DE60122828T2 - Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln - Google Patents

Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln Download PDF

Info

Publication number
DE60122828T2
DE60122828T2 DE2001622828 DE60122828T DE60122828T2 DE 60122828 T2 DE60122828 T2 DE 60122828T2 DE 2001622828 DE2001622828 DE 2001622828 DE 60122828 T DE60122828 T DE 60122828T DE 60122828 T2 DE60122828 T2 DE 60122828T2
Authority
DE
Germany
Prior art keywords
new user
information
user
piece
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE2001622828
Other languages
English (en)
Other versions
DE60122828D1 (de
Inventor
Kenneth W. Fairfax Aull
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northrop Grumman Systems Corp
Original Assignee
Northrop Grumman Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northrop Grumman Corp filed Critical Northrop Grumman Corp
Publication of DE60122828D1 publication Critical patent/DE60122828D1/de
Application granted granted Critical
Publication of DE60122828T2 publication Critical patent/DE60122828T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die Erfindung betrifft Infrastrukturen mit öffentlichem Schlüssel ("Public Key Infrastructures"; PKI) und im Besonderen eine Erzeugung von Signaturzertifikaten in einer PKI.
  • Hintergrundinformation
  • Eine Infrastruktur mit öffentlichem Schlüssel (PKI) ist eine Sammlung von Server und Software, welche es einer Organisation, einer Firma oder einem Unternehmen ermöglicht, Tausende eindeutiger öffentlicher/privater kryptographischer Schlüssel auf eine Art zu verteilen und zu verwalten, welche es Nutzern ermöglicht, die Identität des Nutzers jedes öffentlichen/privaten Schlüsselpaars bzw. Paars aus öffentlichem/privatem Schlüssel zu bestimmen. Wenn jedes Mitglied eines Unternehmens einen eindeutigen Schlüssel aufweist, können auf Papier beruhende Geschäftsabläufe in ein elektronisches Online-Äquivalent umgewandelt werden. Paare aus öffentlichem/privaten Schlüssel weisen die Eigenschaft auf, dass für jeden gegebenen öffentlichen Schlüssel ein und nur ein privater Schlüssel existiert, und umgekehrt. Eine Kryptographie mit öffentlichem Schlüssel (d.h., die Fähigkeit, den Verschlüsselungsschlüssel öffentlich zu verteilen) kann verwendet werden, um Dokumente digital zu signieren bzw. zu unterschreiben. Falls eine bestimmte Nachricht unter Verwendung eines Mitglieds des Schlüsselpaars entschlüsselt werden kann, besteht dann die Annahme, dass die Nachricht unter Verwendung des anderen Mitglieds verschlüsselt worden sein muss. Falls nur eine Person den Schlüssel kennt, der verwendet wird, um die Verschlüsselung eines Dokuments von vornherein durchzuführen, kann der Empfänger, der das Dokument entschlüsselt, dann sicher sein, dass der Absender des Dokuments diese Person sein muss.
  • Damit jedoch eine digitale Signatur sinnvoll ist, muss der Empfänger eines mit der digitalen Signatur signierten Objekts zuerst in der Lage sein, verlässlich den Besitzer und die Integrität des Schlüssels zu bestimmen, der verwendet wird, das Objekt zu signieren. Öffentliche Infrastrukturen erreichen dies unter Verwendung eines elektronischen Dokuments, das ein digitales Zertifikat genannt wird. Zertifikate können eine Information enthalten, die den Besitzer des Schlüsselpaars identifiziert, als auch die öffentliche Komponente des Paars und die Zeitdauer, für welche das Zertifikat gültig ist. Das Zertifikat kann auch eine technische Information über den Schlüssel selbst kennzeichnen, wie beispielsweise den Algorithmus, der verwendet wurde, um den Schlüssel zu erzeugen, und die Schlüssellänge. Zertifikate werden von Organisationen, Firmen oder Unternehmen erzeugt, die dafür verantwortlich sind, die Identität der Einzelperson (oder in einigen Fällen der Organisationen) zu verifizieren, an welche Zertifikate ausgegeben worden sind. Die zertifizierende Organisation ist als eine Zertifizierungsstelle bekannt. Die Zertifizierungsstelle signiert jedes Zertifikat unter Verwendung eines privaten Schlüssels, der nur der Zertifizierungsstelle selbst bekannt ist. Dies erlaubt es Nutzern der PKI, sowohl die Integrität des Zertifikats als auch die Identität der Stelle zu verifizieren, welche sie ausgibt. Durch Ausgeben eines Zertifikats gibt eine Zertifizierungsstelle an, dass sie verifiziert hat, dass der öffentliche Schlüssel, der in dem Zertifikat auftaucht (und, durch Erstreckung, der zugehörige private Schlüssel) der in dem Zertifikat aufgeführten Einzelperson gehört. Die Integrität, mit welcher der Registrierungsablauf arbeitet, ist daher von großer Wichtigkeit. Der Ablauf muss Mechanismen vorsehen, um die Einzelperson verlässlich zu identifizieren, und um zu verifizieren, dass der im Zertifikat aufgeführte öffentliche Schlüssel dieser Einzelperson gehört.
  • 1 zeigt ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur. Aktuelle PKIs, die eine starke Authentifizierung der Nutzeridentität bereitstellen, erreichen dies über die Verwendung eines lokalen Registrierungsstellenverantwortlichen ("local registration authority officer"; LRAO) 12. Der LRAO 12 arbeitet an einer Workstation oder einer Serverplattform 14, auf welcher eine lokale Registrierungsstellen-Softwareanwendung 16 läuft. Die Serverplattform 14 kann jede bekannte Rechenvorrichtung sein, die als ein Server dienen kann, z. B. ein Computer, eine Workstation usw. Die lokale Registrierungsstellenanwendung 16 weist Schnittstellen zu anderen Serverplattformen auf, die Anwendungen aufweisen können wie beispielsweise eine Zertifizierungsstellenanwendung 18, eine Registrierungsstellenanwendung 20 und/oder eine Schlüsselwiedergewinnungsstellenanwendung 22. Jede Anwendung mag auf der gleichen Serverplattform liegen oder auf getrennten einzelnen Serverplattformen 14. Ein Nutzer 10, der die PKI-Systemarchitektur nutzt, oder einen Zugang bzw. Zugriff auf sie wünscht, greift auf das System über einen Webbrowser 22 auf einer Client-Plattform 24 zu. Ein Hardware-Token 26, wie beispielsweise eine Smartcard, kann auch funktional mit der Client-Plattform 24 verbunden werden. Typischerweise zeigt in aktuellen Systemen der Nutzer 10 dem lokalen Registrierungsstellenverantwortlichen 12 eine Fotoidentifizierung oder eine andere Dokumentation, um die Identität des Nutzers zu authentifizieren. Der lokale Registrierungsstellenverantwortliche 12 nutzt dann die Workstation 14 und die lokale Registrierungsstellenanwendung 16, um einer Registrierungsstellenanwendung 20 anzuzeigen, einen neuen Nutzer 10 im System zu registrieren. Die lokale Registrierungsstellenanwendung 16 kann eine standardmäßige Produktsoftware sein, die typischerweise mit einer Zertifizierungsstellenanwendung 18, einer Registrierungsstellenanwendung 20 und einer Schlüsselwiedergewinnungsstellen-22-Software zusammengepackt ist.
