DE60130832T2 - Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token - Google Patents

Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token Download PDF

Info

Publication number
DE60130832T2
DE60130832T2 DE60130832T DE60130832T DE60130832T2 DE 60130832 T2 DE60130832 T2 DE 60130832T2 DE 60130832 T DE60130832 T DE 60130832T DE 60130832 T DE60130832 T DE 60130832T DE 60130832 T2 DE60130832 T2 DE 60130832T2
Authority
DE
Germany
Prior art keywords
certificate
extension
certificates
token
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60130832T
Other languages
English (en)
Other versions
DE60130832D1 (de
Inventor
Kenneth W. Fairfax Aull
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northrop Grumman Systems Corp
Original Assignee
Northrop Grumman Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northrop Grumman Corp filed Critical Northrop Grumman Corp
Application granted granted Critical
Publication of DE60130832D1 publication Critical patent/DE60130832D1/de
Publication of DE60130832T2 publication Critical patent/DE60130832T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4093Monitoring of device authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99937Sorting
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99943Generating database or data structure, e.g. via user interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Anordnen mehrerer Zertifikate auf einem Hardware-Token. Genauer gesagt betrifft die Erfindung ein System und ein Verfahren zum Aufnehmen mehrerer Zertifikate auf einem Hardware-Token, sodass ein Windows 2000TM-Einzelanmeldezertifikat ("single sign-on certificate") das erste Zertifikat ist.
  • 2. Hintergrund
  • Seit Jahrhunderten suchen Einzelpersonen, Regierungen und Wirtschaftseinheiten nach Mechanismen und Methoden, mit welchen heikle Information über weite Entfernungen zu befugten Parteien übertragen werden kann und trotzdem sicher bleibt. Das Problem, mit dem die zuvor genannten Einheiten konfrontiert werden, ist, wie Information zu der Einzelperson oder den Einheiten, die sie benötigen, gesendet werden und trotzdem sichergestellt werden kann, dass unbefugte Parteien nicht in der Lage sind, die übertragene Information zu verstehen, sollten sie sie abfangen. Frühe Verfahren, Information zu sichern, verwenden Zerwürfelungsmethoden, Nachschlagetabellen, Einsetzungschiffren und Codebücher, in welchen Buchstaben oder Ausdrücke für die ursprünglichen Buchstaben oder Ausdrücke in die Information eingesetzt werden würden. Diese Methoden erforderten es oft, dass sowohl der Sender als auch der Empfänger von Information Zugang zum gleichen "Codebuch" haben. Eine Gefahr bei einer solchen Methode ist, dass das Codebuch in Hände Unbefugter fallen würde.
  • Anfang des zwanzigsten Jahrhunderts und insbesondere während des zweiten Weltkriegs wurden Codebücher durch elektromechanische Chiffriermaschinen ersetzt. Sowohl der Sender als auch der Empfänger besaßen eine Chiffriermaschine, die verwendet wurde, um gesendete Nachrichten zu verschlüsseln und zu entschlüsseln. Um es schwieriger zu gestalten, diese Nachrichten zu entschlüsseln, haben die Maschinen die Fähigkeit, die in einer Nachricht verwendet Chiffre zu ändern oder die Chiffre alle paar Wörter innerhalb einer Nachricht zu ändern. Um dies zu erreichen, musste die Chiffriermaschine den Grundzustand oder verwendeten Schlüssel kennen, um die Nachricht zu verschlüsseln.
  • In den letzten Jahren sind die Chiffriermaschinen durch digitale Verschlüsselungsalgorithmen ersetzt worden, bei welchen sowohl der Sender als auch der Empfänger eine identische Kopie des digitalen Verschlüsselungsalgorithmus und einen gemeinsamen Schlüssel besitzen, der verwendet wird, um Nachrichten zu entschlüsseln. Sowohl der Verschlüsselungsalgorithmus als auch der Schlüssel werden sowohl vom Sender als auch vom Empfänger geheim gehalten.
  • Kürzlich ist eine weitere Verschlüsselungsmethode entwickelt worden, in welcher für Verschlüsselung und Entschlüsselung zwei separate Schlüssel verwendet werden. Ein öffentlicher Schlüssel wird frei an jeden übertragen, der ihn benötigt, und wird verwendet, um Nachrichten für einen bestimmten Empfänger zu verschlüsseln. Der Empfänger würde einen zugehörigen privaten Schlüssel besitzen, welcher verwendet werden kann, um die Nachricht, die mit dem zugehörigen öffentlichen Schlüssel verschlüsselt wurde, zu entschlüsseln. Für jeden öffentlichen Schlüssel gibt es nur einen privaten Schlüssel und für jeden privaten Schlüssel gibt es nur einen öffentlichen Schlüssel. Wenn eine Nachricht an verschiedene Empfänger gesendet wird, ist es notwendig, den öffentlichen Schlüssel jedes Empfängers zu besitzen. Die Nachricht würde dann unter Verwendung des öffentlichen Schlüssels jedes Empfängers separat verschlüsselt und zu diesem bestimmten Empfänger übertragen werden. Deshalb würden, falls zehn separate Einheiten die gleiche Nachricht empfangen sollen, zehn separate Nachrichten übertragen werden, wobei jede Nachricht mit dem öffentlichen Schlüssel jedes Einzelnen verschlüsselt wird. Mit Beginn des Internets hat solch eine Infrastruktur öffentlicher Schlüssel zunehmend erhebliche Akzeptanz erfahren, wie in der Kommentierungsanfrage 2459 von Ford et al. mit dem Titel "Internet X.509 Public Key Infrastructure" diskutiert.
