-
Die
vorliegende Erfindung betrifft allgemein die automatisierte Verarbeitung
persönlicher
Daten und ganz besonders den Schutz in einer Benutzer-Terminalstation
durch einen Server, insbesondere Websiteserver, gelesener persönlicher
Daten.
-
Zur
Befriedigung der immer stärkeren
Nachfrage der Verbraucher nach dem Schutz ihrer persönlichen
Daten, insbesondere der Identität
und der Adresse, in den Beziehungen zwischen ihren Terminalstationen
und den Servern sind von den Benutzern verwaltete private Politiken
in den Terminalstationen vorgesehen.
-
Nach
der Herstellung einer Kommunikation zwischen einem Server und einer
derartigen Terminalstation kommuniziert der Server insbesondere
der Terminalstation die unterschiedlichen Nutzungen der persönlichen
Daten des Benutzers der Terminalstation angebende Serverpolitikdaten,
die der Verwalter des Servers in der Terminalstation entnehmen möchte, insbesondere
zur Weitergabe dieser persönlichen Daten auf
andere Sites oder Wirtschaftsakteure. Zur Filterung dieser Nutzungen
vergleicht die Terminalstation die empfangenen Serverpolitikdaten
mit den in der Terminalstation vorgespeicherten privaten Politikdaten,
so dass vom Server verlangte persönliche Daten nur übertragen
werden, wenn die Politiken kompatibel sind.
-
Die
Politik des Servers ist jedoch nur eine Erklärung, und der Verwalter des
Servers ist später nicht
in der Lage, bei einem Audit oder der Wahrnehmung des Widerspruchsrechts
durch den Benutzer, nachzuweisen, dass der Benutzer den Verwalter
des Servers zur Weitergabe bestimmter Daten ermächtigt hat.
-
Aufgabe
der Erfindung ist es, diesen Nachteil zu beheben, damit der Verwalter
des Servers später jede
Leseermächtigung
persönlicher
Daten in der Terminalstation sowie jede Zustimmung des Benutzers
der Terminalstation zur Weitergabe der vorbestimmten persönlichen
Daten nachweisen kann.
-
Die
folgenden Patentschriften gelten als der am nächsten liegende Stand der Technik:
- – WO0150400A
legt ein auf den Schutz der in einer Terminalstation durch einen
Mitgliedsserver gelesenen persönlichen
Daten abzielendes Verfahren offen. Dieses Verfahren umfasst die Übertragung
von Serverpolitikdaten von einem Zentralserver auf die Station,
die Genehmigung oder die Verweigerung dieser Serverpolitikdaten
durch den Benutzer der Station und die Übertragung von (einen Bezug
zu den Serverpolitikdaten enthaltenen) Genehmigungs- oder Verweigerungsdaten
von der Station zum Zentralserver.
Diese Genehmigungs- oder
Verweigerungsdaten werden anschließend vom Zentralserver unterzeichnet,
dann an den Mitgliedsserver geschickt. Dieser kann somit im Falle
der Genehmigung auf die persönlichen
Daten der Terminalstation zugreifen.
- – US-B1-6192380
legt ein das automatische Ausfüllen
der Felder eines von einem Server an eine Station geschickten elektronischen
Formulars zulassendes Verfahren offen. Dieses Verfahren umfasst
eine Überprüfungsstufe
der vom elektronischen Formular verlangten Felder, in deren Verlauf
diese Felder mit Weitergaberegeln in der Station vorgespeicherter
persönlicher
Daten verglichen werden.
-
Zwecks
Abhilfe des oben beschriebenen Nachteils ist ein Schutzverfahren
für in
einer Benutzer-Terminalstation
durch einen Server gelesene persönliche
Daten mit einer Datenübertragung
einer Serverpolitik ab dem Server auf die Station und einem Vergleich
der Serverpolitikdaten mit in der Station vorgespeicherten privaten
Politikdaten durch eine Bestimmung einer Unterschrift der in der
Station empfangenen Serverpolitikdaten und einer Übertragung
der Unterschrift mit den in der Station gelesenen persönlichen
Daten von der Station auf den Server gekennzeichnet, wenn die Serverpolitikdaten
mit den privaten Politikdaten kompatibel sind.