  • Ein Paar aus öffentlichem/privatem Schlüssel wird entweder durch die lokale Registrierungsstellenanwendung 16 oder die Registrierungsstellenanwendung 20 erzeugt (abhängig von den ausgewählten Produkten und abhängig davon, wie diese konfiguriert sind). Der öffentliche Schlüssel wird zum Signieren an die Zertifizierungsstellenanwendung 18 gesandt, wodurch ein Zertifikat für den neuen Nutzer 10 erzeugt wird. Eine Sicherungskopie des privaten Schlüssels mag ebenfalls an die Schlüsselwiedererlangungsstellenanwendung 22 gesandt werden, jedoch wird der private Schlüssel normalerweise durch den Nutzer 10 auf einem Token 26 oder einer Client-Plattform 24 vorgehalten. Sobald der öffentliche Schlüssel zu einer Zertifizierungsstelle 18 gesandt worden ist und signiert worden ist, wird ein Nutzerzertifikat erzeugt und einem lokalen Registrierungsstellenserver bereitgestellt. Der lokale Registrierungsstellenverantwortliche 12 kopiert das Zertifikat (einschließlich des privaten Schlüssels) auf eine Diskette, einen Hardware-Token oder ein anderes Speichermedium, und stellt das Zertifikat und den privaten Schlüssel dann dem Nutzer bereit.
  • Aktuelle Infrastrukturen mit öffentlichem Schlüssel zum Erzeugen digitaler Zertifikate weisen einige Probleme auf. Als Erstes sind die Kosten für große Organisationen, um Systeme ähnlich zu dem in 1 gezeigten zu implementieren, hoch aufgrund der Notwendigkeit für mehrfache lokale Registrierungsstellenverantwortliche, um die große Zahl von Nutzern zu handhaben, die sich an verschiedenen Orten aufhalten können. Allgemein werden Zertifikatsanfragen über irgendein Verfahren (Papier, E-Mail, Web usw.) zur lokalen Registrierungsstelle geleitet. Die Zertifikatsanfragen werden zum Abarbeiten durch die lokalen Registrierungsstellenverantwortlichen in eine Reihe gestellt. Heutige Systeme sind nicht effizient, weil die Anforderungsschlangen einer menschlichen Beeinflussung unterworfen sind. Der normale Zertifikatsausgabeablauf umfasst Handlungen durch den Anfordernden und die lokale Registrierungsstelle. Nach einiger Zeit und Mühe empfängt der Anfordernde das digitale Zertifikat. Diese Zeitdauer kann von der Zahl der Anfragen in der Schlange abhängen und/oder der Effizienz der lokalen Registrierungsstellenverantwortlichen.
  • Darüber hinaus sind heutige Systeme weniger sicher, weil ein Verhältnis zwischen dem Anfordernden und dem lokalen Registrierungsstellenverantwortlichen nicht notweniger Weise existiert und sich daher einem Eindringling die Gelegenheit darbie tet, dies auszunutzen. Zudem sind heutige Systeme weniger sicher, da ohne einen Manager des Nutzers (oder irgendeine andere Einzelperson, die den Nutzer persönlich kennt) im Prozessfluss kein definitiver Beweis gegeben ist, wem die PIN und das Passwort (benötigt zur Erzeugung digitaler Zertifikate), die dem Nutzer gegeben werden, ausgehändigt werden.
  • WO 99/35783 offenbart ein Client-seitiges Authentifizierungsverfahren mit öffentlichem Schlüssel und eine solche Vorrichtung mit kurzlebigen Zertifikaten. Gemäß diesem Ansatz erzeugen ein Schlüsselverteilungszentrum Paare aus öffentlichem und privatem Schlüssel und Zertifikatsvorlagen. Ein bereits registrierter Nutzer wird einem Paar aus öffentlichem und privatem Schlüssel des Nutzers zugeordnet, welcher im Schlüsselverteilungszentrum gespeichert ist. Ein Nutzer, der sich gegenüber dem Schlüsselverteilungszentrum authentifiziert (z. B. durch Verwendung eines Passworts), löst aus, dass der öffentliche Schlüssel des Nutzers erneut zertifiziert wird durch Erzeugen und Signieren eines Zertifikats. Um einen neuen Nutzer zu registrieren, wird ein entsprechendes neues Paar aus öffentlichem und privatem Schlüssel auf herkömmliche Weise auf der Grundlage bekannter Information erzeugt, die zwischen dem Administratorserver und einem Client/Nutzer-seitigen Computer ausgetauscht wird.
  • Daher besteht ein Bedürfnis an einem PKI-System und -Verfahren, das einen preiswerten und zuverlässigen Mechanismus zum Implementieren eines Treffens von Angesicht zu Angesicht als Teil eines neuen Nutzerregistrierungsablaufs zum Erzeugen eines digitalen Zertifikats für den Nutzer bereitstellt.
  • ZUSAMMENFASSUNG
  • Die vorliegende Erfindung stellt ein Verfahren zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichem Schlüssel (PKI) nach Anspruch 1 bereit. Daten über einen neuen Nutzer werden in eine Datenbank aufgenommen. Der neue Nutzer kann einen Zugriff auf einen Unternehmensserver anfordern. Eine persönliche Registrierungsstelle fragt bei der Datenbank nach Information über den neuen Nutzer nach. Ein erstes Informationsstück, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird, wird mittels eines Registrierungs-Webservers an den neuen Nutzer gesandt. Einer persönlichen Registrierungsstelle wird ein zweites Teil an Information gesandt, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird. Das zweite Informationsstück wird an den neuen Nutzer durch die persönliche Registrierungsstelle in einem Treffen von Angesicht zu Ange sicht übergeben. Das erste Informationsstück und das zweite Informationsstück werden dem Registrierungs-Webserver durch den neuen Nutzer bereitgestellt. Der neue Nutzer wird durch die Registrierungsstelle registriert. Ein Schlüsselpaar für den neuen Nutzer wird erzeugt, das einen öffentlichen Schlüssel und einen privaten Schlüssel umfasst. Der öffentliche Schlüssel wird einer Zertifizierungsstelle bereitgestellt. Ein Signaturzertifikat für den neuen Nutzer wird durch die Zertifizierungsstelle erzeugt und digital signiert. Das signierte Signaturzertifikat, das den öffentlichen Schlüssel umfasst, wird an die Datenbank gesandt.