  • Zusätzlich zum Bedarf an der Verschlüsselung und Entschlüsselung von Nachrichten hat sich mit Beginn von elektronischer Post (Email) und Internet ein Bedarf nach einem sicheren Mechanismus, Zustimmung und Annahme durch eine Einzelperson anzuzeigen, entwickelt. In der Vergangenheit zeigte eine Einzelperson ihre Zustimmung oder Annahme zu solchen Dingen wie einem Vertrag oder einem Auftrag typischerweise über eine handgeschriebene Signatur, einen Stempel oder ein Siegel an, welche nur diese Einzelperson besaß. Jeder sonst, der versuchte, solche eine Signatur, Stempel oder Siegel nachzumachen, wurde strafrechtlich verfolgt. Mit Beginn der Email und des Internets ist ein Bedarf daran entstanden, die Unkompliziertheit und Schnelligkeit der Email vorteilhaft zu nutzen, um seitens einer Person oder Einheit mit echter Befugnis, eine Zustimmung oder Annahme eines Vertrags oder Kaufes anzuzeigen. Dies ist mittlerweise als digitale Signatur bekannt, bei welcher eine Einzelperson ein Dokument digital unterschreiben kann.
  • Diese Fähigkeit zur digitalen Signatur ist unter Verwendung der eben zuvor diskutierten Infrastruktur öffentlicher Schlüssel implementiert worden. Jedoch wird das Dokument, anstatt ein ganzes Dokument zu verschlüsseln, selbst durch einen Einweg-Hash-Algorithmus laufen gelassen, der ein kleines Dokument erzeugt, das als Digest bezeichnet wird. Dieses Digest wird dann unter Verwendung des privaten Schlüssels der Einzelperson, auch bekannt als ein privater Signaturschlüssel, verschlüsselt und an das Dokument angehängt. Der Empfänger des Dokuments kann die Authentizität der digitalen Signatur (Digest) verifizieren, und zwar mittels Ablösens der Signatur vom Dokument und erneuten Berechnens der Hash-Funktion auf dem Dokument, um ein Empfänger-Digest zu erzeugen. Unter Verwendung eines öffentlichen Signaturenschlüssels, der im zuvor erhaltenen Dokument enthalten ist, ist es möglich, das Digest des Dokuments zu entschlüsseln, und es mit dem Empfänger-Digest zu vergleichen. Falls die zwei Digests übereinstimmen, ist die Signatur authentifiziert. Deshalb ist es unter Verwendung der zuvor genannten Infrastruktur öffentlicher Schlüssel möglich, Nachrichten sowohl zu verschlüsseln als auch zu entschlüsseln sowie Dokumente digital zu unterschreiben.
  • Um ein System so einzurichten, um die Identität eines Besitzers eines Schlüsselpaares zuverlässig zu bestimmen, ist ein System digitaler Zertifikate verwendet worden. Das heißt, Zertifikate enthalten Information, welche den Besitzer, die öffentliche Komponente des Paars und die Zeitspanne, für welche das Zertifikat gültig ist, identifiziert. Es identifiziert auch technische Information über den Schlüssel selbst, wie beispielsweise den Algorithmus, der verwendet wird, um ihn zu erzeugen, und die Schlüssellänge. Diese Zertifikate werden von Organisationen erzeugt, die dafür verantwortlich sind, die Identität der Einzelpersonen zu verifizieren. Die Identität der Zertifizierungsorganisation oder Zertifikatbehörde ist im Zertifikat selbst aufgeführt und mittels eines privaten Schlüssels unterschrieben, der nur der Zertifikatsbehörde selber bekannt ist. Dies ermöglicht es Nutzern, sowohl die Integrität des Zertifikats als auch die Identität der Behörde zu verifizieren. Mittels Initialisierens eines Zertifikats sagt die Behörde aus, dass sie verifiziert hat, dass der öffentliche Schlüssel, der im Zertifikat erscheint, der Einzelperson gehört, die im Zertifikat angeführt ist. Der Ablauf muss Mechanismen zum zuverlässigen Identifizieren der Einzelperson und zum Verifizieren des aufgeführten öffentlichen Schlüssels bereitstellen. Herkömmlicherweise ist die Registrierung von neuen Nutzer der arbeitsintensivste Gesichtspunkt solch eines Systems. Sie ist auch die entscheidende Komponente, um die Vertrau enswürdigkeit von ausgegebenen Zertifikaten sicherzustellen. Die herkömmliche Weise, dies abzuwickeln, ist, effektiv zu einer lokalen Registrierungsbehörde zu gehen und die Identifikation vorzulegen, um den Nutzer zu identifizieren.
  • Es ist möglich, dass ein einzelne Einzelperson mehr als eine Art von privatem Schlüssel und digitaler Signatur besitzt. Diese Schlüssel können von einer Behörde im System in Form eines digitalen Zertifikats erzeugt werden, welches den öffentlichen Schlüssel identifiziert und die Identität des Nutzers herstellt. Jedoch ist es, da eine Person verschiedene Funktionen haben kann, möglich, dass zusätzliche Schlüssel für jede Funktion benötigt werden. Somit kann es, falls die Person Teil einer Gruppe ist, welche Zahlungen autorisieren kann, nötig sein, ein separates Zertifikat für diese bestimmte Rolle zu besitzen. Zusätzlich können verschiedene Arten von Systemen verschiedene Arten von Zertifikaten erfordern. Dementsprechend kann eine einzelne Person verschiedene Zertifikate besitzen, die nachverfolgt werden müssen. Sich an all diese verschiedenen Schlüssel zu erinnern, kann schwierig sein, insbesondere falls einige nicht regelmäßig benutzt werden.