-
Dank
der auf den Server übertragenen
Unterschrift, die durch diesen gespeichert wird, ist der Verwalter
des Servers in der Lage, über
die in der Terminalstation vorgespeicherte private Politik zu bescheinigen,
dass der Benutzer das Lesen vorgespeicherter Daten in Abhängigkeit
von der Serverpolitik genehmigt hat.
-
Wenn
mehrere Politiken vorgeschlagen werden oder verhandelt worden sind
oder wenn die Serverpolitik später
abgeändert
wurde, wird der Verwalter des Servers darüber hinaus in der Lage sein
zu beweisen, dass diese Politiken durch den Benutzer im Verlauf
der aufeinander folgenden Sitzungen akzeptiert worden sind.
-
Zur
weiteren Verhinderung einer Einwendbarkeit des Benutzers der Terminalstation
hinsichtlich der Daten der Sicherheitspolitik kann das Verfahren darüber hinaus
eine Übertragung
einer Unterschrift der Serverpolitikdaten mit den Serverpolitikdaten
ab dem Server zur Terminalstation und eine Speicherung dieser Unterschrift
durch die Terminalstation, bevorzugt mit den vom Server übertragenen
Tageszeitgebungsdaten umfassen. Diese zweite Unterschrift wird dann
als Beweis dafür
dienen, dass der Benutzer eine bestimmte Serverpolitik an einem
bestimmten entfernten Punkt empfangen hat.
-
Zwecks
Ermöglichung
einer Portabilität
der privaten Politikdaten und insbesondere der persönlichen,
meistens namentlichen Daten umfasst die Terminalstation eine Zentraleinheit
und eine mit der Zentraleinheit in Verbindung stehende Chipkarte,
die die genannten privaten Politikdaten und persönlichen Daten vorgespeichert
hat. Die Chipkarte umfasst bevorzugt einen Algorithmus zur Unterzeichnung
der empfangenen Serverpolitikdaten.
-
Weitere
Merkmale und Vorteile der vorliegenden Erfindung werden bei der
Lektüre
der nachstehenden Beschreibung mehrerer bevorzugter Ausführungsarten
der Erfindung unter Bezugnahme auf die entsprechenden beigefügten Zeichnungen
deutlicher, in denen:
-
1 ein
schematisches Blockdiagramm eines Telekommunikationssystems mit
Server und Terminalstation für
die Umsetzung des erfindungsgemäßen Schutzverfahrens
für persönliche Daten
ist;
-
2 ein
Algorithmus des in der Terminalstation implementierten Schutzverfahrens
für persönliche Daten
ist; und
-
die 3 und 4 funktionale
schematische Blockdiagramme jeweils von zwei Varianten einer zweiten
Realisierung der mit einem Lesegerät für eine zusätzliche Chipkarte ausgerüsteten Terminalstation
sind.
-
In 1 sind
schematisch ein eine Site WEB und eine insbesondere über ein
das Internet einschließendes
Telekommunikationsnetz durch Pakete RE verbundene Benutzer-Terminalstation
ST bildender Server SE dargestellt.
-
Gemäß einer
ersten Realisierung ist die Terminalstation ST ein Personalcomputer
PC, der in 1 durch seine Zentraleinheit
UC schematisch dargestellt wird, wobei seine Peripheriegeräte, wie zum
Beispiel die Tastatur, der Bildschirm, der Drucker, das Modem, usw.
nicht dargestellt sind.
-
Als
Variante ruht die Terminalstation ST auf einer Plattform, die einen
persönlichen
digitalen Assistenten (PDA) und/oder ein mobiles Funktelefon-Terminal umfassen
kann; bei dieser letzte Variante umfasst das Netz RE das zellulare
Funktelefonnetz, an das das Mobilterminal angeschlossen ist.
