DE60121517T2 - Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems - Google Patents
Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems Download PDFInfo
- Publication number
- DE60121517T2 DE60121517T2 DE60121517T DE60121517T DE60121517T2 DE 60121517 T2 DE60121517 T2 DE 60121517T2 DE 60121517 T DE60121517 T DE 60121517T DE 60121517 T DE60121517 T DE 60121517T DE 60121517 T2 DE60121517 T2 DE 60121517T2
- Authority
- DE
- Germany
- Prior art keywords
- user
- certificate
- digital signature
- public key
- pki system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
- Gebiet der Erfindung
- Die Erfindung betrifft eine Technik zum Erlangen eines einzelnen Anmeldungszertifikats bzw. Einzelanmeldungszertifikats unter Verwendung eines PKI ("Public Key Infrastructure"; Infrastruktur mit öffentlichem Schlüssel)-Systems mit starker Authentifizierung. Im Besonderen betrifft die vorliegende Erfindung ein Verfahren und ein Computerprogramm, durch welche digitale Zertifikate, die von verschiedenen Anbietern aufgegeben werden, erzeugt werden und unter einem PKI-System verwendet werden, welches eine starke Authentifizierung eingebaut hat, um sicherzustellen, dass nur autorisierte bzw. berechtigte Mitglieder der Firma Zugang haben.
- Hintergrund der Erfindung
- Seit Jahrhunderten haben Einzelpersonen, Behörden und Unternehmenseinheiten nach Mechanismen und Techniken gesucht, durch die eine sensible Information an berechtigte Dritte über große Entfernungen übertragen werden kann und immer noch sicher bleibt. Das Problem, vor dem die obigen Einheiten stehen, ist es, wie Information an Einzelpersonen oder Einheiten gesendet werden kann, welche sie benötigen, und wie es immer noch sichergestellt werden kann, dass nichtberechtigte Dritte nicht in der Lage sind, die übermittelte Information zu verstehen, sollten sie sie abfangen. Frühe Verfahren zum Absichern von Information haben Verwürflungstechniken, Nachschlagetabellen, Ersetzungschiffren und Codebücher verwendet, in welchen Buchstaben oder Ausdrücke gegen die ursprünglichen Buchstaben und Ausdrücke in der Information ausgetauscht wurden. Diese Techniken benötigten häufig, dass sowohl der Absender als auch der Empfänger von Information Zugang zum gleichen Codebuch besitzen. Eine Gefahr einer solchen Technik ist es, dass das Codebuch in nichtberechtigte Hände fallen könnte.
- Im frühen 20. Jahrhundert, und insbesondere während des Zweiten Weltkriegs, wurden Codebücher durch elektromechanische Chiffriermaschinen ersetzt. Sowohl der Sender als auch der Empfänger würden eine identische Chiffriermaschine besitzen, die verwendet wird, gesendete Nachrichten zu verschlüsseln und zu entschlüsseln. Um es schwieriger zu machen, diese Nachrichten zu entschlüsseln, haben die Chiffriermaschinen die Fähigkeit, die in einer Nachricht verwendete Chiffre auszutauschen oder die Chiffre zu verändern, welche für alle paar Worte innerhalb einer Nachricht verwendet wird. Um dies zu erreichen, würde die Chiffriermaschine den Anfangszustand oder den verwendeten Schlüssel kennen müssen, um die Nachricht zu verschlüsseln.
- In den vergangenen Jahren sind die Chiffriermaschinen durch digitale Verschlüsselungsalgorithmen ersetzt worden, in denen sowohl der Sender als auch der Empfänger eine identische Kopie des digitalen Verschlüsselungsalgorithmus besitzen, als auch einen gemeinsamen Schlüssel, der verwendet wird, um Nachrichten zu verschlüsseln und zu entschlüsseln. Sowohl der Verschlüsselungsalgorithmus als auch der Schlüssel werden sowohl vom Absender als auch vom Empfänger geheim gehalten.
- Noch aktueller ist eine weitere Verschlüsselungstechnik entwickelt worden, bei welcher zwei getrennte Schlüssel für die Verschlüsselung und die Entschlüsselung verwendet werden. Ein öffentlicher Schlüssel wird frei demjenigen zugesandt, welcher ihn benötigt, und wird verwendet, um Nachrichten für einen bestimmten Empfänger zu verschlüsseln. Der Empfänger würde einen zugehörigen privaten Schlüssel besitzen, welcher verwendet werden kann, um die Nachricht zu entschlüsseln, die mit dem zugehörigen öffentlichen Schlüssel verschlüsselt worden ist. Für jeden öffentlichen Schlüssel existiert nur ein privater Schlüssel, und für jeden privaten Schlüssel existiert nur ein öffentlicher Schlüssel. Wenn eine Nachricht an verschiedene Empfänger gesendet wird, ist es notwendig, den öffentlichen Schlüssel jedes Empfängers zu besitzen. Die Nachricht würde dann separat unter Verwendung des öffentlichen Schlüssels jedes Empfängers verschlüsselt und diesem bestimmten Empfänger übermittelt. Falls daher zehn unterschiedliche Einheiten die gleiche Nachricht empfangen sollen, würden zehn getrennte Nachrichtenübertragen, wobei jede Nachricht mit dem öffentlichen Schlüssel der Einzelperson verschlüsselt worden wäre. Mit der Ankunft des Internet hat eine solche Infrastruktur mit öffentlichem Schlüssel eine erhebliche Akzeptanz erlangt, wie es in der Anfrage nach Kommentaren, Nr. 2459, von Ford et al., "Internet X.509 Public Key Infrastructure" diskutiert wurde.
- Zusätzlich zum Bedürfnis nach Verschlüsselung und Entschlüsselung von Nachrichten hat sich mit der Ankunft der Email ("Electronic Mail"; elektronische Post) und dem Internet ein Bedürfnis nach einem sicheren Mechanismus entwickelt, um eine Zustimmung und Anerkennung durch eine Einzelperson anzuzeigen. In der Vergangenheit würde eine Einzelperson typischerweise seine Zustimmung oder Anerkennung zu solchen Gegenständen wie einem Vertrag oder einer Bestellung mittels einer handgeschriebenen Signatur bzw. Unterschrift, eines Stempels oder eines Siegels zeigen, welche nur von dieser Einzelperson aufbewahrt würden. Jeder andere, der versuchen würde, eine solche Signatur, Stempel oder Siegel nachzumachen, würde Straftaten begehen. Mit der Ankunft der Email und des Internets ist ein Bedürfnis danach ent standen, einen Vorteil aus der Einfachheit und der Geschwindigkeit der Email zu ziehen, um, durch eine Person oder eine Einheit mit richtiger Berechtigung, eine Zustimmung oder Anerkennung zu einem Vertrag oder einem Kauf anzuzeigen. Dies ist als digitale Signatur bekannt geworden, in welcher eine Einzelperson ein Dokument digital signieren bzw. unterschreiben kann.