  • US-A 5721781 (DEC et al.) offenbart eine Chipkarte, die eine Vielzahl verschiedener anwendungsbezogener Zertifikate speichert.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung stellt ein System zum Nachverfolgen einer Vielzahl von digitalen Zertifikaten bereit.
  • Die vorliegende Erfindung stellt auch ein Verfahren zum Speichern einer Vielzahl von digitalen Zertifikaten bereit.
  • Die vorliegende Erfindung stellt auch ein System zum Speichern mehrerer Zertifikate auf einem Hardware-Token bereit.
  • Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern mehrerer Zertifikate auf einem Hardware-Token bereit.
  • Die Erfindung stellt ferner ein System zum Speichern und Abrufen einer Liste von Zertifikaten auf einem Hardware-Token bereit, einschließlich eines Windows 2000TM-Einzelanmeldezertifikats.
  • Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern und Abrufen einer Liste von Zertifikaten auf einem Hardware-Token bereit, einschließlich eines Windows 2000TM-Einzelanmeldezertifikats.
  • Die vorliegende Erfindung stellt ferner ein System zum Speichern und Abrufen einer Liste von X.509v3-Zertifikaten auf einem Hardware-Token und zum Auflisten eines Windows 2000TM-Einzelanmeldezertifikats an erster Stelle bereit.
  • Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern und Abrufen einer Liste von X.509v3-Zertifikaten auf einem Hardware-Token bereit, sodass ein Windows 2000TM-Einzelanmeldezertifikat immer an erster Stelle aufgelistet ist.
  • Diese und andere Merkmale dieses Systems, Verfahrens und Computerprogramms werden aus der folgenden Beschreibung besser ersichtlich, wenn sich zusammen mit den beiliegenden Zeichnungen betrachtet werden, welche erfindungsgemäße Beispiele ausschließlich zum Zwecke der Darstellung zeigen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Das Vorangegangene und ein besseres Verständnis der vorliegenden Erfindung werden aus der folgenden ausführlichen Beschreibung beispielhafter Ausführungsformen und den Ansprüchen ersichtlich, wenn zusammen mit den beiliegenden Zeichnungen gelesen, wobei alle einen Teil der Offenbarung dieser Erfindung bilden. Während die vorangegangene und die folgende geschriebene und gezeigte Offenbarung sich darauf konzentriert, beispielhafte Ausführungsformen der Erfindung zu offenbaren, sollte deutlich darauf hingewiesen werden, dass sie nur darstellenden und beispielhaften Charakter besitzt und dass die Erfindung nicht darauf beschränkt ist. Der Umfang der vorliegenden Erfindung wird nur durch die Ausdrücke der beiliegenden Ansprüche beschränkt.
  • Das Folgende stellt kurze Beschreibungen der Zeichnungen dar, wobei:
  • 1 ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware ist, die in den Ausführungsformen der vorliegenden Erfindungen verwendet wird;
  • 2 ein Diagramm eines Verfahrens nach dem Stand der Technik für Einzelanmeldezertifikate ist;
  • 3 eine Modifizierung von 1 ist, wobei Verbindungen und Datenfluss angezeigt sind.
  • 4 eine Ablauftabelle ist, welche die Schritte des bezüglich des Systems aus 3 verwendeten Verfahrens zeigt.
  • GENAUE BESCHREIBUNG
  • Bevor mit einer genauen Beschreibung der vorliegenden Erfindung begonnen wird, ist das Folgende angebracht. Wenn geeignet, können gleiche Referenzziffern und -zeichen verwendet werden, um identische, entsprechende oder ähnliche Komponenten in unterschiedlichen Figurzeichnungen anzuzeigen. Ferner können in der folgenden genauen Beschreibung beispielhafte Größen, Modelle, Werte, Bereiche angegeben werden, obwohl die vorliegende Erfindung nicht auf selbige beschränkt ist.
  • 1 ist ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware, die in den Ausführungsformen der vorliegenden Erfindung verwendet wird. Die in 1 gezeigten Blöcke stellen Module, Code, Codeabschnitte, Befehle, Firmware, Hardware, Anweisungen und Daten dar, die mittels eines prozessorbasierten Systems (Systemen) ausführbar sind und in einer Programmiersprache, wie beispielsweise, aber nicht ausschließlich, C++, geschrieben sein können. Es ist zu beachten, dass die in 1 abgebildeten Module als in separaten Serverplattformen enthalten gezeigt sind. Jedoch sind diese Module nicht darauf beschränkt, sich auf separaten Servern zu befinden und können sich auf einem Computer oder jeglicher Anzahl von Computern befinden und auf diesen ausgeführt werden, und zwar abhängig von der Anzahl von Nutzern, die das System handhaben muss, und den damit verbundenen Kommunikationen. Die 2 bis 4 zeigen die Operationen, die mittels der in 1 gezeigten Module ausgeführt werden, noch genauer.