-
Wie
schematisch in 1 dargestellt, umfasst die Zentraleinheit
UC der Terminalstation ST insbesondere im Zusammenhang mit der Erfindung einen
Speicher ME, wie zum Beispiel eine Festplatte, der eine private
Politik definierende Daten PP sowie persönliche Daten DP vorgespeichert
hat, und einen im Verhältnis
zum Webserver SE die Clientrolle spielenden und die graphische Schnittstelle
mit dem Benutzer der Terminalstation und Links zum Zugang zu Dokumenten,
insbesondere von durch den Server übertragenen Formularen spielenden
Navigator BR („Browser").
-
Die
persönlichen
Daten DP des Benutzers der Station ST sind insbesondere namentlich
und können
wenigstens eine der folgenden Angaben umfassen: die durch seinen
Familiennamen, wenigsten einen seiner Vornamen und eventuell sein
Geburtsdatum gebildete Identität
des Benutzers; die Lokalisierung der Terminalstation, die automatisch
bestimmt werden kann, insbesondere wenn die Terminalstation ein
mobiles Funktelefonterminal ist; eine Adresse für elektronische Post (E-Mail);
die Wohnadresse und/oder Büroadresse
des Benutzers; eine Telefonnummer; eine Liste der letzten besuchten Websites,
usw. Jede der in der Zentraleinheit UC gespeicherten persönlichen
Angaben DP wird durch einen Identifikator IDP bezeichnet, damit die
persönlichen
Daten unter dem Befehl des Servers SE gelesen werden können, wie
wir später
sehen werden.
-
Die
privaten Politikdaten PP definieren eine Verwaltung der persönlichen
Daten DP des Benutzers der Terminalstation ST relativ zu seinen
Beziehungen mit der Außenwelt
der Zentraleinheit und insbesondere mit jedem Webserver SE. Die
privaten Politikdaten PP umfassen insbesondere eine oder mehrere
Nutzungen UDP jeder persönlichen
Angabe DP, die der Benutzer wünscht.
Umgekehrt kann eine Nutzungsangabe persönlicher Daten UDP ebenfalls mehreren
persönlichen
Daten DP zugeordnet werden. Die Daten DP und UDP entsprechen bevorzugt dem
Standardformat P3P (Plateform for Privacy Protection), ebenso wie
Politikdaten PS, die vom Server SE produziert und auf den Navigator
BR in der Station ST übertragen
werden. Alle Dokumente und Daten im Format P3P werden in der Sprache
XML (eXtended Markup Language) oder als Variante in der die Sprache
XML an die Anzeigenorm WAP (Wireless Access Protocol) anpassende
Sprache WML geschrieben, wenn die Terminalstation ein mobiles Funktelefonterminal
ist.
