zertifikatsbehörde bzw. Zertifizierungsstelle 110 ist eine herkömmliche Standardsoftware, die auf der Serverplattform 106 ausgeführt wird und eine Speicherung von Zertifikaten und zugehöriger Information bereitstellt, welche von der vorliegenden Erfindung verwendet wird, wie genauer im Folgenden beschrieben. Eine Registrierungsstelle 112 ist ebenfalls eine Standardsoftware, welche auf der Serverplattform 106 ausführbar ist bezüglich der Registrierung, die durch die vorliegende Erfindung durchgeführt wird, wie es genauer im Folgenden beschrieben wird. Eine Schlüsselstelle 114 ist ebenfalls eine Standardserversoftware, die auf der Serverplattform 106 ausführbar ist, um Schlüssel von Mitgliedern der Gruppe oder des Unternehmens wiederzuerlangen, wie es im Folgenden genauer beschrieben wird. Eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle ("Certificate Authority"; CA) 116 kann Zertifikate verwenden, welche von der vorliegenden Erfindung für eine einzelne Anmeldung zur Architektur aus 1 bereitgestellt wird. Ein Legacy-Server 118 führt Legacy-Anwendungsprogramme 120 aus. Der Legacy- Server kann, ohne Beschränkung, ein Mainframe, eine Minicomputer, eine Workstation oder ein anderer Server sein, welcher Legacy-Software-Applikationen hosted, die dazu entworfen sind, auf erfindungsgemäßen PKI-Prozessen zu laufen. Auf die Legacy-Anwendungen 120 ist auf der Client-Seite mittels eines kundenspezifischen Client 128 zugreifbar, wie beispielsweise durch einen Emulator oder eine kundenspezifische Datenbank-GUI ("Graphic User Interface"; graphische Nutzerschnittstelle). Beispiele für Emulatoren sind Endgeräteemulatoren für eine IBM 3270 oder Endgeräteemulatoren für eine vt 100. Eine Registrierungs-Web-Page 122, welche eine oder mehrere Seiten sein kann, funktioniert als die Nutzerschnittstelle zur Architektur 100 von 1. Der Webserver 124 ist eine Softwareanwendung, welche Webseiten bedient, wie beispielsweise die Webseite 122, oder andere HTML-Ausgaben zu einem Webbrowser-Client, welcher, ohne Beschränkung, ein Apache- oder ein Microsoft-Internet-Information-Server sein kann. Der Webbrowser 126 liegt auf einer Clientplattform 128, welche jeder Nutzercomputer sein kann. Der Webbrowser 126 ist eine Client-Softwareanwendung zum Browsen von Webseiten, wie beispielsweise, aber nicht beschränkt auf, HTML- oder XML-Protokollen oder anderen Protokollen. Der Webbrowser 126 ist dazu programmiert, mit PKI-Zertifikaten betrieben zu werden, welche von der Zertifizierungsstelle 110 ausgegeben werden. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, sind der Netscape Navigator und der Microsoft Internet Explorer. Der Token 130 ist eine Smartcard, ein USB ("Universal Serial Bus"; universeller serieller Bus)- oder ein anderer Hardwaretoken, der in der Lage ist, PKI-Zertifikate zu speichern und zu verwenden. Ein Nutzer 132 ist eine Person, welche die Architektur 100 verwendet. Ein Nutzer 132 durchläuft eine Anzahl von Zuständen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen ehemaligen Nutzer umfassen, welcher nicht länger ein Mitglied der Gruppe oder des Unternehmen ist. Die Architektur 100 wird mit Bezug auf zwei Sicherheitsstufen beschrieben, aber die Zahl der Sicherheitsstufen ist keine Beschränkung der vorliegenden Erfindung, wobei jede Stufe einer unterschiedlichen Sicherheitsanforderung entspricht. Die Suchmaschine 134 nach Stufe 1 ist eine Suchmaschine, die Architektur 100 zu durchsuchen, aber dem ein Zugang nur zu Stufe 1-Daten erlaubt ist, welches die niedrigste Sicherheitsstufe ist und ohne Beschränkung Daten sein können, die frei verteilbar sind. Daten der Stufe 2 können als proprietär bzw. geschützt angesehen werden. Eine Suchmaschine 136 nach Stufe 2 ist eine Suchmaschine, welcher es erlaubt ist, sowohl durch Daten von Stufe 1 als auch von Stufe 2 zu suchen. Eine Suchmaschine von Stufe N (nicht dargestellt) ist eine Suchmaschine, welcher es erlaubt ist, Server zu durchsuchen, die Daten von Stufe 1 bis N aufweisen. Ein Server mit abgesicherter Stufe mit Daten von Stufe 1 ist ein Webserver, der nur Daten der Stufe 1 enthält, welche gesichert sind, so dass Nutzer Zugang zu Servern der Stufe 1 besitzen kön nen. Ein abgesicherter Webserver mit Stufe 