  • 1 zeigt eine beispielhafte Architektur 100, in welcher die erfindungsgemäßen PKI("Public Key Infrastructure"; Infrastruktur öffentlicher Schlüssel)-Abläufe angewandt werden können. Jedoch sollte, wie zuvor diskutiert, beachtet werden, dass die vorliegende Erfindung nicht auf die Architektur 100 aus 1 beschränkt ist. Die Architektur 100 umfasst die Dateneingabe 102, welche eine Dateneingabefunktion für die autoritative Datenbank 104 ausführt, welche sich auf der Serverplattform 106 befindet. Es wird sich in dieser Beschreibung auf eine Serverplattform 106 bezogen, aber es sollte beachtet werden, dass die vorliegende Erfindung nicht auf irgendeine bestimmte Serverarchitektur beschränkt ist. Die Serverplattform 106 kann ohne Ein schränkung UNIX oder Windows NT Server umfassen. Die autoritative Datenbank 104 enthält Information über Mitglieder der Gruppe oder des Unternehmens, für welche(s) erfindungsgemäße PKI-Dienstleistungen geleistet werden. Die vorliegende Erfindung ist nicht durch die Struktur der Gruppe oder des Unternehmens, für welche(s) Information in der autoritativen Datenbank 104 gespeichert wird, beschränkt. Die Information der autoritativen Datenbank 104 umfasst ohne Einschränkung den Namen, die Adresse, die Telefonnummern, den Namen des Managers, die Identifizierung der Angestellten usw. der Mitglieder der Gruppe oder des Unternehmens. Das Datenverzeichnis 108 weist die Struktur der Datenbank auf, ist aber eher für eine schnelles Nachschlagen von darin gespeicherter Information als für eine schnelle Dateneingabe optimiert. Die Daten im Datenverzeichnis 108 werden nicht häufig geändert, aber müssen "schnell aufgerufen werden können und online so schnell wie ein Telefonbuch funktionieren", das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der autoritativen Datenbank 104 gespeichert ist. Die Zertifikatbehörde 110 ist eine herkömmliche Standardsoftware, die auf der Serverplattform 106 ausgeführt wird, welche eine Speicherung von Zertifikaten und zugehöriger Information bereitstellt, die mittels der vorliegenden Erfindung genutzt werden, wie nachfolgend genauer beschrieben. Die Registrierungsbehörde 112 ist ebenfalls eine herkömmliche Standardsoftware, die auf der Serverplattform 106 ausführbar ist, und zwar in Bezug auf eine Registrierung, die mittels der vorliegenden Erfindung wie nachfolgend genauer beschrieben ausgeführt wird. Die Schlüsselbehörde 114 ist ebenfalls eine herkömmliche Standardserversoftware, welche auf der Serverplattform 106 ausführbar ist, und zwar zum Wiederherstellen von Schlüsseln von Mitgliedern der Gruppe oder des Unternehmens, wie nachfolgend genauer beschrieben. Eine Windows 2000TM Domain CA 116 kann Zertifikate verwenden, die mittels der vorliegenden Erfindung für eine Einzelanmeldung auf die Architektur aus 1 bereitgestellt werden. Der Legacy-Server 118 führt Legacy-Anwendungsprogramme 120 aus. Der Legacy-Server kann ohne Einschränkung ein Mainframe, ein Minicomputer, eine Arbeitsstation oder ein anderer Server sein, der Legacy-Softwareanwendungen hostet, die dazu eingerichtet sind, auf erfindungsgemäßen PKI-Abläufen zu laufen. Die Legacy-Anwendungen 120 sind auf der Client-Seite mittels eines kundenspezifischen Client 128, wie beispielsweise eines Emulators oder einer grafischen Nutzerschnittstelle ("Graphic User Interface"; GUI) einer kundenspezifischen Datenbank aufrufbar. Beispiele für Emulatoren sind Endgeräte-Emulatoren einer IBM 3270 oder Endgeräte-Emulatoren einer vt 100. Die Registrierungswebseite 122, welche eine oder mehrere Seiten sein kann, fungiert als die Nutzerschnittstelle zur Architektur 100 aus 1. Ein Webserver 124 ist eine Softwareanwendung, welche Webseiten, wie beispielsweise die Webseite 122, oder andere HTML-Ausgaben zu einem Webbrowserclient bedient, welcher ohne Einschränkung ein Apache- oder ein Microsoft-Internet Informations Server sein kann. Der Webbrowser 126 befindet sich auf der Client-Plattform 128, welche jeglicher Nutzercomputer sein kann. Der Webbrowser 126 ist eine Client-Softwareanwendung zum Browsen von Webseiten, wie beispielsweise, aber nicht ausschließlich HTML- oder XML-Protokollen oder anderen Protokollen. Der Webbrowser 126 ist dazu programmiert, mit PKI-Zertifikaten, die von der Zertifikatbehörde 110 ausgegeben werden, zu arbeiten. Beispiele für Webbrowser, welche diese Fähigkeit aufweisen, sind Netscape Navigator und der Microsoft Internet Explorer. Das Token 130 ist eine Chipkarte, ein USB- oder ein anderes Hardwaretoken, das dazu fähig ist, PKI-Zertifikate zu speichern, zu erzeugen und zu verwenden. Ein Nutzer 132 ist eine Person, welche die Architektur 100 verwendet. Ein Nutzer 132 durchläuft eine Anzahl von Zuständen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen früheren Nutzer enthalten, der nicht mehr Mitglied der Gruppe oder des Unternehmens ist. Die Architektur 100 ist mit Bezug auf zwei Sicherheitsebenen beschrieben, aber die Anzahl der Sicherheitsebenen stellt keine