-
Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft im Allgemeinen die Durchführung von
gesicherten Transaktionen in einem Kommunikationsnetz über Identitätsbescheinigungen,
wie ein in einer Infrastruktur mit öffentlichem Schlüssel (I.C.P.)
verwendetes Zertifikat. Insbesondere betrifft die vorliegende Erfindung
die Verwendung von Zertifikaten oder anderer Urkunden für Vorrichtungslose,
um die im Handel verwendeten Vorrichtungen über ein Kommunikationsnetz
zu authentifizieren und zu validieren.
-
Technologischer Hintergrund der Erfindung
-
Die
Patentschrift
FR 2 795 262 beschreibt ein
Verfahren, das die Zuweisung durch eine Zertifizierungsstelle eines
Zertifikats für
jede Vorrichtung, die bei gesicherten Transaktionen über ein
offenes Kommunikationsnetz verwendet werden soll, umfasst.
-
Ferner
beschreibt das Patent
US 5 745
571 ein Verfahren zum Betreiben eines gesicherten Netzes,
das die Durchführung
von gesicherten Transaktionen über
ein offenes Kommunikationsnetz über Vorrichtungen
wie intelligente Karten ermöglicht,
wobei dieses Verfahren die Zuweisung an eine Aufzeichnungsstelle
durch eine Zertifizierungsstelle eines einzigen Identitätszertifikats
zu einem Los oder einer Gruppe von Vorrichtungen/Karten umfasst,
die bei gesicherten Transaktionen über das offene Kommunikationsnetz
verwendet werden sollen.
-
Mit
der Ankunft des Internet ist die Anzahl von Online-Transaktionen
beträchtlich
angestiegen. Mit diesem Anstieg haben sich die Besorgnisse bezüglich der
Sicherheit der Transaktionen, der Authentifizierung der Transaktionsparteien,
der Nicht-Verstossung der Transaktion sowie der Authentifizierung und
der Validierung der bei solchen Transaktionen verwendeten Vorrichtungen
ebenfalls vermehrt. Um diesen Besorgnissen Rechnung zu tragen, wurde eine
Infrastruktur mit öffentlichem
Schlüssel
(I.C.P.) entwickelt, bei der digitale Zertifikate und ein Paar zugehörige chiffrierte
Schlüssel
von den Zertifizierungsstellen (A.C.) an Personen und Institutionen
ausgegeben werden, die am elektronischen Handel (e-commerce) über offene
Netze wie das Internet beteiligt sind. Diese Zertifikate sollen
die Identität
der beiden Transaktionsparteien authentifizieren, für die Nicht-Verstossung
der Transaktion sorgen und sind Schlüsselpaaren zugeordnet, mit
denen die Verschlüsselung
der über
das Internet durchgeführten Transaktionen
realisiert werden kann. Die Weiterentwicklung der Transaktionen
des Typs I.C.P. ist in den letzten Jahren beträchtlich fortgeschritten.
-
Die
erste Phase der I.C.P. verwendete Zertifikate bezüglich der
Identität
von Personen. Während dieser
ersten Phase wurde der Benutzer gebeten, ein Zertifikat anzufordern
und herunterzuladen, das dann in Verbindung mit seinem zugehörigen chiffrierten Schlüsselpaar
für authentifizierte,
gesicherte Transaktionen im Internet verwendet werden konnte. Jeder Benutzer
zahlte für
sein eigenes chiffriertes Schlüsselpaar
und sein eigenes Zertifikat. Diese erste Phase der I.C.P. lieferte
eine direkte persönliche
Identifikation der an Transaktionen im Internet beteiligten Personen.
Außerdem
sind die Kosten für
den Erhalt eines einzigen Zertifikats relativ gering.
-
Die
zweite Weiterentwicklungsphase der I.C.P. ermöglichte Institutionen, Zertifikate
für Personen
zu verlangen, über
die sie über
spezielle Auskünfte
verfügte.
Beispielsweise konnte eine Bank oder ein anderes ähnliches
Institut ein I.C.P.-Zertifikat für
einen ihrer Kunden oder eines ihrer Mitglieder verlangen. Dieses
Zertifikat war mit den Identifikations-Informationen der Person
verbunden, für
die das Zertifikat verlangt wurde, und die Identifikations-Informationen
wurden von dem anfragenden Institut geliefert. Ein Zertifikat und
ein chiffriertes Schlüsselpaar wurden
dann für
die Person an das das Zertifikat verlangende Institut geliefert,
und das Zertifikat wurde an einen Benutzer ausgegeben, eventuell
in Form eines Jetons. Beispiele von Jetons, die Informationen von
Zertifikaten speichern können,
umfassen die Chipkarten, die Chipschlüssel und andere Hardware-Typen,
die den Privatschlüssel
und das digitale Zertifikat (oder die Bezugnahme auf ein digitales
Zertifikat) speichern können.
Die ursprünglich
von dem anfragenden Institut gezahlten Kosten für das Zertifikat konnten zurück geholt
werden, wenn der Benutzer Dienste oder Vorrichtungen (beispielsweise
die Jetons, auf denen das Zertifikat und das chiffrierte Schlüsselpaar
registriert waren) des anfragenden Instituts bezahlte.
-
Demnach
war das Verfahren zum Erhalten eines Zertifikats in der zweiten
Weiterentwicklungsphase der I.C.P. für einen Benutzer transparent,
da dieser kein Zertifikat verlangen und/oder herunter laden musste.
Demzufolge war die zweite Weiterentwicklungsphase der I.C.P. einfacher
zu benutzen als die erste Phase und traf auf weniger Widerstand
vonseiten der Kunden.
-
Die
dritte Weiterentwicklungsphase der I.C.P. stellte eine fundamentale Änderung
dar hinsichtlich der Weise, auf die die digitalen Zertifikate ausgegeben
wurden. In den ersten beiden Phasen war ein digitales Zertifikat
mit der Identifikation einer spezifischen Person verbunden. In der
dritten Phase war das digitale Zertifikat jedoch mit einer Identifikationsnummer
einer Vorrichtung verbunden. In der dritten Weiterentwicklungsphase
der I.C.P. verlangt ein Hersteller von im Handel im Internet verwendeten Vorrichtungen
Zertifikate für
jede von ihm hergestellte Vorrichtung. Der Hersteller bewahrt dann
Aufzeichnungen bezüglich
jeder Vorrichtung und ihres Zustands auf, so dass man, wenn das
dieser Vorrichtung entsprechende Zertifikat verwendet wird, die Vorrichtung
authentifizieren kann, prüfen
kann, ob die Vorrichtung richtig funktioniert, und prüfen kann, ob
ihr Zertifikat widerrufen wurde. Die Vorrichtung kann über ihr
Zertifikat eine gesicherte Wechselkommunikationsverbindung öffnen, wobei
die Vorrichtung gesichert mit anderen Vorrichtungen in dem Netz,
an dem sie angeschlossen ist, kommunizieren kann.
-
Ein
Beispiel, bei dem die dritte Weiterentwicklungsphase der I.C.P.
verwendet werden kann, befindet sich im Bereich der mobilen Telephonie.
Die dritte Phase kann beispielsweise insbesondere verwendet werden
innerhalb des GSM-Systems, bei dem jedes im Netz funktionierende
Telefon eine Teilnehmeridentitäts-Modulkarte
enthält,
die häufig SIM-Karte
oder Chipkarte genannt wird. Die SIM-Karte kann Informationen bezüglich des
Kontos des Benutzers aufweisen, dem die SIM-Karte zugeordnet ist.
Ein Benutzer kann dabei seine SIM-Karte entnehmen und sie in ein
neues Telefon einfügen, das
sofort zu funktionieren beginnt gemäß der Identifikation und den
im Speicher der SIM-Karte abgelegten Präferenzen des Benutzers. Bei
diesem Modell ist der Dienstprovider oder das Telefondienstleistungsunternehmen
das Institut, das ein Zertifikat für jede Vorrichtung verlangt,
die in diesem Fall innerhalb der SIM-Karte registriert ist. Mit
der SIM-Karte können
die Benutzer weltweiter Telefone innerhalb des GSM-Systems leicht gesicherte
Transaktionen über
ein schnurloses Netz vornehmen, wie ein Netz, das das schnurlose
Applikationsprotokoll (WAP) benutzt, beispielsweise durch Verwendung
eines chiffrierten Schlüsselpaars,
das der SIM-Karte zugeordnet und/oder in ihr gespeichert sein kann.
Ein derartiges Verfahren ist im Patentantrag
FR-A-2 795 262 beschrieben.
-
Die
dritte Weiterentwicklungsphase der I.C.P. war in zahlreichen Umgebungen
erfolgreich, in denen Chipkarten verwendet werden. Wie bereits oben
erwähnt,
werden die Chipkarten innerhalb des GSM-Systems weltweit benutzt.
Die Chipkarten sind jedoch ebenfalls nützlich im Bankbereich und in
anderen Handelsumgebungen. Die Chipkarten sind eine logische Wahl
für die
Vorrichtung, an die ein Zertifikat gebunden sein kann, da sie in
verschiedenen Umgebungen wie die schnurlosen Netze und die Zahlungsnetze
als gesichert betrachtet werden, sowie von zahlreichen Gesetzen
bezüglich
der digitalen Signatur. Außerdem
sind die Chipkarten eine logische Wahl, da ihre Sicherheit in der
Theorie und in der Praxis getestet wurde. Die Chipkarten erfordern im
Allgemeinen einen Authentifizierungsprozess mit zwei Faktoren, der
gleichzeitig etwas impliziert, das der Benutzer kennt, und etwas,
das der Benutzer besitzt. Im Allgemeinen besitzt der Benutzer in
der Umgebung der Chipkarten die Karte und kennt eine persönliche Identifikationsnummer
(PIN) oder eine andere Art von Passwort. Die dritte Weiterentwicklungsphase
der I.C.P. war für
den Benutzer ein vertrautes Handelsmodell, als erhielte er eine
Geldautomatenkarte, eine Kreditkarte oder dergleichen.
-
Alle
drei vorherigen Weiterentwicklungsphasen der o. g. I.C.P. weisen
jedoch diverse Probleme auf. Erstens ist die Benutzung von Zertifikaten
für die Identifikation
jeder Vorrichtung in einem Kommunikationsnetz, wie bei der zweiten
Phase, in der die Vorrichtungen serienweise hergestellt werden,
teuer. Daher wurde die I.C.P. gemäß dem Modell der ersten Phase
entwickelt, in der jede Person ein digitales Zertifikat aufbewahrte,
das Zertifikat selbst bezahlte und häufig nicht mehr als eins verlangte.
