ES2827949T3 - Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático - Google Patents

Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático Download PDF

Info

Publication number
ES2827949T3
ES2827949T3 ES16731171T ES16731171T ES2827949T3 ES 2827949 T3 ES2827949 T3 ES 2827949T3 ES 16731171 T ES16731171 T ES 16731171T ES 16731171 T ES16731171 T ES 16731171T ES 2827949 T3 ES2827949 T3 ES 2827949T3
Authority
ES
Spain
Prior art keywords
token
attributes
computer system
attribute
provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16731171T
Other languages
English (en)
Inventor
Steffen Scholze
Matthias Schwan
Frank Müller
Klaus-Dieter Wirth
Elke Filzhuth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Application granted granted Critical
Publication of ES2827949T3 publication Critical patent/ES2827949T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

Procedimiento para la lectura de atributos desde un ID-Token (106), el cual está asociado a un usuario (102), presentando el ID-Token (106) una memoria (118) electrónica no volátil con una zona (124) de memoria protegida, en la cual están almacenados atributos, siendo posible un acceso a la zona de memoria protegida solo a través de un procesador (128) del ID-Token (106), y presentando el ID-Token (106) una interfaz (108) de comunicaciones para la comunicación con un aparato (101) de lectura de un sistema (100) informático de usuario, con los siguientes pasos: - envío de una solicitud (103) de servicio del usuario (102) desde el sistema (100) informático de usuario a través de una red (116) a un sistema (150) informático de servicio, el cual está acoplado con un sistema (136) informático proveedor de ID, - envío de una primera especificación (105) de atributos desde el sistema (150) informático de servicio al sistema (136) informático proveedor de ID a través de la red (116), especificando la primera especificación (105) de atributos aquellos atributos que necesita el sistema (150) informático de servicio para la aportación del servicio solicitado con la solicitud de servicio, - autenticación del usuario (102) con respecto al ID-Token (106), - autenticación del sistema (136) informático proveedor de ID con respecto al ID-Token (106), - autenticación del ID-Token (106) con respecto al sistema (136) informático proveedor de ID, - establecimiento de un primer canal (SM[CA] 1) de transmisión seguro con cifrado de extremo a extremo entre el ID-token (106) y el sistema (136) informático proveedor de ID a través de la red (116), - realización de un primer acceso (107) de lectura del sistema (136) informático proveedor de ID al ID-Token (106) para la lectura desde el ID-Token (106) de los atributos de acuerdo con la primera especificación (105) de atributos, - transmisión de un primer subconjunto, almacenado en la zona (124) de memoria del ID-Token (106), de los atributos especificados en la primera especificación (105) de atributos desde el ID-Token (106) al sistema (136) informático proveedor de ID a través del primer canal (SM[CA] 1) de transmisión seguro, - generación de una segunda especificación (111) de atributos de un segundo subconjunto de los atributos de la primera especificación (105) de atributos, la cual especifica aquellos atributos los cuales no están incluidos en el primer subconjunto, y transmisión de la segunda especificación (111) de atributos desde el sistema (136) informático proveedor de ID al ID-Token (106) a través del primer canal (SM[CA] 1) de transmisión seguro, - almacenamiento de la segunda especificación (111) de atributos en el ID-Token (106), - autenticación de un sistema (172, 173, 174) informático proveedor de atributos con respecto al ID-Token (106), - autenticación del ID-Token (106) con respecto al sistema (172, 173, 174) informático proveedor de atributos, - establecimiento de un segundo canal (SM[CA] 2) de transmisión seguro con cifrado de extremo a extremo entre el sistema (172, 173, 174) informático proveedor de atributos y el ID-Token (106), manteniéndose el primer canal (SM[CA] 1) de transmisión seguro, - transmisión de la segunda especificación (111) de atributos desde el ID-Token (106) a través del segundo canal (SM[CA] 1) de transmisión seguro al sistema (172, 173, 174) informático proveedor de atributos, - realización de un acceso de escritura del sistema (172, 173, 174) informático proveedor de atributos a través del segundo canal (SM[CA] 2) de transmisión seguro para el almacenamiento en el ID-Token (106) de atributos de acuerdo con la segunda especificación (111) de atributos, - realización de un segundo acceso de lectura del sistema (136) informático proveedor de ID a través del primer canal (SM[CA] 1) de transmisión seguro para la lectura de los atributos de acuerdo con la segunda especificación (111) de atributos almacenados en el ID-Token (106) por el sistema (172, 173, 174) informático proveedor de atributos, - emisión de los atributos leídos, a causa de los accesos de lectura por el sistema (136) informático proveedor de ID desde el ID-Token (106), al sistema (150) informático de servicio, - borrado de los atributos de acuerdo con la segunda especificación (111) de atributos después del acceso de lectura.

Description

DESCRIPCIÓN
Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático
La invención se refiere a un procedimiento para la lectura de atributos desde un ID-Token, un ID-Token, un sistema informático proveedor de atributos y un sistema informático.
A partir del estado de la técnica son conocidos diferentes procedimientos para la administración de la denominada identidad digital de un usuario:
Microsoft Windows CardSpace es un sistema de identidad digital basado en cliente, el cual debe posibilitar a usuarios de Internet compartir su identidad digital con respecto a servicios online. Desventajoso es en este caso, entro otros, que el usuario puede manipular su identidad digital.
En el caso de OPENID se trata, por el contrario, de un sistema basado en servidor. Un denominado servidor de identidades almacena una base de datos con identidades digitales de los usuarios registrados. Desventajoso es en esto, en otros, una protección de datos deficiente, dado que las identidades digitales de los usuarios se almacenan de manera central y se puede registrar el comportamiento del usuario.
A partir del documento US 2007/0294431 A1 es conocido otro procedimiento para la administración de identidades digitales, el cual requiere también un registro de usuario.
El documento DE 102008000067 A1 describe un procedimiento para la lectura de al menos un atributo desde un ID-Token, del cual parte la presente invención como estado de la técnica más afín. Perfeccionamientos de este procedimiento se dan a conocer en las solicitudes de patente DE 10 2008 040 416, DE 10 2008 042 262, DE 10 2009026 953, DE 102009027723, DE 102009027681 y DE 102010028133.
La invención tiene, por el contrario, la misión subyacente de proporcionar un procedimiento mejorado para la administración de atributos desde un ID-Token, así como un correspondiente ID-Token y un sistema informático. Las misiones subyacentes de la invención se resuelven respectivamente con las características de las reivindicaciones independientes. Formas de realización de la invención son objeto de las reivindicaciones dependientes.
Bajo un “ID-Token” en la presente se entiende, en particular, un aparato electrónico portátil, el cual presenta al menos una memoria de datos electrónica protegida para el almacenamiento de los atributos y una interfaz de comunicaciones para la lectura de los atributos. La zona de memoria está protegida para evitar que el atributo almacenado en la zona de memoria se modifique de manera no permitida o se lea sin la autorización necesaria para ello. Con otras palabras, solo se puede acceder a la zona de memoria cuando para ello se ha dado la autorización de acceso necesaria.
En particular, en el caso del ID-Token se puede tratar de un lápiz USB o un documento, en particular, un documento de valor o de seguridad. Bajo un “documento de valor” se entienden, de acuerdo con la invención, documentos basados en papel y/o basados en plástico como, por ejemplo, documentos de identidad electrónicos, en particular, pasaportes, documentos de identidad personal, visados, así como carnets de conducir, registro de vehículos, títulos de vehículos, tarjetas de empresas, tarjetas sanitarias u otros documentos de ID, así como también tarjetas con chip, en particular, con interfaz de RFID y/o de NFC, medios de pago, en particular, billetes, tarjetas bancarias y tarjetas de crédito, cartas de porte u otras credenciales, en las cuales está integrada una memoria de datos para el almacenamiento del al menos un atributo.
En el caso del ID-Token se puede tratar de un token de hardware o de un token software, cuando esté está vinculado criptográficamente a un token hardware, es decir, por ejemplo, a un denominado elemento seguro.