Beschränkung der vorliegenden Erfindung dar, wobei jede Ebene einer anderen Sicherheitsanforderung entspricht. Die Suchmaschine 134 von Ebene 1 ist eine Suchmaschine, welcher es erlaubt ist, die Architektur 100 zu durchsuchen, aber nur Zugriff auf Daten von Ebene 1 hat, welches die niedrigste Sicherheitsebene ist und ohne Beschränkung Daten umfassen kann, welche frei verfügbar sind. Daten von Ebene 2 können als proprietär angesehen werden. Die Suchmaschine 136 auf Ebene 2 ist eine Suchmaschine, welcher es erlaubt ist, Daten sowohl von Ebene 1 als auch von Ebene 2 zu durchsuchen. Eine Suchmaschine nach Ebene N (nicht gezeigt) ist eine Suchmaschine, welcher es erlaubt ist, Daten von Servern, welche Daten von Ebene 1 bis N besitzen, zu durchsuchen. Ein Server mit gesicherten Ebenen mit Daten von Ebene 1 ist ein Webserver, der nur Daten von Ebene 1 enthält, welcher so gesichert ist, dass Nutzer nur auf Server von Ebene 1 Zugriff haben. Ein gesicherter Webserver mit Daten 140 von Ebene 2 ist ein Webserver, der Daten von Ebene 2 enthält, welcher so gesichert worden ist, dass Nutzer einen Zugriff auf Ebene 2 haben müssen, wobei Nutzer mit Zugriff auf Ebene 2 auf Server sowohl von Ebene 1 als auch von Ebene 2 Zugriff haben. Ein gesicherter Webserver mit Daten von Ebene N (nicht gezeigt) ist ein Webserver, der Daten von Ebene N enthält, welcher von einem Nutzer mit Zugriff auf Ebene N oder Zugriff auf alle Datenebenen einschließlich Ebene N aufgerufen werden kann. VPN-Extranet 142 ist eine Softwareanwendung, welche als ein Netzwerkgateway fungiert, welche, wie gezeigt, entweder auf einem Legacy-Server 118 und mit einer Legacy-Anwendung 120 oder mit einem externen Netzwerk, wie beispielsweise dem Internet, verbinden kann. Die persönliche Registrierungsbehörde 144 ist eine Person, die für den Widerruf von Mitgliedern aus dem Netzwerk 100 verantwortlich ist. Die persönliche Registrierungsbehörde 146 ist eine Person, die für die Registrierung von Mitgliedern im Netzwerk 100 verantwortlich ist. Die persönliche Wiederherstellungsbewilligung 1 148 und der persönliche Wiederherstellungsbearbeiter 2 149 sind Personen, die dafür verantwortlich sind, eine Wiederherstellung von Zertifikaten zu erlangen. Ein Wiederherstellungsbearbeiter 150 ist eine Person, die eine Wiederherstellung von Zertifikaten durchführt und ein Zertifikat nur wiederherstellen kann, falls das Zertifikat zuerst durch eine weitere Person als wiederherstellbar gekennzeichnet worden ist. Eine persönliche Rollenbewilligung 152 ist eine Person, die verschiedene Rollenfunktionen im Netzwerk 100 bewilligt. Ein Webserveradministrator ist für die verschiedenen Webfunktionen im Netzwerk 100 verantwortlich.
  • Wie oben beschrieben, ist das Token 130 ein Stück Hardware, auf welchem Zertifikate gespeichert werden können. Verschieden Arten von Token können verwendet werden, solange irgendeine Art von Speichervorrichtung enthalten ist. Die Speicherung kann magnetisch, wie beispielsweise auf einem Streifen, oder optisch, wie beispielsweise ein Strichcode, oder irgendeine andere Art von Speichersystem sein, welche leicht maschinenlesbar ist. Die Verwendung eines Tokens, um die Zertifikatinformation zu speichern, wird demgegenüber bevorzugt, dass der Nutzer sich eine Reihe von Nummern merken muss. Mittels Platzierens des Tokens in einem Lesegerät ist es möglich, die Identifikationsdaten noch schneller einzugeben als es mittels des Bedieners selbst möglich ist. Ferner vermeidet es die Notwendigkeit, sich Identifikationscodes zu merken. Da es möglich ist, dass ein Nutzer eine Anzahl verschiedener Zertifizierungen besitzen kann, ist es insbesondere nützlich, ein Token zu verwenden, um das Problem, sich viel merken zu müssen, zu vermeiden. Somit erzeugt die Verwendung solche eines Tokens in diesen Situationen eine höhere Genauigkeit, verhindert Erinnerungsverluste und ist sehr praktisch und präzise. Das Token kann eine Vorrichtung sein, welche leicht von der Person getragen werden kann, z. B. an einer Schlüsselkette oder im Geldbeutel, sodass der Nutzer zu jeder Zeit die Kontrolle darüber hat, ohne einen sicheren Platz finden zu müssen, wo er es einschließt.
  • 2 zeigt ein System nach dem Stand der Technik, welches zusammen mit Microsoft Windows 2000TM verwendet worden ist. Um ein digitales Signal für ein Microsoft-Netzwerk auszugeben, ist es nötig, dass die Zertifikate von einem Microsoft-Server ausgegeben werden. Diese Systeme verwenden einen Einzelanmeldemechanismus. 2 zeigt eine Abwandlung von 1, bei der das System einen Windows 2000TM-Microsoft Registrierungsbehördenverantwortlichen ("registration authority officer"; MSRA) und einen lokalen Registrierungsbehördenverantwortlichen ("local registration authority officer"; LRAO) umfasst. Der Nutzer muss den LRAO kontaktieren und eine Identifikation vorlegen, damit das Zertifikat im Namen des Nutzers erzeugt werden kann. Der LRAO erzeugt das Zertifikat uns speichert es auf dem Token und gibt das Token dem Nutzer. Dies ist als Stufen 1 und 2 in 2 gezeigt.