Die Zertifikate waren jedoch Vorrichtungen zugeordnet, wobei es
für jede
verwendete Vorrichtung getrennte Zertifikate gab. Demzufolge kann
eine Person während
ihrer ganzen Existenz eine große
Anzahl von Vorrichtungen verlangen, wovon jede ein digitales Zertifikat für gesicherte
Transaktionen über
ein Kommunikationsnetz benötigen
kann. Daher können
die Kosten für
mehrere Vorrichtungen dieses Typs zu hoch werden und würden den
Handelsfluss im Internet, für
den digitale Zertifikate benötigt
werden, überfüllen. Wenn dieses
Zertifikat ferner von dem Vorrichtungshersteller bezahlt wird, können sich
die Anzahl von hergestellten Vorrichtungen und demzufolge die Kosten
für die
Ausstellung eines Zertifikats für
jede Vorrichtung als verblüffend
erweisen.
-
Ein
zweites Problem im Zusammenhang mit der dritten Weiterentwicklungsphase
der I.C.P. besteht darin, dass die Identität eines Benutzers und das der Identität des Benutzers
zugeordnete Schlüsselpaar
der Vorrichtung nach ihrer Herstellung hinzugefügt werden müssen. Dadurch entstehen Sicherheits-
und Authentifizierungsprobleme, da ein illegitimer Benutzer eventuell
der Vorrichtung nach ihrer Herstellung ein betrügerisches Schlüsselpaar
hinzufügen
und demnach einen Betrug im Netz verursachen könnte, während er eine gesicherte Vorrichtung verwendet.
-
Drittens,
da das Netz, in dem die Vorrichtungen im Allgemeinen verwendet werden,
offen ist, muss die Vorrichtung zertifiziert (oder gesichert) sein, um
gesicherte Kommunikationen über
das offene Netz zu ermöglichen.
Dabei handelt es sich um eine wichtige Betrachtung, da kein gesicherter
Dienst über
eine Wechselkommunikationsverbindung über ein offenes Netz hinzugefügt werden
kann, ohne über zwei
gesicherte Endpunkte, zu verfügen.
Daher müssen
gleichzeitig der Server und die Vorrichtung zertifiziert (oder gesichert)
sein. Derartige gewünschte gesicherte
Dienste können
beispielsweise die Vergabe von Chiffrierschlüsseln, die Hinzufügung von
Benutzeridentitäten
und/oder die Ausgabe von persönlichen
Daten sein, wie Informationen über
die Präferenzen
oder das Profil des Benutzers.
-
Demzufolge
ist es wünschenswert,
ein System zu entwickeln, das eine I.C.P. verwendet, die in der
Lage ist, jedes der oben genannten Probleme zu lösen. Es wäre insbesondere wünschenswert
ein I.C.P.-System zu entwickeln, das in der Lage ist, die Kosten
für die
den Vorrichtungen zugewiesenen Zertifikate auf ein Mindestmass zu
verringern und die Sicherheit bezüglich der Ausgabe des der Vorrichtung zugeordneten
Schlüsselpaars
eines Benutzers (d.h. eines „Benutzerschlüsselpaars") zu vergrößern, sowie
eine Technik bereit zu stellen, die eine schnelle und einfache Übertragung
von Informationen über die
Präferenzen
und das Profil des Benutzers ermöglicht.
-
Zusammenfassung der Erfindung
-
Die
vorliegende Erfindung schlägt
Lösungen der
oben genannten Probleme vor. Insbesondere verringert die vorliegende
Erfindung die Gesamtkosten für
die Zuweisung von Zertifikaten zu Vorrichtungen, schlägt eine
Weise vor, auf die den Zertifikaten von Vorrichtungen zugeordnete
Benutzerschlüsselpaare
gesichert hinzugefügt,
leicht authentifiziert und nicht verstossen werden können, und
schlägt
eine Technik vor, mit der Informationen über die Präferenzen und das Profil des
Benutzers leicht registriert und über das Kommunikationsnetz übertragen
oder empfangen werden können,
nach der gegenseitigen Authentifizierung des Servers und der Vorrichtung.
-
Gemäß einer
Ausführungsform
der vorliegenden Erfindung kann eine Identitätsbescheinigung, wie ein digitales
Zertifikat (z.B. ein I.C.P-Zertifikat, eine Urkunde, usw.), allen
Identifikationsnummern von Vorrichtungen für eine Gruppe oder ein Los von
Vorrichtungen zugeordnet werden. So können die Kosten für die Ausgabe
von Zertifikaten für
eine große
Anzahl von Vorrichtungen beträchtlich
reduziert werden. Ein Verzeichnis oder eine Liste von Vorrichtungen
zum Zeitpunkt der Erstellung wird in einer Engagemen-Datenbank gespeichert
und bildet eine permanente, unveränderliche Liste, die eine permanente
Aufzeichnung aller ursprünglich
mit einer Zertifizierung verbundenen Vorrichtungen liefert. Gemäß einer
Ausführungsform
der vorliegenden Erfindung wird eine laufende Liste der Vorrichtungen,
deren Verwendung mit dem jeweiligen Zertifikat genehmigt wurde,
geführt,
sowie ebenfalls eine Liste von Vorrichtungen, die nicht mehr funktionieren,
deren Vorrichtungsschlüssel
gefährdet
ist, oder die nicht mehr als sicher betrachtet werden dürften (z.B.
eine Widerrufungsliste oder eine „rote Liste").
-
Das
jeder Vorrichtung zugeordnete Vorrichtungs-Schlüsselpaar
ist Identifikationsnummern von Vorrichtungen hinzugefügt. Gemäß einer
Ausführungsform
der vorliegenden Erfindung kann der private Schlüssel dieses Schlüsselpaars
ausschließlich innerhalb
der Hardware der Chipkarte aufbewahrt werden. Das Aufbewahren des
privaten Vorrichtungsschlüssels
ausschließlich
in der Hardware reduziert deutlich die Wahrscheinlichkeit, dass
der private Schlüssel
kopiert wird. So ist die Gesamtsicherheit der mit Vorrichtungen,
die Kopien ihrer privaten Schlüssel
ausschließlich
innerhalb der Hardware aufbewahren, deutlich besser als Systeme,
bei denen die privaten Schlüssel
innerhalb der Software aufbewahrt werden.
-
Außerdem kann
man gemäß einer
Ausführungsform
der vorliegenden Erfindung eine größere Sicherheit erhalten, wenn
man jede Vorrichtung verwendet, um ein dem Benutzer der Vorrichtung
zugeordnetes Benutzerschlüsselpaar
zu erzeugen. Bei einer derartigen Ausführungsform kann ein Benutzer, der
eine Vorrichtung wie eine Chipkarte mit einem zugeordneten privaten,
in der Hardware der Vorrichtung registrierten Vorrichtungsschlüssel erhalten
hat, anwesend sein für
die Erzeugung eines relativ zuverlässigen Benutzerschlüsselpaars
in der Vorrichtung. Der öffentliche
Benutzerschlüssel
kann dann anhand des privaten Benutzerschlüssels signiert und an befugte Personen übertragen
sowie von diesen dechiffriert werden, die den signierten öffentlichen
Benutzerschlüssel über das
den öffentlichen
Schlüssel
der Vorrichtung verwendende Netz erhalten. Die Tatsache, dass der
Benutzerschlüssel
von dem Vorrichtungsschlüssel
signiert wird beweist, dass die Vorrichtung das Benutzerschlüsselpaar
erzeugt hat.
-
So
können
dritte Parteien leicht prüfen,
dass das Benutzerschlüsselpaar
in der Hardware einer bestimmten Vorrichtung registriert ist und
dass der Benutzer zum Zeitpunkt der Erzeugung des Benutzerschlüsselpaars
anwesend war. Gemäß der vorliegenden
Erfindung können
bei Transaktionen im Internet verwendete Vorrichtungen in Bezug
auf das Zertifikat des Loses geprüft und dem Los zugewiesen werden, aus
dem die Vorrichtung stammt. Die Widerrufung und/oder die roten Listen
können
eingesehen werden, um zu ermitteln, ob die Vorrichtung immer noch funktioniert
und eine gesicherte Vorrichtung ist, die Daten über ein offenes Netz wie das
Internet oder des mobile Telefonsystem GSM verwenden darf.
-
Ferner
kann man gemäß einer
Ausführungsform
der vorliegenden Erfindung Informationen über das Profil und die Präferenzen
des Benutzers aus Entfernung registrieren und anhand eines innerhalb der
Vorrichtung registrierten Cursors darauf zugreifen. Diese Informationen
können
beispielsweise in einer Datei „Cookie" an einem von der
Vorrichtung entfernten innerhalb des Netzes gelegenen Ort aufgezeichnet
und von einem Cursor gekennzeichnet werden. Vorteilhaft vermeidet
die Aufzeichnung aus Entfernung dieser Informationen über das
Profil und die Präferenzen,
den Speicher sowie die Bandbreitenvorgaben der Vorrichtungen zu überlasten.
-
Andere
Merkmale und Vorteile der Erfindung werden nachstehend ausführlicher
beschrieben unter Bezugnahme auf spezifische, in den beigefügten Zeichnungen
dargestellte Ausführungsformen,
bei denen die gleichen Bezugszeichen verwendet werden, um die gleichen
Elemente zu bezeichnen.
-
Kurze Beschreibung der Zeichnungen
-
1A ist
ein Funktionsschema der Basiselemente, die in Phase eins der Weiterentwicklung
der I.C.P. impliziert sind.
-
1B ist
ein Organigramm der Schritte für die
Ausgabe eines I.C.P.-Zertifikats in der Phase zwei der Weiterentwicklung
der I.C.P.
-
2A ist
ein Funktionsschema der Basiselemente, die in Phase zwei der Weiterentwicklung
der I.C.P. impliziert sind.
-
2B ist
ein Organigramm der Schritte für die
Ausgabe eines Zertifikats in der Phase zwei der Weiterentwicklung
der I.C.P.