En particular, se puede generar un token de software criptográfico de este tipo vinculado a un elemento seguro, de acuerdo con el documento DE 10 2011 082 101, cuyo contenido de divulgación se incluye completamente al contenido de divulgación de la presente solicitud de patente.
Bajo un “sistema informático proveedor de ID” se entiende aquí un sistema informático el cual está configurado para la lectura de atributos desde el ID-Token de un usuario y para la escritura de una especificación de atributos en el ID-Token. Preferiblemente, el sistema informático proveedor de ID funciona en un denominado centro de confianza, para lograr una medida lo más alta posible en seguridad.
Bajo un “sistema informático proveedor de atributos” se entiende aquí un sistema informático el cual está configurado para la lectura de una especificación de atributos desde el ID-Token y para la escritura de atributos en el ID-Token.
Bajo un “atributo” se entienden aquí, en particular, datos, que se refieren al usuario del ID-Token o al propio ID-Token, en particular, datos de personalización como, por ejemplo, datos personales del usuario, una vigencia o un editor del ID-Token o una información de pago como, por ejemplo, datos de tarjeta de crédito u otros datos para un sistema de pago electrónico.
Bajo una “especificación de atributos” se entiende aquí una descripción de aquellos atributos que se requieren, por ejemplo, por un sistema informático de servicio para la aportación de un servicio. Los atributos pueden identificarse a través de nombres de campo de campos de datos, en los cuales están almacenados los respectivos valores de atributo, y/o a través de una red semántica, es decir, una convención de cómo se referencian atributos en todo el sistema.
Bajo un “sistema informático de servicio” se entiende aquí un sistema informático el cual dispone de una interfaz de red para la conexión con la red, de modo que, con ayuda de un navegador de Internet u otro programa de aplicación, se puede acceder a páginas de Internet almacenadas o generadas por el sistema informático de servicio. En particular, en el caso del sistema informático de servicio se puede tratar de un servidor de internet para proporcionar una aplicación de e-comercio o de e-gobierno, en particular, una tienda online o un servidor de las autoridades. Bajo un “sistema informático de usuario” se entiende aquí un sistema informático al cual tiene acceso el usuario. En este caso, puede tratarse, por ejemplo, de una computadora personal (PC), una tableta PC, un dispositivo de telefonía móvil, en particular, un teléfono inteligente, con un navegador de Intemet habitual como, por ejemplo, Internet Explorer, Safari, Google Chrome, Firefox, u otro programa de aplicación para el acceso al sistema informático de servicio. El sistema informático de usuario tiene una interfaz para la conexión con la red, pudiendo tratarse en el caso de la red de una red privada o una red pública, en particular, el Internet. Según cada forma de realización, está conexión también puede establecerse a través de una red de telefonía móvil.
Bajo un “aparto de lectura” se entiende aquí un aparato electrónico, el cual posibilita un acceso de lectura y, también, un acceso de escritura al ID-Token, en particular, un denominado terminal de tarjeta con chip. El aparato de lectura puede formar un componente integral del sistema informático de usuario o estar configurado como componente separado, por ejemplo, como aparato periférico del sistema informático de usuario, en particular, en el caso del aparato de lectura se puede tratar de un aparato de lectura de tarjeta con chip de clase 1, 2 o 3.
Bajo una “interfaz de comunicaciones” se entiende aquí un interfaz a través de la cual se pueden recibir y enviar datos, pudiendo estar la interfaz de comunicaciones configurada con contacto y/o sin contacto, por ejemplo, según un estándar de RFID y/o de NFC.
Bajo un “valor de resumen” se entiende un valor, en particular, un valor de comprobación, el cual se calculó con un algoritmo de resumen a partir de un valor de origen, por ejemplo, un valor de atributo. Los valores de entrada pueden presentar diferentes longitudes. Los valores de resumen tienen, normalmente, una longitud fija definida, de modo que se pueden procesar adicionalmente de forma óptima por una función de firma.
Un algoritmo de resumen es una función la cual, a partir de un valor de origen con longitud variable, por ejemplo, un valor de atributo, puede calcular un valor con longitud fija, un denominado valor de resumen. Un algoritmo de resumen de este tipo tiene además las siguientes propiedades: el cálculo del valor de origen a partir del valor (de resumen) calculado debe ser prácticamente imposible. Además, los valores de resumen calculados deben ser lo más resistentes a colisión posibles, es decir, debe ser prácticamente imposible encontrar diferentes valores de origen para los cuales da como resultado el mismo valor de resumen calculado.
Bajo “combinación de los valores de resumen” se entiende cualquier posibilidad de generar un nuevo valor a partir de varios valores de resumen. No es necesario que mediante esta combinación resulte un nuevo valor de resumen. Los valores de resumen pueden, por ejemplo, combinarse o concatenarse.
Bajo una “memoria electrónica no volátil” se entiende aquí una memoria para el almacenamiento de datos, en particular, de atributos, la cual también puede denominarse non-volatile memory (NVM). En particular, en este caso puede tratarse de una EEPROM, por ejemplo, una flash-EEPROM, denominada abreviada como flash.
Bajo una “zona de memoria protegida” se entiende aquí una zona de memoria a la que se posibilita un acceso, es decir un acceso de lectura y/o un acceso de escritura, por un procesador acoplado con la memoria solo cuando se cumple una condición necesaria para ello. En este caso, se puede tratar, por ejemplo, de una condición criptográfica, en particular, una autenticación exitosa y/o una comprobación de autorización exitosa.
Bajo un “procesador”, se entiende aquí un circuito lógico, el cual sirve para la ejecución de instrucciones de programa. El circuito lógico puede estar implementado en uno o varios componentes discretos, en particular, en un chip.
Bajo un “certificado”, se entiende aquí un certificado digital el cual se denomina también certificado de clave pública. En el caso del certificado se trata de datos estructurados, los cuales sirven para asociar una clave pública de un sistema criptográfico asimétrico a una identidad como, por ejemplo, una persona o un dispositivo. Alternativamente, también son posibles certificados basados en sistemas criptográficos de conocimiento cero. Por ejemplo el certificado puede ser cumplir con el estándar X.509 u otro estándar. Por ejemplo, en el caso del certificado se trata de un certificado verificable por tarjeta (CVC).
En el certificado pue estar especificado para qué atributo o qué atributos del usuario, los cuales están almacenados en la zona de memoria protegida del ID-Token, está autorizado el sistema informático proveedor de ID o bien el sistema informático proveedor de atributos para realizar el acceso de lectura. Además, en un certificado también pueden estar especificados los respectivos permisos de lectura para especificaciones de atributos o para atributos. Un certificado de este tipo también se denomina certificado de autorización.