2-Daten 140 ist ein Webserver, welche Stufe 2-Daten enthält, die abgesichert worden sind, so dass Nutzer einen Zugang zu Stufe 2 aufweisen müssen, wobei Nutzer von Stufe 2 Zugang sowohl zu Servern von Stufe 1 als auch Stufe 2 haben. Ein abgesicherter Webserver mit Stufe N-Daten (nicht dargestellt) ist ein Webserver, der Stufe N-Daten enthält, welche nur Nutzern mit Stufe N- oder höherem Zugang zu allen Stufen von Daten bis hoch zu Stufe N zugänglich sind. Ein VPN-Extranet 142 ist eine Softwareanwendung, welche als ein Netzewerk-Gateway funktioniert, welches, wie dargestellt, entweder an einen Legacy-Server 118 und eine Legacy-Anwendung 120 oder an ein externes Netzewerk, wie beispielsweise das Internet angeschlossen sein kann. Eine persönliche Widerrufsstelle 144 ist eine Person, welche für den Widerruf von Mitgliedern aus dem Netzwerk 100 verantwortlich ist. Die persönliche Registrierungsstelle 146 ist eine Person, welche für die Registrierung von Mitgliedern in das Netzwerk 100 verantwortlich ist. Der persönliche Wiederausstellungszustimmungs 1 148- und der persönliche Wiederausstellungsbearbeiter 2 149 sind Personen, welche zum Erlangen einer Wiederausstellung von Zertifikaten verantwortlich sind. Ein Wiedererlangungsbearbeiter ist eine Person, welche eine Wiedererlangung von Zertifikaten durchführt, und mag nur dann ein Zertifikat wiedererlangen, falls das Zertifikat zuerst als wiedererlangbar durch eine andere Person angezeigt worden ist. Die persönliche Rollenzustimmung ist eine Person, welche einer unterschiedlichen Rollenfunktion innerhalb des Netzwerks 100 zustimmt. Ein Webserver-Administrator ist verantwortlich für verschiedene Webfunktionen im Nezewerk 100.
  • Bevor eine Diskussion des Flussdiagramms begonnen wird, ist eine kurze Diskussion der Natur und der Wirkungsweise und Struktur eines Zertifikats notwendig. Wie es aus einer Betrachtung von 2 klar wird, verlassen sich die Ausführungsformen der vorliegenden Erfindung auf die Verwendung eines Zertifikats. Ein Zertifikat basiert auf einem X.509-Zertifikat (V3), wie es genau unter Teil 4 der RFC 2459 beruht wird, welche hiermit oben durch Bezug einbezogen wird. Das X.509-Zertifikat ist ein Zertifikat mit öffentlichem Schlüssel, das entweder für Verschlüsselungszwecke oder als ein Signaturschlüssel durch ein PKI-System verwendet wird. Es sollte nicht mit einem "Einzel-Anmeldungs"-Zertifikat verwechselt werden, welches mit dem X.509-Zertifikat nicht kompatibel oder ähnlich zu sein braucht. Die in dem X.509-Zertifikat enthaltene Information wird sich davon abhängig ändern, ob sie als ein Signaturzertifikat oder als ein öffentlicher Schlüssel zur Verschlüsselung eingerichtet wird. Das X.509-Zertifikat enthält mindestens die in der unteren Tabelle 1 gezeigten Felder.
  • Figure 00100001
  • In den beispielhaften Ausführungsformen der vorliegenden Erfindung wird das X.509-Zertifikat unter Verwendung eines starken Authentifizierungs- und Zustellungsverfahrens erzeugt. Der Nutzer 132 muss sich zunächst für das Zertifikat über die Personalabteilung oder die Sicherheitsabteilung anmelden und einen Beweis für seine Identität geben. Der unmittelbare Vorgesetzte des Nutzers 132 wird dann für seine Zustimmung kontaktiert, um das X.509-Zertifikat zu empfangen. Danach wird, über die Post zur Heimatadresse des Nutzers 132, ein Einmalpasswort zum Nutzer 132 gesandt, welches die Zustellung des X.509-Zertifikats zum Nutzer 132 ermöglicht. Der Nutzer 132 kann dann das X.509-Zertifikat über einen verschlüsselten sicheren Kanal auf seinen Computer herunterladen. Das X.509-Zertifikat kann auch auf einem Hardwaretoken, einer Smartcard oder einer Magnetstreifenkarte untergebracht werden, so dass der Nutzer 132 es am Mann tragen kann und es von einem Computer zum nächsten bewegen kann.