-
3A ist
ein Funktionsschema der Basiselemente, der Ausgabe eines I.C.P.-Zertifikats,
bei dem das Zertifikat an die Identifikationsnummer(n) von Vorrichtungen
gebunden ist.
-
313 ist ein Organigramm der Schritte für die Ausgabe
eines Zertifikats in der Phase drei der Weiterentwicklung des I.C.P.
-
4A ist
ein Funktionsschema der Basiselemente von Zertifikaten für Vorrichtungslose
gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
4B ist
ein Organigramm der Schritte einer Ausführungsform der vorliegenden
Erfindung.
-
5 ist
eine Darstellung eines Verzeichnisses von Vorrichtungen, das gemäß einer
Ausführungsform
der vorliegenden Erfindung verwendet wird.
-
6A ist
ein Organigramm der Basisstadien der Lebensdauer einer Vorrichtung
gemäß einer Ausführungsform
der vorliegenden Erfindung.
-
6B ist
ein Organigramm der Schritte zur Verbindung eines Zertifikats mit
einer Vorrichtungsgruppe und zur Ausgabe einer Vorrichtung an einen Kunden
gemäß einer
Ausführung
der vorliegenden Erfindung.
-
7A ist
ein Funktionsschema der Basiselemente für die Aktivierung der Vorrichtung
gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
7B ist
ein Organigramm der Schritte für die
Aktivierung der Vorrichtung gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
7C ist
ein Organigramm der Schritte für die
Erzeugung eines Benutzerschlüsselpaars
gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
8 ist
ein Funktionsschema einer Ausführungsform
der vorliegenden Erfindung bezüglich
der Elemente der 4A und 7A.
-
9A ist
ein Funktionsschema der Elemente für die Validierung einer Vorrichtung
gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
9B ist
ein Organigramm der Schritte für die
Validierung einer Vorrichtung gemäß einer Ausführungsform
der vorliegenden Erfindung.
-
9C ist
ein Organigramm der Schritte für die
Bearbeitung einer Validierungsanfrage gemäß einer Ausführungsform
der vorliegenden Erfindung.
-
10 ist
ein Funktionsschema einer Kette von Zertifizierungsstellen, die
gemäß einer
Ausführungsform
der vorliegenden Erfindung verwendet wird.
-
11 ist
ein Funktionsschema der Elemente für die Verwendung eines Cursors
für ausgelagerte Informationen über das
Profil/die Präferenzen
gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
Ausführliche
Beschreibung
-
Um
das Verständnis
der Prinzipien und Merkmale der vorliegenden Erfindung zu erleichtern, wird
diese nachfolgend unter Bezugnahme auf ihre Umsetzung in einer als
Beispiel dienenden Ausführungsform beschrieben.
Die Erfindung wird insbesondere für den Bereich von Chipkarten-Vorrichtungen beschrieben,
in denen jeder der Karten ein anderes Schlüsselpaar zugewiesen ist. Die
Chipkarten sind zu Herstellungslosen zusammengefasst, wobei jedes Los
ein einziges Identitätszeugnis
aufweist (z.B. ein zugeordnetes digitales Zertifikat). Eine spezifische Ausführungsform
eines derartigen Systems wird im Rahmen der Verwendung von SIM-Karten
in Verbindung mit dem mobilen Telefonsystem GSM beschrieben. Ferner
wird die vorliegende Erfindung im Zusammenhang mit dem I.C.P.-System beschrieben, das
eine Chiffrierung und Dechiffrierung anhand eines privaten und öffentlichen
Chiffrierschlüssels
ermöglicht,
sowie die Validierung oder die Authentifizierung mit einer von einer
digitalen Beurkundungsstelle oder einer Zertifizierungsstelle ausgestellten
Urkunde.
-
Selbstverständlich ist
dies nicht die einzige Ausführungsform,
in der die Erfindung umgesetzt werden kann. Sie kann sich jedoch
in einer Vielzahl von Sicherheitskonfigurationen als nützlich erweisen. Nicht
nur die Chipkarten und die SIM-Karten des mobilen Telefonsystems
GSM sondern auch andere Handelsapplikationen können die Merkmale der vorliegenden
Erfindung nutzen. Ferner soll die vorliegende Erfindung nicht durch
die Vorgaben des I.C.P.-Systems begrenzt sein, sondern kann in einer Vielzahl
von Sicherheitssystemen zur Anwendung gelangen, die die Chiffrierung
anhand von öffentlichen/und
oder privaten Schlüsseln
verwenden, sowie die Authentifizierung anhand eines digitalen Zertifikats
oder einer anderen ähnlichen
Technik. Zur Erleichterung werden die vorherigen Systeme der vorherigen
Phasen der Weiterentwicklung der I.C.P. nachfolgend kurz beschrieben,
um die Unterschiede und Vorteile der vorliegenden Erfindung gegenüber derartige
vorherige Systeme hervorzuheben.
-
1A zeigt
ein Funktionsschema der einzelnen Elemente der Phase eins der Weiterentwicklung
der I.C.P. 2 zeigt die Schritte bezüglich der Anfrage
des Benutzers und der Ausgabe eines Zertifikats an denselben unter
Verwendung des Modells der Phase eins der Weiterentwicklung der
I.C.P. Demzufolge wird 1B in Verbindung mit 1A beschrieben,
um besser zu verstehen, wie die Elemente der 1a zusammenhängen.
-
Mehrere,
die Basisstruktur der Phase eins der Weiterentwicklung der I.C.P.
bildende Elemente sind in 1A dargestellt.
Insbesondere steht ein Benutzer 10 mit einer Aufzeichnungsstelle
(A.E.) 12 in Verbindung, die mit einer Zertifizierungsstelle (A.C.) 14 verbunden
ist. Die A.E. 12 von 1A kann ein
Dienstprovider (F.S.) oder eine andere geeignete Aufzeichnungsstelle
sein. Die A.C. 14 enthält
eine Zertifikat-Datenbank 16 mit Informationen über jedes der
von der A.C. 14 ausgestellten Zertifikate, und auf die
der Benutzer 10 zugreifen kann. Die Kommunikationen zwischen
der Zertifikat-Datenbank 16 und der A.C. 14 und/oder
dem Benutzer 10 können über eine gesicherte
Wechselkommunikationsverbindung erfolgen, um die Unversehrtheit
der in der Datenbank 16 gespeicherten Daten zu gewährleisten.
Die Kommunikationen zwischen dem Benutzer 10 und der A.E. 12 können über einen
gesicherten Kommunikationsweg erfolgen. Beispielsweise kann der
Benutzer kommunizieren mit der A.E. 12 und der A.C. 14 anhand
eines Netzes homologer Systeme, in dem eine direkte Wechselkommunikationsverbindung
zwischen dem Benutzer 10 und der A.E. 12 zur Verfügung gestellt
wird. Ferner kann der Benutzer über
ein offenes Netz wie beispielsweise das Internet kommunizieren.
In einem solchen Fall könnten
die Kommunikationen chiffriert sein. Ein Beispiel einer Technik, bei
der die Kommunikationen zwischen dem Benutzer 10 und der
A.E. 12 über
ein offenes Netz chiffriert sein könnten, besteht in der Verwendung
des Protokolls SSL (SSL), das von Netscape Communications Corporation
in Mountain View/Kalifornien erstellt wurde.
-
Außerdem könnten die
Kommunikationen zwischen der A.E. 12 und der A.C. 14 realisiert
sein durch Verwendung entweder einer gesicherten Verbindung, einer
direkten Verbindung (z.B. einer Kommunikationsverbindung von gleich
zu gleich) oder einer gesicherten Verbindung über ein offenes Netz (z.B.
einer Verbindung SSL). Aufgrund des empfindlichen Charakters der
in der Zertifikat-Datenbank 16 gespeicherten Daten erfolgen
die Kommunikationen zwischen der A.C. 14 und der Datenbank 16 im
Allgemeinen unter Verwendung einer gesicherten Verbindung, um die
Unversehrtheit der in der Datenbank enthaltenen Daten zu gewährleisten.
-
Unter
Bezugnahme auf die in 1B dargestellten Schritte muss
ein Benutzer 10 in der Phase eins der Weiterentwicklung
der I.C.P. ein Zertifikat verlangen, wie bei Schritt 18 dargestellt.
Diese Anfrage wird an die A.E. 12 übertragen, die bei Schritt 20 ermittelt,
ob diese Anfrage des Benutzers erfüllt wird oder nicht. Wenn die
A.E. 12 dieser Anfrage des Benutzers nicht zustimmt, kann
der Benutzer optional darüber
informiert werden, wie beim optionalen Schritt 21 dargestellt,
und der gesamte Prozess endet bei Schritt 22. Wenn die
A.E. 12 der Anfrage des Benutzers bei Schritt 20 zustimmt,
wird diese Zustimmung bei Schritt 23 an die A.C. 14 übertragen.
Die A.C. 14 registriert dann bei Schritt 24 die
Informationen bezüglich
des Zertifikats des Benutzers in der Datenbank 16. Nach
der Aufzeichnung der das Zertifikat des Benutzers betreffenden Informationen
in der Datenbank 16, stellt die A.C. 14 bei Schritt 26 ein
Zertifikat für
den Benutzer 10 aus und informiert den Benutzer, dass das
Zertifikat in der Zertifikat-Datenbank 16 registriert wurde.
Der Benutzer erhält
ein neues Zertifikat, wie bei Schritt 27 gezeigt.
-
Einer
der Hauptnachteile des Modells der Phase eins der Weiterentwicklung
der I.C.P., dargestellt in 1A, ist
die vom Benutzer 10 verlangte Eingriff. Bei diesem Modell
wird der Benutzer 10 gebeten, ein Zertifikat zu verlangen,
und muss dann das Zertifikat empfangen, das im Allgemeinen in der
Phase eins der Weiterentwicklung der I.C.P. willkürlich vom
Benutzer 10 installiert werden muss, bevor eine Transaktion authentifiziert
werden kann. Da dieses Modell zahlreiche Bestätigungshandlungen vonseiten
des Benutzers 10 verlangt, war die Phase eins der Weiterentwicklung
der I.C.P. nur begrenzt erfolgreich.