  • Während solch ein System erfolgreich arbeitet, solange der Nutzer nur eine Einzelzertifizierung besitzt, ist es oft nötig, dass der Nutzer mehrere Zertifikate besitzt. Vor Windows 2000TM verwendeten Vorrichtungen nach dem Stand der Technik eine Dialogbox, die nach einer PIN fragte. Falls eine Liste von Zertifikaten möglich war, wählte der Nutzer das unter diesen Umständen zu verwendende Zertifikat aus. Jedoch wird das bestimmte Unterprogramm unter Windows 2000TM nur das erste Zertifikat auf dem Token auswählen. Somit ist es, falls mehr als ein Zertifikat gespeichert ist, entscheidend, dass das erste Zertifikat das Windows 2000TM Einzelanmeldezertifikat ist. Während es möglich wäre, nur das Einzelanmeldezertifikat auf dem Hardware-Token zu haben und alle anderen Zertifikate auf einem separaten Token zu platzieren, ist dies keine bevorzugte Anordnung. Somit ist es, falls mehr als das Einzelanmeldezertifikat auf dem Hardware-Token gespeichert ist, notwendig, dass das Einzelanmeldezertifikat immer das erste in der Liste ist.
  • 3 zeigt ein Modulkonfigurationsdiagramm, welches eine Abwandlung des in 1 gezeigten ist, welches es ermöglicht, dass mehrere Zertifikate auf einem Hardware-Token gespeichert werden und trotzdem für eine Windows 2000TM Domäne geeignet sind. In diesem System wird auch ein Windows 2000TM MSRA verwendet sowie ein aktives Windows 2000TM Datenverzeichnis. Die Schritte dieses Verfahrens sind auch in 4 beschrieben. In Schritt 101 beginnt der Nutzer über seinen Webbrowser eine Ablauf eines Erlangens eines neuen Zertifikats, indem er zu einer Registrierungswebseite geht. Indem er zu einer Webseite geht, ist es möglich, die Notwendigkeit eines lokalen Behördenverantwortlichen zu umgehen. Stattdessen wird eine Identifikation direkt über die Webseite erlangt. Die Zertifizierung wird mittels der Windows 2000TM Domäne CA 116 erzeugt und in Schritt 102A über die Registrierungswebseite dem Nutzer zurückgegeben. Alternativ kann das Zertifikat dem MSRA zurückgegeben werden, wenn das Token im MSRA anstatt der Client-Plattform installiert wird.
  • In Schritt 103 liefert der Webbrowser das unterschriebene Zertifikat zum Softwaretreiber für das Hardware-Token. In Schritt 104 analysiert der Softwaretreiber das Zertifikat, um zu bestimmen, ob das Zertifikat mittels der Microsoft Domäne CA un terschrieben worden ist. Dies ist möglich, da das Microsoft Einzelanmeldezertifikat eine proprietäre Microsoft-Erweiterung besitzt, welche identifiziert, dass das Zertifikat und der Schlüssel für den Zweck der Einzelanmeldung verwendet werden können. Als ein Ergebnis ist es leicht, zu bestimmen, ob das Zertifikat in diese Kategorie fällt. Falls es nicht ein solches Zertifikat ist, wird es an das Ende der Liste hinzugefügt und wird somit Zertifizierung Nummer N. Falls jedoch, wie in Schritt 105 angegeben, das Zertifikat mittels der Microsoft Domäne CA unterschrieben worden ist, bewegt der Softwaretreiber das ursprüngliche Zertifikat Nr. 1 an das Ende der Liste und setzt das neue Zertifikat am Anfang der Liste ein. Mittels Verwenden dieser einfachen Anordnung ist es möglich, das Microsoft Einzelanmeldezertifikat immer als erstes in der Liste zu haben.
  • Somit wird, wie in Schritt 106 gesehen, falls der Nutzer sich dann auf einer Windows 2000TM Domäne einloggt, das Einzelanmeldezertifikat das erste Zertifikat auf dem Token sein, sodass die Client-Plattform das korrekte Zertifikat erhalten und dem Domänencontroller die korrekten Berechtigungsnachweise vorlegen wird. Wie in Schritt 107 gesehen, wird es, wenn der Nutzer versucht, auf einen Webserver zuzugreifen, nötig sein, dass die Client-Plattform ein anderes Zertifikat vorlegt. Da der Webbrowser anstelle des Betriebssystems ein Zertifikat vom Token erhält und da der Webbrowser dazu fähig ist, nicht nur das erste, sondern alle Zertifikate auf dem Token anzusehen, ist der Nutzer dazu fähig, jegliches Zertifikat für den Zugriff zum Webserver auszuwählen.
  • Es ist auch möglich, dass andere Varianten dieses Verfahrens verwendet werden können, um zu garantieren, dass das Einzelanmeldezertifikat zu oberst in der Liste platziert wird. Eine weitere Art, dies zu erreichen, ist, immer ein identifiziertes Einzelanmeldezertifikat zum Anfang der Liste und alle anderen Zertifikat zum Ende der Liste hinzuzufügen.
  • Ein weiteres Verfahren, dies zu erreichen, ist, eine dynamische Suche auf die Anforderung nach einem Zertifikat durchzuführen, sodass ein Microsoft System dieses Zertifikat immer als erstes auf der Liste sieht, während andere Systeme auf eine Anforderung hin die gesamte Liste sehen.
  • Zahlreiche zusätzliche Modifikationen und Varianten der vorliegenden Erfindung sind vor dem Hintergrund der obigen Lehren möglich. Es ist daher zu beachten, dass die Erfindung im Umfang der beiliegenden Ansprüche anderweitig und wie hierein insbesondere beschrieben angewandt werden kann.