Un primer aspecto de la invención describe un procedimiento para la administración de atributos desde un ID-Token de un usuario con los siguientes pasos:
- envío de una solicitud de servicio del usuario desde el sistema informático de usuario a través de una red a un sistema informático de servicio, el cual está acoplado con un sistema informático proveedor de ID, - envío de una primera especificación de atributos desde el sistema informático de servicio al sistema informático proveedor de ID a través de la red, especificando la primera especificación de atributos aquellos atributos que necesita el sistema informático de servicio para la aportación del servicio solicitado con la solicitud de servicio,
- autenticación del usuario con respecto al ID-Token,
- autenticación del sistema informático proveedor de ID con respecto al ID-Token,
- autenticación del ID-Token con respecto al sistema informático proveedor de ID,
- establecimiento de un primer canal de transmisión seguro con cifrado de extremo a extremo entre el ID-token y el sistema informático proveedor de ID a través de la red,
- realización de un primer acceso de lectura del sistema informático proveedor de ID al ID-Token para la lectura desde el ID-Token de los atributos de acuerdo con la primera especificación de atributos,
- transmisión de un primer subconjunto, almacenado en la zona de memoria del ID-Token, de los atributos especificados en la primera especificación de atributos desde el ID-Token al sistema informático proveedor de ID a través del primer canal de transmisión seguro,
- generación de una segunda especificación de atributos de un segundo subconjunto de los atributos de la primera especificación de atributos, la cual especifica aquellos atributos los cuales no están incluidos en el primer subconjunto, y transmisión de la segunda especificación de atributos desde el sistema informático proveedor de ID al ID-Token a través del primer canal de transmisión seguro,
- almacenamiento de la segunda especificación de atributos en el ID-Token,
- autenticación de un sistema informático proveedor de atributos con respecto al ID-Token,
- autenticación del ID-Token con respecto al sistema informático proveedor de atributos,
- establecimiento de un segundo canal de transmisión seguro con cifrado de extremo a extremo entre el sistema informático proveedor de atributos y el ID-Token, manteniéndose el primer canal de transmisión seguro,
- transmisión de la segunda especificación de atributos desde el ID-Token a través del segundo canal de transmisión seguro al sistema informático proveedor de atributos,
- realización de un acceso de escritura del sistema informático proveedor de atributos a través del segundo canal de transmisión seguro para el almacenamiento en el ID-Token de atributos de acuerdo con la segunda especificación de atributos,
- realización de un segundo acceso de lectura del sistema informático proveedor de ID a través del primer canal de transmisión seguro para la lectura de los atributos almacenados en el ID-Token de acuerdo con la segunda especificación de atributos por el sistema informático proveedor de atributos,
- emisión de los atributos leídos, a causa de los accesos de lectura por el sistema informático proveedor de ID, desde el ID-Token al sistema informático de servicio,
- borrado de los atributos de acuerdo con la segunda especificación de atributos después del acceso de lectura.
Las formas de realización de la invención son particularmente ventajosas dado que posibilitan la inclusión de un sistema informático proveedor de atributos adicional, el cual puede suministrar atributos, los cuales en primer lugar no existen en el ID-Token. Esto puede tener lugar con la misma seguridad y confianza como es el caso para los atributos almacenados originalmente en el ID-Token y, también, bajo protección de la autodeterminación informacional del usuario y el mandamiento del ahorro de datos, dado que no tiene que tener lugar una notificación de los atributos almacenados originalmente en el ID-Token al sistema informático proveedor de atributos. Dado que los atributos descargados después del proceso de lectura se borran de nuevo, además se garantiza que estos atributos solo se utilicen para el respectivo proceso de lectura. Una lectura no autorizada de los atributos descargados en un posterior segundo proceso de lectura no es, por lo tanto, posible. El usuario conserva, por lo tanto, la completa soberanía de datos sobre los datos almacenados en el ID-Token. Además, se evita que en el ID-Token se almacenen muchos atributos innecesariamente los cuales, dado el caso, no se necesitan por otras aplicaciones.
Según una forma de realización, en el ID-Token se almacenan los valores de resumen, generados con un algoritmo de resumen, de los atributos de acuerdo con la segunda especificación de atributos. Los valores de resumen se borran junto con los atributos. Mediante los valores de resumen almacenados en el ID-Token se puede facilitar, por ejemplo, un proceso de firma. Mediante el almacenamiento de los valores de resumen se evita que durante el envío de los atributos, al mismo tiempo, se tengan que determinar los valores de resumen, por lo cual, se produciría un costo de cálculo aumentado. Mediante el borrado en conjunto con los atributos se garantiza además que los valores de resumen no se puedan utilizar por otras aplicaciones.
Según una forma de realización, los valores de resumen de los atributos se generan con un algoritmo de resumen almacenado en el ID-Token y se almacenan en el ID-Token. Por lo tanto, no son necesarios otros servicios para la generación de los valores de resumen. El usuario conserva la soberanía completa sobre sus datos, en particular, sobre el algoritmo de resumen o bien los valores de resumen generados.
Según una forma de realización, después de la lectura de los atributos, se genera una firma de los atributos leídos con los siguientes pasos:
- envío de una solicitud de firma desde el sistema informático proveedor de ID al ID-Token, incluyendo la solicitud de firma la especificación de atributos,
- generación mediante el ID-Token de una combinación de los valores de resumen a partir de los valores de resumen almacenados en el ID-Token de los atributos que corresponden con la especificación de atributos, - generación mediante el ID-Token de un valor de resumen total a partir de la combinación de los valores de resumen mediante ejecución de un segundo algoritmo de resumen después de recepción de la solicitud de firma,
- generación de una firma del valor de resumen total con la clave privada del usuario,
- envío de la firma al sistema informático proveedor de ID y
- recepción de la firma mediante el sistema informático proveedor de ID.
La generación de la firma tiene lugar, por tanto, completamente en el ID-Token. De esta manera, no es necesario almacenar la clave privada del usuario o medios para la generación de los valores de resumen en otro medio, por ejemplo, un sistema informático terminal. El usuario conserva la soberanía de los datos completa sobre sus datos, en particular, sobre su clave privada.
El usuario puede, por tanto, generar una identidad derivada, así como la firma, sin recurrir a otro sistema informático, por ejemplo, un sistema informático proveedor de ID. En particular, el propio usuario podría generar entonces su firma cuando no haya a disposición una conexión de red, de modo que puede tener lugar una generación de la firma autónoma, sin embargo, sin limitación de la seguridad.
Dado que la firma se genera completamente en el ID-Token, se evitan además denominadas firmas ciegas, en las cuales la firma se genera en un sistema informático terminal. El usuario conserva la soberanía acerca de qué valores de atributo se transmiten y se firman.
Dado que los valores de resumen se combinan solo tras el envío de los valores de atributo y la posterior solicitud de firma, el costo de cálculo y de programación es además de esta manera notablemente más bajo. De lo contrario, sería necesario protocolizar en el ID-Token qué valores de atributo se enviaron al sistema informático terminal para poder generar una combinación de los valores de resumen que corresponden.
En caso de que el segundo sistema informático proveedor de atributos tampoco pueda suministrar todos los atributos o los que siguen faltando, este proceso se puede realizar iterativamente hasta que se logre una condición de finalización.
En el caso de la condición de finalización puede tratarse de lo siguiente:
- todos los atributos de acuerdo con la primera especificación de atributos están almacenados en el ID-Token,
- se alcanza una cantidad máxima de accesos de escritura,
- se sobrepasa una duración máxima desde el envío de la solicitud de servicio.
En formas de realización, la autenticación del sistema informático proveedor de ID con respecto al ID-Token tiene lugar con ayuda de un certificado de autorización del sistema informático proveedor de ID, en el que están especificados derechos de lectura del sistema informático proveedor de ID para la lectura de atributos desde el ID-Token, realizando el ID-Token, para los accesos de lectura del sistema informático proveedor de ID, una comprobación de la autorización de lectura del sistema informático proveedor de ID con ayuda del certificado de autorización.
La autenticación del sistema informático proveedor de atributos puede tener lugar con ayuda de un certificado de autorización del sistema informático proveedor de atributos, en el que están especificados derechos del sistema informático proveedor de atributos para la lectura de una especificación de atributos desde el ID-Token y para la lectura de atributos en el ID-Token, comprobando el ID-Token el derecho para la lectura del sistema informático proveedor de atributos antes de la transmisión de una especificación de atributos al sistema informático proveedor de atributos y comprobando el ID-Token el derecho para la escritura de atributos en el ID-Token antes de la escritura de atributos mediante el sistema informático proveedor de atributos.
Antes del almacenamiento de atributos en el ID-Token a causa de un acceso de escritura, los atributos a ser escritos pueden visualizarse en una pantalla del ID-Token, del aparato de lectura o del sistema informático de usuario, y los atributos a ser escritos se escriben en la memoria electrónica no volátil, preferiblemente, solo tras ingreso de una confirmación mediante el usuario mediante activación de un elemento de manejo del ID-Token, del aparato de lectura o bien del sistema informático de usuario. Mediante la escritura de los atributos descargados en la memoria electrónica no volátil, los atributos están a disposición de forma permanente, de modo que estos se pueden utilizar en un posterior proceso de lectura para otras aplicaciones.