-
Die
Phase zwei der Weiterentwicklung der I.C.P. soll die drakonischen
Anforderungen an den Benutzer der Phase eins der Weiterentwicklung
der I.C.P. reduzieren. Wie in 2A dargestellt,
handelt eine Ausgabestelle (A.D.) 28 als Vermittler, die
bei der A.C. 14 ein Zertifikat für den Benutzer 10 und
die A.E. 12 anfordert. In der Phase zwei, wie in der Phase
eins, kann die A.E. 12 ein Dienstprovider (F.S.) oder eine
andere geeignete Aufzeichnungsstelle sein. Eine A.E. 12 enthält Benutzerdaten
in einer Benutzer-Datenbank 30. Man kann über die
A.D. 28 auf diese Benutzerdaten zugreifen, indem man Zertifikat-Anträge für jeden
in der Benutzer-Datenbank 30 vorhandenen Benutzer stellt.
Aufgrund des empfindlichen Charakters der in der Benutzer-Datenbank 30 registrierten
Daten und der Notwendigkeit, ihre Sicherheit zu gewährleisten,
erfolgen die Kommunikationen zwischen der A.E. 12, der
A.D. 28 und der Datenbank 30 im Allgemeinen anhand
einer gesicherten Wechselkommunikationsverbindung.
-
Die
spezifischen Schritte der Phase zwei der Weiterentwicklung der I.C.P.
sind in 2B dargestellt. Zuerst registriert
die A.E. 12 bei Schritt 32 Informationen bezüglich der
einzelnen Benutzer 10 in der Benutzer-Datenbank 30.
Die A.E. 12 des Funktionsschemas von 2A kann
beispielsweise Banken, GSM-Operatoren und andere Institute umfassen, mit denen
der Benutzer 10 verbunden ist und für die die A.E. 12 Informationen über die
Kunden enthält.
Die A.D. 28 greift auf die in der Datenbank 30 enthaltenen
Benutzerdaten zu und stellt bei Schritt 34 einen Zertifikatantrag
für den
Benutzer 10. Beim Empfang der Anfrage der A.D. 28 registriert
die A.C. 14 bei Schritt 36 die Zertifikatdaten
in der Zertifikat-Datenbank 16 und gibt bei Schritt 38 an
die A.D. 28 ein Zertifikat für den Benutzer 10 aus.
Die A.D. 28 liefert dann bei Schritt 40 das Zertifikat
an den Benutzer 10.
-
Demnach
braucht der Benutzer in der Phase zwei der Weiterentwicklung der
I.C.P. kein Zertifikat mehr anzufordern, das für den Benutzer angefordert und
dann an den Benutzer in einem gesicherten Jeton oder über eine
gesicherte Wechselkommunikationsverbindung übertragen wird. Die Phase zwei
der Weiterentwicklung der I.C.P. verwendete häufig digitale Zertifikate,
die in Vorrichtungen wie Chipkarten enthalten waren und den Kunden
ermöglichten,
vertraute Sicherheitsmodelle zu verwenden und die Notwendigkeit
jeglicher zusätzlicher
Eingriffe vonseiten der Kunden überflüssig machten,
entweder ein Zertifikat anzufordern oder seine Benutzung umzusetzen.
-
Insbesondere
im Bereich der Chipkarten, beispielsweise weil ein Zertifikat in
einer Vorrichtung vorhanden ist, könnte ein Benutzer eine derartige Vorrichtung
in einer gleichzeitig für
den Kunden und das Ausgabeinstitut vertrauten Weise erhalten. Anscheinend
verläuft
eine derartige Ausgabe wie die Ausgabe einer Bankkarte für Geldautomaten,
einer Zahlkarte, einer Kreditkarte oder dergleichen. Außerdem ist
die Verwendung des der Vorrichtung zugeordneten digitalen Zertifikats
ebenfalls transparent für
den Benutzer in der Phase zwei der Weiterentwicklung der I.C.P.
und verlangt vonseiten des Benutzers keinen Eingriff, um ein Zertifikat
zu erhalten. Das bedeutet, dass wenn eine Chipkarte aktiviert ist,
ein Benutzer gebeten wird, ein Passwort oder eine persönliche Identifikationsnummer
einzugeben, wie bei der Verwendung eines Geldautomaten oder einer Kreditkarte.
Nachdem der Benutzer diesen Zugriffscode eingegeben hat, erfolgen
die Chiffrierung und andere Authentifizierungen anhand von öffentlichen und/oder
privaten chiffrierten Schlüsseln
und von digitalen Zertifikaten automatisch, ohne zusätzlichen Eingriff
vonseiten des Benutzers.
-
Die
Leichtigkeit der Entfaltung von Zertifikaten für Vorrichtungen durch existierende
Institutionen, die gesicherte und authentifizierte Kommunikationen über ein
offenes Netz wünschen,
ist genauso wichtig. Derartige Institutionen können zum Beispiel Finanz-,
Regierungs- und Gesundheitsschutz-Institute umfassen. Da die Vorrichtungszertifikate
innerhalb von existierenden Systemen wie in den oben genannten Geldautomaten
benutzt werden sollen, verlangt dies von den Institutionen nur wenig
oder sogar gar keinen Aufwand, um Vorrichtungszertifikate zu entfalten.
Aufgrund des minimalen Aufwands vonseiten des Benutzers war die
Weiterentwicklung der I.C.P. etwas erfolgreicher als die Phase eins.
Wenn das Zertifikat in der Phase zwei auch in Form von Software
geliefert wurde, so musste der Benutzer das Zertifikat immer noch
bewusst verwenden, wozu häufig
die Installation einer Authentifizierungssoftware oder dergleichen
erforderlich war.
-
Ferner
bestand ein Problem der Phase zwei darin, dass der Benutzer bei
der Herstellung der Vorrichtung bekannt sein musste. Da es Netze
gibt, in denen der Benutzer einer Vorrichtung bei der Herstellung
der Vorrichtung nicht bekannt ist (beispielsweise Telekommunikationsnetze),
ist die Verwendung des Modells der Phase zwei demzufolge nicht immer möglich. Daher
wurde die Phase drei der Weiterentwicklung der I.C.P. entwickelt,
in der die Verwendung von Vorrichtungszertifikaten umgesetzt wurde.
Die Vorrichtungszertifikate der Phase drei wurden erstellt, um das
Hinzufügen
von Informationen über
den Benutzer zu einer über
ein offenes Netz gesicherten Vorrichtung zu ermöglichen. Diese Informationen konnten
hinzugefügt
werden, ohne zuvor die Identität des
Benutzers zu kennen, und nach der Herstellung der Vorrichtung.
-
Das
in 3A dargestellte Funktionsschema zeigt die in Phase
drei der Weiterentwicklung der I.C.P. implizierten Elemente und
die Elemente einer Ausführungsform
der vorliegenden Erfindung. Das in 313 dargestellte
Organigramm zeigt die Schritte der Phase drei der Weiterentwicklung
der I.C.P. und wird im Zusammenhang mit 3A beschrieben.
-
In
der Phase drei der Weiterentwicklung der I.C.P., wobei die Zertifikat
bei der Herstellung mit Identifikationsnummern von Vorrichtungen
verbunden sind, spielt der Hersteller (MEG) 42 eine wichtige Rolle
bei der Zuweisung der Zertifikate. Eine wichtige, von dem Hersteller 42 erfüllte Funktion
besteht darin, Daten bezüglich
jeder der Vorrichtungen in einer Vorrichtungs-Datenbank 44 aufzubewahren.
Diese Daten bezüglich
jeder der Vorrichtungen werden verwendet, um chiffrierte Informationen
mit Informationen über
die Vorrichtungen über
ein Zertifikat zu verbinden. Außerdem
kann der MEG 42 in der Phase drei als Aufzeichnungsstelle
fungieren (d.h. er übt ähnliche
Funktionen als die A.E. 12 aus, wie in 1A und 2A dargestellt).
Die A.D. 28 kommuniziert mit jeder Vorrichtung (DEV) 45,
die optional über
einen Dienstprovider (F.S.) 47 vertrieben wird.
-
3B zeigt
ein Organigramm der Schritte, wie der Benutzer eine Vorrichtung
mit einem zugehörigen
Zertifikat in Phase drei der Weiterentwicklung der I.C.P. erhält. Zunächst registriert
der Hersteller 42 bei Schritt 48 Informationen
bezüglich
jeder hergestellten Vorrichtung in einer Vorrichtungs-Datenbank 44.
Die A.D. 28 greift bei Schritt 50 auf diese in
der Vorrichtungs-Datenbank 44 registrierten Informationen
zu. Wenn die A.D. 28 diese Daten erhalten hat, verlangt
die A.D. 28 bei Schritt 52 individuelle Zertifikate
für jede
Vorrichtung, auf deren Daten sie ab der Vorrichtungs-Datenbank 44 zugegriffen
hat. Diese Anfrage wird von der A.C. 14 gemacht, die bei
Schritt 54 die auszugebenden Zertifikatdaten in der Zertifikat-Datenbank 16 registriert
und bei Schritt 56 Zertifikate für jede Vorrichtung an die A.D. 28 ausgibt,
wobei demnach individuelle Zertifikate individuellen Vorrichtungen 45 zugeordnet
werden. Bei Schritt 58 liefert die A.D. 28 die
Zertifikate für
jede der Vorrichtungen 42 an den Hersteller 42.
Optional kann der Hersteller 42 das Zertifikat an den Dienstprovider 47 liefern,
wie bei dem optionalen Schritt 59 gezeigt. Der Hersteller 42 (oder
optional der F.S. 47) liefert seinerseits die Vorrichtungen
bei Schritt 60 an den Benutzer 10. Wie dem Fachmann
bekannt sein wird, wendet man sich häufig an einen Vermittler wie
einen Händler,
einen Dienstprovider oder dergleichen, um den Benutzern Vorrichtungen
des Vorrichtungsherstellers zu liefern.
-
Wie
oben beschrieben ist die Phase drei der Weiterentwicklung der I.C.P.
aus mehreren Gründen vorteilhaft,
insbesondere die Transparenz des gesamten Antrags-, Empfangs- und
Verwendungsprozesses eines Zertifikats für entweder bekannte oder unbekannte
Benutzer zum Zeitpunkt der Herstellung der Vorrichtungen. Wie bereits
zuvor hervorgehoben, besteht einer der Hauptnachteile der Phase
drei der Weiterentwicklung der I.C.P. jedoch in den Kosten für die Zuweisung
von Zertifikaten zu individuellen, serienmässig gefertigten Vorrichtungen,
die im Gegensatz zu den relativ unbedeutenden, von dem Benutzer
in der Phase eins getragenen Kosten, um ein Vielfaches höher sind
und im Allgemeinen von dem Hersteller oder dem Dienstprovider getragen
werden, und die sich im Vergleich zu einzigen, an individuelle Benutzer
gelieferten Zertifikaten als relativ hoch erweisen.