  • 2 ist ein Flussdiagramm einer beispielhaften Ausführungsform in der vorliegenden Erfindung, wobei ein "einzelnes Anmeldungs-" Zertifikat für den Nutzer 132 erzeugt wird. Das in 2 gezeigte Verfahren und Computerprogramm beginnt eine Ausführung bei Betriebsschritt 200 und geht unmittelbar auf Betriebsschritt 210 über. Im Betriebsschritt 210 greift der Nutzer auf den Registrierungswebserver 124 über den Webbrowser 126 zu und fordert ein einzelnes Anmeldungszertifikat an. Danach fordert der Registrierungswebserver vom Nutzer 132 ein Nutzersignaturzertifikat an. Dieses Nutzersignaturzertifikat würde das vorher diskutierte X.509-Zertifikat sein und durch den vorher beschriebenen Prozessablauf erzeugt worden sein. Beim Betriebsschritt 230 überträgt der Nutzer 132 sein Signaturzertifikat an den Registrierungs webserver 124. Danach fragt, in Betriebsschritt 240, der Registrierungswebserver 124 das Datenverzeichnis 108 ab, um zu bestätigen, dass der Nutzer 132 ein gültiges Mitglied der Organisation ist. Das Abarbeiten geht dann auf Betriebsschritt 250 über, oder eine Überprüfung der Gültigkeit des Nutzers 132, ob er ein Mitglied der Organisation ist, wird durchgeführt. Falls der Nutzer 132 kein gültiges Mitglied der Organisation ist, wird eine Fehlermeldung in Betriebsschritt 330 erzeugt, und das Abarbeiten geht dazu über, in Betriebsschritt 320 beendet zu werden.
  • Falls jedoch der Nutzer ein gültiges Mitglied der Organisation ist, geht das Abarbeiten dann auf Betriebsschritt 260 über. In Betriebsschritt 260 signalisiert der Registrierungswebserver 124 dem Webbrowser 126, ein privatöffentliches Schlüsselpaar zu erzeugen. Danach erzeugt, in Betriebsschritt 270, der Webbrowser 126 das öffentlich/private Schlüsselpaar und speichert es lokal ab. In Betriebsschritt 280 übermittelt der Webbrowser 126 nur den öffentlichen Schlüssel an den Registrierungswebserver 124. Danach überträgt, in Betriebsschritt 290, der Registrierungswebserver 124 den öffentlichen Schlüssel an die Domänenzertifizierungsstelle ("Domain Certificate Authority"; CA) 116. In Betriebsschritt 300 signiert die Hauptzertifizierungsstelle 116 den empfangenen öffentlichen Schlüssel digital und speichert diesen lokal in seinem Verzeichnis. Diese Domänenzertifizierungsstelle 116 kann ein Windows 2000TM-Netzwerk sein, ist aber nicht darauf beschränkt. Danach übermittelt die Domänenzertifizierungsstelle 116 den zugeordneten öffentlichen Schlüssel zurück zum Registrierungswebserver 124. In Betriebsschritt 310 überträgt der Registrierungswebserver 124 den signierten öffentlichen Schlüssel an den Webbrowser 126. Ferner kann, in Betriebsschritt 310, der Webbrowser 126 auf Empfang des signierten öffentlichen Schlüssels hin diesen entweder lokal abspeichern oder ihn auf einen Hardwaretoken, eine Smartcard oder einen Magnetstreifen, welcher in einer Karte eingebettet ist, abspeichern. Danach fährt das Abarbeiten mit Betriebsschritt 320 weiter, wo das Abarbeiten beendet wird.
  • Unter Verwendung der Ausführungsformen der vorliegenden Erfindung kann eine Organisation oder eine Einzelperson Abläufe, Computersoftware und Verfahren zum Erzeugen eines "Einzelanmeldungs"-Zertifikat erzeugen, das auf einem anderen, fremden und nicht-kompatiblen System nützlich ist, und zwar unter Verwendung seines eigenen PKI-Systems. Das PKI-System der Einzelperson kann auf eine solche Art eingerichtet werden, dass es eine starke Authentifizierung der Identität der Einzelperson benötigt, bevor irgendein "Einzelanmeldungs"-Zertifikat erzeugt wird. Daher wird es vom Nutzer nicht verlangt, die gleiche Information einzugeben, um ein "Einzelanmeldungs"-Zertifikat zu erzeugen, und Zugang zur Erzeugung solcher Zertifikate ist nur auf berechtigte Einzelpersonen beschränkt.
  • Während wir hierin nur ein paar Beispiele gezeigt und beschrieben haben, sollte es verständlich sein, dass viele Änderungen und Modifikationen an der vorliegenden Erfindung durchgeführt werden können, wie sie dem Fachmann bekannt sind. Beispielsweise kann jegliche Art von Computerarchitektur für die Ausführungsformen der vorliegenden Erfindung verwendet werden. Ferner kann die vorliegende Erfindung in jeder Mehrzweck-Computersprache geschrieben sein. Auch kann die Sicherheit durch die Verwendung verschlüsselter sicherer Kommunikationsleistungen erhöht werden, wann immer ein privater oder öffentlicher Schlüssel über das Netzwerk übertragen wird. Daher wünschen wir nicht, auf die gezeigten und hierin beschriebenen Details beschränkt zu werden, sondern möchten alle solche Änderungen und Modifikationen abdecken, die durch den Umfang der angehängten Ansprüche umfasst werden.

