DE60130832T2 - Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token - Google Patents
Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token Download PDFInfo
- Publication number
- DE60130832T2 DE60130832T2 DE60130832T DE60130832T DE60130832T2 DE 60130832 T2 DE60130832 T2 DE 60130832T2 DE 60130832 T DE60130832 T DE 60130832T DE 60130832 T DE60130832 T DE 60130832T DE 60130832 T2 DE60130832 T2 DE 60130832T2
- Authority
- DE
- Germany
- Prior art keywords
- certificate
- extension
- certificates
- token
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4093—Monitoring of device authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99937—Sorting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99943—Generating database or data structure, e.g. via user interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Accounting & Taxation (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Software Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
- HINTERGRUND DER ERFINDUNG
- 1. Gebiet der Erfindung
- Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Anordnen mehrerer Zertifikate auf einem Hardware-Token. Genauer gesagt betrifft die Erfindung ein System und ein Verfahren zum Aufnehmen mehrerer Zertifikate auf einem Hardware-Token, sodass ein Windows 2000TM-Einzelanmeldezertifikat ("single sign-on certificate") das erste Zertifikat ist.
- 2. Hintergrund
- Seit Jahrhunderten suchen Einzelpersonen, Regierungen und Wirtschaftseinheiten nach Mechanismen und Methoden, mit welchen heikle Information über weite Entfernungen zu befugten Parteien übertragen werden kann und trotzdem sicher bleibt. Das Problem, mit dem die zuvor genannten Einheiten konfrontiert werden, ist, wie Information zu der Einzelperson oder den Einheiten, die sie benötigen, gesendet werden und trotzdem sichergestellt werden kann, dass unbefugte Parteien nicht in der Lage sind, die übertragene Information zu verstehen, sollten sie sie abfangen. Frühe Verfahren, Information zu sichern, verwenden Zerwürfelungsmethoden, Nachschlagetabellen, Einsetzungschiffren und Codebücher, in welchen Buchstaben oder Ausdrücke für die ursprünglichen Buchstaben oder Ausdrücke in die Information eingesetzt werden würden. Diese Methoden erforderten es oft, dass sowohl der Sender als auch der Empfänger von Information Zugang zum gleichen "Codebuch" haben. Eine Gefahr bei einer solchen Methode ist, dass das Codebuch in Hände Unbefugter fallen würde.
- Anfang des zwanzigsten Jahrhunderts und insbesondere während des zweiten Weltkriegs wurden Codebücher durch elektromechanische Chiffriermaschinen ersetzt. Sowohl der Sender als auch der Empfänger besaßen eine Chiffriermaschine, die verwendet wurde, um gesendete Nachrichten zu verschlüsseln und zu entschlüsseln. Um es schwieriger zu gestalten, diese Nachrichten zu entschlüsseln, haben die Maschinen die Fähigkeit, die in einer Nachricht verwendet Chiffre zu ändern oder die Chiffre alle paar Wörter innerhalb einer Nachricht zu ändern. Um dies zu erreichen, musste die Chiffriermaschine den Grundzustand oder verwendeten Schlüssel kennen, um die Nachricht zu verschlüsseln.
- In den letzten Jahren sind die Chiffriermaschinen durch digitale Verschlüsselungsalgorithmen ersetzt worden, bei welchen sowohl der Sender als auch der Empfänger eine identische Kopie des digitalen Verschlüsselungsalgorithmus und einen gemeinsamen Schlüssel besitzen, der verwendet wird, um Nachrichten zu entschlüsseln. Sowohl der Verschlüsselungsalgorithmus als auch der Schlüssel werden sowohl vom Sender als auch vom Empfänger geheim gehalten.
- Kürzlich ist eine weitere Verschlüsselungsmethode entwickelt worden, in welcher für Verschlüsselung und Entschlüsselung zwei separate Schlüssel verwendet werden. Ein öffentlicher Schlüssel wird frei an jeden übertragen, der ihn benötigt, und wird verwendet, um Nachrichten für einen bestimmten Empfänger zu verschlüsseln. Der Empfänger würde einen zugehörigen privaten Schlüssel besitzen, welcher verwendet werden kann, um die Nachricht, die mit dem zugehörigen öffentlichen Schlüssel verschlüsselt wurde, zu entschlüsseln. Für jeden öffentlichen Schlüssel gibt es nur einen privaten Schlüssel und für jeden privaten Schlüssel gibt es nur einen öffentlichen Schlüssel. Wenn eine Nachricht an verschiedene Empfänger gesendet wird, ist es notwendig, den öffentlichen Schlüssel jedes Empfängers zu besitzen. Die Nachricht würde dann unter Verwendung des öffentlichen Schlüssels jedes Empfängers separat verschlüsselt und zu diesem bestimmten Empfänger übertragen werden. Deshalb würden, falls zehn separate Einheiten die gleiche Nachricht empfangen sollen, zehn separate Nachrichten übertragen werden, wobei jede Nachricht mit dem öffentlichen Schlüssel jedes Einzelnen verschlüsselt wird. Mit Beginn des Internets hat solch eine Infrastruktur öffentlicher Schlüssel zunehmend erhebliche Akzeptanz erfahren, wie in der Kommentierungsanfrage 2459 von Ford et al. mit dem Titel "Internet X.509 Public Key Infrastructure" diskutiert.