-
Außerdem erhöhen sich
die Kosten in der Phase drei der Weiterentwicklung der I.C.P. noch mehr
aufgrund des im Wesentlichen transparenten Prozesses der Zertifikatanforderung.
Insbesondere im Gegensatz zur Phase eins, in der die Benutzer aufgrund
des erforderlichen Aufwands nur ungern Zertifikate verlangten, können dank
des Erscheinens des im Wesentlichen transparenten Prozesses der Phase
drei der Weiterentwicklung der I.C.P. sehr viel mehr Benutzer potentiell
Zertifikate erhalten und verwenden. In der Phase drei kann jeder
Benutzer ferner zahlreiche Zertifikate für jede seiner Vorrichtungen verlangen,
während
in der Phase eins der Weiterentwicklung der I.C.P. die gleichen
Benutzer eventuell nur ein einziges Zertifikat anforderten. Aufgrund
aller dieser Faktoren spielen die Kosten in der Phase drei der Weiterentwicklung
der I.C.P. eine entscheidende Rolle bei den handelsüblichen
Modellen und sind in vielen Fällen
für die
Hersteller und/oder Dienstprovider nur noch schwer zu tragen.
-
Demzufolge
betrifft die vorliegende Erfindung die in Bezug auf die drei ersten
Phasen der Weiterentwicklung der I.C.P. auftretenden Probleme und
bietet dem Benutzer gleichzeitig alle Vorteile und Erleichterungen,
die den Benutzern von relativ transparent ausgestellten Zertifikaten
der Phase drei der Weiterentwicklung der I.C.P. zur Verfügung standen. Anstatt
Zertifikate individuellen Vorrichtungen zuzuordnen, ermöglicht die
vorliegende Erfindung, Zertifikate einer Gruppe von Vorrichtungen
zuzuordnen, wie einer Serie oder einem Herstellungslos. Wenn die
Vorrichtungen dann in Serien oder Losen in relativ hoher Anzahl
gefertigt werden (beispielsweise ca. 10.000 Vorrichtungen), werden
die Kosten für
die Zertifikate für
die Vorrichtungen, wenn sie auf alle Vorrichtungen einer Herstellungsserie
verteilt werden, vernachlässigbar.
Da der vonseiten der Benutzer erforderliche Aufwand für den Erwerb
und die Verwendung der Zertifikate sowie die von den Herstellern
für die
Ausgabe derartiger Zertifikate getragenen Kosten minimal sind, erleichtert
die vorliegende Erfindung beträchtlich
den elektronischen Handel wie den Handel über das Internet, den mobilen
Handel oder dergleichen.
-
Ein
Funktionsschema einer Ausführungsform
der vorliegenden Erfindung ist in 4A dargestellt.
In 4A fungiert der Hersteller (MEG) 42,
der die Vorrichtungs-Datenbank 44 führt und mit der A.C. 14 kommuniziert,
gemäß einer
Ausführungsform
der vorliegenden Erfindung als Aufzeichnungsstelle (A.E.). Die A.C. 14 führt eine
Engagement-Datenbank 61, in der eine permanente Aufzeichnung
oder Liste aller einem besonderen Zertifikat zugeordneten Vorrichtungen 45 gespeichert
sein kann. Die Vorrichtungen 45 werden dann verteilt, um
von dem Hersteller 42 oder optional von dem Dienstprovider 47 an
die Benutzer gesendet zu werden.
-
Das
Organigramm gemäß 4B zeigt
verschiedene Schritte einer Ausführungsform
der vorliegenden Erfindung. Die in 4B dargestellten Schritte
zeigen, wie eine Vorrichtungsgruppe einem einzigen Zertifikat zugeordnet
ist und wie das Zertifikat für
eine Vorrichtungsgruppe 45 ausgestellt wird. Zunächst registriert
der Hersteller 42 bei Schritt 62 die Vorrichtungsdaten
in einer Vorrichtungs-Datenbank 44. Bei Schritt 64 überträgt die A.E. 12 die
aus der Vorrichtungs-Datenbank 44 erhaltenden Vorrichtungsdaten
an die A.C. 14 und verlangt ein einziges Zertifikat für die Vorrichtungsgruppe.
Die A.C. 14 registriert dann bei Schritt 68 die
Zertifikatdaten, stellt bei Schritt 70 ein Zertifikat für eine Vorrichtungsgruppe
aus und stellt bei Schritt 70 ein Gruppenzertifikat aus,
das sie bei Schritt 72 an den Hersteller 42 liefert, wobei
demnach das Zertifikat einer Vorrichtungsgruppe zugeordnet wird.
Nachdem der Hersteller 42 das Zertifikat für die Vorrichtungsgruppe
erhalten hat, kann er Vorrichtungen an Benutzer liefern, wie in Schritt 74 angegeben.
Optional kann der Hersteller bei Schritt 76 ebenfalls ein
Verzeichnis erstellen, das nachfolgend unter Bezugnahme auf 5 ausführlicher
beschrieben wird.
-
Das
Verzeichnis kann ebenfalls optional von dem Hersteller in einer
Engagement-Datenbank 61 registriert werden, um als zukünftige Referenz
zu dienen. Gemäß einer
Ausführungsform
der vorliegenden Erfindung kann die in 4A dargestellte
Engagement-Datenbank 61 von dem Hersteller 42 verwendet
werden, um ein Verzeichnis gemäß 5 zu führen, indem
er die Informationen über
die Zertifikate und die Vorrichtungslose in einer permanenten Aufzeichnung
vereint (zum Beispiel in dem Engagement).
-
5 zeigt
ein Vorrichtungsverzeichnis 78, die die Identifikationsnummer
von Vorrichtungen und den öffentlichen
Schlüssel
für jede
mit einem Zertifikat 80 verbundene Vorrichtung innerhalb
der Vorrichtungsgruppe oder des Vorrichtungsloses, gemäß einer
Ausführungsform
der vorliegenden Erfindung. Dieses Verzeichnis 78 kann
von dem Hersteller 42 zu dem Zeitpunkt erstellt werden,
an dem die A.C. 14 das Zertifikat für eine Vorrichtungsgruppe erhält, oder kann
optional von der A.C. 14 oder einem digitalen Notar erstellt
werden. Das Verzeichnis 78 ist als permanente Aufzeichnung
in einer Verzeichnis-Datenbasis 61 gespeichert, die in 4A dargestellt
ist, als Beweis der Vorrichtungen, die ursprünglich zu der in dem Verzeichnis 78 angegebenen
Gruppe gehören und
mit dem Zertifikat 80 verbunden sind. Bei der Erstellung
des Verzeichnisses 78 kann der Hersteller 42 (oder
die A.C. 14) ebenfalls optional eine Widerrufungsliste
oder rote Liste 82 erstellen, die nicht mehr funktionsfähige Vorrichtungen
enthält
oder für
die das Zertifikat 80 widerrufen wurde.
-
Bei
der Erstellung durch den Hersteller 42 (oder die A.C. 14)
kann die Widerrufungsliste 82 leer sein. Im Laufe der Zeit,
wenn die Vorrichtungen verloren gehen, gestohlen oder außer Betrieb
gesetzt werden, werden ihre Identifikationsnummern wie auch ihr öffentlicher
Schlüssel
der Widerrufungsliste 82 für zukünftige Identifikationszwecke
hinzugefügt (beispielsweise
wenn die Authentifizierung von Vorrichtungen abgelehnt wird). Zum
Beispiel in der in 5 dargestellten Situation steht
die zweite Vorrichtung (Vorrichtung []) aus dem Verzeichnis 78,
die die Vorrichtungs-Identifikationsnummer 2 verwendet, ebenfalls
auf der Widerrufungsliste 82. Jedes Mal wenn die von der
Vorrichtungs-Identifikationsnummer 2 identifizierte Vorrichtung
dann verwendet wird, erkennt eine Authentifizierungsstelle, dass
die Vorrichtung (Vorrichtung []) das Zertifikat 80 aus
einem beliebigen Grund nicht mehr verwenden darf, weil sie auf der
Widerrufungsliste 82 steht, selbst wenn sie immer noch
in dem Verzeichnis 78 erscheint. Anhand einer Widerrufungsliste 82 kann
das Verzeichnis 78 als permanente Liste der zum Zeitpunkt,
an dem das Zertifikat 80 mit der in dem Verzeichnis 78 stehenden Vorrichtungsgruppe
verbunden wird, noch existierenden Vorrichtungen geführt werden.
Da es sich um eine permanente Liste handelt und sie nicht geändert wurde,
ist es so gut wie sicher, dass ihr Inhalt richtig ist. Die Widerrufungsliste 82 wird
zertifiziert oder beurkundet und kann an verschiedene Stellen verteilt werden,
die den Widerruf der digitalen Zertifikate verfolgen.
-
Diverse
Phasen der Verwendung von Vorrichtungsgruppen zugeordneten Zertifikaten
gemäß der vorliegenden
Erfindung sind in 6A dargestellt. In 6A wird
eine Vorrichtung bei Schritt 84 zunächst dem Zertifikat eines Teils
einer Vorrichtungsgruppe zugeordnet, zu der sie gehört, wobei dieser
Schritt ausführlicher
in Verbindung mit 4A und 4B beschrieben
ist. Nachdem die Vorrichtung dem Zertifikat zugeordnet wurde, über die
Vorrichtungsgruppe, erhält
der Benutzer die Vorrichtung bei Schritt 86, die nachfolgend
ausführlicher
in Verbindung mit 6B beschrieben wird. Wenn der
Benutzer die Vorrichtung erhalten hat, kann er bei Schritt 88 einen
Dienst aktivieren, wobei dieser Schritt nachfolgend ausführlicher
in Verbindung mit 7A und 7B beschrieben
wird. Optional kann die Identität
des Benutzers mit der Vorrichtung verbunden werden, wie bei dem
optionalen Schritt 90 gezeigt, der ausführlicher in Verbindung mit 7C beschrieben
wird. Der Benutzer verwendet dann die Vorrichtung bei Schritt 92,
und die Validierung kann bei Schritt 94 erfolgen, um zu
garantieren, dass die Vorrichtung authentisch ist und nicht auf
einer Widerrufungsliste oder einer roten Liste steht, oder wird nachfolgend
in Verbindung mit 9A, 9B und 9C behandelt.