-
Die
Daten UP stellen die vom Benutzer der Terminalstation derart ausgearbeiteten
privaten Regeln dar, dass das Lesen bestimmter persönlicher Daten
DP im Speicher ME durch den Server SE zugelassen wird. Die privaten
Regeln werden durch den Benutzer im Navigator BR programmiert und
können insbesondere
von Folgenden abhängen:
- – von
der späteren
Nutzung durch den Verwalter des Servers SE der durch die Terminalstation
ST dem Server SE zum Beispiel für
automatisierte Verarbeitungen mit dem Zweck des Direktmarketing,
Statistiken, des Wiederverkaufs, usw. kommunizierten persönlichen
Daten DP;
- – von
der Lokalisierung der Terminalstation, die an der Wohnadresse oder
im Büro
des Benutzers sein kann, oder die an einer Telekonferenz teilnehmen
kann; zum Beispiel akzeptiert der Benutzer, Werbeangebote nur zu
empfangen, wenn die Terminalstation an seiner Wohnadresse ist;
- – von
den Kosten der vom Server SE angebotenen Leistungen; zum Beispiel
verweigert der Benutzer die Weitergabe bestimmter persönlicher Daten
DP, wenn die Leistungen einen vorbestimmten Betrag übersteigen
oder der Server verweigert umgekehrt das Anbieten bestimmter Leistungen,
wenn der Benutzer beschließt,
diese in bar zu begleichen;
- – von
temporären
Daten; zum Beispiel akzeptiert der Benutzer den Erhalt von E-Mails
nur während der
Bürozeiten;
- – von
vorgespeicherten Websiteadressen URL (Universal Resource Locator);
die Station ST verweigert jede Weitergabe persönlicher Daten an einen Server,
wenn die Adresse desselben nicht in der Site-Adressliste enthalten ist;
- – von
der Bestimmung der zu kommunizierenden persönlichen Daten; zum Beispiel
verweigert der Benutzer die Kommunikation von persönlichen Daten,
wenn der Server SE diese an vorbestimmte natürliche oder juristische Personen
oder in Länder
weitergeben möchte, deren
Staaten im Bereich Informatik, Dateien und Freiheit und insbesondere über den
Datenschutz keinerlei Gesetzgebung haben.
-
Zur
Erhebung bestimmter persönlicher
Daten DP des Speichers ME in der Terminalstation ST enthält der Server
SE Serverpolitikdaten PS, die vom Navigator BR erkannt werden können und
die damit ebenfalls gemäß dem Standard
P3P in der Sprache XML ausgedrückt
werden. Im Allgemeinen weisen die vom Server SE auf die Terminalstation
ST übertragenen
Politikdaten PS die Form eines Formulars auf, das zu den Nutzungsdaten
UDP analoge Fragen und Kommentare QC enthält und dessen Antworten durch
Identifikatoren IDP identifizierte persönlichen Daten DP entsprechen.
Somit enthält
eine vom Server SE übertragene
Meldung ein eine Serverpolitik PS definierendes Formular mit den
Daten QC und den entsprechenden Identifikatoren IDP.
-
Unter
Bezugnahme auf 2 umfasst das erfindungsgemäße Schutzverfahren
für persönliche Daten
nunmehr im Wesentlichen die Stufen E1 bis E7. Diese Hauptstufen
folgen auf eine Anfangsstufe E0, in deren Verlauf herkömmlicherweise
eine Verbindung zwischen der Terminalstation ST und dem Server SE
nach Auswahl der Adresse URL des Servers SE durch den Benutzer hergestellt
wird, um eine durch eine Schutzsitzung persönlicher Daten beginnende Zugangssitzung
zum Server zu eröffnen.
Der Algorithmus der Stufen E1 bis E8 ist im Wesentlichen in der
Zentraleinheit UC der Terminalstation ST implantiert, zum Beispiel
in Form eines herunterladbaren und durch den Navigator BR ausgeführten Applets
in der Sprache JAVA.
-
In
der Stufe E1 empfängt
die Station ST Serverpolitikdaten PS insbesondere mit Identifikatoren persönlicher
Daten IDP und Daten QC der Serverpolitik PS, zum Beispiel in Form
eines Formulars P3P in der Sprache XML. Dann vergleicht der Navigator
BR in der Stufe E2 die die Serverpolitik PS definierenden empfangenen
Daten QC, IDP mit den Daten UDP der privaten Politik PP, die im
Speicher ME gelesen werden. Die Überprüfung der
Buchhaltung der Serverpolitik mit der privaten Politik läuft deutlich
auf die Kontrolle hinaus, dass für
jede vom Server SE kommunizierte persönliche Datenkennziffer IDP
die entsprechenden empfangenen Daten QC zur privaten Politik PP
gehören
oder in einer äquivalenten
Form in der privaten Politik PP ausgedrückt werden, die vom Benutzer
definiert und im Speicher ME in der Terminalstation vorgespeichert
wird. Wenn die empfangenen Serverpolitikdaten mit den vorgespeicherten
privaten Politikdaten kompatibel sind, lässt der Navigator BR das Lesen
der von den jeweils in der Stufe E4 empfangenen Identifikatoren
IDP adressierten persönlichen
Daten DP im Speicher ME zu.