Alternativamente, el ID-Token también puede presentar una memoria electrónica volátil y los atributos de acuerdo con la segunda especificación de atributos y los valores de resumen asociados se almacenan en la memoria volátil y, tras finalización de la conexión entre el ID-Token y el sistema informático de usuario, se borran.
Bajo una “memoria electrónica volátil” se entiende una memoria, por ejemplo, una memoria de trabajo, en la que los datos se almacenan solo mientras exista un suministro de corriente. Tan pronto como se interrumpa el suministro de corriente, estas memorias pierden su contenido. Una memoria volátil es, por ejemplo, una memoria de acceso aleatorio (RAM), una RAM dinámica (DRAM), una RAM estática (SRAM).
La utilización de una memoria volátil para el almacenamiento de los atributos y de los valores de resumen tiene la ventaja de que estos solo se almacenan durante la realización del proceso de lectura y, tras finalización del proceso y una posterior interrupción del suministro de corriente, se borran automáticamente. Un borrado activo de los atributos, así como de los valores de resumen, por lo tanto, no es necesario.
Alternativamente, el ID-Token también puede presentar una memoria electrónica volátil y las referencias a los atributos de acuerdo con la segunda especificación de atributos y los valores de resumen asociados se almacenan en la memoria volátil y, tras finalización de la conexión entre el ID-Token y el sistema informático de usuario, se borran. Tan pronto como se borran las referencias, ya no es posible un acceso a los atributos o a los valores de resumen, de modo que estos, también cuando todavía están almacenados en la memoria no volátil o volátil, están protegidos ante acceso no autorizado. A continuación, los atributos o valores de resumen pueden sobrescribirse en un posterior proceso de escritura.
Independientemente del tipo del almacenamiento, en el ID-Token pueden estar almacenadas instrucciones de programa, las cuales, después del acceso de lectura, tras la finalización de la conexión y/o en el establecimiento de una nueva conexión entre el ID-Token y el sistema informático de usuario, borran los atributos de acuerdo con la segunda especificación de atributos y los valores de resumen asociados. Por tanto, tiene lugar un borrado activo de los atributos, de modo que está descartado un uso no autorizado de los atributos para otras aplicaciones.
Después de la recepción de los atributos y de los valores de resumen también se puede enviar una solicitud de borrado al ID-Token. La orden de borrado puede generarse, por ejemplo, por el sistema informático proveedor de ID. En otro aspecto, la invención se refiere a un ID-Token, el cual está asociado a un usuario, presentando el ID-Token una memoria electrónica con una zona de memoria protegida, en la cual están almacenados los atributos, siendo posible un acceso a la zona de memoria protegida solo a través de un procesador del ID-Token, presentando el ID-Token una interfaz de comunicaciones para la comunicación con un aparato de lectura de un sistema informático de usuario, y estando el ID-Token configurado para la realización de los siguientes pasos:
- autenticación del usuario con respecto al ID-Token y establecimiento opcional de un canal de transmisión seguro entre el ID-Token y el sistema informático de usuario,
- autenticación de un sistema informático proveedor de ID con respecto al ID-Token,
- autenticación del ID-Token con respecto al sistema informático proveedor de ID,
- establecimiento de un primer canal de transmisión seguro con cifrado de extremo a extremo entre el ID-Token y el sistema informático proveedor de ID a través de la red,
- facilitación de un primer acceso de lectura del sistema informático proveedor de ID al ID-Token para la lectura desde el ID-Token de los atributos de acuerdo con una primera especificación de atributos, - envío de un primer subconjunto, almacenado en la zona de memoria del ID-Token, de los atributos especificados en la primera especificación de atributos desde el ID-Token al sistema informático proveedor de ID a través del primer canal de transmisión seguro,
- recepción de una segunda especificación de atributos desde el sistema informático proveedor de ID mediante el ID-Token a través del primer canal de transmisión seguro,
- almacenamiento de la segunda especificación de atributos en el ID-Token,
- autenticación de un primer sistema informático proveedor de atributos con respecto al ID-Token,
- autenticación del ID-Token con respecto al sistema informático proveedor de atributos,
- establecimiento de un segundo canal de transmisión seguro con cifrado de extremo a extremo entre el sistema informático proveedor de atributos y el ID-Token, manteniéndose el primer canal de transmisión seguro,
- transmisión de la segunda especificación de atributos desde el ID-Token a través del segundo canal de transmisión seguro al sistema informático proveedor de atributos,
- facilitación de un acceso de escritura del sistema informático proveedor de atributos a través del segundo canal de transmisión seguro para el almacenamiento en el ID-Token de atributos de acuerdo con la segunda especificación de atributos,
- facilitación de un segundo acceso de lectura del sistema informático proveedor de ID a través del primer canal de transmisión seguro para la lectura de los atributos almacenados en el ID-Token de acuerdo con la segunda especificación de atributos por el sistema informático proveedor de atributos,
- borrado de los atributos de acuerdo con la segunda especificación de atributos después del acceso de lectura.
La interfaz de comunicaciones del ID-Token puede estar configurada para la comunicación inalámbrica y para la inducción de energía inalámbrica en el ID-Token mediante el aparato de lectura, para suministrar al ID-Token con la energía eléctrica necesaria para su funcionamiento, presentando el ID-Token una memoria electrónica volátil y estando el ID-Token configurado de modo que la segunda especificación de atributos se almacena en la memoria electrónica volátil, de modo que la segunda especificación de atributos se borra de la memoria electrónica volátil cuando el ID-Token se aleja del alcance del aparato de lectura, y almacenándose los atributos almacenados en el ID-Token, a causa del acceso de escritura del sistema informático proveedor de atributos, en la memoria electrónica no volátil de modo que se puede acceder a estos mediante otro primer acceso de lectura posterior a causa de otra solicitud de servicio.
En otro aspecto, la invención se refiere a un sistema informático proveedor de atributos con una interfaz de red para el acceso a un ID-Token a través de una red, estando el sistema informático proveedor de atributos configurado para la realización de los siguientes pasos:
- lectura de una especificación de atributos desde el ID-Token mediante un acceso de red a través de un canal de transmisión seguro,
- realización de un acceso a base de datos para la lectura desde la base de datos de atributos de acuerdo con la especificación de atributos,
- realización de un acceso de escritura a través del canal de transmisión seguro al ID-Token, para la escritura en el ID-Token de los atributos leídos desde la base de datos,
- para el caso en que desde la base de datos no se puedan leer todos los atributos de acuerdo con la especificación de atributos, generación de otra especificación de atributos, la cual especifica aquellos atributos de la especificación de atributos, los cuales no están incluidos en los atributos escritos a causa del acceso de escritura en el ID-Token,
- almacenamiento de la otra especificación de atributos en el ID-Token para sustituir la especificación de atributos anterior.
El sistema informático proveedor de atributos puede presentar un certificado de autorización para la autenticación con respecto al ID-Token, estando en el certificado de autorización especificados derechos del sistema informático proveedor de atributos para la lectura desde el ID-Token de la especificación de atributos y para la escritura de atributos en el ID-Token.
En otro aspecto, la invención se refiere a un sistema informático con un ID-Token de acuerdo con la invención y con un sistema informático proveedor de ID, estando el sistema informático proveedor de ID configurado para la lectura múltiple consecutiva de atributos desde el ID-Token de acuerdo con la primera especificación de atributos a través del mismo primer canal de transmisión seguro del ID-Token.
El sistema informático presenta, por ejemplo, al menos un sistema informático proveedor de atributos de acuerdo con la invención.
A continuación, se explican más en detalle formas de realización de la invención con referencia a los dibujos. Muestran:
la Figura 1, un diagrama de bloques de una forma de realización de un sistema informático de acuerdo con la invención,
la Figura 2, un diagrama de flujo de una forma de realización de un procedimiento de acuerdo con la invención, la Figura 3, un diagrama de flujo de una forma de realización de un procedimiento de acuerdo con la invención, la Figura 4, un diagrama de flujo de una forma de realización de un procedimiento de acuerdo con la invención con al menos otro sistema informático proveedor de atributos,
la Figura 5, un diagrama de flujo de otra forma de realización de un procedimiento de acuerdo con la invención, la Figura 6, un diagrama de flujo de otra forma de realización de un procedimiento de acuerdo con la invención. Los elementos de las siguientes formas de realización, que son iguales entre sí o corresponden entre sí, están referenciados respectivamente con símbolos de referencia idénticos.