-
Wenn
die nützliche
Lebensdauer der Vorrichtung abgelaufen ist, wird sie bei Schritt 96 außer Betrieb
gesetzt. Informationen über
den Benutzer können
in einer separaten Aufzeichnung gespeichert werden von einem Dienstprovider
oder anderen Stellen und müssen
nicht unbedingt mit der Vorrichtung in Verbindung stehen. Da die
Identität
des Benutzers über
einen separaten Mechanismus bei Schritt 90 nicht mit der
Vorrichtung verbunden sein muss, kann sich das Löschen der Informationen auf
der Vorrichtung des Systems als unzureichend erweisen, aber ein
zusätzlicher
Schritt 98 kann ebenfalls erforderlich sein, bei dem die
Identität des
Benutzers aus dem System gelöscht
wird. Für
den Fachmann ist jedoch ersichtlich, dass beide nicht nötig sein
können.
Wenn ein Benutzer zum Beispiel seine Vorrichtung verliert, kann
die Vorrichtung eine Außerbetriebsetzung
erfordern bzw. die Identifikationsnummer der Vorrichtung muss auf
die Widerrufungsliste gesetzt werden; dennoch kann die Identität des Benutzers
noch gültig bleiben
und man kann die gleichen Informationen über den Benutzer einer anderen
Vorrichtung zuordnen. Demnach würde
es sich als unnütz
erweisen, die Informationen über
den Benutzer zu löschen. Wenn
jedoch ein Benutzer stirbt oder aus dem von der Vorrichtung gedeckten
Dienstbereich wegzieht, kann es erforderlich sein, die Informationen über den Benutzer
bei Schritt 98 zu löschen;
dennoch kann die Vorrichtung komplett funktionsfähig bleiben. In einem solchen
Fall kann es wünschenswert
sein, die Vorrichtung nicht in Betrieb zu setzen, sondern der gleichen
Vorrichtung eine neue Benutzeridentität zuzuordnen.
-
Eine
Vielzahl von Diensten wie die mobile Telephonie (z.B. GSM), die
Transaktionen im Internet per Chipkarten, die schnurlosen Applikationen
im Internet und dergleichen können
in Verbindung mit der vorliegenden Ausführungsform verwendet werden, wie
die Ausführungsform
gemäß 4A.
Je nach Applikationstyp, für
den das in 4A dargestellte Modell verwendet
wird, können
diverse Elemente dieses Systems für die gewünschte Applikation etwas angepasst
werden. Beispielsweise kann der Dienstprovider 47 ein Mobiltelefon-Dienstprovider sein
(beispielsweise ein GSM-Operator), ein schurloser Internet-Dienstprovider
oder dergleichen.
-
Das
Organigramme in 6B zeigt die Schritte für die Ausgabe
von Vorrichtungen an Benutzer gemäß verschiedenen Ausführungsformen
der vorliegenden Erfindung. Zunächst
wird bei Schritt 102 eine bestimmte Anzahl von Schlüsselpaaren
und Identifikationsnummern von Vorrichtungen erzeugt, die jeweils
Vorrichtungen zugeordnet sind, die von dem Hersteller 42 hergestellt
werden sollen und im Allgemeinen auf einer Vorrichtungsliste stehen.
Dieser Erzeugungsschritt 102 kann von der A.C. 14 oder dem
MFG 42 durchgeführt
werden, die als Aufzeichnungsstelle in Beantwortung einer Anfrage
des Dienstproviders 47 fungieren, was als optionaler Schritt 103 dargestellt
ist. Der Hersteller 42 registriert bei Schritt 104 ein
Verzeichnis von Vorrichtungslisten, was die Herstellung einer Zuordnung
zwischen den erzeugten Schlüsseln
und jeder Vorrichtung auf der Vorrichtungsliste ermöglicht.
Für den
Fachmann ist ersichtlich, dass die Schlüsselpaare von dem Dienstprovider 47 anstatt
von der A.C. 14 oder dem MFG 42 erzeugt werden
könnten.
Außerdem
könnten
die Schlüsselpaare
von einem Hardware-Sicherheitsmodul (M.S.M.) erzeugt werden, das
die Schlüsselpaare
innerhalb der Hardware anstatt der Software erzeugt, wobei die genannte
Erzeugung in der Hardware sehr viel zuverlässiger und undurchlässig in
Bezug auf Angriffe (z.B. durch Piraten, usw.) ist. Das M.S.M. kann
zum MFG 42, zur A.C. 14, zum F.S. 47 gehören oder
von anderen gesicherten Stellen realisiert werden.
-
Bei
Schritt 106 wird ein bei Schritt 104 gespeicherter
Bezugs-Cursor auf dem Verzeichnis erzeugt. Der bei Schritt 106 erzeugte
Bezugs-Cursor auf dem Verzeichnis ist ein Cursor, der das Verzeichnis
anzeigt, in dem die Vorrichtung steht, sowie den Sitz dieser Vorrichtung
innerhalb des Verzeichnisses, und kann die kombinierte Form einer
Identifikationsnummer des Verzeichnisses und eines Versatzes der Vorrichtung
aufweisen. Bei Schritt 108 wird dem Dienstprovider 47 eine
Ausgangsdatei geliefert, die die Informationen über den bei Schritt 102 erzeugten öffentlichen
Schlüssel,
den bei Schritt 106 erzeugten Bezugs-Cursor auf dem Verzeichnis
und die Informationen über
die Vorrichtungen enthält,
denen die Informationen über
die Schlüssel
zugeordnet sind. Gemäß einer
Ausführungsform
der vorliegenden Erfindung wird dem Dienstprovider 47 nur
der jeder Vorrichtung zugeordnete öffentliche Schlüssel geliefert, wobei
der innerhalb der Hardware der Vorrichtung selbst registrierte Privatschlüssel geheim
bleibt.
-
Dann
werden die Vorrichtungen bei Schritt 110 von dem Hersteller 42 hergestellt.
Wie bereits erwähnt,
werden gemäß einer
Ausführungsform
der vorliegenden Erfindung die bei Schritt 102 erzeugten Privatschlüssel und
der bei Schritt 106 erzeugte Bezugs-Cursor auf dem Verzeichnis
in der Hardware jeder Vorrichtung registriert. Für den Fachmann ist ersichtlich,
dass zahlreiche Schutzmassnahmen getroffen werden können, um die
Informationen über die öffentlichen
und privaten chiffrierten Schlüssel
in der Hardware einer Vorrichtung zu registrieren. Im Rahmen der
vorliegenden Erfindung können
alle gesicherten Methoden zur Anwendung gelangen, die geeignet sind,
derartige Informationen über
die Schlüssel
zu registrieren.
-
Unabhängig von
den Schritten 104, 106, 108 und 110,
die von dem Hersteller 42 durchgeführt werden, hat die A.C. 14 die
Zertifizierung vorgenommen. Die A.C. 14 zertifiziert die
Vorrichtungen bei Schritt 112 auf der Vorrichtungsliste
und registriert bei Schritt 110 die Identifikationsinformationen
der Vorrichtungen in einer Vorrichtungs-Datenbank 44. Diese
in der Vorrichtungs-Datenbank 44 registrierten
Identifikationsinformationen der Vorrichtungen stehen zur Verfügung, um
später
jede Vorrichtung bei ihrer Verwendung im Handel zu validieren.
-
Der
Hersteller 42 übergibt
die Vorrichtungen dann bei Schritt 116 an den Dienstprovider 47,
und der Dienstprovider 47 übergibt die Vorrichtungen bei Schritt 118 an
den Kunden oder den Benutzer 10. Im Fall eines Mobiltelefonsystems
GSM liefert der Dienstprovider 47 (d.h. der GSM-Operator)
dem Kunden eine SIM-Karte, die der Kunde dann in einem GSM-Telefon
verwenden kann, und der Hersteller 42 ist der Hersteller
der SIM-Karte. Im Fall einer Chipkarte, die als Teil einer Kreditkarte
für gesicherte
Online-Transaktionen
und dergleichen verwendet werden soll, kann der Dienstprovider 47 eine
Kreditkartenfirma und der Hersteller 42 ein Chipkartenhersteller
sein.
-
Demzufolge
handelt der Endbenutzer 10 wie er es vorher mit dem Dienstprovider
gemacht hat, und die darunter liegende Infrastruktur liefert die
Sicherheitskapazität
in Form einer Chipkarte, einer SIM-Karte oder einer ähnlichen
Vorrichtung, die über eine
Vorrichtungsgruppe einem digitalen Zertifikat zugeordnet ist, wobei
die darunter liegende Struktur für
den Benutzer transparent ist.
-
Nach
Auslieferung der Vorrichtung an einen Benutzer, muss der Benutzer
die Vorrichtung dann vor ihrer Verwendung aktivieren. Das System,
in dem die Vorrichtung aktiviert wird, ist in Form eines Funktionsschemas
in 7A dargestellt. Die in 7a dargestellten
Verwendungsschritte des Systems sind auf dem Organigramm gemäß 7B aufgeführt und
werden in Verbindung mit 7A beschrieben.
-
7A zeigt
das System, in dem eine Benutzervorrichtung 45 aktiviert
ist. Das System wendet sich an eine Aktivierungsstelle (AA) 122,
die mit den Vorrichtungen 45, der Vorrichtungs-Datenbank 44, der
Benutzer-Datenbank 30, der Zertifikat-Datenbank 16 und
der A.C. 14 kommuniziert. Optional kann die A.A. 44 an
einen F.S. 47 angeschlossen sein. Die A.C. 14 registriert
Informationen über
die Zertifikate der Benutzer in der Zertifikat-Datenbank 16.
Eine A.E. 12, die optional ein Dienstprovider sein kann,
ist für
den Zugriff auf die Benutzer-Datenbank konfiguriert.