- Diese Fähigkeit zur digitalen Signatur ist unter Verwendung der gleichen Infrastruktur mit öffentlichem Schlüssel verwirklicht worden, welche oben diskutiert worden ist. Anstatt jedoch ein gesamtes Dokument zu verschlüsseln wird das Dokument selbst durch einen Einweg-Hash-Algorithmus geschickt, welcher ein kleines Dokument erzeugt, das als ein Extrakt bezeichnet wird. Dieses Extrakt wird dann unter Verwendung des privaten Schlüssels der Einzelperson, welcher auch als privater Signaturschlüssel bekannt ist, verschlüsselt und dem Dokument angehängt. Der Empfänger des Dokuments kann die Authentizität der digitalen Signatur (des Extrakts) durch Herausziehen der Signatur aus dem Dokument und Wiederberechnen der Hash-Funktion an dem Dokument, um es als ein empfangenes Extrakt zu erzeugen, verifizieren. Unter Verwendung des öffentlichen Signaturschlüssels, der in dem Dokument enthalten oder vorher empfangen wurde, ist es möglich, das Extrakt des Dokuments zu entschlüsseln und es mit dem Extrakt zu vergleichen, wie es empfangen wurde. Falls die beiden Extrakts übereinstimmen, ist die Signatur dann authentifiziert. Daher ist es unter Verwendung der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel möglich, Nachrichten sowohl zu verschlüsseln als auch zu entschlüsseln, als auch Dokumente digital zu signieren.
- In der oben angesprochenen Infrastruktur mit öffentlichem Schlüssel mögen jedoch, trotz der Anerkennung der Internet-X.509-Architektur, Zertifikate, die von der Software eines Herstellers erzeugt worden sind, nicht mit der Software eines anderen Herstellers verträglich sein. Beispielsweise stellte Microsoft in Windows 2000 die Erzeugung digitaler Zertifikate zum Zweck einer "einzelnen Anmeldung" für einen Nutzer für ein MicrosoftTM-Netzwerk bereit. Typischerweise würde der Nutzer ein solches einzelnes Anmeldungs-Zertifikat durch Verwenden eines herkömmlichen Web-Browsers anfordern, um auf eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zuzugreifen. Der Nutzer würde dann angeforderte Information ausfüllen, und die Domänenzertifizierungsstelle mag optional die Zustimmung eines Administrators anfordern, um die Ausgabe des Zertifikats zu genehmigen. Es sollte beachtet werden, dass der Benutzer nicht aufgefordert wird, irgendeinen Beweis seiner Identität beizubringen, und üblicherweise wird keine Authentifizierung der Identität durchgeführt. Jedoch wird das Zertifikat häufig nur von Windows 2000 akzeptiert, und Zertifikate, die von anderen PKI-Systemen erzeugt werden, mögen von Windows 2000 nicht akzeptiert werden.
- Den nächsten Stand der Technik stellt der Artikel von M. Flemming Grubb et al. "Single Sign-One and the System Administrator", Twelfth Systems Administration Conference LISA '98, 6. Dezember 1998, S. 63–86, Boston (US) dar. Dieser Artikel handelt die Probleme des Entwickelns eines effizienten einzelnen Anmeldens für weit verteilte Systeme ab, ggfls. auf der Grundlage eines Zertifikats für einen öffentlichen Schlüssel. Dieser Artikel offenbart kein vollständiges Arbeitsverfahren zum Erzeugen eines solchen einzelnen Anmeldungszertifikats.
- Was daher benötigt wird, sind ein Verfahren und ein Computerprogramm, in welchen ein Nutzer, der ein PKI-System besitzt, Zertifikate erzeugen kann, welche für andere PKI-Systeme in einem einzigen einfachen Prozessablauf verwendet werden können, welcher die Wiedereingabe von Daten nicht benötigt. Ferner sollten dieses Verfahren und dieses Computerprogramm eine Nutzerauthentifizierung und Nutzermobilität von einem Computer zum anderen erlauben.
- Zusammenfassung der Erfindung
- Eine Ausführungsform der vorliegenden Erfindung stellt ein Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems bereit. Dieses Verfahren beginnt damit, dass ein Nutzer auf ein PKI-System zugreift, in welchem ein digitales Signaturzertifikat vorher für den Nutzer erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System. Das PKI-System verifiziert dann die Identität und Gültigkeit des Nutzers durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats. Ein privatöffentliches Schlüsselpaar bzw. ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zur Signatur übertragen, welche den öffentlichen Schlüssel an den Nutzer zurücksendet, welcher durch die Domänenzertifizierungsstelle signiert worden ist.
- Ferner ist eine Ausführungsform ein Computerprogramm, das auf einem computerlesbaren Medium verkörpert ist und durch einen Computer ausführbar ist. Dieses Computerprogramm beginnt dadurch, dass ein Nutzer auf ein PKI-System zugreift, in welchem ein digitales Signaturzertifikat vorher für den Nutzer erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System. Das PKI-System verifiziert dann die Identität und Gültigkeit des Nutzers durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats. Ein privatöffentliches Schlüsselpaar wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle zur Signatur übertragen bzw. übermittelt, welche den öffentlichen Schlüssel, der von der Domänenzertifizierungsstelle signiert worden ist, zum Nutzer zurücksendet.
- Und weiter ist eine Ausführungsform der vorliegenden Erfindung ein Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems. Dieses Verfahren beginnt mit Erzeugen eines digitalen Signaturzertifikats durch einen Sicherheitsverantwortlichen oder einen anderen Firmenangehörigen, welcher die Identität des Nutzers verifiziert und eine Zustimmung durch das Management des Nutzers empfängt. Dem Nutzer wird ein Passwort durch die Post an die Heimatadresse des Nutzers geliefert. Auf das PKI-System wird durch den Nutzer unter Verwendung des Passworts zugegriffen. Das digitale Signaturzertifikat wird vom PKI-System durch den Nutzer heruntergeladen. Auf das PKI-System wird durch den Nutzer unter Verwendung des digitalen Signaturzertifikats zugegriffen. Die Gültigkeit des Nutzers wird durch das PKI-System durch Zugreifen auf ein Datenverzeichnis unter Verwendung des digitalen Signaturzertifikats verifiziert. Ein privatöffentliches Schlüsselpaar wird erzeugt, und der öffentliche Schlüssel wird an das PKI-System übertragen. Der öffentliche Schlüssel wird an eine Domänenzertifizierungsstelle zur Signatur übertragen. Der öffentliche Schlüssel wird von der Domänenzertifizierungsstelle unterschrieben an den Nutzer zurückgesandt.
- Diese und andere Merkmale dieses Systems, Verfahrens und Computerprogramms werden aus der folgenden Beschreibung klarer, wenn sie zusammen mit den beigefügten Zeichnungen gelesen wird, welche ausschließlich zum Zwecke der Darstellung erfindungsgemäße Beispiele zeigt.