Claims (10)

  1. Verfahren zum Anordnen einer Vielzahl von digitalen Zertifikaten auf einem Hardware-Token (130), gekennzeichnet durch die folgenden Schritte: Untersuchen einer Erweiterung jeder Zertifikatsidentifikation; Erkennen, ob eine Erweiterung mit einer bestimmten ausgewählten Erweiterung übereinstimmt; Anordnen einer Vielzahl von Zertifikaten so, dass ein Zertifikat mit einer Erweiterung, welche mit der ausgewählten Erweiterung übereinstimmt, an einem bestimmten Ort in einer Liste der Vielzahl von Zertifikaten platziert wird.
  2. Verfahren nach Anspruch 1, bei dem der bestimmte Ort der erste in der Liste ist.
  3. Verfahren nach Anspruch 1, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
  4. Verfahren nach Anspruch 1, bei dem der Hardware-Token eine Chipkarte ist.
  5. System zum Anordnen digitaler Zertifikate auf einem Hardware-Token (130), aufweisend: einen Datenspeicherbereich auf dem Hardware-Token (130); gekennzeichnet durch ein Lesegerät zum Untersuchen einer Erweiterung auf einem digitalen Zertifikat; einen Komparator zum Vergleichen der gelesenen Erweiterung mit einer ausgewählten Erweiterung; und eine Anordnungseinheit zum Platzieren eines Zertifikats an einem bestimmten Ort auf dem Token gemäß der Ausgabe des Komparators.
  6. System nach Anspruch 5, bei dem das digitale Zertifikat, das eine Erweiterung aufweist, welche mit der ausgewählten Erweiterung übereinstimmt, zuoberst in der Liste von Zertifikaten platziert wird.
  7. System nach Anspruch 5, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
  8. Artikel, aufweisend ein Speichermedium mit darin gespeicherten Anweisungen, wobei die Anweisungen dann, wenn sie ausgeführt werden, bewirken, dass eine Verarbeitungsvorrichtung ausführt: Untersuchen einer Erweiterung auf einem digitalen Zertifikat; Vergleichen der untersuchten Erweiterung mit einer ausgewählten Erweiterung; und Anordnen des Zertifikats an einem bestimmten Ort auf dem Artikel gemäß den Ergebnissen des Vergleichens.
  9. Artikel nach Anspruch 8, bei dem das digitale Zertifikat, das eine Erweiterung aufweist, welche mit der ausgewählten Erweiterung übereinstimmt, zuoberst in einer Liste von Zertifikaten platziert wird.
  10. Artikel nach Anspruch 8, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
DE60130832T 2000-06-09 2001-05-25 Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token Expired - Lifetime DE60130832T2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US823312 1992-01-21
US21052300P 2000-06-09 2000-06-09
US210523P 2000-06-09
US09/823,312 US6993521B2 (en) 2000-06-09 2001-03-30 System and method for arranging digital certificates on a hardware token