- Zusätzlich zum Bedarf an der Verschlüsselung und Entschlüsselung von Nachrichten hat sich mit Beginn von elektronischer Post (Email) und Internet ein Bedarf nach einem sicheren Mechanismus, Zustimmung und Annahme durch eine Einzelperson anzuzeigen, entwickelt. In der Vergangenheit zeigte eine Einzelperson ihre Zustimmung oder Annahme zu solchen Dingen wie einem Vertrag oder einem Auftrag typischerweise über eine handgeschriebene Signatur, einen Stempel oder ein Siegel an, welche nur diese Einzelperson besaß. Jeder sonst, der versuchte, solche eine Signatur, Stempel oder Siegel nachzumachen, wurde strafrechtlich verfolgt. Mit Beginn der Email und des Internets ist ein Bedarf daran entstanden, die Unkompliziertheit und Schnelligkeit der Email vorteilhaft zu nutzen, um seitens einer Person oder Einheit mit echter Befugnis, eine Zustimmung oder Annahme eines Vertrags oder Kaufes anzuzeigen. Dies ist mittlerweise als digitale Signatur bekannt, bei welcher eine Einzelperson ein Dokument digital unterschreiben kann.
- Diese Fähigkeit zur digitalen Signatur ist unter Verwendung der eben zuvor diskutierten Infrastruktur öffentlicher Schlüssel implementiert worden. Jedoch wird das Dokument, anstatt ein ganzes Dokument zu verschlüsseln, selbst durch einen Einweg-Hash-Algorithmus laufen gelassen, der ein kleines Dokument erzeugt, das als Digest bezeichnet wird. Dieses Digest wird dann unter Verwendung des privaten Schlüssels der Einzelperson, auch bekannt als ein privater Signaturschlüssel, verschlüsselt und an das Dokument angehängt. Der Empfänger des Dokuments kann die Authentizität der digitalen Signatur (Digest) verifizieren, und zwar mittels Ablösens der Signatur vom Dokument und erneuten Berechnens der Hash-Funktion auf dem Dokument, um ein Empfänger-Digest zu erzeugen. Unter Verwendung eines öffentlichen Signaturenschlüssels, der im zuvor erhaltenen Dokument enthalten ist, ist es möglich, das Digest des Dokuments zu entschlüsseln, und es mit dem Empfänger-Digest zu vergleichen. Falls die zwei Digests übereinstimmen, ist die Signatur authentifiziert. Deshalb ist es unter Verwendung der zuvor genannten Infrastruktur öffentlicher Schlüssel möglich, Nachrichten sowohl zu verschlüsseln als auch zu entschlüsseln sowie Dokumente digital zu unterschreiben.
- Um ein System so einzurichten, um die Identität eines Besitzers eines Schlüsselpaares zuverlässig zu bestimmen, ist ein System digitaler Zertifikate verwendet worden. Das heißt, Zertifikate enthalten Information, welche den Besitzer, die öffentliche Komponente des Paars und die Zeitspanne, für welche das Zertifikat gültig ist, identifiziert. Es identifiziert auch technische Information über den Schlüssel selbst, wie beispielsweise den Algorithmus, der verwendet wird, um ihn zu erzeugen, und die Schlüssellänge. Diese Zertifikate werden von Organisationen erzeugt, die dafür verantwortlich sind, die Identität der Einzelpersonen zu verifizieren. Die Identität der Zertifizierungsorganisation oder Zertifikatbehörde ist im Zertifikat selbst aufgeführt und mittels eines privaten Schlüssels unterschrieben, der nur der Zertifikatsbehörde selber bekannt ist. Dies ermöglicht es Nutzern, sowohl die Integrität des Zertifikats als auch die Identität der Behörde zu verifizieren. Mittels Initialisierens eines Zertifikats sagt die Behörde aus, dass sie verifiziert hat, dass der öffentliche Schlüssel, der im Zertifikat erscheint, der Einzelperson gehört, die im Zertifikat angeführt ist. Der Ablauf muss Mechanismen zum zuverlässigen Identifizieren der Einzelperson und zum Verifizieren des aufgeführten öffentlichen Schlüssels bereitstellen. Herkömmlicherweise ist die Registrierung von neuen Nutzer der arbeitsintensivste Gesichtspunkt solch eines Systems. Sie ist auch die entscheidende Komponente, um die Vertrau enswürdigkeit von ausgegebenen Zertifikaten sicherzustellen. Die herkömmliche Weise, dies abzuwickeln, ist, effektiv zu einer lokalen Registrierungsbehörde zu gehen und die Identifikation vorzulegen, um den Nutzer zu identifizieren.
- Es ist möglich, dass ein einzelne Einzelperson mehr als eine Art von privatem Schlüssel und digitaler Signatur besitzt. Diese Schlüssel können von einer Behörde im System in Form eines digitalen Zertifikats erzeugt werden, welches den öffentlichen Schlüssel identifiziert und die Identität des Nutzers herstellt. Jedoch ist es, da eine Person verschiedene Funktionen haben kann, möglich, dass zusätzliche Schlüssel für jede Funktion benötigt werden. Somit kann es, falls die Person Teil einer Gruppe ist, welche Zahlungen autorisieren kann, nötig sein, ein separates Zertifikat für diese bestimmte Rolle zu besitzen. Zusätzlich können verschiedene Arten von Systemen verschiedene Arten von Zertifikaten erfordern. Dementsprechend kann eine einzelne Person verschiedene Zertifikate besitzen, die nachverfolgt werden müssen. Sich an all diese verschiedenen Schlüssel zu erinnern, kann schwierig sein, insbesondere falls einige nicht regelmäßig benutzt werden.