Claims (15)

  1. Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems, umfassend: Zugreifen auf ein PKI-System durch einen Nutzer (132), in welchem ein digitales Signaturzertifikat vorher für den Nutzer (132) erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System; Verifizieren einer Identität und Gültigkeit des Nutzers (132) durch das PKI-System mittels Zugreifen auf ein Datenverzeichnis (108) unter Verwendung des digitalen Signaturzertifikats; Erzeugen eines privat/öffentlichen Schlüsselpaars und Übertragen des öffentlichen Schlüssels an das PKI-System; Übertragen des öffentlichen Schlüssels an eine Domänenzertifizierungsstelle (116) für ein Signieren; und Zurücksenden des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116) signiert ist, zum Nutzer (132).
  2. Verfahren nach Anspruch 1, weiterhin umfassend: Authentifizieren der Nutzeridentität; und Verifizieren, dass der Nutzer (132) die Berechtigung besitzt, den öffentlichen Schlüssel zu empfangen.
  3. Verfahren nach Anspruch 2, weiterhin umfassend: Ausliefern eines Passwortes an den Nutzer (132) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats.
  4. Verfahren nach Anspruch 3, wobei das digitale Signaturzertifikat sowohl für Signaturen als auch für eine Verschlüsselung verwendet werden kann.
  5. Verfahren nach Anspruch 1, wobei das Verifizieren der Identität und der Gültigkeit des Nutzers (132) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132) immer noch ein Mitglied der Organisation ist.
  6. Verfahren nach Anspruch 5, ferner umfassend: Speichern des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116) signiert ist, in einem Hardwaretoken, einer Smartcard, einem Computer, einer Magnetstreifenkarte oder einer anderen Speichervorrichtung (130).
  7. Verfahren nach Anspruch 6, ferner umfassend: Zugreifen auf ein fremdes Computernetzwerk, das nicht dem PKI-System zugeordnet ist, unter Verwendung des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116) unterschrieben ist.
  8. Computerprogramm, das auf einem computerlesbaren Medium verkörpert ist und durch einen Computer ausführbar ist, um ein einzelnes Anmeldungs-Rollenzertifikat unter Verwendung eines PKI-Systems zu erzeugen, umfassend: Zugreifen auf ein PKI-System durch einen Nutzer (132), in welchem ein digitales Signaturzertifikat vorher für den Nutzer (132) erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System; Verifizieren der Identität und Gültigkeit des Nutzers (132) durch das PKI-System mittels Zugreifens auf ein Datenverzeichnis (108) unter Verwendung des digitalen Signaturzertifikats; Erzeugen eines privat/öffentlichen Schlüsselpaars und Übertragen des öffentlichen Schlüssels an das PKI-System; Übertragen des öffentlichen Schlüssels an eine Domänenzertifizierungsstelle (116) zum Signieren; und Zurücksenden des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116) signiert ist, zum Nutzer (132).
  9. Computerprogramm nach Anspruch 8, weiterhin umfassend: Authentifizieren der Nutzeridentität; und Verifizieren, dass der Nutzer (132) die Berechtigung besitzt, den öffentlichen Schlüssel zu empfangen.
  10. Computerprogramm nach Anspruch 9, weiterhin umfassend: Ausliefern eines Passwortes an den Nutzer (132) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats durch den Nutzer (132).
  11. Computerprogramm nach Anspruch 8, wobei das Verifizieren der Identität und Gültigkeit des Nutzers (132) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132) immer noch ein Mitglied der Organisation ist.
  12. Verfahren nach Anspruch 1, weiterhin umfassend: Erzeugen eines digitalen Signaturzertifikats, das die Identität eines Nutzers (132) und die Berechtigung des Nutzers (312) verifiziert, und das digitale Signaturzertifikat zu erhalten; Ausliefern eines Passwortes an den Nutzer (132) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats vom PKI-System.
  13. Verfahren nach Anspruch 12, wobei das Verifizieren der Identität und Gültigkeit des Nutzers (132) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132) immer noch ein Mitglied der Organisation ist.
  14. Verfahren nach Anspruch 13, weiterhin umfassend: Speichern des öffentlichen Schlüssels durch die Domänenzertifizierungsstelle (116) in einem Hardwaretoken, einer Smartcard, einem Computer, einer Magnetstreifenkarte oder einer anderen Speichervorrichtung (130).
  15. Verfahren nach Anspruch 14, weiterhin umfassend: Zugreifen auf ein fremdes Computernetzwerk, das nicht dem PKI-System zugeordnet ist, unter Verwendung des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116) signiert ist.
DE60121517T 2000-06-09 2001-05-31 Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems Expired - Lifetime DE60121517T2 (de)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
US21046400P 2000-06-09 2000-06-09
US21046200P 2000-06-09 2000-06-09
US210462P 2000-06-09
US210464P 2000-06-09
US22933600P 2000-09-01 2000-09-01
US229336P 2000-09-01
US09/822,958 US7069440B2 (en) 2000-06-09 2001-03-30 Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
US822958 2001-03-30