  • Die vorliegende Erfindung stellt ferner einen Gegenstand nach Anspruch 25 bereit, wobei der Gegenstand ein Speichermedium mit darauf gespeicherten Anweisungen aufweist, wobei die Anweisungen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung bzw. Rechnereinheit dazu veranlassen, durchzuführen: Abfragen einer Datenbank nach Information über einen neuen Nutzer; Senden an den neuen Nutzer ein erstes Informationsstück, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird; Senden, an den neuen Nutzer über eine persönliche Registrierungsstelle, ein zweites Informationsstück, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird; Empfangen des ersten Informationsstücks und des zweiten Informationsstücks vom neuen Nutzer; Registrieren des neuen Nutzers; und Signalisieren einer Client-Plattform, ein Schlüsselpaar für den neuen Nutzer zu erzeugen, das einen öffentlichen Schlüssel und einen privaten Schlüssel umfasst.
  • Die vorliegende Erfindung stellt auch ein System zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichem Schlüssel (PKI) nach Anspruch 26 bereit. Das System umfasst: ein oder mehrere Server, die funktional bzw. wirkend mit einem Netzwerk verbunden sind; eine Datenbank, die funktional mit dem Netzwerk verbunden ist, wobei die Datenbank Information über zumindest einen Nutzer enthält; ein Verzeichnis, das funktional mit dem Netzwerk gekoppelt ist, wobei das Verzeichnis die gleiche Information wie die Datenbank enthält, aber einen schnelleren Zugriff auf die Information ermöglicht; ein oder mehrere Client-Plattformen, die funktional mit dem Netzwerk verbunden sind, wobei der eine oder die mehreren Nutzer einen Zugang auf den einen oder die mehreren Server von dem einen oder mehreren Client-Plattformen anfordern; und einen Registrierungs-Webserver, der funktional mit dem Netzwerk verbunden ist, wobei der Registrierungswebserver dem neuen Nutzer ein erstes Informationsstück sendet, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird, und auch einer persönlichen Registrierungsstelle ein zweites Informationsstück zusendet, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer benötigt wird. Das zweite Informationsstück wird dem neuen Nutzer durch die persönliche Registrierungsstelle in einem Treffen von Angesicht zu Angesicht ausgehändigt bzw. übergeben. Das erste Informationsstück und das zweite Informationsstück werden vom neuen Nutzer in einem Ablauf zum Erzeugen von öffentlichem und privatem Schlüsseln und einem Signaturzertifikat für den neuen Nutzer verwendet.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Erfindung wird ferner in der genauen Beschreibung beschrieben, welche mit Bezug auf die angemerkte Vielzahl von Zeichnungen folgt, und zwar im Wege von nicht-beschränkenden Beispielen von Ausführungsbeispielen der vorliegenden Erfindung, in welchen gleiche Bezugsziffern ähnliche Teile über verschiedene Ansichten der Zeichnungen hinweg darstellen, und worin:
  • 1 ein Blockdiagramm einer beispielhaften PKI-Systemarchitektur ist;
  • 2 ein Blockdiagramm einer beispielhaften Systemarchitektur ist, in welcher PKI-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ausgeübt werden können; und
  • 3 ein Flussdiagramm eines beispielhaften Ablaufs zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichem Schlüssel gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung ist.
  • GENAUE BESCHREIBUNG
  • Die hierin gezeigten Besonderheiten dienen als Beispiel und zu Zwecken der darstellenden Diskussion der Ausführungsformen der vorliegenden Erfindung. Die Beschreibung zusammen mit den Zeichnungen macht es dem Fachmann klar, wie die vorliegende Erfindung in der Praxis umgesetzt werden kann.
  • Ferner können Anordnungen in Blockdiagrammform gezeigt werden, um ein Unkenntlichmachen der Erfindung zu vermeiden, und auch in Hinsicht auf die Tatsache, dass Besonderheiten in Bezug auf die Umsetzung solcher Blockdiagrammanordnungen hochgradig abhängig von der Plattform sind, innerhalb derer die vorliegende Erfindung umzusetzen ist, d.h., dass Besonderheiten innerhalb der Fachkenntnisse des Fachmanns liegen sollten. Wenn bestimmte Details (z. B. Schaltungen, Flussdia gramme) aufgezeigt werden, um beispielhafte Ausführungsformen der Erfindung zu beschreiben, sollte es dem Fachmann klar sein, dass die Erfindung ohne diese bestimmten Details verwendet werden kann. Zu guter Letzt sollte es klar sein, dass jede Kombination von hartverdrahteter Schaltung und Softwareanweisungen bzw. – befehlen verwendet werden kann, um die Ausführungsformen der vorliegenden Erfindung umzusetzen, d.h., dass die vorliegende Erfindung nicht auf eine bestimmte Kombination von Hardwareschaltung und Softwareanweisungen beschränkt ist.
  • Obwohl beispielhafte Ausführungsformen der vorliegenden Erfindung unter Verwendung eines beispielhaften Systemblockdiagramms in einer beispielhaften Hosteinheiten-Umgebung beschrieben werden können, ist die Praxis der Erfindung nicht darauf beschränkt, d.h., dass die Erfindung in der Lage sein kann, mit anderen Arten von Systemen verwendet zu werden, als auch in anderen Arten von Umgebungen (z. B. Servern).
  • Ein Bezug in der Beschreibung auf "eine Ausführungsform" bedeutet, dass ein bestimmtes Merkmal, Struktur oder Eigenschaft, die in Verbindung mit der Ausführungsform beschrieben wird, zumindest in einer Ausführungsform der Erfindung vorhanden ist. Das Auftauchen des Ausdrucks "in einer Ausführungsform" an verschiedenen Orten in der Beschreibung bezieht sich nicht notwendigerweise auf die gleiche Ausführungsform.
  • 2 zeigt ein Blockdiagramm einer beispielhaften Systemarchitektur 100, in welcher PKI-Abläufe gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung durchgeführt werden können. Die vorliegende Erfindung ist nicht auf die in 2 gezeigte Systemarchitektur 100 beschränkt. Die in 2 gezeigten Kästen stellen Einheiten dar, die eine Hardware, eine Software oder eine Kombination der beiden sein können. Die Einheiten sind funktional zusammen an einem Netzwerk verbunden. Einheiten, die nicht als mit dem Netzwerk verbunden gezeigt sind, stellen ein oder mehrere Menschen dar, welche die Funktion ausführen, die innerhalb des Kastens beschrieben ist.