- Kurze Beschreibung der Zeichnungen
- Das obige und ein besseres Verständnis der vorliegenden Erfindung wird aus der folgenden genauen Beschreibung beispielhafter Ausführungsformen und der Ansprüche klar, wenn sie zusammen mit den beiliegenden Zeichnungen gelesen werden, welche alle einen Teil der Offenbarung der Erfindung bilden. Während die vorhergehende und folgende niedergeschriebene und dargestellte Offenbarung sich auf ein Offenbaren beispielhafter Ausführungsformen der Erfindung konzentriert, sollte es klar verstanden werden, dass dies nur zur Darstellung und als Beispiel gedacht ist und die Erfindung nicht darauf beschränkt. Der Umfang der vorliegenden Erfindung ist nur durch die Ausdrücke der beiliegenden Ansprüche beschränkt.
- Das Folgende stellt kurze Beschreibungen der Zeichnungen dar, worin:
-
1 ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware ist, welche in den Ausführungsformen der vorliegenden Erfindung verwendet werden; und -
2 ein Flussdiagramm einer beispielhaften Ausführungsform des Ablaufs zum Erlangen eines einzelnen Anmeldungs-Zertifikats in der vorliegenden Erfindung ist. - GENAUE BESCHREIBUNG DER ZEICHNUNGEN
- Vor Beginn einer genauen Beschreibung des Erfindungsinhalts ist folgende Anmerkung zu machen. Wenn es dienlich ist, können gleiche Bezugsziffern und -zeichen verwendet werden, um identische, entsprechende oder ähnliche Komponenten in unterschiedlichen Figurenzeichnungen zu bezeichnen. Ferner können in der folgenden genauen Beschreibung beispielhafte Größen/Modelle/Werte/Bereiche angegeben werden, obwohl die vorliegende Erfindung nicht auf diese beschränkt ist.
-
1 ist ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware, welche in den erfindungsgemäßen Ausführungsformen verwendet wird. Die in1 gezeigten Kästchen stellen Module, Code, Codesegmente, Befehle, Firmware, Hardware, Anweisungen und Daten dar, die mittels eines prozessorbasierten Systems bzw. prozessorbasierter Systeme ausführbar sind und in einer Programmiersprache geschrieben sein können, wie beispielsweise, aber nicht beschränkt auf, C++. Es sollte angemerkt werden, dass die in1 dargestellten Module so gezeigt sind, dass sie auf getrennten Serverplattformen enthalten sind. Jedoch sind diese Module nicht darauf beschränkt, auf getrennten Servern abgelegt zu sein, und können auf einem Computer oder jeder Zahl von Computern abgelegt sein und ausgeführt werden, und zwar abhängig von der Zahl der Nutzer, die das System handhaben muss, und der verwendeten Kommunikationen.2 bis10 sind Flussdiagramme, welche Betriebsschritte weiter genauer ausführen, die durch die in1 gezeigten Module ausgeführt werden. -
1 zeigt eine beispielhafte Architektur100 , in welcher die erfindungsgemäße Infrastruktur mit öffentlichem Schlüssel (PKI) praktiziert werden kann. Jedoch sollte, wie oben diskutiert, verstanden werden, dass die vorliegende Erfindung nicht auf die Architektur100 aus1 beschränkt ist. Die Architektur100 umfasst eine Dateneingabe102 , welche eine Dateneingabefunktion für eine autoritative bzw. maßgebliche Datenbank104 durchführt, welche sich auf der Serverplattform106 befindet. Es wird sich in dieser Beschreibung auf eine Serverplattform106 bezogen, aber es sollte verstanden werden, dass die vorliegende Erfindung nicht auf irgendeine spezielle Serverarchitektur beschränkt ist. Die Serverplattform106 kann ohne Beschränkung UNIX- oder Windows NT-Server umfassen. Die autoritative Datenbank104 enthält Information über Mitglieder der Gruppe oder des Unternehmens, für welche PKI-Dienstleistungen in Übereinstimmung mit der vorliegenden Erfindung durchgeführt werden. Die vorliegende Erfindung ist nicht auf die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der autoritativen Datenbank104 gespeichert wird. Die Information der autoritativen Datenbank104 umfasst, ohne Beschränkung, den Namen, die Adresse, Telefonnummern, Namen des Managers, Angestelltenkennung usw. der Mitglieder der Gruppe oder des Unternehmens. Ein Datenverzeichnis108 hat die Struktur der Datenbank, ist aber zum schnellen Nachschlagen von darin gespeicherter Information optimiert, statt auf eine schnelle Dateneingabe. Die Daten in dem Datenverzeichnis108 werden nicht häufig geändert, aber es wird von ihm verlangt, dass auf es "schnell zugegriffen werden kann und Online als ein schnelles Telefonbuch arbeitet", das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der autoritativen Datenbank104 gespeichert ist. Eine Zertifikatsbehörde bzw. Zertifizierungsstelle110 ist eine herkömmliche Standardsoftware, die auf der Serverplattform106 ausgeführt wird und eine Speicherung von Zertifikaten und zugehöriger Information bereitstellt, welche von der vorliegenden Erfindung verwendet wird, wie genauer im Folgenden beschrieben. Eine Registrierungsstelle112 ist ebenfalls eine Standardsoftware, welche auf der Serverplattform106 ausführbar ist bezüglich der Registrierung, die durch die vorliegende Erfindung durchgeführt wird, wie es genauer im Folgenden beschrieben wird. Eine Schlüsselstelle114 ist ebenfalls eine Standardserversoftware, die auf der Serverplattform106 ausführbar ist, um Schlüssel von Mitgliedern der Gruppe oder des Unternehmens wiederzuerlangen, wie es im Folgenden genauer beschrieben wird. Eine Domänenzertifikatsbehörde bzw. Domänenzertifizierungsstelle ("Certificate Authority"; CA)116 kann Zertifikate verwenden, welche von der vorliegenden Erfindung für eine einzelne Anmeldung zur Architektur aus1 bereitgestellt wird. Ein Legacy-Server118 führt Legacy-Anwendungsprogramme120 aus. Der Legacy- Server kann, ohne Beschränkung, ein Mainframe, eine Minicomputer, eine Workstation oder ein anderer Server sein, welcher Legacy-Software-Applikationen hosted, die dazu entworfen sind, auf erfindungsgemäßen PKI-Prozessen zu laufen. Auf die Legacy-Anwendungen120 ist auf der Client-Seite mittels eines kundenspezifischen Client128 zugreifbar, wie beispielsweise durch einen Emulator oder eine kundenspezifische Datenbank-GUI ("Graphic User Interface"; graphische Nutzerschnittstelle). Beispiele für Emulatoren sind Endgeräteemulatoren für eine IBM 3270 oder Endgeräteemulatoren für eine vt 100. Eine Registrierungs-Web-Page122 , welche eine oder mehrere Seiten sein kann, funktioniert als die Nutzerschnittstelle zur Architektur100 von1 . Der Webserver124 ist eine Softwareanwendung, welche Webseiten bedient, wie beispielsweise die Webseite122 , oder andere HTML-Ausgaben zu einem Webbrowser-Client, welcher, ohne Beschränkung, ein Apache- oder ein Microsoft-Internet-Information-Server sein kann. Der Webbrowser126 liegt auf einer Clientplattform128 , welche jeder Nutzercomputer sein kann. Der Webbrowser126 ist eine Client-Softwareanwendung zum Browsen von Webseiten, wie beispielsweise, aber nicht beschränkt auf, HTML- oder XML-Protokollen oder anderen Protokollen. Der Webbrowser126 ist dazu programmiert, mit PKI-Zertifikaten betrieben zu werden, welche von der Zertifizierungsstelle110 ausgegeben werden. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, sind der Netscape Navigator und der Microsoft Internet Explorer. Der Token130 ist eine Smartcard, ein USB ("Universal Serial Bus"; universeller serieller Bus)- oder ein anderer Hardwaretoken, der in der Lage ist, PKI-Zertifikate zu speichern und zu verwenden. Ein Nutzer132 ist eine Person, welche die Architektur100 verwendet. Ein Nutzer132 durchläuft eine Anzahl von Zuständen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen ehemaligen Nutzer umfassen, welcher nicht länger ein Mitglied der Gruppe oder des Unternehmen ist. Die Architektur100 wird mit Bezug auf zwei Sicherheitsstufen beschrieben, aber die Zahl der Sicherheitsstufen ist keine Beschränkung der vorliegenden Erfindung, wobei jede Stufe einer unterschiedlichen Sicherheitsanforderung entspricht. Die Suchmaschine134 nach Stufe 1 ist eine Suchmaschine, die Architektur100 zu durchsuchen, aber dem ein Zugang nur zu Stufe 1-Daten erlaubt ist, welches die niedrigste Sicherheitsstufe ist und ohne Beschränkung Daten sein können, die frei verteilbar sind. Daten der Stufe 2 können als proprietär bzw. geschützt angesehen werden. Eine Suchmaschine136 nach Stufe 2 ist eine Suchmaschine, welcher es erlaubt ist, sowohl durch Daten von Stufe 1 als auch von Stufe 2 zu suchen. Eine Suchmaschine von Stufe N (nicht dargestellt) ist eine Suchmaschine, welcher es erlaubt ist, Server zu durchsuchen, die Daten von Stufe 1 bis N aufweisen. Ein Server mit abgesicherter Stufe mit Daten von Stufe 1 ist ein Webserver, der nur Daten der Stufe 1 enthält, welche gesichert sind, so dass Nutzer Zugang zu Servern der Stufe 1 besitzen kön nen. Ein abgesicherter Webserver mit Stufe 2-Daten140 ist ein Webserver, welche Stufe 2-Daten enthält, die abgesichert worden sind, so dass Nutzer einen Zugang zu Stufe 2 aufweisen müssen, wobei Nutzer von Stufe 2 Zugang sowohl zu Servern von Stufe 1 als auch Stufe2 haben. Ein abgesicherter Webserver mit Stufe N-Daten (nicht dargestellt) ist ein Webserver, der Stufe N-Daten enthält, welche nur Nutzern mit Stufe N- oder höherem Zugang zu allen Stufen von Daten bis hoch zu Stufe N zugänglich sind. Ein VPN-Extranet142 ist eine Softwareanwendung, welche als ein Netzewerk-Gateway funktioniert, welches, wie dargestellt, entweder an einen Legacy-Server118 und eine Legacy-Anwendung120 oder an ein externes Netzewerk, wie beispielsweise das Internet angeschlossen sein kann. Eine persönliche Widerrufsstelle144 ist eine Person, welche für den Widerruf von Mitgliedern aus dem Netzwerk100 verantwortlich ist. Die persönliche Registrierungsstelle146 ist eine Person, welche für die Registrierung von Mitgliedern in das Netzwerk100 verantwortlich ist. Der persönliche Wiederausstellungszustimmungs 1148 - und der persönliche Wiederausstellungsbearbeiter 2149 sind Personen, welche zum Erlangen einer Wiederausstellung von Zertifikaten verantwortlich sind. Ein Wiedererlangungsbearbeiter ist eine Person, welche eine Wiedererlangung von Zertifikaten durchführt, und mag nur dann ein Zertifikat wiedererlangen, falls das Zertifikat zuerst als wiedererlangbar durch eine andere Person angezeigt worden ist. Die persönliche Rollenzustimmung ist eine Person, welche einer unterschiedlichen Rollenfunktion innerhalb des Netzwerks100 zustimmt. Ein Webserver-Administrator ist verantwortlich für verschiedene Webfunktionen im Nezewerk100 . - Bevor eine Diskussion des Flussdiagramms begonnen wird, ist eine kurze Diskussion der Natur und der Wirkungsweise und Struktur eines Zertifikats notwendig. Wie es aus einer Betrachtung von
2 klar wird, verlassen sich die Ausführungsformen der vorliegenden Erfindung auf die Verwendung eines Zertifikats. Ein Zertifikat basiert auf einem X.509-Zertifikat (V3), wie es genau unter Teil 4 der RFC 2459 beruht wird, welche hiermit oben durch Bezug einbezogen wird. Das X.509-Zertifikat ist ein Zertifikat mit öffentlichem Schlüssel, das entweder für Verschlüsselungszwecke oder als ein Signaturschlüssel durch ein PKI-System verwendet wird. Es sollte nicht mit einem "Einzel-Anmeldungs"-Zertifikat verwechselt werden, welches mit dem X.509-Zertifikat nicht kompatibel oder ähnlich zu sein braucht. Die in dem X.509-Zertifikat enthaltene Information wird sich davon abhängig ändern, ob sie als ein Signaturzertifikat oder als ein öffentlicher Schlüssel zur Verschlüsselung eingerichtet wird. Das X.509-Zertifikat enthält mindestens die in der unteren Tabelle 1 gezeigten Felder. - In den beispielhaften Ausführungsformen der vorliegenden Erfindung wird das X.509-Zertifikat unter Verwendung eines starken Authentifizierungs- und Zustellungsverfahrens erzeugt. Der Nutzer
132 muss sich zunächst für das Zertifikat über die Personalabteilung oder die Sicherheitsabteilung anmelden und einen Beweis für seine Identität geben. Der unmittelbare Vorgesetzte des Nutzers132 wird dann für seine Zustimmung kontaktiert, um das X.509-Zertifikat zu empfangen. Danach wird, über die Post zur Heimatadresse des Nutzers132 , ein Einmalpasswort zum Nutzer132 gesandt, welches die Zustellung des X.509-Zertifikats zum Nutzer132 ermöglicht. Der Nutzer132 kann dann das X.509-Zertifikat über einen verschlüsselten sicheren Kanal auf seinen Computer herunterladen. Das X.509-Zertifikat kann auch auf einem Hardwaretoken, einer Smartcard oder einer Magnetstreifenkarte untergebracht werden, so dass der Nutzer132 es am Mann tragen kann und es von einem Computer zum nächsten bewegen kann. -