La Figura 1 muestra un sistema 100 informático de usuario de un usuario 102. En el caso del sistema 100 informático de usuario se puede tratar de una computadora personal, una computadora portátil como, por ejemplo, un ordenador portátil o un mini-ordenador portátil, un asistente digital personal, un aparato de telecomunicaciones móvil, en particular, un teléfono inteligente, o similares. El sistema 100 informático de usuario tiene un aparato 101 de lectura con una interfaz 104 para la comunicación con un ID-Token 106, el cual presenta una correspondiente interfaz 108.
El sistema 100 informático de usuario tiene al menos un procesador 110 para la ejecución de instrucciones 112 de programa, así como una interfaz 114 de red para la comunicación a través de una red 116. En el caso de la red se puede tratar de una red informática como, por ejemplo, el Internet.
El ID-Token 106 tiene una memoria 118 electrónica con zonas 120, 122 y 124 de memoria protegidas. La zona 120 de memoria protegida sirve para el almacenamiento de un valor de referencia, el cual se requiere para la autenticación del usuario 102 con respecto al ID-Token 106. En el caso de este valor de referencia, se trata, por ejemplo, de un identificador, en particular, un denominado número de identificación personal (PIN), o de datos de referencia para una característica biométrica del usuario 102, el cual se puede utilizar para la autenticación del usuario con respecto al ID-Token 106. La autenticación del usuario por medio del PIN tiene lugar, preferiblemente, de forma indirecta, p. ej., por medio del procedimiento PACE, como se describe mediante la OACI en TR-SAC. La zona 122 de memoria protegida sirve para el almacenamiento de una clave privada y la zona 124 de memoria protegida sirve para el almacenamiento de atributos, por ejemplo, del usuario 102 como, por ejemplo, su nombre, lugar de residencia, fecha de nacimiento, género, y/o de atributos los cuales se refieren al propio ID-Token como, por ejemplo, la institución, las cual ha generado o emitido el ID-Token, la vigencia del ID-Token, un identificador del ID-Token como, por ejemplo, un numero de pasaporte o un número de tarjeta de crédito.
La memoria 118 electrónica puede presentar, además, una zona 126 de memoria para el almacenamiento de un certificado. El certificado incluye una clave pública, la cual está asociada a la clave privada almacenada en la zona 122 de memoria protegida. El certificado puede haber sido creado según un estándar de infraestructura de clave pública (PKI), por ejemplo, según el estándar X.509.
El certificado no tiene que estar almacenado obligatoriamente en la memoria 118 electrónica del ID-Token 106. Alternativa o adicionalmente, el certificado también puede estar almacenado en un servidor de directorio público. El ID-Token 106 tiene un procesador 128. El procesador 128 sirve para la ejecución de instrucciones 130, 132 y 134 de programa. Las instrucciones 130 de programa sirven para la autenticación de usuario, es decir, para la autenticación del usuario 102 con respecto al ID-Token.
En una forma de realización con PIN, el usuario 102 ingresa su PIN para su autenticación, por ejemplo, en el sistema 100 informático de usuario. Mediante la ejecución de las instrucciones 130 de programa se accede entonces a la zona 120 de memoria protegida para comparar el PIN ingresado con el valor de referencia del PIN ahí almacenado. Para el caso, en que el PIN ingresado coincide con el valor de referencia del PIN, el usuario 102 se considera como autenticado. Esto puede tener lugar de forma indirecta, p. ej., por medio del procedimiento PACE o mediante una comparación directa de los valores en el ID-Token.
Alternativamente, se detecta una característica biométrica del usuario 102. Por ejemplo, para ello, el ID-Token 106 tiene un sensor de huella dactilar o un sensor de huella dactilar está conectado al sistema 100 informático de usuario. Los datos biométricos detectados del usuario 102 se comparan mediante la ejecución de las instrucciones 130 de programa, en esta forma de realización, con los datos de referencia almacenados en la zona 120 de memoria protegida. En caso de suficiente coincidencia de los datos biométricos detectados del usuario 102 con los datos de referencia biométricos, el usuario 102 se considera como autenticado.
Las instrucciones 134 de programa sirven para la ejecución de los pasos que se refieren al ID-Token 106 de un protocolo criptográfico para la autenticación de un sistema 136 informático proveedor de ID con respecto al ID-Token 106. En el caso del protocolo criptográfico puede tratarse de un protocolo de desafío respuesta basado en una clave simétrica o un par de claves asimétricas.
Por ejemplo, mediante el protocolo criptográfico se implementa un procedimiento de control de acceso extendido (EAC), como está especificado en la versión 1 para documentos de viaje legibles por máquina (machine-readable travel documents - MRTD) por la Organización de aviación civil internacional (OACI) y descrito en la versión 2 mediante la oficina federal para seguridad en la tecnología de la información para documentos soberanos alemanes. En ambas versiones se realiza, en este caso, respectivamente una autenticación del aparto de lectura (terminal) con respecto al ID-Token mediante autenticación tercinal (TA) y una autenticación del ID-Token (chip) por medio de autenticación de chip (CA), de las cuales se deriva un canal seguro para transmitir datos cifrados de extremo a extremo. Mediante una realización exitosa del protocolo criptográfico, el sistema 136 informático proveedor de ID se autentica con respecto al ID-Token y, de esta manera, demuestra su autorización de lectura para la lectura de los atributos almacenados en la zona 124 de memoria protegida. La autenticación también puede ser mutua, es decir, también el ID-Token 106 debe entonces autenticarse con respecto al sistema 136 informático proveedor de ID según el mismo u otro protocolo criptográfico.
Las instrucciones 132 de programa sirven para el cifrado de extremo a extremo de los datos transmitidos entre el ID-Token 106 y el sistema 136 informático proveedor de ID, sin embargo, al menos de los atributos leídos desde la zona 124 de memoria protegida por el sistema 136 informático proveedor de ID. Para el cifrado de extremo a extremo se puede utilizar una clave simétrica, la cual se establece, por ejemplo, con motivo de la realización del protocolo criptográfico entre el ID-Token 106 y el sistema 136 informático proveedor de ID.
Alternativamente a la forma de realización representada en la Figura 1, el sistema 100 informático de usuario con su interfaz 104 no puede comunicarse directamente con la interfaz 108, sino que a través de un aparato de lectura conectado a la interfaz 104 para el ID-Token 106. A través de este aparato de lectura como, por ejemplo, un denominado terminal de tarjetas de chip de clase 2, también puede tener lugar el ingreso del PIN.
El sistema 136 informático proveedor de ID tiene una interfaz 138 de red para la comunicación a través de la red 116. El sistema 136 informático proveedor de ID tiene además una memoria 140, en la cual está almacenada una clave 142 privada del sistema 136 informático proveedor de ID, así como el correspondiente certificado 144. También en el caso de este certificado se puede tratar, por ejemplo, de un certificado según un estándar PKI como, por ejemplo, X.509.
El sistema 136 informático proveedor de ID tiene además al menos un procesador 145 para la ejecución de instrucciones 146 y 148 de programa. Mediante la ejecución de las instrucciones 146 de programa se realizan los pasos del protocolo criptográfico que se refieren al sistema 136 informático proveedor de ID. En total, por tanto, se implementa el protocolo criptográfico mediante ejecución de las instrucciones 134 de programa mediante el procesador 128 del ID-Token 106, así como mediante la ejecución de las instrucciones 146 de programa mediante el procesador 145 del sistema 136 informático proveedor de ID.