  • Die Systemarchitektur 100 umfasst eine Dateneingabe 102, welche eine Dateneingabefunktion für eine autoritative bzw. maßgebliche Datenbank 104 durchführt. Die autoritative Datenbank 104 befindet sich auf der Serverplattform 106. Es wird sich in dieser Beschreibung auf eine Serverplattform 106 bezogen, aber es sollte verstanden werden, dass die vorliegende Erfindung nicht auf irgendeine spezielle Serverarchitektur beschränkt ist. Die Serverplattform 106 kann beispielsweise UNIX- oder Windows NT-Server umfassen. Die autoritative Datenbank 104 enthält Information über Mitglieder der Gruppe oder des Unternehmens (z. B. der Firma), für welche PKI-Dienstleistungen in Übereinstimmung mit der vorliegenden Erfindung durchgeführt werden. Die vorliegende Erfindung ist nicht auf die Struktur der Gruppe oder des Unternehmens beschränkt, für welche Information in der autoritativen Datenbank 104 gespeichert wird. Die Information, die in der autoritativen Datenbank 104 gespeichert ist, umfasst, ohne Beschränkung, den Namen, die Adresse, Telefonnummern, den Namen des Managers, eine Angestelltenkennung usw. der Mitglieder der Gruppe oder des Unternehmens. Ein Datenverzeichnis 108 enthält die gleiche Information, die auch in der Datenbank 104 enthalten ist, ist aber auf ein schnelles Nachschlagen von Information hin optimiert, und nicht auf eine schnelle Dateneingabe. Auf die im Datenverzeichnis 108 enthaltene Information kann schneller zugegriffen werden als auf die Information von der Datenbank 104. Das Datenverzeichnis 108 arbeitet ähnlich einem schnell zugänglichen Online-Telefonbuch, und enthält Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens, die in der Datenbank gespeichert sind.
  • Eine Zertifizierungsstelle 110 kann eine herkömmliche Standardsoftware sein, die auf der Serverplattform 106 ausgeführt wird. Die Zertifizierungsstelle 110 stellt eine Speicherung von Zertifikaten und zugehöriger Information bereit. Dies wird genauer weiter unten beschrieben. Eine Registrierungsstelle 112 kann ebenfalls eine Standardsoftware sein, welche auf der Serverplattform 106 ausführbar ist. Die Registrierungsstelle 112 wird im Folgenden genauer beschrieben. Eine Schlüsselwiedererlangungsstelle 114 kann ebenfalls eine Standardserversoftware sein, die auf der Serverplattform 106 ausführbar ist, und kann die Funktion eines Wiedererlangens von Schlüsseln (z. B. archivierten oder verlorenen Schlüsseln) für Mitglieder der Gruppe oder des Unternehmens bereitstellen.
  • Eine Windows 2000-Domänenzertifizierungsstelle ("Certificate Authority"; CA) 116 ist mit einer gepunkteten Linienverbindung zum Netzwerk gezeigt und kann oder braucht nicht Teil eines erfindungsgemäßen Systems sein. Windows 2000 ist in der Lage, PKI-Zertifikate zum Netzwerk-Einzelanmelden zu verwenden, aber Windows 2000 ist dazu ausgelegt, nur die Windows-Zertifizierungsstelle zu verwenden. Daher kann ein erfindungsgemäßes System eine herkömmliche Zertifizierungsstelle 110 als auch eine Windows 2000-Zertifizierungsstelle CA 116 umfassen.
  • Ein Legacy-Server 118 führt Legacy-Anwendungsprogramme 120 aus. Der Legacy-Server 118 kann, ohne Beschränkung, ein Mainframe, eine Minicomputer, eine Work station oder ein anderer Server sein, welcher in der Lage ist, Legacy-Software-Applikationen zu hosten. Die Legacy-Software-Applikationen mögen allgemein nicht dazu ausgelegt sein, inhärent mit einer PKI zusammenarbeiten zu können. Auf die Legacy-Anwendungen 120 ist auf der Client-Seite mittels eines kundenspezifischen Client 128 zugreifbar, wie beispielsweise durch einen Emulator oder eine kundenspezifische Datenbank-GUI ("Graphic User Interface"; graphische Nutzerschnittstelle). Beispiele für Emulatoren sind Endgeräteemulatoren nach IBM 3270 oder Endgeräteemulatoren nach vt 100.
  • Eine Registrierungswebseite 122, welche eine oder mehrere Seiten sein kann, funktioniert als die Nutzerschnittstelle zu der in 1 gezeigten Systemarchitektur 100. Der Webserver 124 ist eine Softwareanwendung, welche Webseiten bedient (wie beispielsweise die Webseite 122) oder andere HTML-Ausgaben zu einem Webbrowser-Client (wie beispielsweise dem Webbrowser 126). Der Webserver 124 kann jegliche Softwareanwendung sein, die Webseiten oder HTML-Ausgaben bedient, wie beispielsweise Apache- oder Microsoft-Internet-Informations-Anwendungen, usw.
  • Der Webbrowser 126 liegt auf einer Clientplattform 128, welche jeder Nutzercomputer oder Rechnervorrichtung sein kann. Der Webbrowser 126 kann eine Client-Softwareanwendung zum Browsen von Webseiten sein, wie beispielsweise HTML- oder XML-Protokolle oder anderen Protokolle. Der Webbrowser 126 kann dazu programmiert sein, mit PKI-Zertifikaten zu arbeiten, welche von der Zertifizierungsstelle 110 ausgegeben werden. Beispiele von Webbrowsern, welche diese Fähigkeit aufweisen, umfassen den Netscape Navigator und den Microsoft Internet Explorer. Der Token 130 kann eine Smartcard, ein Vorrichtung mit USB ("Universal Serial Bus"; universeller serieller Bus) oder ein anderer Hardwaretoken sein, der in der Lage ist, PKI-Zertifikate zu erzeugen, zu speichern und/oder zu verwenden.
  • Ein Nutzer 132 ist eine Person, welche die Systemarchitektur 100 verwendet oder Zugriff darauf wünscht. Der Nutzer 132 kann eine Anzahl von Zuständen durchlaufen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen ehemaligen Nutzer umfassen. Ein ehemaliger Nutzer ist nicht länger ein Mitglied der Gruppe oder des Unternehmen. Die Systemarchitektur 100 wird mit Bezug auf zwei Sicherheitsstufen beschrieben, wobei jede Stufe einer unterschiedlichen Sicherheitsanforderung entspricht. Die Zahl der Sicherheitsstufen ist keine Beschränkung der vorliegenden Erfindung. Die Suchmaschine 134 nach Stufe 1 kann eine Suchmaschine sein, der es erlaubt ist, die Systemarchitektur 100 zu durchsuchen, aber der ein Zugang nur zu Stufe 1-Daten erlaubt ist, welches die niedrigste Sicherheitsstufe ist Daten von Stufe 1 können beispielsweise Daten sein, die frei verteilbar sind, wohingegen Daten der Stufe 2 als proprietär bzw. geschützt angesehen werden können. Eine Suchmaschine 136 nach Stufe 2 ist eine Suchmaschine, welcher es erlaubt ist, sowohl Daten von Stufe 1 als auch von Stufe 2 zu durchsuchen. Eine Suchmaschine von Stufe N (nicht dargestellt) kann eine Suchmaschine sein, welcher es erlaubt ist, Server zu durchsuchen, die Daten von Stufe 1 bis N aufweisen.