2 ist ein Flussdiagramm einer beispielhaften Ausführungsform in der vorliegenden Erfindung, wobei ein "einzelnes Anmeldungs-" Zertifikat für den Nutzer132 erzeugt wird. Das in2 gezeigte Verfahren und Computerprogramm beginnt eine Ausführung bei Betriebsschritt200 und geht unmittelbar auf Betriebsschritt210 über. Im Betriebsschritt210 greift der Nutzer auf den Registrierungswebserver124 über den Webbrowser126 zu und fordert ein einzelnes Anmeldungszertifikat an. Danach fordert der Registrierungswebserver vom Nutzer132 ein Nutzersignaturzertifikat an. Dieses Nutzersignaturzertifikat würde das vorher diskutierte X.509-Zertifikat sein und durch den vorher beschriebenen Prozessablauf erzeugt worden sein. Beim Betriebsschritt230 überträgt der Nutzer132 sein Signaturzertifikat an den Registrierungs webserver124 . Danach fragt, in Betriebsschritt240 , der Registrierungswebserver124 das Datenverzeichnis108 ab, um zu bestätigen, dass der Nutzer132 ein gültiges Mitglied der Organisation ist. Das Abarbeiten geht dann auf Betriebsschritt250 über, oder eine Überprüfung der Gültigkeit des Nutzers132 , ob er ein Mitglied der Organisation ist, wird durchgeführt. Falls der Nutzer132 kein gültiges Mitglied der Organisation ist, wird eine Fehlermeldung in Betriebsschritt330 erzeugt, und das Abarbeiten geht dazu über, in Betriebsschritt320 beendet zu werden. - Falls jedoch der Nutzer ein gültiges Mitglied der Organisation ist, geht das Abarbeiten dann auf Betriebsschritt
260 über. In Betriebsschritt260 signalisiert der Registrierungswebserver124 dem Webbrowser126 , ein privatöffentliches Schlüsselpaar zu erzeugen. Danach erzeugt, in Betriebsschritt270 , der Webbrowser126 das öffentlich/private Schlüsselpaar und speichert es lokal ab. In Betriebsschritt280 übermittelt der Webbrowser126 nur den öffentlichen Schlüssel an den Registrierungswebserver124 . Danach überträgt, in Betriebsschritt290 , der Registrierungswebserver124 den öffentlichen Schlüssel an die Domänenzertifizierungsstelle ("Domain Certificate Authority"; CA)116 . In Betriebsschritt300 signiert die Hauptzertifizierungsstelle116 den empfangenen öffentlichen Schlüssel digital und speichert diesen lokal in seinem Verzeichnis. Diese Domänenzertifizierungsstelle116 kann ein Windows 2000TM-Netzwerk sein, ist aber nicht darauf beschränkt. Danach übermittelt die Domänenzertifizierungsstelle116 den zugeordneten öffentlichen Schlüssel zurück zum Registrierungswebserver124 . In Betriebsschritt310 überträgt der Registrierungswebserver124 den signierten öffentlichen Schlüssel an den Webbrowser126 . Ferner kann, in Betriebsschritt310 , der Webbrowser126 auf Empfang des signierten öffentlichen Schlüssels hin diesen entweder lokal abspeichern oder ihn auf einen Hardwaretoken, eine Smartcard oder einen Magnetstreifen, welcher in einer Karte eingebettet ist, abspeichern. Danach fährt das Abarbeiten mit Betriebsschritt320 weiter, wo das Abarbeiten beendet wird. - Unter Verwendung der Ausführungsformen der vorliegenden Erfindung kann eine Organisation oder eine Einzelperson Abläufe, Computersoftware und Verfahren zum Erzeugen eines "Einzelanmeldungs"-Zertifikat erzeugen, das auf einem anderen, fremden und nicht-kompatiblen System nützlich ist, und zwar unter Verwendung seines eigenen PKI-Systems. Das PKI-System der Einzelperson kann auf eine solche Art eingerichtet werden, dass es eine starke Authentifizierung der Identität der Einzelperson benötigt, bevor irgendein "Einzelanmeldungs"-Zertifikat erzeugt wird. Daher wird es vom Nutzer nicht verlangt, die gleiche Information einzugeben, um ein "Einzelanmeldungs"-Zertifikat zu erzeugen, und Zugang zur Erzeugung solcher Zertifikate ist nur auf berechtigte Einzelpersonen beschränkt.
- Während wir hierin nur ein paar Beispiele gezeigt und beschrieben haben, sollte es verständlich sein, dass viele Änderungen und Modifikationen an der vorliegenden Erfindung durchgeführt werden können, wie sie dem Fachmann bekannt sind. Beispielsweise kann jegliche Art von Computerarchitektur für die Ausführungsformen der vorliegenden Erfindung verwendet werden. Ferner kann die vorliegende Erfindung in jeder Mehrzweck-Computersprache geschrieben sein. Auch kann die Sicherheit durch die Verwendung verschlüsselter sicherer Kommunikationsleistungen erhöht werden, wann immer ein privater oder öffentlicher Schlüssel über das Netzwerk übertragen wird. Daher wünschen wir nicht, auf die gezeigten und hierin beschriebenen Details beschränkt zu werden, sondern möchten alle solche Änderungen und Modifikationen abdecken, die durch den Umfang der angehängten Ansprüche umfasst werden.
Claims (15)
- Verfahren zum Erzeugen eines einzelnen Anmeldungs-Rollenzertifikats unter Verwendung eines PKI-Systems, umfassend: Zugreifen auf ein PKI-System durch einen Nutzer (
132 ), in welchem ein digitales Signaturzertifikat vorher für den Nutzer (132 ) erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System; Verifizieren einer Identität und Gültigkeit des Nutzers (132 ) durch das PKI-System mittels Zugreifen auf ein Datenverzeichnis (108 ) unter Verwendung des digitalen Signaturzertifikats; Erzeugen eines privat/öffentlichen Schlüsselpaars und Übertragen des öffentlichen Schlüssels an das PKI-System; Übertragen des öffentlichen Schlüssels an eine Domänenzertifizierungsstelle (116 ) für ein Signieren; und Zurücksenden des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116 ) signiert ist, zum Nutzer (132 ). - Verfahren nach Anspruch 1, weiterhin umfassend: Authentifizieren der Nutzeridentität; und Verifizieren, dass der Nutzer (
132 ) die Berechtigung besitzt, den öffentlichen Schlüssel zu empfangen. - Verfahren nach Anspruch 2, weiterhin umfassend: Ausliefern eines Passwortes an den Nutzer (
132 ) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132 ) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats. - Verfahren nach Anspruch 3, wobei das digitale Signaturzertifikat sowohl für Signaturen als auch für eine Verschlüsselung verwendet werden kann.