Las instrucciones 148 de programa sirven para la implementación del cifrado de extremo a extremo del lado del sistema 136 informático proveedor de ID, por ejemplo, en base a la clave simétrica, la cual ha sido establecida por la ejecución del protocolo criptográfica entre el ID-Token 106 y el sistema 136 informático proveedor de ID. En principio, se puede utilizar cualquier procedimiento conocido previamente en sí para el establecimiento de la clave simétrica para el cifrado de extremo a extremo como, por ejemplo, un intercambio de claves de Diffie-Hellman. El sistema 136 informático proveedor de ID se encuentra, preferiblemente, en un entorno particularmente protegido, en particular, en un denominado centro de confianza, de modo que el sistema 136 informático proveedor de ID en combinación con la necesidad de la autenticación del usuario 102 con respecto al ID-Token 106 forma el anclaje de veracidad para la autenticidad de los atributos leídos desde el ID-Token 106.
El sistema 150 informático de servicio puede estar configurado para la recepción de un pedido o de un encargo para una prestación de servicio o un producto, en particular, una prestación de servicio en línea. Por ejemplo, el usuario 102 puede abrir en línea a través de la red 116 una cuenta en un banco o hacer uso de otra prestación de finanzas o bancaria. El sistema 150 informático de servicio también puede estar configurado como almacén en línea, de modo que el usuario 102 puede, por ejemplo, adquirir un teléfono móvil o similar. Además, el sistema 150 informático de servicio también puede estar configurado para el suministro de contenidos digitales, por ejemplo, para la descarga de datos de música y/o de video o como servidor de las autoridades para una aplicación de e-gobierno.
El sistema 150 informático de servicio tiene, para ello, una interfaz 152 de red para la conexión con la red 116. Además, el sistema 150 informático de servicio tiene al menos un procesador 154 para la ejecución de instrucciones 156 de programa. Mediante la ejecución de las instrucciones 156 de programa se generan, por ejemplo, paginas HTML dinámicas a través de la cuales el usuario 102 puede ingresar su encargo o su pedido.
Según el tipo del producto encargado o pedido o de la prestación de servicio, el sistema 150 informático de servicio debe comprobar atributos del usuario 102 y/o de su ID-Token 106 mediante uno o varios criterios preestablecidos. Solo cuando se aprueba esta comprobación, se recibe y/o realiza el pedido o el encargo del usuario 102.
Por ejemplo, para la apertura de una cuenta bancaria o la compra de un teléfono móvil con el contrato asociado es necesario que el usuario 102 dé a conocer su identidad con respecto al sistema 150 informático de servicio, y que se compruebe esta identidad. En el estado de la técnica, el usuario 102 debe, para ello, presentar, por ejemplo, su documento de identidad. Este proceso se sustituye mediante la lectura desde el ID-Token 106 de la identidad digital del usuario 102.
Según cada caso de aplicación, para la aportación del servicio pueden ser necesarios otros atributos, los cuales en primer lugar no están presentes en el ID-Token. Para ello, el sistema informático mostrado en la Figura 1 puede presentar uno o varios sistemas 172, 173, 174, ... informáticos proveedores de atributos. Estos pueden estar construidos en principio iguales que el sistema informático proveedor de ID y disponen de funcionalidades adicionales para la lectura o generación de atributos, así como para la escritura de atributos y, en caso necesario, especificaciones de atributos en el ID-Token.
Para el uso de un servicio puesto a disposición por el sistema 150 informático de servicio, se procede, por ejemplo, como sigue:
a) el usuario 102 establece, con ayuda de su sistema 100 informático de usuario, una sesión de Internet a través de la red 116 al sistema 150 informático de servicio. A través de esta sesión de Internet se transmite una solicitud 103 de servicio desde el sistema 100 informático de usuario al sistema 150 informático de servicio, con lo cual el usuario 102 solicita la aportación de un servicio del sistema 150 informático de servicio. El sistema 150 informático de servicio responde a esta solicitud 103 de servicio con una primera especificación 105 de atributos, la cual especifica aquellos atributos, los cuales deben cumplirse para la aportación del servicio solicitado con la solicitud 103 de servicio. Esta primera especificación de atributos específica, por ejemplo, una cantidad de M atributos A1 , A2 , A3 , . , AM.
b) Por ejemplo, la especificación 105 de atributos se almacena temporalmente en una memoria 183 del sistema 100 informático de usuario. A causa de la recepción de la especificación 105 de atributos mediante el sistema 100 informático de usuario, se solicita al usuario 102 a que se autentique con respecto al ID-Token 106. Para ello, el usuario 102 ingresa su PIN, por ejemplo, a través del aparato 101 de lectura o un teclado del sistema 100 informático de usuario. Además, el sistema 100 informático de usuario establece otra sesión de Internet a través de la red 116 hacia el sistema 136 informático proveedor de ID, a través de la cual el sistema 136 informático proveedor de ID se autentica con respecto al sistema 100 informático de usuario, es decir, con utilización del certificado 144.
Preferiblemente, tiene lugar una autenticación mutua del ID-Token 106 y del sistema 136 informático proveedor de ID o bien del respectivo sistema informático proveedor de atributos, preferiblemente, con utilización de los certificados 126 y 144 y por medio de EAC. En este caso, se establece también una clave de sesión, con la cual se establece el primer canal de transmisión seguro con cifrado de extremo a extremo entre el ID-Token 106 y el sistema informático proveedor de ID a través del sistema 100 informático de usuario y de la red 116. Además, el sistema 100 informático de usuario reenvía la especificación 105 de atributos, a través de la sesión existente con el sistema 136 informático proveedor de ID, al sistema 136 informático proveedor de ID.
c) El sistema 136 informático proveedor de ID responde a la primera especificación 105 de atributos con un comando 107 de lectura para la lectura de los atributos especificados en la primera especificación de atributos. Este comando 107 de lectura se transmite a través del primer canal de transmisión seguro con cifrado de extremo a extremo desde el sistema 136 informático proveedor de ID al ID-Token 106. El procesador 128 accede a continuación a la memoria 118 electrónica para la lectura de los atributos de acuerdo con la primera especificación 105 de atributos. Además, sin limitación a la generalidad, se parte de que de los P atributos de acuerdo con la primera especificación 105 de atributos solo existen M atributos A1, A2 , A3, Am , siendo M < P. El ID-Token 106 responde al comando 107 de lectura con la respuesta 109, la cual incluye un primer subconjunto de los atributos, concretamente los atributos A1 , A2 , A3, ..., Am , especificados en la primera especificación 105 de atributos. La respuesta 109 se transmite a través del primer canal de transmisión seguro desde el ID-Token 106 al sistema 136 informático proveedor de ID. d) El sistema 136 informático proveedor de ID almacena la respuesta 109 con el primer subconjunto de los atributos en su memoria 140 y genera una segunda especificación 111 de atributos, la cual especifica los atributos todavía faltantes, es decir, aquellos atributos especificados en la primera especificación 105 de atributos que no están incluidos en la respuesta 109, es decir, los atributos Ap 1 a Am . La segunda especificación 111 de atributos se transmite a través del primer canal de transmisión seguro desde el sistema 136 informático proveedor de ID al ID-Token 106 y se almacenan allí y, en caso de almacenamiento en la memoria no volátil o volátil, puede sustituir una especificación de atributos ya existente. El almacenamiento puede tener lugar, por ejemplo, en una memoria 113 volátil del ID-Token 106. e) El sistema 100 informático de usuario establece otra sesión de Internet a través de la red 116 con el sistema 172 informático proveedor de atributos. El sistema 172 informático proveedor de atributos se autentica entonces con respecto al ID-Token 106, realizándose preferiblemente EAC con autenticación mutua. En este caso, se establece un segundo canal de transmisión seguro con cifrado de extremo a extremo con una clave de sesión entre el ID-Token 106 y el sistema 172 informático proveedor de atributos a través de la red 116 y el sistema 100 informático de usuario, manteniéndose el primer canal de transmisión seguro
El procesador 128 sirve para la ejecución de instrucciones 131 de programa para una conmutación de canal, es decir, la selección de uno de los canales de transmisión seguros, es decir, aquí el primer o el segundo canal de transmisión seguro, para la comunicación externa. A causa del establecimiento del segundo canal de transmisión seguro, mediante ejecución de las instrucciones 131 de programa se selecciona el segundo canal de transmisión seguro del procesador 128, a través del cual el ID-Token 106 envía entonces la segunda especificación 111 de atributos al sistema 172 informático proveedor de atributos.
f) El sistema 172 informático proveedor de atributos realiza, a continuación, un acceso a su base 175 de datos, para la lectura de los atributos de acuerdo con la segunda especificación 111 de atributos. El sistema 172 informático proveedor de atributos responde entonces a la especificación 111 de atributos con su respuesta 176, la cual incluye los atributos leídos desde la base 175 de datos y envía esta respuesta 176 a través del segundo canal de transmisión seguro al ID-Token 106, el cual almacena la respuesta 176 con estos atributos en su memoria 118 electrónica.
g) Mediante la ejecución de las instrucciones 131 de programa, el ID-Token 106 conmuta de vuelta al primer canal de transmisión seguro. El sistema 136 informático proveedor ID accede entonces mediante un segundo comando 177 de lectura a través del primer canal de transmisión seguro al ID-Token 106 y obtiene como respuesta a esto por el ID-Token 106 la respuesta 176 desde la memoria 118 con los atributos todavía faltantes.