  • Ein Server mit abgesicherter Stufe mit Daten von Stufe 1 kann ein Webserver sein, der nur Daten der Stufe 1 enthält, welche gesichert sind, so dass Nutzer Zugang zu Servern der Stufe 1 besitzen müssen. Ein abgesicherter Webserver mit Stufe 2-Daten 140 ist ein Webserver, welche Stufe 2-Daten enthält, die abgesichert worden sind, so dass Nutzer einen Zugang zumindest zu Stufe 2 aufweisen müssen, um Zugriff zu den Stufe 2-Servern zu erhalten. Ein Nutzer mit Stufe 2-Zugang kann Zugriff sowohl auf Server von Stufe 1 als auch von Stufe 2 besitzen. Ein abgesicherter Webserver mit Stufe N-Daten (nicht dargestellt) ist ein Webserver, der Stufe N-Daten enthält, welche nur Nutzern mit Stufe N- oder höher zugänglich sind.
  • Ein VPN-Extranet 142 kann eine Softwareanwendung sein, welche als ein Netzwerk-Gateway funktioniert, welches, wie dargestellt, entweder an einen Legacy-Server 118 und eine Legacy-Anwendung 120 oder an ein externes Netzwerk, wie beispielsweise das Internet, angeschlossen sein kann. Eine persönliche Widerrufsstelle 144 kann eine Person oder mehrere Personen sein, welche für den Widerruf von Mitgliedern aus dem Netzwerk 100 verantwortlich ist bzw. sind. Die persönliche Registrierungsstelle 146 kann eine Person oder mehrere Personen sein, welche für die Registrierung von Mitgliedern in das Netzwerk 100 verantwortlich ist/sind. Die persönliche Wiedererlangungszustimmung 148 kann eine Person oder mehrere Personen sein, welche für ein Erlangen einer Wiederausstellung von Zertifikaten verantwortlich ist/sind. Ein Wiedererlangungsbearbeiter 150 und der persönliche Wiederausstellungsbearbeiter 2 149 sind Personen, welche eine Wiedererlangung von Zertifikaten durchführt, und mag nur dann ein Zertifikat wiedererlangen, falls das Zertifikat zuerst als wiedererlangbar durch eine andere Person angezeigt worden ist. Die persönliche Rollenzustimmung 152 kann eine Person oder mehrere Personen sein, welche unterschiedlichen Rollenfunktionen innerhalb des Netzwerks 100 zustimmt bzw. zustimmen. Ein Webserver-Administrator kann eine Person oder mehrere Personen sein, die verantwortlich für verschiedene Webfunktionen im Systemnetzwerk 100 verantwortlich ist/sind.
  • 3 zeigt ein Flussdiagramm eines beispielhaften Ablaufs zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichem Schlüssel gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. In dieser beispielhaften Ausführungsform wünscht eine Firma oder ein Unternehmen, das eine große Zahl von Angestellten oder Einzelpersonen aufweist, digitale Signaturzertifikate für alle ihre Angestellten oder Einzelpersonen zu erzeugen. Sobald eine Einzelperson durch das Unternehmen eingestellt worden ist, oder die Einzelperson ein Teil der Gruppe wird, wird die Einzelperson (der neue Nutzer) einen Zugriff auf die Server und andere Ressourcen des Unternehmens benötigen. Daher werden die Daten des neuen Nutzers in eine autoritative Datenbank eingegeben, S1. Die autoritative Datenbank enthält Information über alle Mitglieder des Unternehmens. Die Mitgliedsinformation umfasst Daten, die notwendig sind, um Registrierungsmaterialien an den neuen Nutzer zu senden, z. B. seine Heimadresse und/oder Arbeitsadresse, e-Mail-Adressen, Telefonnummern, Faxnummern usw. Die Daten des neuen Nutzers bzw. neuen Nutzerdaten, welche in die autoritative Datenbank eingegeben worden sind, mögen in eine andere Verzeichnisdatenbank gedoppelt werden, S2. Das Verzeichnis ist strukturiert, um einen sehr viel schnelleren Zugriff auf die Daten zu erlauben als die autoritative Datenbank. Daten im Verzeichnis werden kontinuierlich oder periodisch mit der Information in der autoritativen Datenbank aktualisiert.
  • Der neue Nutzer versucht, auf einen Server zuzugreifen, der Teil des Unternehmens ist, S3. Ein Unternehmens-Webserver fordert den neuen Nutzer dazu auf, eine Signatur zum Zugriff auf den Unternehmensserver bereitzustellen, S4. Da der neue Nutzer keine Signatur besitzt, leitet der Webserver den neuen Nutzer auf eine Registrierungs-Webseite um, S5. Der neue Nutzer identifiziert sich selbst gegenüber der Registrierungs-Webseite durch Bereitstellen einer Identifikationsnummer bzw. Kennungsnummer (ID), z. B. seiner Arbeitnehmerkennung, der Sozialversicherungsnummer usw. Der Registrierungs-Webserver verwendet die Identifikations- bzw. Kennungsinformation vom Nutzer, um das Verzeichnis nach Information über den neuen Nutzer abzufragen, S6. Das Verzeichnis stellt Information über den neuen Nutzer dem Registrierungs-Webserver bereit S7.
  • Der Registrierungs-Webserver sendet nun dem neuen Nutzer ein Informationsstück zu, das benötigt wird, um eine neue Signatur für den neuen Nutzer zu erzeugen, S8. Diese benötigte Information, die dem neuen Nutzer zugesandt worden ist, mag in Form einer persönlichen Kennungsnummer (PIN), eines Passworts usw. vorliegen. Der Registrierungs-Webserver sendet ein unterschiedliches Informationsstück, das benötigt wird, um eine neue Signatur für den neuen Nutzer zu erzeugen, an eine persönliche Registrierungsstelle, S9. Dieses zweite Informationsstück mag ebenfalls in Form einer PIN oder eines Passworts vorliegen. Die PIN oder das Passwort, die dem neuen Nutzer zugesandt worden sind, können an die Heimadresse des neuen Nutzers, eine e-Mail-Adresse oder seine Arbeitsplatzadresse gesandt werden. Die PIN oder das Passwort, das der persönlichen Registrierungsstelle zugesandt worden ist, kann an die e-Mail-Adresse der persönlichen Registrierungsstelle (in verschlüsselter Form), die Arbeitsadresse oder die Heimadresse gesandt worden sein. Der genaue Zustellmechanismus ist nicht wichtig, vorausgesetzt, dass er unabhängig von dem Mechanismus ist, der verwendet wird, dem Nutzer das Passwort zu liefern. Eine Verwendung getrennter Liefermechanismen ist dazu entworfen, die Möglichkeit des Abfangens beider Stücke von Registrierungsinformation durch einen Dritten zu minimieren, der nicht der neue Nutzer ist. Die persönliche Registrierungsstelle gibt das zweite Informationsstück an den neuen Nutzer bei einem Treffen von Angesicht zu Angesicht weiter, S10. Es wird bevorzugt, dass die persönliche Registrierungsstelle ein Manager oder Vorgesetzter des neuen Nutzers ist, oder eine andere Einzelperson, die die Identität des neuen Nutzers kennt. Wenn diese Situation existiert, wird das Potential, dass ein Eindringling sich das zweite Informationsstück betrügerisch erschleicht, beseitigt.