-
US-A 5721781 (DEC et al.) offenbart eine Chipkarte, die eine Vielzahl verschiedener anwendungsbezogener Zertifikate speichert. - ZUSAMMENFASSUNG DER ERFINDUNG
- Die vorliegende Erfindung stellt ein System zum Nachverfolgen einer Vielzahl von digitalen Zertifikaten bereit.
- Die vorliegende Erfindung stellt auch ein Verfahren zum Speichern einer Vielzahl von digitalen Zertifikaten bereit.
- Die vorliegende Erfindung stellt auch ein System zum Speichern mehrerer Zertifikate auf einem Hardware-Token bereit.
- Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern mehrerer Zertifikate auf einem Hardware-Token bereit.
- Die Erfindung stellt ferner ein System zum Speichern und Abrufen einer Liste von Zertifikaten auf einem Hardware-Token bereit, einschließlich eines Windows 2000TM-Einzelanmeldezertifikats.
- Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern und Abrufen einer Liste von Zertifikaten auf einem Hardware-Token bereit, einschließlich eines Windows 2000TM-Einzelanmeldezertifikats.
- Die vorliegende Erfindung stellt ferner ein System zum Speichern und Abrufen einer Liste von X.509v3-Zertifikaten auf einem Hardware-Token und zum Auflisten eines Windows 2000TM-Einzelanmeldezertifikats an erster Stelle bereit.
- Die vorliegende Erfindung stellt ferner ein Verfahren zum Speichern und Abrufen einer Liste von X.509v3-Zertifikaten auf einem Hardware-Token bereit, sodass ein Windows 2000TM-Einzelanmeldezertifikat immer an erster Stelle aufgelistet ist.
- Diese und andere Merkmale dieses Systems, Verfahrens und Computerprogramms werden aus der folgenden Beschreibung besser ersichtlich, wenn sich zusammen mit den beiliegenden Zeichnungen betrachtet werden, welche erfindungsgemäße Beispiele ausschließlich zum Zwecke der Darstellung zeigen.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
- Das Vorangegangene und ein besseres Verständnis der vorliegenden Erfindung werden aus der folgenden ausführlichen Beschreibung beispielhafter Ausführungsformen und den Ansprüchen ersichtlich, wenn zusammen mit den beiliegenden Zeichnungen gelesen, wobei alle einen Teil der Offenbarung dieser Erfindung bilden. Während die vorangegangene und die folgende geschriebene und gezeigte Offenbarung sich darauf konzentriert, beispielhafte Ausführungsformen der Erfindung zu offenbaren, sollte deutlich darauf hingewiesen werden, dass sie nur darstellenden und beispielhaften Charakter besitzt und dass die Erfindung nicht darauf beschränkt ist. Der Umfang der vorliegenden Erfindung wird nur durch die Ausdrücke der beiliegenden Ansprüche beschränkt.
- Das Folgende stellt kurze Beschreibungen der Zeichnungen dar, wobei:
-
1 ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware ist, die in den Ausführungsformen der vorliegenden Erfindungen verwendet wird; -
2 ein Diagramm eines Verfahrens nach dem Stand der Technik für Einzelanmeldezertifikate ist; -
3 eine Modifizierung von1 ist, wobei Verbindungen und Datenfluss angezeigt sind. -
4 eine Ablauftabelle ist, welche die Schritte des bezüglich des Systems aus3 verwendeten Verfahrens zeigt. - GENAUE BESCHREIBUNG
- Bevor mit einer genauen Beschreibung der vorliegenden Erfindung begonnen wird, ist das Folgende angebracht. Wenn geeignet, können gleiche Referenzziffern und -zeichen verwendet werden, um identische, entsprechende oder ähnliche Komponenten in unterschiedlichen Figurzeichnungen anzuzeigen. Ferner können in der folgenden genauen Beschreibung beispielhafte Größen, Modelle, Werte, Bereiche angegeben werden, obwohl die vorliegende Erfindung nicht auf selbige beschränkt ist.