Publications (2)

Publication Number Publication Date
DE60121517D1 DE60121517D1 (de) 2006-08-31
DE60121517T2 true DE60121517T2 (de) 2006-11-23

Family

ID=27498805

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60121517T Expired - Lifetime DE60121517T2 (de) 2000-06-09 2001-05-31 Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems

Country Status (4)

Country Link
US (1) US7069440B2 (de)
EP (1) EP1175038B1 (de)
JP (1) JP2002123492A (de)
DE (1) DE60121517T2 (de)

Families Citing this family (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7152450B2 (en) * 2000-08-17 2006-12-26 Industrial Origami, Llc Method for forming sheet material with bend controlling displacements
NO313480B1 (no) * 2001-01-24 2002-10-07 Telenor Asa Fremgangsmåte for å åpne hele eller deler av et smartkort
GB2396037B (en) * 2001-05-29 2005-08-24 Xenobit Corp Method and system for logging into and providing access to a computer system via a communications network
US8051168B1 (en) * 2001-06-19 2011-11-01 Microstrategy, Incorporated Method and system for security and user account integration by reporting systems with remote repositories
ES2326073T3 (es) * 2001-11-23 2009-09-30 Research In Motion Limited Sistema y metodo para tratar o procesar documentos en lenguaje de marcaje extensible (xml).
US20030130960A1 (en) * 2001-11-28 2003-07-10 Fraser John D. Bridging service for security validation within enterprises
US20030131232A1 (en) * 2001-11-28 2003-07-10 Fraser John D. Directory-based secure communities
US20040003247A1 (en) * 2002-03-11 2004-01-01 Fraser John D. Non-centralized secure communication services
US7500262B1 (en) * 2002-04-29 2009-03-03 Aol Llc Implementing single sign-on across a heterogeneous collection of client/server and web-based applications
US7461251B2 (en) * 2002-05-09 2008-12-02 Canon Kabushiki Kaisha Public key certification issuing apparatus
JP2004021666A (ja) * 2002-06-18 2004-01-22 Hitachi Ltd ネットワークシステム、サーバ、およびサーバ設定方法
US7426642B2 (en) * 2002-11-14 2008-09-16 International Business Machines Corporation Integrating legacy application/data access with single sign-on in a distributed computing environment
KR100493885B1 (ko) * 2003-01-20 2005-06-10 삼성전자주식회사 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
JP4420201B2 (ja) * 2004-02-27 2010-02-24 インターナショナル・ビジネス・マシーンズ・コーポレーション ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US20060068758A1 (en) * 2004-09-30 2006-03-30 Abhay Dharmadhikari Securing local and intra-platform links
JP4607542B2 (ja) * 2004-10-26 2011-01-05 富士通株式会社 データ処理装置
US8087092B2 (en) * 2005-09-02 2011-12-27 Uniloc Usa, Inc. Method and apparatus for detection of tampering attacks
WO2008013525A1 (en) * 2006-07-25 2008-01-31 Northrop Grumman Corporation Common access card heterogeneous (cachet) system and method
US8284929B2 (en) 2006-09-14 2012-10-09 Uniloc Luxembourg S.A. System of dependant keys across multiple pieces of related scrambled information
US8001588B2 (en) * 2006-12-12 2011-08-16 Oracle International Corporation Secure single sign-on authentication between WSRP consumers and producers
US7908662B2 (en) * 2007-06-21 2011-03-15 Uniloc U.S.A., Inc. System and method for auditing software usage
EP2203815B1 (de) * 2007-09-20 2015-08-12 Uniloc Luxembourg S.A. Installieren eines geschützten softwareprodukts unter verwendung eines ungeschützten installationsbildes
EP2223256A1 (de) 2007-11-17 2010-09-01 Uniloc Usa, Inc. System und verfahren zur anpassbaren lizenzierung digitaler produkte