- Verfahren nach Anspruch 1, wobei das Verifizieren der Identität und der Gültigkeit des Nutzers (
132 ) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108 ) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132 ) immer noch ein Mitglied der Organisation ist. - Verfahren nach Anspruch 5, ferner umfassend: Speichern des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (
116 ) signiert ist, in einem Hardwaretoken, einer Smartcard, einem Computer, einer Magnetstreifenkarte oder einer anderen Speichervorrichtung (130 ). - Verfahren nach Anspruch 6, ferner umfassend: Zugreifen auf ein fremdes Computernetzwerk, das nicht dem PKI-System zugeordnet ist, unter Verwendung des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (
116 ) unterschrieben ist. - Computerprogramm, das auf einem computerlesbaren Medium verkörpert ist und durch einen Computer ausführbar ist, um ein einzelnes Anmeldungs-Rollenzertifikat unter Verwendung eines PKI-Systems zu erzeugen, umfassend: Zugreifen auf ein PKI-System durch einen Nutzer (
132 ), in welchem ein digitales Signaturzertifikat vorher für den Nutzer (132 ) erzeugt worden ist, und Übermitteln des digitalen Signaturzertifikats an das PKI-System; Verifizieren der Identität und Gültigkeit des Nutzers (132 ) durch das PKI-System mittels Zugreifens auf ein Datenverzeichnis (108 ) unter Verwendung des digitalen Signaturzertifikats; Erzeugen eines privat/öffentlichen Schlüsselpaars und Übertragen des öffentlichen Schlüssels an das PKI-System; Übertragen des öffentlichen Schlüssels an eine Domänenzertifizierungsstelle (116 ) zum Signieren; und Zurücksenden des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (116 ) signiert ist, zum Nutzer (132 ). - Computerprogramm nach Anspruch 8, weiterhin umfassend: Authentifizieren der Nutzeridentität; und Verifizieren, dass der Nutzer (
132 ) die Berechtigung besitzt, den öffentlichen Schlüssel zu empfangen. - Computerprogramm nach Anspruch 9, weiterhin umfassend: Ausliefern eines Passwortes an den Nutzer (
132 ) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132 ) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats durch den Nutzer (132 ). - Computerprogramm nach Anspruch 8, wobei das Verifizieren der Identität und Gültigkeit des Nutzers (
132 ) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108 ) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132 ) immer noch ein Mitglied der Organisation ist. - Verfahren nach Anspruch 1, weiterhin umfassend: Erzeugen eines digitalen Signaturzertifikats, das die Identität eines Nutzers (
132 ) und die Berechtigung des Nutzers (312 ) verifiziert, und das digitale Signaturzertifikat zu erhalten; Ausliefern eines Passwortes an den Nutzer (132 ) durch die Post zur Heimanschrift des Nutzers; Zugreifen auf das PKI-System durch den Nutzer (132 ) unter Verwendung des Passwortes; und Empfangen des digitalen Signaturzertifikats vom PKI-System. - Verfahren nach Anspruch 12, wobei das Verifizieren der Identität und Gültigkeit des Nutzers (
132 ) durch das PKI-System mittels des Zugreifens auf ein Datenverzeichnis (108 ) unter Verwendung des digitalen Signaturzertifikats ferner umfasst: Verifizieren, dass das digitale Signaturzertifikat nicht wiederrufen wurde; und Verifizieren, dass der Nutzer (132 ) immer noch ein Mitglied der Organisation ist. - Verfahren nach Anspruch 13, weiterhin umfassend: Speichern des öffentlichen Schlüssels durch die Domänenzertifizierungsstelle (
116 ) in einem Hardwaretoken, einer Smartcard, einem Computer, einer Magnetstreifenkarte oder einer anderen Speichervorrichtung (130 ). - Verfahren nach Anspruch 14, weiterhin umfassend: Zugreifen auf ein fremdes Computernetzwerk, das nicht dem PKI-System zugeordnet ist, unter Verwendung des öffentlichen Schlüssels, der von der Domänenzertifizierungsstelle (
116 ) signiert ist.
Applications Claiming Priority (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US21046400P | 2000-06-09 | 2000-06-09 | |
US21046200P | 2000-06-09 | 2000-06-09 | |
US210462P | 2000-06-09 | ||
US210464P | 2000-06-09 | ||
US22933600P | 2000-09-01 | 2000-09-01 | |
US229336P | 2000-09-01 | ||
US09/822,958 US7069440B2 (en) | 2000-06-09 | 2001-03-30 | Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system |
US822958 | 2001-03-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60121517D1 DE60121517D1 (de) | 2006-08-31 |
DE60121517T2 true DE60121517T2 (de) | 2006-11-23 |
Family
ID=27498805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60121517T Expired - Lifetime DE60121517T2 (de) | 2000-06-09 | 2001-05-31 | Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems |
Country Status (4)
Country | Link |
---|---|
US (1) | US7069440B2 (de) |
EP (1) | EP1175038B1 (de) |
JP (1) | JP2002123492A (de) |
DE (1) | DE60121517T2 (de) |
Families Citing this family (84)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7152450B2 (en) * | 2000-08-17 | 2006-12-26 | Industrial Origami, Llc | Method for forming sheet material with bend controlling displacements |
NO313480B1 (no) * | 2001-01-24 | 2002-10-07 | Telenor Asa | Fremgangsmåte for å åpne hele eller deler av et smartkort |
GB2396037B (en) * | 2001-05-29 | 2005-08-24 | Xenobit Corp | Method and system for logging into and providing access to a computer system via a communications network |
US8051168B1 (en) * | 2001-06-19 | 2011-11-01 | Microstrategy, Incorporated | Method and system for security and user account integration by reporting systems with remote repositories |
ES2326073T3 (es) * | 2001-11-23 | 2009-09-30 | Research In Motion Limited | Sistema y metodo para tratar o procesar documentos en lenguaje de marcaje extensible (xml). |
US20030130960A1 (en) * | 2001-11-28 | 2003-07-10 | Fraser John D. | Bridging service for security validation within enterprises |
US20030131232A1 (en) * | 2001-11-28 | 2003-07-10 | Fraser John D. | Directory-based secure communities |
US20040003247A1 (en) * | 2002-03-11 | 2004-01-01 | Fraser John D. | Non-centralized secure communication services |
US7500262B1 (en) * | 2002-04-29 | 2009-03-03 | Aol Llc | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications |
US7461251B2 (en) * | 2002-05-09 | 2008-12-02 | Canon Kabushiki Kaisha | Public key certification issuing apparatus |
JP2004021666A (ja) * | 2002-06-18 | 2004-01-22 | Hitachi Ltd | ネットワークシステム、サーバ、およびサーバ設定方法 |