-
Wenn
jedoch zwischen der Serverpolitik PS und der privaten Politik PP
eine Inkompatibilität
besteht, das heißt,
wenn die Antwort auf wenigstens eine der empfangenen Daten QC mit
den einem empfangenen Identifikator IDP entsprechenden privaten
Politikdaten UDP inkompatibel ist, schlägt der Server SE in einer Stufe
E3 im Anschluss an eine durch die Terminalstation übertragene
temporäre
Ablehnung eine Verhandlung vor.
-
Wenn
der Server SE zum Beispiel in den Daten QC angegeben hat, dass er
die E-Mail-Adresse der Station ST zu Direktmarketingzwecken haben möchte, obwohl
der Benutzer eine derartige Weiterleitung verweigert, tritt der
Server mit dem Benutzer in einen Dialog, um einen Kompromiss zu
finden. Wenn der Benutzer im Server Merkmalen eines guten Kunden
zugeordnet ist, der einen höheren
Umsatz erzielt hat als ein für
Einkäufe
direkt auf der Site des Servers SE vorbestimmter Grenzwert, akzeptiert der
Server SE die Weiterführung
der Sitzung, ohne dass die Terminalstation die E-Mail-Adresse weitergibt.
Bei jedem neuen Kunden jedoch verweigert der Server die Fortführung der
Sitzung, wenn die E-Mail-Adresse
dieses neuen Kunden nicht kommuniziert wird, und der Algorithmus
geht dann von der Stufe E3 in eine Stufe E31 über, um die Sitzung zu beenden.
-
Wenn
eine Verhandlung in der Stufe E3 in Betracht gezogen wird, zeigt
der Navigator BR als Variante ein Fenster am Bildschirm der Terminalstation
ST an, um den Benutzer zu fragen, ob er auf das oder die Kommunikationsverbot(e)
persönlicher
Daten verzichten möchte,
das die Verhandlung generiert hat. Somit entscheidet der Benutzer
in einer Stufe E32 durch Ausnahme automatisch das Lesen einer oder
mehrerer persönlicher
Daten DP zu erzwingen, deren Kommunikation an den Server unter der Serverpolitik
PS normalerweise verboten ist.
-
Nach
der Stufe E2 – im
Falle der Kompatibilität – oder nach
der Stufe E31 – im
Falle des erzwungenen Lesens – lässt der
Navigator BR das Lesen der jeweils den empfangenen Identifikatoren
IDP entsprechenden persönlichen
Daten DP in der Stufe E4 zu. Die empfangenen Serverpolitikdaten
PS werden bevorzugt in die Form eines in der Terminalstation ST angezeigten
und durch die gelesenen persönlichen Daten
DP automatisch ausgefüllten
Formulars konvertiert.
-
Dann
entscheidet der Navigator BR erfindungsgemäß in der Stufe E5 die Unterzeichnung
der empfangenen Serverpolitikdaten PS (QC, IDP) gemäß einem
vorbestimmten Algorithmus ALE, eventuell unter Einschluss eines
vorbestimmten Schlüssels, um
eine Serverpolitikdatenunterschrift SGST zu produzieren. Zum Beispiel
resultiert der Algorithmus ALE aus einem Zerhacken der empfangenen
Daten, deren Ergebnis ein Kondensat geringerer Größe als die
empfangenen Daten ist und anschließend durch einen asymmetrischen
Chiffrierungsalgorithmus, wie zum Beispiel den Chiffrierungsalgorithmus
RSA (Rivest Shamir Adleman) mit öffentlichem
und privatem Schlüssel
chiffriert wird.