-
Die
Aktivierung beginnt, wenn ein Benutzer bei dem Dienstprovider 47 die
Aktivierung des Dienstes anfordert, wie bei Schritt 126 in 7B gezeigt, über verschiedene
Mittel, die die Benutzervorrichtung 45, den Telefondienst,
das Internet oder dergleichen umfassen. Der F.S. 47 bittet
dann die A.A. 122, den Dienst zu aktivieren unter Verwendung
der Brücke
für die
Vorrichtung des Benutzers 45, die gemäß einer Ausführungsform
der vorliegenden Erfindung ein schnurloses Applikationsprotokoll
(WAP) oder eine Funkbrücke
(OTA) umfassen kann. Bei Schritt 132 wird ermittelt, ob
die Aktivierungsanfrage akzeptiert wird oder nicht. Wird die Aktivierungsanfrage nicht
akzeptiert, kann der A.A. 12 optional eine Ablehnungsnachricht übersendet
werden, wie bei dem optionalen Schritt 134 gezeigt. Dann
endet der Prozess bei Schritt 136. Wenn das Aktivierungsersuchen andererseits
akzeptiert wird, bestehen zwei Möglichkeiten.
Entweder kann die Vorrichtung bei Schritt 140 direkt authentifiziert
werden, oder der optionale Schritt für die Erzeugung eines Benutzerschlüssels bei
dem optionalen Schritt 138 kann erfolgen, bevor die Vorrichtung
bei Schritt 140 authentifiziert wird. Die Weise, wie das
Benutzerschlüsselpaar
bei Schritt 138 erzeugt wird, ist ausführlicher in 7C dargestellt.
Nach der Authentifizierung der Vorrichtung wird bei Schritt 141 ein
Benutzerzertifikat erzeugt, und die A.A. 122 sendet die
Ergebnisse bei Schritt 142 an den F.S. 47.
-
Die
Schritte für
die Erzeugung eines Benutzer-Schlüsselpaars
gemäß einer
Ausführungsform der
vorliegenden Erfindung sind auf dem Organigramm gemäß 7C dargestellt.
Nachdem die Benutzervorrichtung 120 von dem Benutzer aktiviert wurde,
was beispielsweise die Eingabe einer persönlichen Identifikationsnummer,
eines Passworts oder eines Zugriffscodes umfassen kann, wird bei
Schritt 144 innerhalb der Hardware der Vorrichtung 120 ein Benutzer-Schlüsselpaar
erzeugt. Da das Benutzer-Schlüsselpaar
innerhalb der Hardware erzeugt wird, ist es gesicherter und kann
weniger kopiert werden als ein Software-Schlüsselpaar. Es könnten jedoch
andere Techniken für
die Erzeugung von Schlüsseln
im Rahmen der vorliegenden Erfindung zur Anwendung gelangen, mit
unterschiedlichen Sicherheitsgraden. Die Vorrichtung 120 signiert
dann bei Schritt 146 den bei Schritt 144 erzeugten öffentlichen
Benutzerschlüssel
mit dem privaten Vorrichtungsschlüssel. Dieser signierte öffentliche
Benutzerschlüssel
wird dann bei Schritt 148 übertragen, und wenn er von
der A.A. 122 oder einer anderen an der Identifikation von
Vorrichtungen beteiligten Stelle empfangen wurde, wird er bei Schritt 150 anhand
eines öffentlichen
Benutzerschlüssels
dechiffriert. Gemäß Schritt 152 kann
der öffentliche
Benutzerschlüssel
optional in einer System-Datenbank als zukünftige Referenz bei zukünftigen
Transaktionen registriert werden (beispielsweise für Authentifizierungszwecke).
Diese Benutzerzertifikate werden in der Benutzerzertifikat-Datenbank 125 registriert.
-
Dank
der oben beschriebenen Technik ist die den öffentlichen Benutzerschlüssel dechiffrierende Stelle
quasi sicher, dass das Benutzer-Schlüsselpaar auf einer gesicherten
Vorrichtung erzeugt wurde, da es mit dem geeigneten privaten Vorrichtungsschlüssel signiert
werden muss. Gemäß einer
Ausführungsform
der vorliegenden Erfindung wird die Signaturtechnik eines Benutzerschlüssels mit
dem privaten Vorrichtungsschlüssel
so realisiert, dass nur die von der Vorrichtung erzeugten Schlüssel berechtigt
sind, von dem privaten Vorrichtungsschlüssel signiert zu werden, wodurch
sichergestellt wird, dass das Benutzer-Schlüsselpaar
innerhalb der Vorrichtung erstellt wurde. Da eine persönliche Identifikationsnummer, ein
Zugriffscode oder dergleichen erforderlich ist, um auf die Vorrichtung
zuzugreifen, muss ein berechtigter Benutzer im Besitz der Vorrichtung
sein, wenn ein derartiger Schlüssel
erzeugt wird.
-
8 ist
ein Organigramm, das zeigt, wie das System von Vorrichtungslosen
gemäß 4A und
das Aktivierungssystem von Vorrichtungen gemäß 7A nach
einer Ausführungsform
der vorliegenden Erfindung in Zusammenhang stehen. Dazu ist zu bemerken,
dass der Hersteller 42 als Aufzeichnungsstelle fungieren
kann, wie bereits vorher beschrieben. Für den Fachmann ist jedoch ersichtlich, dass
auch eine andere getrennte Vorrichtung als Aufzeichnungsstelle verwendet
werden könnte.
Ferner kann die oben beschriebene Aufzeichnungsstelle (A.E.) 12 einen
Dienstprovider wie den F.S. 47 umfassen. Die A.C. 14 ist
in Kommunikation gleichzeitig mit dem MFG 42 und der A.A. 122 dargestellt.
Gemäß einer
Ausführungsform
der vorliegenden Erfindung kann die mit dem MFG 42 in Verbindung
stehende A.C. 14 sich auf Vorrichtungszertifikate beziehen,
während
die mit der A.A. 122 in Verbindung stehende A.C. 14 sich
auf Benutzerzertifikate beziehen kann. Demnach kann die Funktionalität der A.C. 14 in Vorrichtungs-
und Benutzerfunktionen unterteilt werden, die in der gleichen physikalischen
Vorrichtung oder in getrennten physikalischen Vorrichtungen realisiert
werden.
-
Das
für die
Validierung der Transaktionen verwendete Validierungssystem gemäß einer
Ausführungsform
der vorliegenden Erfindung ist in 9A dargestellt.
Die Organigramme der 9B und 9C zeigen
ausführlich
die Schritte für
die von dem Validierungssystem gemäß 9A durchgeführte Validierung
und werden in Verbindung mit 9A beschrieben.
-
In 9A kommuniziert
eine Validierungsstelle (A.V.) 154 mit einer Benutzervorrichtung 120 über einen
Applikationsprovider 158 oder optional direkt mit der Vorrichtung.
Für den
Fachmann ist ersichtlich, dass dies über eine Brücke erfolgen könnte, die
der Benutzervorrichtung 120 über andere Stellen zugänglich ist,
wie der Dienstprovider oder dergleichen. Die A.V. 154 kommuniziert
ebenfalls über
den Applikationsprovider 158 mit dem Zahlungsbearbeitungszentrum 162.
Die Transaktionsquittungen werden von der A.V. 154 in der
Transaktionsquittungs-Datenbank 160 registriert, während die
Benutzerzertifikate in der Benutzerzertifikat-Datenbank 125 registriert
werden, auf die die A.V. 154 zugreifen kann. Die Transaktionsquittungs-Datenbank 160 kann
optional ebenfalls dem Applikationsprovider 158 und eine
Vorrichtungs-Datenbank 44 kann optional der A.V. 154 zugänglich sein.
-
Das
in 9A dargestellte Validierungssystem wird verwendet,
wenn eine Benutzervorrichtung 120 während Handelstransaktionen
(z.B. über
ein Netz) eine signierte Transaktionsnachricht überträgt, wie bei Schritt 164 in 9B gezeigt,
die dann bei Schritt 166 an die A.V. 154 gesendet
wird. Die Transaktionsnachricht kann optional direkt oder über eine Brückenvorrichtung
an die A.V. 154 übertragen
werden. In einem solchen Fall, wie bei dem optionalen Schritt 165 gezeigt,
kann eine Quittungsbestätigung der
signierten, bei Schritt 164 übertragenen Transaktionsnachricht
bei Schritt 165 über
die Brücke
an die Benutzervorrichtung geliefert werden. Die A.V. 154 bearbeitet
dann bei Schritt 168 die Validierungsanfrage, deren Details
in Verbindung mit 9C beschrieben werden. Nach
Beendigung des Validierungsprozesses bei Schritt 168 können die
Ergebnisse der Validierung bei Schritt 170 optional an
eine Brücke
oder eine andere Vorrichtung übertragen
werden.
-
Bei
Schritt 172 wird ermittelt, ob die Transaktionsnachricht
gültig
ist oder nicht. Wenn bei Schritt 172 ermittelt wird, dass
bei Schritt 172 eine Transaktion nicht validiert wurde,
kann bei Schritt 174 optional eine Ablehnung der Nachricht
an einen Benutzer übertragen
werden, wonach der Prozess bei Schritt 176 endet. Wenn
bei Schritt 172 jedoch ermittelt wird, dass die Transaktion
bei Schritt 172 validiert wurde, wird die validierte Transaktion
dann von der A.V. 154 bei Schritt 178 an den Applikationsprovider 158 übertragen.
Der Applikationsprovider 158 kann die Zahlung optional
bei Schritt 180 bearbeiten, unter Verwendung des Zahlungsbearbeitungszentrums 162. Nachdem
der Applikationsprovider 158 die validierte Transaktion
empfangen hat, wird die Transaktion bei Schritt 182 von
dem Applikationsprovider 158 realisiert. Nach der Realisierung
dieser Transaktion werden die Ergebnisse bei Schritt 184 an
den Benutzer zurück
gesendet.
-
Die
Validierungstechnik des Schritts 168 gemäß 9B ist
ausführlicher
auf dem Organigramm in 9C dargestellt. In 9C wird
die Validierungsanfrage von der A.V. 154 bearbeitet, indem
sie bei Schritt 186 zunächst
das Benutzerzertifikat und die diesem Benutzer zugeordnete Zertifikatkette
validiert. Die Zertifikatkette, die bei Schritt 186 validiert werden
kann, wird ausführlicher
unter Bezugnahme auf 10 beschrieben. Die Vorrichtung
kann optional bei Schritt 187 validiert werden. Dann wird
die Anfrage übersetzt
und die Signatur bei Schritt 188 geprüft. Danach wird bei Schritt 190 eine
gesicherte Zeitmarke erzeugt, und die Transaktion wird bei Schritt 192 signiert
und in Form einer elektronischen Quittung in der Transaktionsquittungs-Datenbank 160 registriert.