  • Der neue Nutzer besucht nun erneut die Registrierungs-Webseite und stellt die zwei Registrierungsinformationsstücke dem Registrierungs-Webserver bereit, S11. Der Registrierungs-Webserver verifiziert die Information als gültig und signalisiert dann einer Registrierungsstelle, den neuen Nutzer zu registrieren, S12. Die Registrierungsstelle signalisiert dem Webbrowser, oder einer anderen Ressource, an der Client-Plattform, ein Paar aus privatem/öffentlichem Schlüssel zu erzeugen, S13. Das Paar aus öffentlichem/privatem Schlüssel kann auch mittels eines Tokens oder einer anderen Vorrichtung, oder einer anderen Anwendung, an der Client-Plattform oder sonstwo erzeugt werden und sich immer noch innerhalb des Umfangs der vorliegenden Erfindung bewegen. Der Browser an der Client-Plattform (oder an einer anderen Quelle) erzeugt das Schlüsselpaar für den neuen Nutzer und sendet den erzeugten öffentlichen Schlüssel an eine Zertifizierungsstelle, um digital signiert zu werden, S14. Die Zertifizierungsstelle signiert das Zertifikat und sendet das signierte Zertifikat, das den öffentlichen Schlüssel umfasst, an das Datenverzeichnis, S15. Der neue Nutzer besitzt nun ein Signaturzertifikat, wobei andere auf den öffentlichen Schlüssel des neuen Nutzers zugreifen können, um Dokumente zu verifizieren, die durch den neuen Nutzer mit dem privaten Schlüssel des neuen Nutzers digital signiert worden sind. Sobald ein Zertifikat für den neuen Nutzer erzeugt worden ist, sind jegliche PINs oder Passwörter, die im Laufe der Erzeugung verwendet worden sind, nicht länger gültig (d.h., dass sie eine Einmalverwendung aufweisen).
  • Digitale Signaturen können auf eine Anzahl von Arten verwendet werden. Es ist nicht nötig, dass die digitalen Signaturen durch Verschlüsseln eines gesamten Dokuments implementiert werden. Beispielsweise kann ein Dokument, das von einem Nutzer an eine zweite Person gesandt wird, durch einen Einweg-Hash-Algorithmus laufen, um ein kleineres Dokument zu erzeugen, das als ein Digest bezeichnet wird. Das Digest wird durch den Nutzer erzeugt. Das Digest kann unter Verwendung des privaten Schlüssels des Nutzers verschlüsselt werden. Der private Schlüssel des Nutzers dient als der private "Signaturschlüssel" des Nutzers (d.h., des Autors), um die digitale Signatur des Dokuments zu erzeugen. Die digitale Signatur (d.h., das verschlüsselte Digest) mag an das Dokument angehängt werden, und beide können an die zweite Person gesandt werden.
  • Die zweite Person (oder alle anderen) können dann die digitale Signatur am Dokument als vom Nutzer stammend verifizieren, und zwar durch Extrahieren der digitalen Signatur aus dem Dokument und erneutes Berechnen der Hash-Funktion am Dokument, um ein "wie empfangenes" Digest zu erzeugen. Die zweite Person kann dann auf den öffentlichen Schlüssel des Nutzers aus dem Verzeichnis zugreifen. Die zweite Person nutzt den öffentlichen Schlüssel des Nutzers, um das Digest des Dokuments, wie es gesendet worden ist, zu entschlüsseln und das entschlüsselte Digest mit dem empfangenen Digest zu vergleichen. Falls die beiden Digests übereinstimmen, ist die digitale Signatur des Nutzers als gültig festgestellt worden. Falls die zwei Digests nicht übereinstimmen, stimmt entweder der öffentliche Schlüssel nicht mit dem privaten Schlüssel des Signierers bzw. Unterzeichners (d.h., des Nutzers) überein, oder das Dokument ist modifiziert worden, seit es signiert worden ist.
  • Das System und die Verfahren zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit einem öffentlichen Schlüssel gemäß der vorliegenden Erfindung sind vorteilhaft darin, dass sie eine Kostenersparnis und verbesserte Sicherheit bereitstellen. Kosten werden dadurch gespart, dass bei der vorliegenden Erfindung Arbeit durch Einbeziehen eines elektronischen Ablaufs mit Papier verringert wird, Geschäftsablaufszeitlinien werden verkürzt, da nur eine minimale Menge menschlichen Eingriffs benötigt wird, und eine Fernzusammenarbeit unter den Mitgliedern des Unternehmens wird gefördert. Die Sicherheit wird verbessert, da man gegenüber einem Abhören geschützt ist, gegenüber einem Spoofing geschützt ist und ein erfindungsgemäßes System eine Nutzeridentität, einschließlich feindlicher Insider, authen tifiziert. Die Vorteile der vorliegenden Erfindung werden erreicht, da händische Abläufe, die von den aktuellen PKI-Systemen verwendet werden, durch automatisierte Abläufe ersetzt worden sind, die viele der gleichen Aufgaben ausführen. Das System und die Verfahren gemäß der vorliegenden Erfindung stellen einen sehr preiswerten Mechanismus zum Umsetzen eines Treffens von Angesicht zu Angesicht als einem Teil des Registrierungsablaufs für den neuen Nutzer bereit, wodurch eine verbesserte Sicherheit dargeboten wird, während zur gleichen Zeit nicht wesentlich zu den Kosten des Systems (z. B. den Arbeitskosten) beigetragen wird.
  • Es ist anzumerken, dass die obigen Beispiele lediglich zu Zwecken der Erklärung bereitgestellt worden sind und keineswegs dazu erstellt worden sind, die vorliegende Erfindung zu begrenzen. Während die vorliegende Erfindung mit Bezug auf eine bevorzugte Ausführungsform beschrieben worden ist, sollte es verständlich sein, dass die Worte, welche hierin verwendet worden sind, Worte der Beschreibung und Darstellung sind und keine Worte der Beschränkung. Änderungen können innerhalb des Umfangs der angehängten Ansprüche durchgeführt werden, wie sie zurzeit beschrieben worden sind und wie sie angepasst worden sind. Obwohl die vorliegende Erfindung hierin mit Bezug auf bestimmte Verfahren, Materialien und Ausführungsformen beschrieben worden ist, ist die vorliegende Erfindung nicht dazu gedacht, auf die hierin offenbarten Besonderheiten beschränkt zu werden.