-
1 ist ein Modulkonfigurationsdiagramm der Software, Firmware und Hardware, die in den Ausführungsformen der vorliegenden Erfindung verwendet wird. Die in1 gezeigten Blöcke stellen Module, Code, Codeabschnitte, Befehle, Firmware, Hardware, Anweisungen und Daten dar, die mittels eines prozessorbasierten Systems (Systemen) ausführbar sind und in einer Programmiersprache, wie beispielsweise, aber nicht ausschließlich, C++, geschrieben sein können. Es ist zu beachten, dass die in1 abgebildeten Module als in separaten Serverplattformen enthalten gezeigt sind. Jedoch sind diese Module nicht darauf beschränkt, sich auf separaten Servern zu befinden und können sich auf einem Computer oder jeglicher Anzahl von Computern befinden und auf diesen ausgeführt werden, und zwar abhängig von der Anzahl von Nutzern, die das System handhaben muss, und den damit verbundenen Kommunikationen. Die2 bis4 zeigen die Operationen, die mittels der in1 gezeigten Module ausgeführt werden, noch genauer. -
1 zeigt eine beispielhafte Architektur100 , in welcher die erfindungsgemäßen PKI("Public Key Infrastructure"; Infrastruktur öffentlicher Schlüssel)-Abläufe angewandt werden können. Jedoch sollte, wie zuvor diskutiert, beachtet werden, dass die vorliegende Erfindung nicht auf die Architektur100 aus1 beschränkt ist. Die Architektur100 umfasst die Dateneingabe102 , welche eine Dateneingabefunktion für die autoritative Datenbank104 ausführt, welche sich auf der Serverplattform106 befindet. Es wird sich in dieser Beschreibung auf eine Serverplattform106 bezogen, aber es sollte beachtet werden, dass die vorliegende Erfindung nicht auf irgendeine bestimmte Serverarchitektur beschränkt ist. Die Serverplattform106 kann ohne Ein schränkung UNIX oder Windows NT Server umfassen. Die autoritative Datenbank104 enthält Information über Mitglieder der Gruppe oder des Unternehmens, für welche(s) erfindungsgemäße PKI-Dienstleistungen geleistet werden. Die vorliegende Erfindung ist nicht durch die Struktur der Gruppe oder des Unternehmens, für welche(s) Information in der autoritativen Datenbank104 gespeichert wird, beschränkt. Die Information der autoritativen Datenbank104 umfasst ohne Einschränkung den Namen, die Adresse, die Telefonnummern, den Namen des Managers, die Identifizierung der Angestellten usw. der Mitglieder der Gruppe oder des Unternehmens. Das Datenverzeichnis108 weist die Struktur der Datenbank auf, ist aber eher für eine schnelles Nachschlagen von darin gespeicherter Information als für eine schnelle Dateneingabe optimiert. Die Daten im Datenverzeichnis108 werden nicht häufig geändert, aber müssen "schnell aufgerufen werden können und online so schnell wie ein Telefonbuch funktionieren", das Referenzinformation über die Mitglieder der Gruppe oder des Unternehmens enthält, die in der autoritativen Datenbank104 gespeichert ist. Die Zertifikatbehörde110 ist eine herkömmliche Standardsoftware, die auf der Serverplattform106 ausgeführt wird, welche eine Speicherung von Zertifikaten und zugehöriger Information bereitstellt, die mittels der vorliegenden Erfindung genutzt werden, wie nachfolgend genauer beschrieben. Die Registrierungsbehörde112 ist ebenfalls eine herkömmliche Standardsoftware, die auf der Serverplattform106 ausführbar ist, und zwar in Bezug auf eine Registrierung, die mittels der vorliegenden Erfindung wie nachfolgend genauer beschrieben ausgeführt wird. Die Schlüsselbehörde114 ist ebenfalls eine herkömmliche Standardserversoftware, welche auf der Serverplattform106 ausführbar ist, und zwar zum Wiederherstellen von Schlüsseln von Mitgliedern der Gruppe oder des Unternehmens, wie nachfolgend genauer beschrieben. Eine Windows 2000TM Domain CA116 kann Zertifikate verwenden, die mittels der vorliegenden Erfindung für eine Einzelanmeldung auf die Architektur aus1 bereitgestellt werden. Der Legacy-Server118 führt Legacy-Anwendungsprogramme120 aus. Der Legacy-Server kann ohne Einschränkung ein Mainframe, ein Minicomputer, eine Arbeitsstation oder ein anderer Server sein, der Legacy-Softwareanwendungen hostet, die dazu eingerichtet sind, auf erfindungsgemäßen PKI-Abläufen zu laufen. Die Legacy-Anwendungen120 sind auf der Client-Seite mittels eines kundenspezifischen Client128 , wie beispielsweise eines Emulators oder einer grafischen Nutzerschnittstelle ("Graphic User Interface"; GUI) einer kundenspezifischen Datenbank aufrufbar. Beispiele für Emulatoren sind Endgeräte-Emulatoren einer IBM 3270 oder Endgeräte-Emulatoren einer vt 100. Die Registrierungswebseite122 , welche eine oder mehrere Seiten sein kann, fungiert als die Nutzerschnittstelle zur Architektur100 aus1 . Ein Webserver124 ist eine Softwareanwendung, welche Webseiten, wie beispielsweise die Webseite122 , oder andere HTML-Ausgaben zu einem Webbrowserclient bedient, welcher ohne Einschränkung ein Apache- oder ein Microsoft-Internet Informations Server sein kann. Der Webbrowser126 befindet sich auf der Client-Plattform128 , welche jeglicher Nutzercomputer sein kann. Der Webbrowser126 ist eine Client-Softwareanwendung zum Browsen von Webseiten, wie beispielsweise, aber