US7426642B2 (en) * | 2002-11-14 | 2008-09-16 | International Business Machines Corporation | Integrating legacy application/data access with single sign-on in a distributed computing environment |
KR100493885B1 (ko) * | 2003-01-20 | 2005-06-10 | 삼성전자주식회사 | 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법 |
US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
US7698734B2 (en) * | 2004-08-23 | 2010-04-13 | International Business Machines Corporation | Single sign-on (SSO) for non-SSO-compliant applications |
US20060068758A1 (en) * | 2004-09-30 | 2006-03-30 | Abhay Dharmadhikari | Securing local and intra-platform links |
JP4607542B2 (ja) * | 2004-10-26 | 2011-01-05 | 富士通株式会社 | データ処理装置 |
US8087092B2 (en) * | 2005-09-02 | 2011-12-27 | Uniloc Usa, Inc. | Method and apparatus for detection of tampering attacks |
WO2008013525A1 (en) * | 2006-07-25 | 2008-01-31 | Northrop Grumman Corporation | Common access card heterogeneous (cachet) system and method |
US8284929B2 (en) | 2006-09-14 | 2012-10-09 | Uniloc Luxembourg S.A. | System of dependant keys across multiple pieces of related scrambled information |
US8001588B2 (en) * | 2006-12-12 | 2011-08-16 | Oracle International Corporation | Secure single sign-on authentication between WSRP consumers and producers |
US7908662B2 (en) * | 2007-06-21 | 2011-03-15 | Uniloc U.S.A., Inc. | System and method for auditing software usage |
EP2203815B1 (de) * | 2007-09-20 | 2015-08-12 | Uniloc Luxembourg S.A. | Installieren eines geschützten softwareprodukts unter verwendung eines ungeschützten installationsbildes |
EP2223256A1 (de) | 2007-11-17 | 2010-09-01 | Uniloc Usa, Inc. | System und verfahren zur anpassbaren lizenzierung digitaler produkte |
US8464059B2 (en) * | 2007-12-05 | 2013-06-11 | Netauthority, Inc. | System and method for device bound public key infrastructure |
US9363258B2 (en) | 2007-12-17 | 2016-06-07 | International Business Machines Corporation | Secure digital signature system |
WO2009105702A2 (en) * | 2008-02-22 | 2009-08-27 | Etchegoyen Craig S | License auditing for distributed applications |
US8227379B2 (en) * | 2008-02-25 | 2012-07-24 | Ricoh Company, Ltd. | Thermosensitive recording medium and recording method |
EP2311233A1 (de) | 2008-05-21 | 2011-04-20 | Uniloc Usa, Inc. | Einrichtung und verfahren für gesicherte kommunikation |
US8370625B2 (en) | 2008-06-11 | 2013-02-05 | Microsoft Corporation | Extended data signing |
US20090327070A1 (en) * | 2008-06-25 | 2009-12-31 | Uniloc Usa, Inc. | System and Method for Monitoring Efficacy of Online Advertising |
US8438382B2 (en) | 2008-08-06 | 2013-05-07 | Symantec Corporation | Credential management system and method |
EP2396742A2 (de) | 2009-02-10 | 2011-12-21 | Uniloc Usa, Inc. | Web-inhaltszugang unter verwendung einer client-einrichtungskennung |
CA2697309A1 (en) * | 2009-03-18 | 2010-09-18 | Luc Bessette | Medical records system with dynamic avatar generator and avatar viewer |
US20100312702A1 (en) * | 2009-06-06 | 2010-12-09 | Bullock Roddy M | System and method for making money by facilitating easy online payment |
US20100332337A1 (en) * | 2009-06-25 | 2010-12-30 | Bullock Roddy Mckee | Universal one-click online payment method and system |
US8103553B2 (en) * | 2009-06-06 | 2012-01-24 | Bullock Roddy Mckee | Method for making money on internet news sites and blogs |
US9047458B2 (en) * | 2009-06-19 | 2015-06-02 | Deviceauthority, Inc. | Network access protection |
US20100325431A1 (en) * | 2009-06-19 | 2010-12-23 | Joseph Martin Mordetsky | Feature-Specific Keys for Executable Code |
US20100325446A1 (en) * | 2009-06-19 | 2010-12-23 | Joseph Martin Mordetsky | Securing Executable Code Integrity Using Auto-Derivative Key |
US20100325424A1 (en) * | 2009-06-19 | 2010-12-23 | Etchegoyen Craig S | System and Method for Secured Communications |
US20100323790A1 (en) * | 2009-06-19 | 2010-12-23 | Etchegoyen Craig S | Devices and Methods for Auditing and Enforcing Computer Game Licenses |
US9047450B2 (en) | 2009-06-19 | 2015-06-02 | Deviceauthority, Inc. | Identification of embedded system devices |
US8423473B2 (en) * | 2009-06-19 | 2013-04-16 | Uniloc Luxembourg S. A. | Systems and methods for game activation |
US9633183B2 (en) | 2009-06-19 | 2017-04-25 | Uniloc Luxembourg S.A. | Modular software protection |
US20100325025A1 (en) * | 2009-06-22 | 2010-12-23 | Etchegoyen Craig S | System and Method for Sharing Media |
US20100325051A1 (en) * | 2009-06-22 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Piracy Reduction in Software Activation |
US20100325200A1 (en) * | 2009-06-22 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Software Activation Through Digital Media Fingerprinting |
US20100325149A1 (en) * | 2009-06-22 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Auditing Software Usage |
US20100324981A1 (en) * | 2009-06-22 | 2010-12-23 | Etchegoyen Craig S | System and Method for Media Distribution on Social Networks |
US20100325735A1 (en) * | 2009-06-22 | 2010-12-23 | Etchegoyen Craig S | System and Method for Software Activation |
US8495359B2 (en) * | 2009-06-22 | 2013-07-23 | NetAuthority | System and method for securing an electronic communication |
US8903653B2 (en) | 2009-06-23 | 2014-12-02 | Uniloc Luxembourg S.A. | System and method for locating network nodes |
US8452960B2 (en) | 2009-06-23 | 2013-05-28 | Netauthority, Inc. | System and method for content delivery |
US20100325040A1 (en) * | 2009-06-23 | 2010-12-23 | Craig Stephen Etchegoyen | Device Authority for Authenticating a User of an Online Service |
US20100321208A1 (en) * | 2009-06-23 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Emergency Communications |
US8736462B2 (en) | 2009-06-23 | 2014-05-27 | Uniloc Luxembourg, S.A. | System and method for traffic information delivery |
US10068282B2 (en) | 2009-06-24 | 2018-09-04 | Uniloc 2017 Llc | System and method for preventing multiple online purchases |
US8239852B2 (en) * | 2009-06-24 | 2012-08-07 | Uniloc Luxembourg S.A. | Remote update of computers based on physical device recognition |
US9129097B2 (en) * | 2009-06-24 | 2015-09-08 | Uniloc Luxembourg S.A. | Systems and methods for auditing software usage using a covert key |
US9075958B2 (en) * | 2009-06-24 | 2015-07-07 | Uniloc Luxembourg S.A. | Use of fingerprint with an on-line or networked auction |