US8464059B2 (en) * 2007-12-05 2013-06-11 Netauthority, Inc. System and method for device bound public key infrastructure
US9363258B2 (en) 2007-12-17 2016-06-07 International Business Machines Corporation Secure digital signature system
WO2009105702A2 (en) * 2008-02-22 2009-08-27 Etchegoyen Craig S License auditing for distributed applications
US8227379B2 (en) * 2008-02-25 2012-07-24 Ricoh Company, Ltd. Thermosensitive recording medium and recording method
EP2311233A1 (de) 2008-05-21 2011-04-20 Uniloc Usa, Inc. Einrichtung und verfahren für gesicherte kommunikation
US8370625B2 (en) 2008-06-11 2013-02-05 Microsoft Corporation Extended data signing
US20090327070A1 (en) * 2008-06-25 2009-12-31 Uniloc Usa, Inc. System and Method for Monitoring Efficacy of Online Advertising
US8438382B2 (en) 2008-08-06 2013-05-07 Symantec Corporation Credential management system and method
EP2396742A2 (de) 2009-02-10 2011-12-21 Uniloc Usa, Inc. Web-inhaltszugang unter verwendung einer client-einrichtungskennung
CA2697309A1 (en) * 2009-03-18 2010-09-18 Luc Bessette Medical records system with dynamic avatar generator and avatar viewer
US20100312702A1 (en) * 2009-06-06 2010-12-09 Bullock Roddy M System and method for making money by facilitating easy online payment
US20100332337A1 (en) * 2009-06-25 2010-12-30 Bullock Roddy Mckee Universal one-click online payment method and system
US8103553B2 (en) * 2009-06-06 2012-01-24 Bullock Roddy Mckee Method for making money on internet news sites and blogs
US9047458B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US20100325431A1 (en) * 2009-06-19 2010-12-23 Joseph Martin Mordetsky Feature-Specific Keys for Executable Code
US20100325446A1 (en) * 2009-06-19 2010-12-23 Joseph Martin Mordetsky Securing Executable Code Integrity Using Auto-Derivative Key
US20100325424A1 (en) * 2009-06-19 2010-12-23 Etchegoyen Craig S System and Method for Secured Communications
US20100323790A1 (en) * 2009-06-19 2010-12-23 Etchegoyen Craig S Devices and Methods for Auditing and Enforcing Computer Game Licenses
US9047450B2 (en) 2009-06-19 2015-06-02 Deviceauthority, Inc. Identification of embedded system devices
US8423473B2 (en) * 2009-06-19 2013-04-16 Uniloc Luxembourg S. A. Systems and methods for game activation
US9633183B2 (en) 2009-06-19 2017-04-25 Uniloc Luxembourg S.A. Modular software protection
US20100325025A1 (en) * 2009-06-22 2010-12-23 Etchegoyen Craig S System and Method for Sharing Media
US20100325051A1 (en) * 2009-06-22 2010-12-23 Craig Stephen Etchegoyen System and Method for Piracy Reduction in Software Activation
US20100325200A1 (en) * 2009-06-22 2010-12-23 Craig Stephen Etchegoyen System and Method for Software Activation Through Digital Media Fingerprinting
US20100325149A1 (en) * 2009-06-22 2010-12-23 Craig Stephen Etchegoyen System and Method for Auditing Software Usage
US20100324981A1 (en) * 2009-06-22 2010-12-23 Etchegoyen Craig S System and Method for Media Distribution on Social Networks
US20100325735A1 (en) * 2009-06-22 2010-12-23 Etchegoyen Craig S System and Method for Software Activation
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
US8903653B2 (en) 2009-06-23 2014-12-02 Uniloc Luxembourg S.A. System and method for locating network nodes
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
US20100325040A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen Device Authority for Authenticating a User of an Online Service
US20100321208A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen System and Method for Emergency Communications