Claims (29)

  1. Verfahren zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichen Schlüsseln, PKI, aufweisend: Erzeugen (S13) eines Schlüsselpaars für einen neuen Nutzer (132), umfassend einen öffentlichen Schlüssel und einen privaten Schlüssel; Bereitstellen (S14) des öffentlichen Schlüssels an eine Zertifizierungsstelle (110); und Erzeugen und digitales Signieren eines Signaturzertifikats für den neuen Nutzer (132) durch die Zertifizierungsstelle (110), gekennzeichnet durch Senden (S8), durch einen Registrierungs-Webserver (124) an den neuen Nutzer (132), eines ersten Informationsstücks, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird; Senden (S9), durch den Registrierungs-Webserver (124) an eine persönliche Registrierungsstelle (146), eines zweiten Informationsstücks, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird; Aushändigen (S10) des zweiten Informationsstücks an den neuen Nutzer durch die persönliche Registrierungsstelle (146) in einem Treffen von Angesicht zu Angesicht; und Bereitstellen (S11) des ersten Informationsstücks und des zweiten Informationsstücks an den Registrierungs-Webserver (124) durch den neuen Nutzer (132).
  2. Verfahren nach Anspruch 1, ferner aufweisend ein Eingeben (S1) von Daten über den neuen Nutzer (132) in eine Datenbank (104) vor dem ersten Senden (S8).
  3. Verfahren nach Anspruch 1, ferner aufweisend ein Nachbilden (S2) der neuen Nutzerdaten in ein Datenverzeichnis (108).
  4. Verfahren nach Anspruch 1, ferner aufweisend ein Abfragen (S6) einer Datenbank (104) nach neuer Nutzerinformation durch eine Registrierungsstelle (112) vor dem ersten Senden.
  5. Verfahren nach Anspruch 4, wobei die Datenbank (104) ein Datenverzeichnis (108) umfasst.
  6. Verfahren nach Anspruch 1, ferner umfassend ein Registrieren (S7) des neuen Nutzers (132) durch die Registrierungsstelle (112) nach dem Bereitstellen (S11) des ersten Informationsstücks an den neuen Nutzer (132).
  7. Verfahren nach Anspruch 1, ferner umfassend ein Senden (S15) des signierten Signaturzertifikats an eine Datenbank (104) nach dem digitalen Signieren des Signaturzertifikats.
  8. Verfahren nach Anspruch 7, wobei die Datenbank ein Datenverzeichnis (108) umfasst.
  9. Verfahren nach Anspruch 7, ferner umfassend ein Zugreifen auf die Datenbank (104) durch einen zweiten Nutzer, um auf das Signaturzertifikat des neuen Nutzers (132) zuzugreifen.
  10. Verfahren nach Anspruch 9, ferner umfassend ein Verifizieren einer digitalen Signatur des neuen Nutzers (132) auf der Grundlage des Signaturzertifikats.
  11. Verfahren nach Anspruch 10, wobei das Verifizieren umfasst: Erzeugen eines Extrakts durch Anwenden eines Algorithmus' auf ein Dokument durch den neuen Nutzer (132); Erzeugen einer digitalen Signatur durch Verschlüsseln des Extrakts unter Verwendung des privaten Schlüssels des neuen Nutzers (132); Senden eines Dokuments vom neuen Nutzer (132) an den zweiten Nutzer; Empfangen des Dokuments vom neuen Nutzer (132) durch den zweiten Nutzer, wobei das Dokument die digitale Signatur an das Dokument angehängt hat; Verwenden des öffentlichen Schlüssels, der in dem Signaturzertifikat des neuen Nutzers (132) referenziert ist, um die angehängte digitale Signatur zu entschlüsseln; Erzeugen eines empfangenen Extraktes durch Anwenden des Algorithmus auf das empfangene Dokument durch den zweiten Nutzer; und Verifizieren der digitalen Signatur des neuen Nutzers (132) durch Vergleichen der entschlüsselten digitalen Signatur mit dem empfangenen Extrakt.
  12. Verfahren nach Anspruch 1, ferner umfassend ein Erzeugen des Schlüsselpaars an einer Plattform (118) des neuen Nutzers (132), wobei die Plattform (128) den öffentlichen Schlüssel der Zertifizierungsstelle (110) bereitstellt.
  13. Verfahren nach Anspruch 1, wobei das erste Senden (S8) und das zweite Senden (S9) von der Registrierungsstelle (112) durchgeführt wird.
  14. Verfahren nach Anspruch 1, wobei die Registrierungsstelle (112) eine Anwendung auf einem Server (106) umfasst.
  15. Verfahren nach Anspruch 1, ferner umfassend ein Senden des ersten Informationsstücks an eine Heimatadresse des neuen Nutzers (132).
  16. Verfahren nach Anspruch 1, ferner umfassend ein Speichern des öffentlichen Schlüssels und des privaten Schlüssels auf einem Token (130).
  17. Verfahren nach Anspruch 1, wobei der Token (130) eine Smartcard umfasst.
  18. Verfahren nach Anspruch 1, wobei der Token (130) eine Vorrichtung mit einer universellen seriellen Bus, USB, -Schnittstelle umfasst.
  19. Verfahren nach Anspruch 1, wobei das Signaturzertifikat Information umfasst, die den neuen Nutzer, den öffentlichen Schlüssel, die Zeitdauer, wie lange das Zertifikat gültig ist, den Algorithmus, der zur Erzeugung des öffentlichen Schlüssels verwendet wird, und/oder die Länge des öffentlichen Schlüssels identifiziert.
  20. Verfahren nach Anspruch 1, ferner umfassend: Anfordern eines Zugriffs auf einen Unternehmensserver durch den neuen Nutzer (132).
  21. Verfahren nach Anspruch 20, ferner umfassend ein Anfordern einer Nutzersignatur vom neuen Nutzer (132) nach dem Anfordern, wobei die Nutzersignatur von einem Webserver (124) angefordert wird.
  22. Verfahren nach Anspruch 21, ferner umfassend ein Weiterleiten des neuen Nutzers (132) auf eine Registrierungswebseite (122), falls der neue Nutzer (132) keine Nutzersignatur besitzt.
  23. Verfahren nach Anspruch 20, ferner umfassend ein Senden des zweiten Informationsstücks an eine Arbeitsadresse der persönlichen Registrierungsstelle (146).
  24. Verfahren nach Anspruch 20, ferner umfassend ein Senden des zweiten Informationsstücks an eine Emailadresse der persönlichen Registrierungsstelle (146).
  25. Gegenstand umfassend ein Speichermedium mit darin gespeicherten Anweisungen, wobei die Anweisungen dann, wenn sie ausgeführt werden, eine Verarbeitungsvorrichtung dazu veranlassen, durchzuführen: Abfragen (S6) einer Datenbank (104) nach neuer Nutzerinformation; Registrieren (S7) eines neuen Nutzers (132); und Signalisieren einer Client-Plattform, ein Schlüsselpaar für den neuen Nutzer (132) zu erzeugen, das einen öffentlichen Schlüssel und einen privaten Schlüssel umfasst, gekennzeichnet durch Senden (S8) an den neuen Nutzer (132) ein erstes Informationsstück, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird; Senden (S9) an den neuen Nutzer (132), durch eine persönliche Registrierungsstelle (146), ein zweites Informationsstück, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird; Empfangen des ersten Informationsstücks und des zweiten Informationsstücks vom neuen Nutzer (132).
  26. System zum Erzeugen eines Signaturzertifikats in einer Infrastruktur mit öffentlichen Schlüsseln, PKI, umfassend: zumindest einen Server (106), der mit einem Netzwerk wirkend verbunden ist; eine Datenbank (104), die mit dem Netzwerk wirkend verbunden ist, wobei die Datenbank Information über zumindest einen Nutzer enthält; ein Datenverzeichnis (108), das mit dem Netzwerk wirkend verbunden ist; zumindest eine Client-Plattform (128), die mit dem Netzwerk wirkend verbunden ist, wobei der mindestens eine Nutzer (132) einen Zugriff auf den mindestens einen Server (106) von der mindestens einen Client-Plattform aus anfordert; und einen Registrierungs-Webserver (124), der mit dem Netzwerk wirkend verbunden ist; gekennzeichnet dadurch, dass das Datenverzeichnis (108) die gleiche Information wie die Datenbank (104) enthält, aber einen schnelleren Zugriff auf die Information bereitstellt; und der Registrierungs-Webserver (124) dem neuen Nutzer (132) ein erstes Informationsstück sendet (S8), das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird, und einer persönlichen Registrierungsstelle (146) ein zweites Informationsstück sendet, das zur Erzeugung eines Signaturzertifikats für den neuen Nutzer (132) benötigt wird; wobei das zweite Informationsstück an den neuen Nutzer (132) durch die persönliche Registirierungsstelle (146) in einem Treffen von Angesicht zu Angesicht übergeben wird, wobei das erste Informationsstück und das zweite Informationsstück vom neuen Nutzer (132) in einem Ablauf zum Erzeugen eines öffentlichen und eines privaten Schlüssels und eines Signaturzertifikats für den neuen Nutzer (132) verwendet werden.
  27. System nach Anspruch 26, ferner umfassend eine Registrierungsstellenanwendung (112), die auf einem der mindestens einen Servern (106) gespeichert ist, wobei die Registrierungsstellenanwendung (112) den neuen Nutzer (132) registriert (S7) auf der Grundlage, dass der neue Nutzer (132) das erste Informationsstück und das zweite Informationsstück dem Registierungswebserver (124) liefert, wobei Registrierungsstellenanwendung (112) eine Anwendung an der Client-Plattform (128) anweist, den öffentlichen und den privaten Schlüssel für den neuen Nutzer (132) zu erzeugen.
  28. System nach Anspruch 26, ferner umfassend eine Zertifikatsstellenanwendung (110), die auf einem der mindestens einen Servern (106) gespeichert ist, wobei die Zertifikatsstellenanwendung (110) den öffentlichen Schlüssel empfängt und ein Signaturzertifikat für den neuen Nutzer (132) erzeugt und digital signiert.
  29. System nach Anspruch 26, ferner umfassend einen Token (130), wobei der Token (130) mit der mindesten einen Client-Plattform (128) verbindbar ist, wobei der Token (130) den öffentlichen und den privaten Schlüssel des neuen Nutzers (132) speichert.
DE2001622828 2000-06-09 2001-05-31 Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln Expired - Lifetime DE60122828T2 (de)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US21052500P 2000-06-09 2000-06-09
US210525 2000-06-09
US22933600P 2000-09-01 2000-09-01
US229336 2000-09-01
US69028000A 2000-10-16 2000-10-16
US690280 2000-10-16