Publications (2)

Publication Number Publication Date
DE60130832D1 DE60130832D1 (de) 2007-11-22
DE60130832T2 true DE60130832T2 (de) 2008-07-17

Family

ID=26905256

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60130832T Expired - Lifetime DE60130832T2 (de) 2000-06-09 2001-05-25 Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token

Country Status (4)

Country Link
US (1) US6993521B2 (de)
EP (1) EP1162778B1 (de)
JP (1) JP3704681B2 (de)
DE (1) DE60130832T2 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115455A1 (en) * 2001-12-19 2003-06-19 Aull Kenneth W. Method and apparatus for centralized processing of hardware tokens for PKI solutions
US7283268B2 (en) * 2002-07-11 2007-10-16 Paxar Corporation Printer with interpreter
US7188109B1 (en) * 2002-07-30 2007-03-06 Unisys Corporation Cool ICE utilization of digital certificates
WO2007092651A2 (en) * 2006-01-04 2007-08-16 Nytor, Inc. Trusted host platform
KR101467174B1 (ko) 2007-08-16 2014-12-01 삼성전자주식회사 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치
US20150254676A9 (en) * 2009-02-03 2015-09-10 Penny Hendrix Web-based electronic controlled substance transfer management system and method
US9774630B1 (en) 2009-09-28 2017-09-26 Rockwell Collins, Inc. Administration of multiple network system with a single trust module
MX2012011105A (es) * 2010-04-01 2012-11-29 Nokia Siemens Networks Oy Autoridad de certificado.
US9154488B2 (en) * 2013-05-03 2015-10-06 Citrix Systems, Inc. Secured access to resources using a proxy
US9246888B2 (en) * 2014-05-25 2016-01-26 Abdulrahman Al Jabri Systems and methods for secure communication over an unsecured communication channel
US10841316B2 (en) 2014-09-30 2020-11-17 Citrix Systems, Inc. Dynamic access control to network resources using federated full domain logon
US10122703B2 (en) 2014-09-30 2018-11-06 Citrix Systems, Inc. Federated full domain logon
US10958640B2 (en) 2018-02-08 2021-03-23 Citrix Systems, Inc. Fast smart card login

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5721781A (en) * 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
JPH09138643A (ja) * 1995-11-15 1997-05-27 Fujitsu Ltd データ秘匿及びデータ署名用鍵蓄積システムおよび鍵蓄積機能を備えたセキュリティ・モジュール
JP3505058B2 (ja) * 1997-03-28 2004-03-08 株式会社日立製作所 ネットワークシステムのセキュリティ管理方法
US6314521B1 (en) * 1997-11-26 2001-11-06 International Business Machines Corporation Secure configuration of a digital certificate for a printer or other network device
US6308266B1 (en) * 1998-03-04 2001-10-23 Microsoft Corporation System and method for enabling different grades of cryptography strength in a product
US6463537B1 (en) * 1999-01-04 2002-10-08 Codex Technologies, Inc. Modified computer motherboard security and identification system
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates
US6505193B1 (en) * 1999-12-01 2003-01-07 Iridian Technologies, Inc. System and method of fast biometric database searching using digital certificates

Also Published As

Publication number Publication date
US20020143707A1 (en) 2002-10-03
US6993521B2 (en) 2006-01-31
JP3704681B2 (ja) 2005-10-12
JP2002140308A (ja) 2002-05-17
EP1162778A2 (de) 2001-12-12
DE60130832D1 (de) 2007-11-22
EP1162778A3 (de) 2004-11-24
EP1162778B1 (de) 2007-10-10

Similar Documents

Publication Publication Date Title
DE60121517T2 (de) Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems
DE60211841T2 (de) Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
DE60031755T2 (de) Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE112005003281B4 (de) Elektronisches Signatursicherheitssystem
DE60132733T2 (de) Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln
DE10328328B4 (de) Produktschutz-Portal und Verfahren zur Echtheitsprüfung von Produkten
DE60130832T2 (de) Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
EP1105998B1 (de) Verfahren und anordnung zur bildung eines geheimen kommunikationsschlüssels zu einem zuvor ermittelten asymmetrischen kryptographischen schlüsselpaar
EP1943605A1 (de) Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
EP3764614A1 (de) Verteiltes authentifizierungssystem
DE60122349T2 (de) Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk
EP1785900A1 (de) Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
DE102019101195A1 (de) Verfahren zum sicheren Übermitteln einer Datei
DE10020562C1 (de) Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers
DE10242673B4 (de) Verfahren zur Identifikation eines Benutzers
EP3358488B1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
DE19841886A1 (de) Verfahren und Vorrichtung zur Erzeugung von Paßwörtern
DE19923807A1 (de) Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften
DE60205176T2 (de) Vorrichtung und Verfahren zur Benutzerauthentisierung
DE10112166A1 (de) Verfahren zum Transaktionsnachweis
DE69935980T2 (de) Eine Technik zur Erstellung Privat authentifizierbarer kryptografischer Unterschriften und zur Verwendung einer solchen Unterschrift in Verbindung mit der Kopie eines Produktes

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1162778

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

R081 Change of applicant/patentee

Ref document number: 1162778

Country of ref document: EP

Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US

Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US

Effective date: 20120814

R082 Change of representative

Ref document number: 1162778

Country of ref document: EP

Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE

Effective date: 20120814