nicht ausschließlich HTML- oder XML-Protokollen oder anderen Protokollen. Der Webbrowser126 ist dazu programmiert, mit PKI-Zertifikaten, die von der Zertifikatbehörde110 ausgegeben werden, zu arbeiten. Beispiele für Webbrowser, welche diese Fähigkeit aufweisen, sind Netscape Navigator und der Microsoft Internet Explorer. Das Token130 ist eine Chipkarte, ein USB- oder ein anderes Hardwaretoken, das dazu fähig ist, PKI-Zertifikate zu speichern, zu erzeugen und zu verwenden. Ein Nutzer132 ist eine Person, welche die Architektur100 verwendet. Ein Nutzer132 durchläuft eine Anzahl von Zuständen, welche einen neuen Nutzer, einen aktuellen Nutzer und einen früheren Nutzer enthalten, der nicht mehr Mitglied der Gruppe oder des Unternehmens ist. Die Architektur100 ist mit Bezug auf zwei Sicherheitsebenen beschrieben, aber die Anzahl der Sicherheitsebenen stellt keine Beschränkung der vorliegenden Erfindung dar, wobei jede Ebene einer anderen Sicherheitsanforderung entspricht. Die Suchmaschine134 von Ebene 1 ist eine Suchmaschine, welcher es erlaubt ist, die Architektur100 zu durchsuchen, aber nur Zugriff auf Daten von Ebene 1 hat, welches die niedrigste Sicherheitsebene ist und ohne Beschränkung Daten umfassen kann, welche frei verfügbar sind. Daten von Ebene 2 können als proprietär angesehen werden. Die Suchmaschine136 auf Ebene 2 ist eine Suchmaschine, welcher es erlaubt ist, Daten sowohl von Ebene 1 als auch von Ebene 2 zu durchsuchen. Eine Suchmaschine nach Ebene N (nicht gezeigt) ist eine Suchmaschine, welcher es erlaubt ist, Daten von Servern, welche Daten von Ebene 1 bis N besitzen, zu durchsuchen. Ein Server mit gesicherten Ebenen mit Daten von Ebene 1 ist ein Webserver, der nur Daten von Ebene 1 enthält, welcher so gesichert ist, dass Nutzer nur auf Server von Ebene 1 Zugriff haben. Ein gesicherter Webserver mit Daten140 von Ebene 2 ist ein Webserver, der Daten von Ebene 2 enthält, welcher so gesichert worden ist, dass Nutzer einen Zugriff auf Ebene 2 haben müssen, wobei Nutzer mit Zugriff auf Ebene 2 auf Server sowohl von Ebene 1 als auch von Ebene 2 Zugriff haben. Ein gesicherter Webserver mit Daten von Ebene N (nicht gezeigt) ist ein Webserver, der Daten von Ebene N enthält, welcher von einem Nutzer mit Zugriff auf Ebene N oder Zugriff auf alle Datenebenen einschließlich Ebene N aufgerufen werden kann. VPN-Extranet142 ist eine Softwareanwendung, welche als ein Netzwerkgateway fungiert, welche, wie gezeigt, entweder auf einem Legacy-Server118 und mit einer Legacy-Anwendung120 oder mit einem externen Netzwerk, wie beispielsweise dem Internet, verbinden kann. Die persönliche Registrierungsbehörde144 ist eine Person, die für den Widerruf von Mitgliedern aus dem Netzwerk100 verantwortlich ist. Die persönliche Registrierungsbehörde146 ist eine Person, die für die Registrierung von Mitgliedern im Netzwerk100 verantwortlich ist. Die persönliche Wiederherstellungsbewilligung 1148 und der persönliche Wiederherstellungsbearbeiter 2149 sind Personen, die dafür verantwortlich sind, eine Wiederherstellung von Zertifikaten zu erlangen. Ein Wiederherstellungsbearbeiter150 ist eine Person, die eine Wiederherstellung von Zertifikaten durchführt und ein Zertifikat nur wiederherstellen kann, falls das Zertifikat zuerst durch eine weitere Person als wiederherstellbar gekennzeichnet worden ist. Eine persönliche Rollenbewilligung152 ist eine Person, die verschiedene Rollenfunktionen im Netzwerk100 bewilligt. Ein Webserveradministrator ist für die verschiedenen Webfunktionen im Netzwerk100 verantwortlich. - Wie oben beschrieben, ist das Token
130 ein Stück Hardware, auf welchem Zertifikate gespeichert werden können. Verschieden Arten von Token können verwendet werden, solange irgendeine Art von Speichervorrichtung enthalten ist. Die Speicherung kann magnetisch, wie beispielsweise auf einem Streifen, oder optisch, wie beispielsweise ein Strichcode, oder irgendeine andere Art von Speichersystem sein, welche leicht maschinenlesbar ist. Die Verwendung eines Tokens, um die Zertifikatinformation zu speichern, wird demgegenüber bevorzugt, dass der Nutzer sich eine Reihe von Nummern merken muss. Mittels Platzierens des Tokens in einem Lesegerät ist es möglich, die Identifikationsdaten noch schneller einzugeben als es mittels des Bedieners selbst möglich ist. Ferner vermeidet es die Notwendigkeit, sich Identifikationscodes zu merken. Da es möglich ist, dass ein Nutzer eine Anzahl verschiedener Zertifizierungen besitzen kann, ist es insbesondere nützlich, ein Token zu verwenden, um das Problem, sich viel merken zu müssen, zu vermeiden. Somit erzeugt die Verwendung solche eines Tokens in diesen Situationen eine höhere Genauigkeit, verhindert Erinnerungsverluste und ist sehr praktisch und präzise. Das Token kann eine Vorrichtung sein, welche leicht von der Person getragen werden kann, z. B. an einer Schlüsselkette oder im Geldbeutel, sodass der Nutzer zu jeder Zeit die Kontrolle darüber hat, ohne einen sicheren Platz finden zu müssen, wo er es einschließt. -