Publications (2)

Publication Number Publication Date
DE60122828D1 DE60122828D1 (de) 2006-10-19
DE60122828T2 true DE60122828T2 (de) 2007-01-04

Family

ID=27395518

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001622828 Expired - Lifetime DE60122828T2 (de) 2000-06-09 2001-05-31 Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln

Country Status (3)

Country Link
EP (1) EP1162781B1 (de)
JP (1) JP2002057661A (de)
DE (1) DE60122828T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171755B2 (en) 2009-11-12 2012-05-08 Kunert Fashion GmbH & Co, KG Knit goods with moisture sensor

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO20015812A (no) * 2001-11-28 2003-03-10 Telenor Asa Registrering og aktivering av elektroniske sertifikater
US20030115467A1 (en) * 2001-12-19 2003-06-19 Aull Kenneth W. Public key infrastructure token issuance and binding
US7475250B2 (en) * 2001-12-19 2009-01-06 Northrop Grumman Corporation Assignment of user certificates/private keys in token enabled public key infrastructure system
US20030115455A1 (en) * 2001-12-19 2003-06-19 Aull Kenneth W. Method and apparatus for centralized processing of hardware tokens for PKI solutions
JP4474845B2 (ja) * 2002-06-12 2010-06-09 株式会社日立製作所 Crl発行通知機能付き認証基盤システム
US7178724B2 (en) 2003-04-21 2007-02-20 Stmicroelectronics, Inc. Smart card device and method used for transmitting and receiving secure e-mails
DE10333048A1 (de) * 2003-07-18 2005-02-03 Georg Krause Verfahren und Sicherheitssystem zum Erkennen einer unverfälschten Teilnehmer-Identität bei einem Empfänger
FI124424B (fi) 2006-10-23 2014-08-29 Valimo Wireless Oy Menetelmä ja järjestelmä PKCS-rekisteröinnin käyttämiseksi matkaviestinympäristössä
FR2958101A1 (fr) * 2010-03-26 2011-09-30 Ntx Res Infrastructure de gestion de bi-cles de securite de personnes physiques (igcp/pki)
WO2012131175A1 (fr) * 2011-03-25 2012-10-04 Ntx Research Sa Infrastructure non hiérarchique de gestion de bi-clés de sécurité de personnes physiques ou d'éléments (igcp/pki).
EP3796107A1 (de) * 2019-09-17 2021-03-24 Siemens Aktiengesellschaft Leitsystem und verfahren zum zertifikatsmanagement
CN114928456B (zh) * 2022-07-21 2022-10-04 飞天诚信科技股份有限公司 一种基于用户端本地证书实现数据流通的方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999035783A1 (en) * 1998-01-09 1999-07-15 Cybersafe Corporation Client side public key authentication method and apparatus with short-lived certificates
US6167518A (en) * 1998-07-28 2000-12-26 Commercial Electronics, Llc Digital signature providing non-repudiation based on biological indicia

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171755B2 (en) 2009-11-12 2012-05-08 Kunert Fashion GmbH & Co, KG Knit goods with moisture sensor

Also Published As

Publication number Publication date
EP1162781A3 (de) 2003-05-28
JP2002057661A (ja) 2002-02-22
DE60122828D1 (de) 2006-10-19
EP1162781B1 (de) 2006-09-06
EP1162781A2 (de) 2001-12-12

Similar Documents

Publication Publication Date Title
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE60121517T2 (de) Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
DE60132733T2 (de) Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln
DE60031755T2 (de) Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
DE60211841T2 (de) Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln
DE69334091T2 (de) Zugangskontrollen-Untersystem und Verfahren für ein verteiltes Rechensystem, das lokal gespeicherte Authentifizierungsdaten benutzt
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE60124011T2 (de) Verfahren und system zur autorisierung der erzeugung asymmetrischer kryptoschlüssel
EP3764614B1 (de) Verteiltes authentifizierungssystem
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE19960977A1 (de) System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
DE602004012059T2 (de) Techniken zum dynamischen Aufbauen und Handhaben von Authentisierung und Vertrauensverhältnissen
WO2003013167A1 (de) Vorrichtung zur digitalen signatur eines elektronischen dokuments
EP0868691B1 (de) Verfahren zur zugriffskontrolle auf rechnerkontrollierte programme, die von mehreren benutzereinheiten gleichzeitig benutzt werden können
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
DE10221665A1 (de) Gesichertes wechselseitiges Legalisierungssystem
DE60314483T2 (de) Delegierung mittels elektronischen Zertifikaten
EP2136528A1 (de) Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität
DE60130832T2 (de) Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token
DE60122349T2 (de) Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk
DE10251408A1 (de) Sicherer und vermittelter Zugriff für E-Dienste

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1162781

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

R081 Change of applicant/patentee

Ref document number: 1162781

Country of ref document: EP

Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US

Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US

Effective date: 20120814

R082 Change of representative

Ref document number: 1162781

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

Effective date: 20120814