-
Durch
die Validierung bei Schritt 186 des Benutzerzertifikats
und der Kette der dem Benutzerzertifikat zugeordneten Zertifikate
kann die A.V. 154 die Benutzerzertifikat-Datenbank 125 befragen,
die ebenfalls einzusehende Widerrufungslisten enthalten kann. Optional
kann die A.V. 154 eine Vorrichtungs-Datenbank 44 befragen, um zu
ermitteln, ob eine Vorrichtungsgenehmigung nicht widerrufen wurde.
Für den
Fachmann ist ersichtlich, dass die externen Authentifizierungsstellen
benutzt werden können,
um gleichzeitig die Benutzerzertifikate und eine Kette von einem
Benutzerzertifikat zugeordneten Zertifikaten zu authentifizieren.
Derartige Ressourcen können
beispielsweise Organigramme mit Standard-Widerrufungslisten umfassen, mit verschiedenen
Stellen für
die Kontrolle der im Handel im Internet verwendeten Zertifikate.
-
10 zeigt
eine hierarchisierte Zertifikatkette. Diese einer Benutzerkette
zugeordnete Zertifikatkette wird von der A.V. 154 bei Schritt 186 in 9C validiert. 10 zeigt
eine Wurzel-A.C., die einer bestimmten Anzahl von Mitglieds-A.C.
zugeordnet ist. Die Wurzel-A.C. ist zuständig für die Ausgabe von Zertifikaten
an die Mitglieds-A.C. Die Mitglieds-A.C. liefern Zertifikate an
A.C. zweiten Rangs, die Zertifikate an Unternehmen liefern. Die
Unternehmen liefern dann Zertifikate an die Benutzer, die Kunden,
Mitarbeiter, usw. sein können.
Wenn demzufolge ein Benutzerzertifikat validiert und der Benutzer authentifiziert
ist, muss nicht nur das Benutzerzertifikat sondern auch die gesamte
Kette vom Benutzer bis zur Wurzel-A.C. validiert werden.
-
Wenn
beispielsweise das Zertifikat der Wurzel-A.C. widerrufen wurde, wären alle
an jede der in 10 dargestellten Stellen gelieferten
Zertifikate ungültig.
Wenn das Zertifikat einer Mitglieds-A.C. widerrufen wird, dann wären die
Zertifikate der A.C. zweiten Rangs, der Unternehmen und der entsprechenden
Benutzer, die entweder direkt oder indirekt von der Mitglieds-A.C.,
deren Zertifikate widerrufen wurden, Zertifikate erhalten, ebenfalls
ungültig.
Wenn demzufolge ein Benutzerzertifikat validiert werden soll, muss
die Ausgabefirma, die das Zertifikat an den Benutzer ausgegeben
hat, ihr Zertifikat ebenfalls validieren lassen, gemeinsam mit den
Zertifikaten der A.C. zweiten Rangs, der Mitglieds-A.C. und der
Wurzel-A.C. direkt über der
Firma in der in 9 dargestellten Hierarchie,
um zu garantieren, dass das Benutzerzertifikat gültig ist und dass die Identität der Benutzervorrichtung
korrekt authentifiziert werden kann. Diese Validierung erfolgt im
Allgemeinen von oben nach unten, wobei zuerst die Wurzel-A.C. geprüft wird,
gefolgt von der Identifikation jeder Stelle unter der Wurzel-A.C.
bis zur Benutzer-A.C.
-
Ein
Beispiel für
eine Hierarchie des in 10 dargestellten Typs ist das
weltweite Banksystem. Bei dem weltweiten Banksystem, das für Geldwechseltransaktionen
von Vorrichtungen verwendet wird, die über gemäß einer Ausführungsform
der vorliegenden Erfindung ausgegebene Zertifikate verfügen, ist
die Wurzel-A.C. die Wurzel-A.C. Identrus. Die Mitglieds-A.C. würden etwa
sieben Hauptbanken, insbesondere die Hauptbanken wie Chase, Citibank,
Deutsche Bank und andere umfassen. Fast 30 A.C. zweiten Rangs würden direkt
unter jeder Hauptbank angeordnet sein. Alle A.C. zweiten Rangs hätten ca. 80.000
Firmen direkt unter sich was den Handel anbetrifft, wobei jede von
ihnen zahlreiche Benutzer direkt unter sich haben kann. Der Vorteil,
eine Hierarchie des in 10 dargestellten Typs zu verwenden, besteht
darin, dass ein eine Vorrichtung verwendender Benutzer nur ein einziges
Wurzel-Zertifikat zu prüfen
braucht, was besonders vorteilhaft ist aufgrund des Speichers und
der begrenzten Bandbreitenkapazitäten zahlreicher Vorrichtungen.
-
Wenn
die Vorrichtung validiert ist, kann sie verwendet werden, und man
kann auf Informationen über
die Präferenzen
und/oder das Profil des Benutzers zugreifen, dem die Vorrichtung 45 gehört. In einem
solchen Fall kann der Applikationsprovider 158 gemäß 11 von
der Vorrichtung 45, die in Verbindung mit einem Applikationsprovider 158 über eine Brücke 156 dargestellt
ist, verlangen, dass sie bestimmte Informationen über den
Benutzer und/oder eine Personalisierung liefert. Für den Fachmann
ist ersichtlich, dass man veranlassen könnte, dass die Vorrichtung 45 direkt
mit dem Applikationsprovider 158 kommuniziert. Üblicherweise
verlangt der Applikationsprovider 158 derartige Informationen
in Form eines „Cookies", der eine kleine,
in dem Speicher der Vorrichtung 45 registrierte personalisierte
Datei ist. Aufgrund der Größen- und
Speichervorgaben bestimmter Vorrichtungen, würde das Aufzeichnen der entscheidenden
Daten in einer oder mehreren Cookie-Dateien im Festspeicher der Vorrichtung 45 die
Vorrichtung 45 überlasten.
Außerdem
kann der Transfer dieser Daten über
langsamere Netzanschlüsse
das Netz überlasten,
indem die Anforderungen hinsichtlich der Bandbreite für jede derartige Cookie-Informationen
verwendende Vorrichtung erhöht
werden.
-
Demzufolge
kann gemäß einer
Ausführungsform
der vorliegenden Erfindung ein Cursor 196 auf der Benutzervorrichtung 45 vorgesehen
sein, der ein an einem entfernten, durch eine URL-Profiladresse 200 identifizierten
Platz angeordneten Cookie kennzeichnet. In dieser Weise kann der
die Vorrichtung 45 verwendende Benutzer alle Vorteile hinsichtlich
der Personalisierungs- und Profilinformationen nutzen, um eine personalisierte
Erfahrung des Applikationsproviders 158 zu erhalten, als
wäre der
Cookie auf der Vorrichtung 45 gespeichert, bei gleichzeitiger
Minimierung der auf der Vorrichtung 45 erforderlichen Speichermenge,
um derartige Informationen zu speichern, oder der für den Transfer
solcher Informationen erforderlichen Bandbreite. Man kann auf die
Profilinformationen des Cookies während der Startroutine der
Vorrichtung 45 oder bei der Verwendung der Vorrichtung 45 in
einer Applikation zugreifen, die in dem Cookie registrierte Informationen
verlangt. Davon kann man ableiten, dass die vorliegende Erfindung
ein Verfahren vorschlägt,
mit dem eine gewaltige Gruppe von Vorrichtungen mit einem einzigen digitalen
Zertifikat oder einer einzigen Urkunde innerhalb der Genehmigungsinfrastruktur,
wie das System I.C.P. oder dergleichen, verbunden werden kann. Demnach
schlägt
die vorliegende Erfindung eine Weise vor, in der die Kosten für die Ausgabe
von Zertifikaten für
eine große
Anzahl von Vorrichtungen minimiert werden können, wobei die Sicherheitsmassnahmen
für die
digitalen Zertifikate für
die Benutzer leicht zugänglich
und fast transparent gemacht werden, und so einen Teil von bereits
bestehenden Systemen bilden, an die die Benutzer bereits gewöhnt sind.
Außerdem
ermöglicht
die vorliegende Erfindung Benutzerschlüsselpaaren, gesichert erstellt
und/oder einer Vorrichtung hinzugefügt zu werden, die einem Vorrichtungszertifikat
leicht identifizierbar, unwiderrufen und in Übereinstimmung mit weltweit
diversen Gesetzen bezüglich
der digitalen Signatur zugeordnet sind. Schließlich schlägt die vorliegende Erfindung
eine Technik vor, dank der Informationen über die Präferenzen und das Profil des
Benutzers registriert und anhand einer Benutzervorrichtung abgefragt werden
können,
ohne große
Speichermengen auf der Vorrichtung selbst zu benötigen.
-
Der
Fachmann wird zu schätzen
wissen, dass die vorliegende Erfindung in anderen spezifischen Formen
realisiert werden kann, ohne ihren Sinn oder Hauptmerkmale derselben
zu verlassen. Die Erfindung wurde beispielsweise für den Bereich der
Verwendung von Chipkarten in einer I.C.P.-Umgebung beschrieben,
die in mobilen GSM-Telefonsystemen verwendete SIM-Karten umfasst.
Das Verfahren der vorliegenden Erfindung kann jedoch in allen Sicherheits-Infrastruktursystemen
verwendet werden, die digitale Zertifikate liefern, um Benutzer und/oder
Vorrichtungen zu authentifizieren und Transaktionen zu validieren.
Ferner darf die vorliegende Erfindung nicht auf Chipkarten und/oder SIM-Karten
begrenzt werden, da sie in einer Vielzahl von Vorrichtungen zur
Anwendung gelangen kann, die in der Lage sind, Informationen über digitale
Zertifikate und Schlüssel
zu speichern. Außerdem
ist vorgesehen, dass Informationen über die Präferenzen oder das Profil des
Benutzers, die dem Benutzerzertifikat zugeordnet sind, an anderer
Stelle in einer Vorrichtung registriert werden können, wie an einem zentralen,
von einem in der Vorrichtung gespeicherten Cursor gekennzeichneten
Platz.
-
Die
in dieser Unterlage beschriebenen Ausführungsformen sind demnach in
jeder Hinsicht als nicht begrenzende Beispiele zu betrachten.