2 zeigt ein System nach dem Stand der Technik, welches zusammen mit Microsoft Windows 2000TM verwendet worden ist. Um ein digitales Signal für ein Microsoft-Netzwerk auszugeben, ist es nötig, dass die Zertifikate von einem Microsoft-Server ausgegeben werden. Diese Systeme verwenden einen Einzelanmeldemechanismus.2 zeigt eine Abwandlung von1 , bei der das System einen Windows 2000TM-Microsoft Registrierungsbehördenverantwortlichen ("registration authority officer"; MSRA) und einen lokalen Registrierungsbehördenverantwortlichen ("local registration authority officer"; LRAO) umfasst. Der Nutzer muss den LRAO kontaktieren und eine Identifikation vorlegen, damit das Zertifikat im Namen des Nutzers erzeugt werden kann. Der LRAO erzeugt das Zertifikat uns speichert es auf dem Token und gibt das Token dem Nutzer. Dies ist als Stufen 1 und 2 in2 gezeigt. - Während solch ein System erfolgreich arbeitet, solange der Nutzer nur eine Einzelzertifizierung besitzt, ist es oft nötig, dass der Nutzer mehrere Zertifikate besitzt. Vor Windows 2000TM verwendeten Vorrichtungen nach dem Stand der Technik eine Dialogbox, die nach einer PIN fragte. Falls eine Liste von Zertifikaten möglich war, wählte der Nutzer das unter diesen Umständen zu verwendende Zertifikat aus. Jedoch wird das bestimmte Unterprogramm unter Windows 2000TM nur das erste Zertifikat auf dem Token auswählen. Somit ist es, falls mehr als ein Zertifikat gespeichert ist, entscheidend, dass das erste Zertifikat das Windows 2000TM Einzelanmeldezertifikat ist. Während es möglich wäre, nur das Einzelanmeldezertifikat auf dem Hardware-Token zu haben und alle anderen Zertifikate auf einem separaten Token zu platzieren, ist dies keine bevorzugte Anordnung. Somit ist es, falls mehr als das Einzelanmeldezertifikat auf dem Hardware-Token gespeichert ist, notwendig, dass das Einzelanmeldezertifikat immer das erste in der Liste ist.
-
3 zeigt ein Modulkonfigurationsdiagramm, welches eine Abwandlung des in1 gezeigten ist, welches es ermöglicht, dass mehrere Zertifikate auf einem Hardware-Token gespeichert werden und trotzdem für eine Windows 2000TM Domäne geeignet sind. In diesem System wird auch ein Windows 2000TM MSRA verwendet sowie ein aktives Windows 2000TM Datenverzeichnis. Die Schritte dieses Verfahrens sind auch in4 beschrieben. In Schritt101 beginnt der Nutzer über seinen Webbrowser eine Ablauf eines Erlangens eines neuen Zertifikats, indem er zu einer Registrierungswebseite geht. Indem er zu einer Webseite geht, ist es möglich, die Notwendigkeit eines lokalen Behördenverantwortlichen zu umgehen. Stattdessen wird eine Identifikation direkt über die Webseite erlangt. Die Zertifizierung wird mittels der Windows 2000TM Domäne CA116 erzeugt und in Schritt102A über die Registrierungswebseite dem Nutzer zurückgegeben. Alternativ kann das Zertifikat dem MSRA zurückgegeben werden, wenn das Token im MSRA anstatt der Client-Plattform installiert wird. - In Schritt
103 liefert der Webbrowser das unterschriebene Zertifikat zum Softwaretreiber für das Hardware-Token. In Schritt104 analysiert der Softwaretreiber das Zertifikat, um zu bestimmen, ob das Zertifikat mittels der Microsoft Domäne CA un terschrieben worden ist. Dies ist möglich, da das Microsoft Einzelanmeldezertifikat eine proprietäre Microsoft-Erweiterung besitzt, welche identifiziert, dass das Zertifikat und der Schlüssel für den Zweck der Einzelanmeldung verwendet werden können. Als ein Ergebnis ist es leicht, zu bestimmen, ob das Zertifikat in diese Kategorie fällt. Falls es nicht ein solches Zertifikat ist, wird es an das Ende der Liste hinzugefügt und wird somit Zertifizierung Nummer N. Falls jedoch, wie in Schritt105 angegeben, das Zertifikat mittels der Microsoft Domäne CA unterschrieben worden ist, bewegt der Softwaretreiber das ursprüngliche Zertifikat Nr. 1 an das Ende der Liste und setzt das neue Zertifikat am Anfang der Liste ein. Mittels Verwenden dieser einfachen Anordnung ist es möglich, das Microsoft Einzelanmeldezertifikat immer als erstes in der Liste zu haben. - Somit wird, wie in Schritt
106 gesehen, falls der Nutzer sich dann auf einer Windows 2000TM Domäne einloggt, das Einzelanmeldezertifikat das erste Zertifikat auf dem Token sein, sodass die Client-Plattform das korrekte Zertifikat erhalten und dem Domänencontroller die korrekten Berechtigungsnachweise vorlegen wird. Wie in Schritt107 gesehen, wird es, wenn der Nutzer versucht, auf einen Webserver zuzugreifen, nötig sein, dass die Client-Plattform ein anderes Zertifikat vorlegt. Da der Webbrowser anstelle des Betriebssystems ein Zertifikat vom Token erhält und da der Webbrowser dazu fähig ist, nicht nur das erste, sondern alle Zertifikate auf dem Token anzusehen, ist der Nutzer dazu fähig, jegliches Zertifikat für den Zugriff zum Webserver auszuwählen. - Es ist auch möglich, dass andere Varianten dieses Verfahrens verwendet werden können, um zu garantieren, dass das Einzelanmeldezertifikat zu oberst in der Liste platziert wird. Eine weitere Art, dies zu erreichen, ist, immer ein identifiziertes Einzelanmeldezertifikat zum Anfang der Liste und alle anderen Zertifikat zum Ende der Liste hinzuzufügen.