Para el caso, en el sistema 172 informático proveedor de atributos no pueda acceder a todos los atributos necesarios de acuerdo con la segunda especificación 111 de atributos, por ejemplo, porque estos no están almacenados todos en la base 175 de datos, el proceso arriba mencionado puede realizarse iterativamente con utilización de los otros sistemas 173, 174, ... informáticos proveedores de atributos, es decir, hasta que en la memoria 118 estén presentes todos los atributos de acuerdo con la primera especificación 105 de atributos o se alcance otra condición de finalización.
En caso de que el sistema 172 informático proveedor de atributos no pueda determinar todos los atributos de acuerdo con la segunda especificación 111 de atributos, de esta manera, el sistema 172 informático proveedor de atributos genera una tercera especificación 178 de atributos. Cuando, por ejemplo, la respuesta 176 incluye los atributos Ap 1 a Aq , con Q < M, de esta manera, en la tercera especificación 178 de atributos se especifican los atributos Aq 1 a Am todavía faltantes. Esta tercera especificación 178 de atributos se transmite desde el sistema 172 informático proveedor de atributos a través del segundo canal de transmisión seguro al ID-Token 106 y sustituye o actualiza la segunda especificación 111 de atributos almacenada en la memoria 113.
A continuación, se establece entonces, preferiblemente, según el EAC anterior un tercer canal de transmisión seguro al sistema 173 informático proveedor de atributos, el cual lee la tercera especificación 178 de atributos desde el ID-Token 106 y responde a ella con una respuesta 179, la cual incluye los atributos todavía faltantes de acuerdo con la tercera especificación 178 de atributos. Esta respuesta 179 se transmite a través del tercer canal de transmisión seguro desde el sistema 173 informático proveedor de atributos al ID-Token 106 y se almacena en la memoria 118. Mediante la ejecución de las instrucciones 131 de programa entonces se vuelve a conmutar de vuelta al primer canal de transmisión seguro, de modo que a causa del segundo comando 177 de lectura, en este caso, tanto la respuesta 176 al igual que también la respuesta 179, que incluyen en conjunto los atributos Ap+i a A m , se transmiten al sistema 136 informático proveedor de ID.
En caso de que del lado del sistema 173 informático proveedor de atributos no estén disponibles todos los atributos de acuerdo con la tercera especificación 178 de atributos, se puede seguir procediendo iterativamente de manera análoga, al implicarse en el proceso uno o varios sistemas informáticos proveedores de atributos adicionales como, por ejemplo, el sistema 174 informático proveedor de atributos.
El sistema 136 informático proveedor de ID dispone en su memoria 140, después de una ejecución exitosa de los pasos de procedimiento arriba mencionados, de todos los atributos, los cuales se han solicitado con la primera especificación 105 de atributos. El sistema 136 informático proveedor de ID genera a continuación un mensaje 180, la cual incluye estos atributos A1 a A m, firma este mensaje y lo envía a través de la red 116 al sistema 150 informático de servicio, pudiendo tener lugar esto a través del sistema 100 informático de usuario. El sistema 150 informático de servicio puede entonces, dado el caso, con ayuda de los atributos incluidos en el mensaje 180, aportar el servicio solicitado en la solicitud 103 de servicio.
Los sistemas 172, 173, 174, ... informáticos proveedores de atributos pueden estar construidos análogos al sistema 136 informático proveedor de ID, es decir, disponen respectivamente de una interfaz 138 de red, un procesador 145 para la ejecución de instrucciones 146, 148 de programa y una memoria 140, en la cual están almacenados un certificado y una clave privada. En el caso del certificado se trata, preferiblemente, de un certificado de autorización, en el cual está especificada respectivamente una autorización para un acceso de lectura y de escritura en el ID-Token 106.
Según una forma de realización de la invención, los atributos incluidos en la respuesta 176 o bien 179, se almacenan en la memoria 118 solo después de que el usuario 102 hubiera podido conocerlos. Para ello, estos atributos se visualizan en una pantalla 181, la cual pertenece, por ejemplo, al aparato 101 de lectura. Además, en el aparato 101 de lectura puede estar a disposición, por ejemplo, un elemento 182 de manejo, a través del cual el usuario 102 debe activar una entrada para aprobar el almacenamiento en la memoria 118 de los atributos incluidos en las respuestas 176 o bien 179. A causa de esto, el usuario 102 obtiene una posibilidad de control en la memoria 118 con respecto a los atributos adicionales que posiblemente se refieren a su persona.
La Figura 2 muestra una forma de realización de un correspondiente procedimiento de acuerdo con la invención. En el paso 200 se envía una solicitud 103 de servicio desde el sistema 100 informático de usuario al sistema 150 informático de servicio. El sistema 105 informático de servicio genera a continuación una respuesta con la primera especificación 105 de atributos (paso 202), la cual se envía en el paso 204 al sistema 136 informático proveedor de ID.
En el paso 206 el usuario 102 se autentica con respecto al ID-Token 106 y, en el paso 208, tiene lugar una autenticación unilateral o mutua del ID-Token 106 y del sistema 136 informático proveedor de ID, en particular, por medio de EAC.
En el paso 210 se establece la primera conexión segura, a través de la cual, en el paso 212, el sistema informático proveedor de ID envía el primer comando 107 de lectura. Al primer comando de lectura responde el ID-Token 106, en el paso 214, con los atributos A1 a Ap incluidos en la respuesta 109.
A continuación, en el paso 216, el sistema 136 informático proveedor de ID genera la segunda especificación 111 de atributos en las cual están especificados los atributos Ap+1 a A m todavía faltantes y escribe esta segunda especificación 111 de atributos en el paso 218 a través del primer canal de transmisión seguro en el ID-Token 106, donde se almacena la especificación 111 de atributos.
A continuación, en el paso 220, entonces se establece el segundo canal de transmisión seguro al sistema 172 informático proveedor de atributos y se lee la segunda especificación 111 de atributos desde el ID-Token 106 y se transmite al sistema 172 informático proveedor de atributos.
El sistema 172 informático proveedor de atributos accede entonces a los atributos solicitados según la segunda especificación 111 de atributos, por ejemplo, a través de un acceso a base de datos, y, en el paso 224, escribe estos atributos adicionales, en el caso de ejemplo considerado los atributos Ap+1 a A m, a través del segundo canal de transmisión seguro en el ID-Token 106.
El ID-Token 106, en el paso 226, conmuta entonces de vuelta al primer canal de transmisión seguro, de modo que los atributos, escritos anteriormente en el paso 224 adicionalmente en el ID-Token 106, se leen desde el ID-Token 106 por el sistema 136 informático proveedor de ID a través del primer canal de transmisión seguro (paso 228). En el paso 230, el sistema 136 informático proveedor de ID transmite entonces todos los atributos leídos desde el ID-Token 106 al sistema 150 informático de servicio, de modo que éste puede entonces, dado el caso, tras comprobación de los atributos, aportar el servicio solicitado.