US8736462B2 (en) 2009-06-23 2014-05-27 Uniloc Luxembourg, S.A. System and method for traffic information delivery
US10068282B2 (en) 2009-06-24 2018-09-04 Uniloc 2017 Llc System and method for preventing multiple online purchases
US8239852B2 (en) * 2009-06-24 2012-08-07 Uniloc Luxembourg S.A. Remote update of computers based on physical device recognition
US9129097B2 (en) * 2009-06-24 2015-09-08 Uniloc Luxembourg S.A. Systems and methods for auditing software usage using a covert key
US9075958B2 (en) * 2009-06-24 2015-07-07 Uniloc Luxembourg S.A. Use of fingerprint with an on-line or networked auction
US20100332331A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Systems and Methods for Providing an Interface for Purchasing Ad Slots in an Executable Program
US8213907B2 (en) * 2009-07-08 2012-07-03 Uniloc Luxembourg S. A. System and method for secured mobile communication
US9141489B2 (en) * 2009-07-09 2015-09-22 Uniloc Luxembourg S.A. Failover procedure for server system
US8726407B2 (en) 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
US20110093503A1 (en) * 2009-10-19 2011-04-21 Etchegoyen Craig S Computer Hardware Identity Tracking Using Characteristic Parameter-Derived Data
US8769296B2 (en) * 2009-10-19 2014-07-01 Uniloc Luxembourg, S.A. Software signature tracking
US9082128B2 (en) * 2009-10-19 2015-07-14 Uniloc Luxembourg S.A. System and method for tracking and scoring user activities
US8316421B2 (en) * 2009-10-19 2012-11-20 Uniloc Luxembourg S.A. System and method for device authentication with built-in tolerance
AU2011100168B4 (en) 2011-02-09 2011-06-30 Device Authority Ltd Device-bound certificate authentication
US9137234B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on granted permissions
US8744078B2 (en) 2012-06-05 2014-06-03 Secure Channels Sa System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
US8843741B2 (en) * 2012-10-26 2014-09-23 Cloudpath Networks, Inc. System and method for providing a certificate for network access
CN103607284B (zh) * 2013-12-05 2017-04-19 李笑来 身份认证方法及设备、服务器
US10114939B1 (en) * 2014-09-22 2018-10-30 Symantec Corporation Systems and methods for secure communications between devices
US10521581B1 (en) 2017-07-14 2019-12-31 EMC IP Holding Company LLC Web client authentication and authorization
CN110059475A (zh) * 2018-01-18 2019-07-26 伊姆西Ip控股有限责任公司 用于数据保护的方法、设备和计算机程序产品
US11831786B1 (en) 2018-11-13 2023-11-28 Northrop Grumman Systems Corporation Chain of trust
WO2021232347A1 (en) * 2020-05-21 2021-11-25 Citrix Systems, Inc. Cross device single sign-on
US10965674B1 (en) 2020-06-08 2021-03-30 Cyberark Software Ltd. Security protection against threats to network identity providers
CN111953491B (zh) * 2020-09-01 2022-06-10 杭州视洞科技有限公司 一种基于SSH Certificate和LDAP两步鉴权审计方法
CN113472796B (zh) * 2021-07-06 2023-05-30 山东电力工程咨询院有限公司 一种数据中心门户管理方法及系统
CN115378737B (zh) * 2022-10-24 2023-01-10 中汽数据(天津)有限公司 跨域设备通信信任方法、装置、设备和介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3505058B2 (ja) * 1997-03-28 2004-03-08 株式会社日立製作所 ネットワークシステムのセキュリティ管理方法
JPH118619A (ja) * 1997-06-18 1999-01-12 Hitachi Ltd 電子証明書発行方法及びシステム
EP0940960A1 (de) 1998-03-02 1999-09-08 Hewlett-Packard Company Authentifizierung zwischen Anbietern
JP3678009B2 (ja) * 1998-07-23 2005-08-03 株式会社日立製作所 通信方法
US6438550B1 (en) * 1998-12-10 2002-08-20 International Business Machines Corporation Method and apparatus for client authentication and application configuration via smart cards
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials

Also Published As

Publication number Publication date
EP1175038A2 (de) 2002-01-23
US7069440B2 (en) 2006-06-27
US20020176582A1 (en) 2002-11-28
EP1175038A3 (de) 2004-11-24
JP2002123492A (ja) 2002-04-26
DE60121517D1 (de) 2006-08-31
EP1175038B1 (de) 2006-07-19

Similar Documents

Publication Publication Date Title
DE60121517T2 (de) Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems
DE60211841T2 (de) Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE60132733T2 (de) Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln
DE60221113T2 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
EP2340502B1 (de) Datenverarbeitungssystem zur bereitstellung von berechtigungsschlüsseln
DE102008042262A1 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
EP2338255A2 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
EP2765752A1 (de) Verfahren zum Versehen eines mobilen Endgeräts mit einem Authentisierungszertifikat
EP3764614A1 (de) Verteiltes authentifizierungssystem
WO2000011833A1 (de) Verfahren und anordnung zur bildung eines geheimen kommunikationsschlüssels zu einem zuvor ermittelten asymmetrischen kryptographischen schlüsselpaar
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
DE60130832T2 (de) Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
EP4224786A1 (de) Verfahren und vorrichtung zur erstellung elektronischer signaturen
DE102009057800A1 (de) Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
CH716505B1 (de) System und Verfahren zum Bereitstellen von kryptographischer Asset-Transaktionen, Hardware-Genehmigungsterminal, Backend-Server und Computerprogrammprodukt.
EP3485603A1 (de) Token-basiertes authentisieren mit signierter nachricht
DE10242673B4 (de) Verfahren zur Identifikation eines Benutzers
EP1054364A2 (de) Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1175038

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

R081 Change of applicant/patentee

Ref document number: 1175038

Country of ref document: EP

Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US

Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US

Effective date: 20120814

R082 Change of representative

Ref document number: 1175038

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

Effective date: 20120814