- Ein weiteres Verfahren, dies zu erreichen, ist, eine dynamische Suche auf die Anforderung nach einem Zertifikat durchzuführen, sodass ein Microsoft System dieses Zertifikat immer als erstes auf der Liste sieht, während andere Systeme auf eine Anforderung hin die gesamte Liste sehen.
- Zahlreiche zusätzliche Modifikationen und Varianten der vorliegenden Erfindung sind vor dem Hintergrund der obigen Lehren möglich. Es ist daher zu beachten, dass die Erfindung im Umfang der beiliegenden Ansprüche anderweitig und wie hierein insbesondere beschrieben angewandt werden kann.
Claims (10)
- Verfahren zum Anordnen einer Vielzahl von digitalen Zertifikaten auf einem Hardware-Token (
130 ), gekennzeichnet durch die folgenden Schritte: Untersuchen einer Erweiterung jeder Zertifikatsidentifikation; Erkennen, ob eine Erweiterung mit einer bestimmten ausgewählten Erweiterung übereinstimmt; Anordnen einer Vielzahl von Zertifikaten so, dass ein Zertifikat mit einer Erweiterung, welche mit der ausgewählten Erweiterung übereinstimmt, an einem bestimmten Ort in einer Liste der Vielzahl von Zertifikaten platziert wird. - Verfahren nach Anspruch 1, bei dem der bestimmte Ort der erste in der Liste ist.
- Verfahren nach Anspruch 1, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
- Verfahren nach Anspruch 1, bei dem der Hardware-Token eine Chipkarte ist.
- System zum Anordnen digitaler Zertifikate auf einem Hardware-Token (
130 ), aufweisend: einen Datenspeicherbereich auf dem Hardware-Token (130 ); gekennzeichnet durch ein Lesegerät zum Untersuchen einer Erweiterung auf einem digitalen Zertifikat; einen Komparator zum Vergleichen der gelesenen Erweiterung mit einer ausgewählten Erweiterung; und eine Anordnungseinheit zum Platzieren eines Zertifikats an einem bestimmten Ort auf dem Token gemäß der Ausgabe des Komparators. - System nach Anspruch 5, bei dem das digitale Zertifikat, das eine Erweiterung aufweist, welche mit der ausgewählten Erweiterung übereinstimmt, zuoberst in der Liste von Zertifikaten platziert wird.
- System nach Anspruch 5, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
- Artikel, aufweisend ein Speichermedium mit darin gespeicherten Anweisungen, wobei die Anweisungen dann, wenn sie ausgeführt werden, bewirken, dass eine Verarbeitungsvorrichtung ausführt: Untersuchen einer Erweiterung auf einem digitalen Zertifikat; Vergleichen der untersuchten Erweiterung mit einer ausgewählten Erweiterung; und Anordnen des Zertifikats an einem bestimmten Ort auf dem Artikel gemäß den Ergebnissen des Vergleichens.
- Artikel nach Anspruch 8, bei dem das digitale Zertifikat, das eine Erweiterung aufweist, welche mit der ausgewählten Erweiterung übereinstimmt, zuoberst in einer Liste von Zertifikaten platziert wird.
- Artikel nach Anspruch 8, bei dem die ausgewählte Erweiterung ein einzelnes Anmeldezertifikat angibt.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US823312 | 1992-01-21 | ||
US21052300P | 2000-06-09 | 2000-06-09 | |
US210523P | 2000-06-09 | ||
US09/823,312 US6993521B2 (en) | 2000-06-09 | 2001-03-30 | System and method for arranging digital certificates on a hardware token |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60130832D1 DE60130832D1 (de) | 2007-11-22 |
DE60130832T2 true DE60130832T2 (de) | 2008-07-17 |
Family
ID=26905256
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60130832T Expired - Lifetime DE60130832T2 (de) | 2000-06-09 | 2001-05-25 | Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token |
Country Status (4)
Country | Link |
---|---|
US (1) | US6993521B2 (de) |
EP (1) | EP1162778B1 (de) |
JP (1) | JP3704681B2 (de) |
DE (1) | DE60130832T2 (de) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030115455A1 (en) * | 2001-12-19 | 2003-06-19 | Aull Kenneth W. | Method and apparatus for centralized processing of hardware tokens for PKI solutions |
US7283268B2 (en) * | 2002-07-11 | 2007-10-16 | Paxar Corporation | Printer with interpreter |
US7188109B1 (en) * | 2002-07-30 | 2007-03-06 | Unisys Corporation | Cool ICE utilization of digital certificates |
WO2007092651A2 (en) * | 2006-01-04 | 2007-08-16 | Nytor, Inc. | Trusted host platform |
KR101467174B1 (ko) | 2007-08-16 | 2014-12-01 | 삼성전자주식회사 | 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치 |
US20150254676A9 (en) * | 2009-02-03 | 2015-09-10 | Penny Hendrix | Web-based electronic controlled substance transfer management system and method |
US9774630B1 (en) | 2009-09-28 | 2017-09-26 | Rockwell Collins, Inc. | Administration of multiple network system with a single trust module |
MX2012011105A (es) * | 2010-04-01 | 2012-11-29 | Nokia Siemens Networks Oy | Autoridad de certificado. |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
US9246888B2 (en) * | 2014-05-25 | 2016-01-26 | Abdulrahman Al Jabri | Systems and methods for secure communication over an unsecured communication channel |