US20100332331A1 (en) * | 2009-06-24 | 2010-12-30 | Craig Stephen Etchegoyen | Systems and Methods for Providing an Interface for Purchasing Ad Slots in an Executable Program |
US8213907B2 (en) * | 2009-07-08 | 2012-07-03 | Uniloc Luxembourg S. A. | System and method for secured mobile communication |
US9141489B2 (en) * | 2009-07-09 | 2015-09-22 | Uniloc Luxembourg S.A. | Failover procedure for server system |
US8726407B2 (en) | 2009-10-16 | 2014-05-13 | Deviceauthority, Inc. | Authentication of computing and communications hardware |
US20110093503A1 (en) * | 2009-10-19 | 2011-04-21 | Etchegoyen Craig S | Computer Hardware Identity Tracking Using Characteristic Parameter-Derived Data |
US8769296B2 (en) * | 2009-10-19 | 2014-07-01 | Uniloc Luxembourg, S.A. | Software signature tracking |
US9082128B2 (en) * | 2009-10-19 | 2015-07-14 | Uniloc Luxembourg S.A. | System and method for tracking and scoring user activities |
US8316421B2 (en) * | 2009-10-19 | 2012-11-20 | Uniloc Luxembourg S.A. | System and method for device authentication with built-in tolerance |
AU2011100168B4 (en) | 2011-02-09 | 2011-06-30 | Device Authority Ltd | Device-bound certificate authentication |
US9137234B2 (en) * | 2012-03-23 | 2015-09-15 | Cloudpath Networks, Inc. | System and method for providing a certificate based on granted permissions |
US8744078B2 (en) | 2012-06-05 | 2014-06-03 | Secure Channels Sa | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths |
US8843741B2 (en) * | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
CN103607284B (zh) * | 2013-12-05 | 2017-04-19 | 李笑来 | 身份认证方法及设备、服务器 |
US10114939B1 (en) * | 2014-09-22 | 2018-10-30 | Symantec Corporation | Systems and methods for secure communications between devices |
US10521581B1 (en) | 2017-07-14 | 2019-12-31 | EMC IP Holding Company LLC | Web client authentication and authorization |
CN110059475A (zh) * | 2018-01-18 | 2019-07-26 | 伊姆西Ip控股有限责任公司 | 用于数据保护的方法、设备和计算机程序产品 |
US11831786B1 (en) | 2018-11-13 | 2023-11-28 | Northrop Grumman Systems Corporation | Chain of trust |
WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
US10965674B1 (en) | 2020-06-08 | 2021-03-30 | Cyberark Software Ltd. | Security protection against threats to network identity providers |
CN111953491B (zh) * | 2020-09-01 | 2022-06-10 | 杭州视洞科技有限公司 | 一种基于SSH Certificate和LDAP两步鉴权审计方法 |
CN113472796B (zh) * | 2021-07-06 | 2023-05-30 | 山东电力工程咨询院有限公司 | 一种数据中心门户管理方法及系统 |
CN115378737B (zh) * | 2022-10-24 | 2023-01-10 | 中汽数据(天津)有限公司 | 跨域设备通信信任方法、装置、设备和介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3505058B2 (ja) * | 1997-03-28 | 2004-03-08 | 株式会社日立製作所 | ネットワークシステムのセキュリティ管理方法 |
JPH118619A (ja) * | 1997-06-18 | 1999-01-12 | Hitachi Ltd | 電子証明書発行方法及びシステム |
EP0940960A1 (de) | 1998-03-02 | 1999-09-08 | Hewlett-Packard Company | Authentifizierung zwischen Anbietern |
JP3678009B2 (ja) * | 1998-07-23 | 2005-08-03 | 株式会社日立製作所 | 通信方法 |
US6438550B1 (en) * | 1998-12-10 | 2002-08-20 | International Business Machines Corporation | Method and apparatus for client authentication and application configuration via smart cards |
US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
-
2001
- 2001-03-30 US US09/822,958 patent/US7069440B2/en not_active Expired - Lifetime
- 2001-05-31 DE DE60121517T patent/DE60121517T2/de not_active Expired - Lifetime
- 2001-05-31 EP EP01112852A patent/EP1175038B1/de not_active Expired - Lifetime
- 2001-06-11 JP JP2001175367A patent/JP2002123492A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
EP1175038A2 (de) | 2002-01-23 |
US7069440B2 (en) | 2006-06-27 |
US20020176582A1 (en) | 2002-11-28 |
EP1175038A3 (de) | 2004-11-24 |
JP2002123492A (ja) | 2002-04-26 |
DE60121517D1 (de) | 2006-08-31 |
EP1175038B1 (de) | 2006-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60121517T2 (de) | Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems | |
DE60211841T2 (de) | Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
EP1777907B1 (de) | Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem | |
DE112011100182B4 (de) | Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung | |
DE102011089580B3 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
DE60132733T2 (de) | Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE60221113T2 (de) | Verfahren und system für die fernaktivierung und -verwaltung von personal security devices | |
EP2340502B1 (de) | Datenverarbeitungssystem zur bereitstellung von berechtigungsschlüsseln | |
DE102008042262A1 (de) | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem | |
DE10233297A1 (de) | Vorrichtung zur digitalen Signatur eines elektronischen Dokuments | |
EP2338255A2 (de) | Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes | |
EP2765752A1 (de) | Verfahren zum Versehen eines mobilen Endgeräts mit einem Authentisierungszertifikat | |
EP3764614A1 (de) | Verteiltes authentifizierungssystem | |
WO2000011833A1 (de) | Verfahren und anordnung zur bildung eines geheimen kommunikationsschlüssels zu einem zuvor ermittelten asymmetrischen kryptographischen schlüsselpaar | |
DE602005003631T2 (de) | Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe | |
DE60130832T2 (de) | Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token | |
DE60122828T2 (de) | Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln | |
EP4224786A1 (de) | Verfahren und vorrichtung zur erstellung elektronischer signaturen | |
DE102009057800A1 (de) | Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung | |
EP3540623B1 (de) | Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens | |
CH716505B1 (de) | System und Verfahren zum Bereitstellen von kryptographischer Asset-Transaktionen, Hardware-Genehmigungsterminal, Backend-Server und Computerprogrammprodukt. | |
EP3485603A1 (de) | Token-basiertes authentisieren mit signierter nachricht | |
DE10242673B4 (de) | Verfahren zur Identifikation eines Benutzers | |
EP1054364A2 (de) | Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1175038 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1175038 Country of ref document: EP Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US Effective date: 20120814 |
|
R082 | Change of representative |
Ref document number: 1175038 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE Effective date: 20120814 |