-
Ausgabetageszeitgebungsdaten
DHE, wie zum Beispiel das laufende Datum und die laufende Uhrzeit,
werden den empfangenen Serverpolitikdaten hinzugefügt, damit
sie mit diesen in einer Unterschrift SGST = ALE [PS (QC, IDP) und
DHE] unterschrieben werden.
-
Anstatt
eines automatischen Übergangs
E41 vom Lesen persönlicher
Daten DP in der Stufe E4 zur Unterschrift in der Stufe E5, ist als
Variante eine Zwischenstufe E42 zwischen den Stufen E4 und E5 vorgesehen,
die mittels eines besonderen, die gelesenen Daten DP anzeigenden
Ansichtsfensters den Benutzer zur Validierung der Unterschrift der
gelesenen Daten DP und zur Übertragung
derselben für
die folgende Stufe E6 auffordert.
-
Nach
der Stufe E5 überträgt die Terminalstation
ST die Unterschrift der Serverpolitikdaten SGST und die im Speicher
ME in der Stufe E4 gelesenen persönlichen Daten DP. Der Speicher
ME der Station ST bewahrt bevorzugt die übertragenen Daten und insbesondere
die Unterschrift SGST und die Tageszeitgeberdaten DHE mit der Adresse
des Servers auf. Dann wird die Sitzung mit dem Server SE in der Stufe
E7 fortgeführt.
Der Server SE empfängt
somit die Unterschrift SGST, die er mit dem Datum und der Uhrzeit
des Empfangs derselben speichert, die wenigstens der Adresse der
Terminalstation ST entspricht, um ggf. später nachzuweisen, dass der
Benutzer die Kommunikation der zum von den Daten DHE in der Stufe
E4 angegebenen Zeitpunkt gelesenen und auf die Stufe E6 übertragenen
persönlichen Daten
DP genehmigt hat. Wenn der Benutzer die Unterschrift SGST und die übertragenen
Daten im Speicher ME aufbewahrt hat, werden sie mit den vom Server
empfangenen Daten verglichen, was jeglichem Widerspruch ein Ende
setzen dürfte.
-
Zur
weiteren Verbesserung des später
zu erbringenden Nachweises einer Kommunikation persönlicher
Daten werden die Serverpolitikdaten PS (QC, IDP) zuvor in einer
Unterschrift SGSE durch den Server SE unterzeichnet und durch diesen
mit den laufenden Tageszeitgebungsdaten aufbewahrt. Die Unterschrift
SGSE wird mit den Politikdaten PS durch den Server SE übertragen
und wird ebenfalls durch die Terminalstation ST in der Stufe E1
empfangen. Die Unterschrift SGSE und die Tageszeitgebungsdaten DHR
hinsichtlich des Empfangs der Unterschrift werden in den Speicher
ME der Station ST eingeschrieben. Die Unterschrift SGSE bietet ein
zusätzliches
Präsumptionsmittel,
dass der Benutzer die Serverpolitikdaten PS erhalten hat. Der im
Server zum Unterzeichnen der Daten PS implantierte Algorithmus ALR
unterscheidet sich vom Algorithmus ALE.
-
Gemäß anderen,
in den 3 und 4 gezeigten Figuren, umfasst
die Terminalstation ST1, ST2 eine Zentraleinheit UC1, UC2, die mit
einem Lesegerät
für eine
ebenfalls als Karte mit Mikrocontroller oder Karte mit integriertem
Schaltkreis bezeichnete zusätzliche
Chipkarte CP1, CP2 ausgerüstet
ist. Die Zentraleinheit UC1, UC2 kann u. a. ein mobiles Funktelefonterminal
sein, in dem die Benutzeridentitätskarte
SIM (Subscriber Identity Module) unterschiedlich von der zusätzlichen
Chipkarte CP1, CP2 ist. Die Verbindung zwischen der Chipkarte CP1, CP2
und der Zentraleinheit UC1, UC2 ist klassisch und kann eine Verbindung
mit elektrischem Kontakt oder eine so genannte Verbindung ohne Kontakt
oder eine funkelektrische Nahverbindung vom Typ Bluetooth sein,
die keinerlei physischen Kontakt zwischen der Zentraleinheit und
der Karte erfordert.