US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
US10122703B2 (en) | 2014-09-30 | 2018-11-06 | Citrix Systems, Inc. | Federated full domain logon |
US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5721781A (en) * | 1995-09-13 | 1998-02-24 | Microsoft Corporation | Authentication system and method for smart card transactions |
JPH09138643A (ja) * | 1995-11-15 | 1997-05-27 | Fujitsu Ltd | データ秘匿及びデータ署名用鍵蓄積システムおよび鍵蓄積機能を備えたセキュリティ・モジュール |
JP3505058B2 (ja) * | 1997-03-28 | 2004-03-08 | 株式会社日立製作所 | ネットワークシステムのセキュリティ管理方法 |
US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
US6308266B1 (en) * | 1998-03-04 | 2001-10-23 | Microsoft Corporation | System and method for enabling different grades of cryptography strength in a product |
US6463537B1 (en) * | 1999-01-04 | 2002-10-08 | Codex Technologies, Inc. | Modified computer motherboard security and identification system |
US6223291B1 (en) * | 1999-03-26 | 2001-04-24 | Motorola, Inc. | Secure wireless electronic-commerce system with digital product certificates and digital license certificates |
US6505193B1 (en) * | 1999-12-01 | 2003-01-07 | Iridian Technologies, Inc. | System and method of fast biometric database searching using digital certificates |
-
2001
- 2001-03-30 US US09/823,312 patent/US6993521B2/en not_active Expired - Lifetime
- 2001-05-25 EP EP01112743A patent/EP1162778B1/de not_active Expired - Lifetime
- 2001-05-25 DE DE60130832T patent/DE60130832T2/de not_active Expired - Lifetime
- 2001-06-11 JP JP2001175372A patent/JP3704681B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US20020143707A1 (en) | 2002-10-03 |
US6993521B2 (en) | 2006-01-31 |
JP3704681B2 (ja) | 2005-10-12 |
JP2002140308A (ja) | 2002-05-17 |
EP1162778A2 (de) | 2001-12-12 |
DE60130832D1 (de) | 2007-11-22 |
EP1162778A3 (de) | 2004-11-24 |
EP1162778B1 (de) | 2007-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60121517T2 (de) | Verfahren zur Erzeugung eines Anmeldungszertifikats aus einem fremden PKI-System unter Verwendung eines bestehenden starken PKI-Authentifizierungssystems | |
DE60211841T2 (de) | Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE60119834T2 (de) | Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel | |
DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
DE60031755T2 (de) | Verfahren und Vorrichtung für authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung | |
DE112005003281B4 (de) | Elektronisches Signatursicherheitssystem | |
DE60132733T2 (de) | Vorrichtung und Verfahren zum Querauthentifizieren eines Verzeichnisses in einer Infrastruktur mit öffentlichen Schlüsseln | |
DE10328328B4 (de) | Produktschutz-Portal und Verfahren zur Echtheitsprüfung von Produkten | |
DE60130832T2 (de) | Verfahren und Vorrichtung zur Anordnung von digitalen Zertifikaten auf einem Hardware-Token | |
DE102011089580B3 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
EP1105998B1 (de) | Verfahren und anordnung zur bildung eines geheimen kommunikationsschlüssels zu einem zuvor ermittelten asymmetrischen kryptographischen schlüsselpaar | |
EP1943605A1 (de) | Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung | |
DE10233297A1 (de) | Vorrichtung zur digitalen Signatur eines elektronischen Dokuments | |
EP3764614A1 (de) | Verteiltes authentifizierungssystem | |
DE60122349T2 (de) | Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk | |
EP1785900A1 (de) | Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung | |
DE102019101195A1 (de) | Verfahren zum sicheren Übermitteln einer Datei | |
DE10020562C1 (de) | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers | |
DE10242673B4 (de) | Verfahren zur Identifikation eines Benutzers | |
EP3358488B1 (de) | Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token | |
DE19841886A1 (de) | Verfahren und Vorrichtung zur Erzeugung von Paßwörtern | |
DE19923807A1 (de) | Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften | |
DE60205176T2 (de) | Vorrichtung und Verfahren zur Benutzerauthentisierung | |
DE10112166A1 (de) | Verfahren zum Transaktionsnachweis | |
DE69935980T2 (de) | Eine Technik zur Erstellung Privat authentifizierbarer kryptografischer Unterschriften und zur Verwendung einer solchen Unterschrift in Verbindung mit der Kopie eines Produktes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1162778 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1162778 Country of ref document: EP Owner name: NORTHROP GRUMMAN SYSTEMS CORPORATION, US Free format text: FORMER OWNER: NORTHROP GRUMMAN CORP., LOS ANGELES, US Effective date: 20120814 |
|
R082 | Change of representative |
Ref document number: 1162778 Country of ref document: EP Representative=s name: WUESTHOFF & WUESTHOFF PATENT- UND RECHTSANWAEL, DE Effective date: 20120814 |