-
Gemäß der in 3 gezeigten
Realisierung steht die Chipkarte CP1 über ein als Schnittstelle dienendes
Softwaremodul (Plugin) IN in Verbindung mit dem Navigator BR1, damit
der Mikrocontroller in der Chipkarte CP1 auf die Informationen im
Navigator BR1 zugreift.
-
Gemäß der in 4 gezeigten
Realisierung kann der Navigator BR2 nicht direkt auf einen Dialog mit
dem Server SE über
das Netz RE zugreifen. Dann umfasst die Terminalstation ST2 ein
intermediäres
Proxy-Modul PR zwischen dem Navigator BR2, der Chipkarte CP2 und
dem Netz RE, damit der Proxy PR im Verhältnis zum Navigator BR2 die
Serverrolle und im Verhältnis
zum Server SE die Clientrolle spielt und die Daten, insbesondere
die persönlichen Daten
DP, in Chipkarte CP2 wiedergewinnen kann.
-
Für die beiden
in den 3 und 4 dargestellten Realisierungen
sind drei Varianten vorgesehen.
-
Bei
diesen drei Varianten führt
die Chipkarte CP1, CP2 bevorzugt den Vergleich der Serverpolitikdaten
PS mit den in der Station gemäß Stufe
E2 vorgespeicherten privaten Politikdaten PP selbst aus.
-
Gemäß einer
ersten Variante werden nur die privaten Politikdaten PP (UDP, DP)
in der Chipkarte CP1, CP2 anstelle des Speichers ME der Zentraleinheit
UC gespeichert. Der Navigator BR1, BR2 besitzt den Unterschriftsalgorithmus
ALE.
-
Gemäß einer
zweiten Variante speichert die Chipkarte CP1, CP2 und verwaltet
alle Daten zur privaten Politik PP. In dieser Variante hat der nicht
flüchtige
Speicher vom Typ EEPROM der Chipkarte die persönlichen Daten DP, die Nutzungsdaten
persönlicher
Daten UDP sowie den Unterschriftsalgorithmus ALE vorgespeichert,
um in der Karte CP1, CP2 selbst die Unterschrift SGSTS in Abhängigkeit
von den Serverpolitikdaten PS und den Tageszeitgebungsdaten DHR
zu bestimmen.
-
Die
private Politik und insbesondere die dem Benutzer eigenen in der
Chipkarte CP1, CP2 vorgespeicherten persönlichen Daten sind somit auf
jede beliebige, mit einem Lesegerät für zusätzliche Chipkarten ausgerüstete Plattform
portierbar, was die Sicherheit des Zugriffs auf die persönlichen
Daten des Benutzers erhöht.
-
Im
Verlauf einer Sitzung werden wenigstens die Unterschriften SGST
und SGSB und die entsprechenden Tageszeitgebungsdaten DHR und DHE
mit der Adresse des Servers SE ebenfalls in der Chipkarte gespeichert.
-
Gemäß einer
dritten Variante hat die Zentralstation UC1, UC2 der Terminalstation
ST1, ST2 die genannten privaten Politikdaten PP und die persönlichen
Daten DP vorgespeichert, und die Chipkarte CP1, CP2 enthält den Algorithmus
ALE, um die empfangenen Serverpolitikdaten PS und bevorzugt Tageszeitgebungsdaten
zu unterzeichnen.
-
Wie
ebenfalls in den 3 und 4 gezeigt,
umfasst die Zentraleinheit UC1, UC2 der Terminalstation ST1, ST2
ein Softwaremodul MD1, MD2 zur Abänderung der Daten UDP, IDP,
DP der privaten Politik PP durch den Benutzer.
-
Gemäß einer
weiteren Variante steht die Chipkarte in direkter Verbindung mit
dem Navigator.