A continuación, se borran del ID-Token los atributos de acuerdo con la segunda especificación 111 de atributos, de modo que estos están protegidos ante una lectura adicional durante un proceso de lectura posterior.
El borrado de los atributos de acuerdo con la segunda especificación 111 de atributos puede tener de lugar de diferentes maneras.
En una primera forma de realización, los atributos están almacenados en la memoria 113 no volátil del ID-Token, de modo que estos permanecen almacenados también tras cese del suministro de corriente y, por lo tanto, están a disposición para otras aplicaciones.
En esta forma de realización, tiene lugar, preferiblemente, un borrado activo de los atributos. En la memoria del ID-Token pueden estar almacenadas, por ejemplo, instrucciones de programa, las cuales inician un proceso de borrado al comienzo de un establecimiento de conexión y del suministro de corriente. En esta forma de realización, los atributos están a disposición sin limitación para la conexión actual, sin embargo, se borran antes de que tenga lugar otro proceso de lectura durante un nuevo establecimiento de conexión.
Alternativamente, el proceso de borrado puede iniciarse mediante un comando de borrado tras finalización del proceso de lectura o bien después de la transmisión de los atributos al sistema informático de servicio, pudiendo generarse el comando de borrado, por ejemplo, por el sistema informático proveedor de ID o por el sistema informático de servicio y enviarse al ID-Token.
En otra forma de realización el ID-Token tiene una memoria volátil, la cual se borra en caso de una interrupción del suministro de corriente, por ejemplo, mediante una finalización de la conexión.
Los atributos de acuerdo con la segunda especificación 111 de atributos se archivan, preferiblemente, en la memoria no volátil y mediante la finalización de la conexión se borran sin otro comando de borrado.
Alternativa o adicionalmente, en la memoria volátil también pueden almacenarse las referencias a los atributos de acuerdo con la segunda especificación 111 de atributos. Mediante la interrupción del suministro de corriente se borran estas referencias, de modo que ya no es posible un acceso a los atributos almacenados.
La Figura 3 muestra un correspondiente diagrama de flujo, partiéndose aquí de que el sistema 150 informático de servicio incluye el sistema 136 informático proveedor de ID.
En el paso 1, se envía mediante el usuario 102 una solicitud de servicio, es decir, una solicitud 103 de servicio, al sistema 150 informático de servicio, es decir, con ayuda del sistema 100 informático de usuario. El sistema 150 informático de servicio responde a ello con una solicitud de datos, es decir con la primera especificación 105 de atributos.
A continuación, el usuario 102 se autentica con respecto al ID-Token 106, al ingresar su PIN en el sistema 100 informático de usuario, es decir, por ejemplo, su aparato 101 de lectura. A causa de la ejecución, por ejemplo, del protocolo PACE, el PIN se verifica y, en el paso 2, con ayuda del PACE se establece un canal de mensajería seguro entre el ID-Token y el sistema informático de usuario, es decir, SM-[PACE].
En el paso 3, tiene lugar entonces en base a esto una TA del sistema informático proveedor de ID incluido en el sistema 150 informático de servicio, así como, en el paso 4, una CA del ID-Token 106 con respecto al sistema informático proveedor de ID.
En el paso 5, se establece entones el primer canal de transmisión seguro entre el ID-Token 106 y el sistema informático proveedor de ID, concretamente, SM-[CA]#1.
La comunicación adicional en el paso 6 pasa entonces a través de este primer canal de transmisión seguro, concretamente, la lectura de atributos desde el ID-Token 106 de acuerdo con la primera especificación 105 de atributos y la posterior escritura de la segunda especificación 111 de atributos, es decir, una solicitud de atributo (AR). Además, mediante el sistema 136 informático proveedor de ID se puede generar de nuevo una señal (Select Channel SC) SC-[PACE] de conmutación, la cual, por un lado, se procesa mediante las instrucciones 131 de programa del lado del ID-Token 106 y, por otro lado, mediante el sistema 100 informático de usuario, para volver a conmutar el canal (Secure Messaging - SM) SM-[PACE] de transmisión entre el ID-Token y el sistema informático de usuario.
En el paso 8 puede tener lugar, opcionalmente, una selección del sistema 172 proveedor de atributos mediante el usuario 102. También se puede renunciar a una selección explicita de este tipo cuando el sistema 100 informático de usuario ya conoce el sistema informático proveedor de atributos a ser contactado, por ejemplo, cuando el usuario 102 ha declarado de antemano un acuerdo con el suministro de atributos mediante el sistema 172 informático proveedor de atributos. Lo correspondiente es válido para la solicitud 2 de atributos de acuerdo con la Figura 5. Los pasos 9 y 10 se realizan entonces análogos a los pasos 3 y 4 sobre la base de SM-[PACE], es decir, para una TA del sistema 172 informático proveedor de atributos o bien una CA del ID-Token 106 con respecto al sistema 172 informático proveedor de atributos.
En el paso 10, se establece entonces el segundo canal SM-[CA]#2 de transmisión seguro, a través del cual tiene lugar entonces la comunicación adicional en los pasos 12, 13 y 14.
En el paso 12, el sistema 172 informático proveedor de atributos lee la segunda especificación 111 de atributos y lee entonces los correspondientes atributos, por ejemplo, mediante un acceso a su base 175 de datos. El sistema 172 informático proveedor de atributos escribe entonces estos atributos adicionales en el ID-Token 106 (paso 13) y borra la segunda especificación 111 de atributos ahí almacenada (paso 14).
Además, el sistema 172 informático proveedor de atributos puede generar una señal de conmutación, concretamente, SC-[CA]#1, la cual se procesa por las instrucciones 131 de programa para, en el paso 15, conmutar el canal de transmisión de vuelta al primer canal SM-[CA] #1 de transmisión seguro. Alternativamente, el sistema 172 informático proveedor de atributos puede generar una señal de conmutación, concretamente, SC-[PACE], la cual se procesa por las instrucciones 131 de programa para, en primer lugar, conmutar de vuelta el canal SM[PACE] de transmisión entre ID-Token y sistema informático de usuario. El sistema informático de usuario puede generar entonces una señal de conmutación, concretamente, SC-[CA] #1, la cual se procesa por las instrucciones 131 de programa para conmutar, en el paso 15, el canal de transmisión de vuelta al primer canal SM-[CA] #1 de transmisión seguro.
A través de este primer canal de transmisión seguro el sistema informático proveedor de ID lee entonces, en el paso 16, los atributos todavía faltantes, los cuales se escribieron en el paso 13 por el sistema informático proveedor de atributos, y envía, opcionalmente, en el paso 17, un comando de reestablecimiento, para con esto finalizar el proceso de la lectura de atributos desde el ID-Token. En el paso 18, el sistema 150 informático de servicio puede entonces aportar del servicio deseado por medio de los atributos leídos anteriormente desde el ID-Token 106.
Por último, los atributos de acuerdo con la segunda especificación 111 de atributos se borran del ID-Token (paso 19).
La Figura 4 muestra otra forma de realización de un procedimiento de acuerdo con la invención. Los pasos 200 a 224 del procedimiento de acuerdo con la Figura 4 pueden ser idénticos a los correspondientes pasos de la forma de realización de acuerdo con la Figura 2, no estando en el paso 224 ya disponibles en el ID-Token 106 en cualquier caso todos los atributos.
Para ello, en el paso 226, se comprueba si se pudieron escribir todos los atributos de acuerdo con la segunda especificación 111 de atributos del paso 224. Si este no es el caso, de esta manera, el control del proceso va al paso 232, en el cual se genera la tercera especificación 178 de atributos para transmitirlos en el paso 234 al ID-Token 106.
Entonces, en el paso 236, se establece el tercer canal de transmisión seguro para transmitir la tercera especificación 178 de atributos, en el paso 238, a un segundo sistema informático proveedor de atributos, por ejemplo, el sistema 173 informático proveedor de atributos, el cual, a continuación, en el paso 240, escribe en el ID-Token 106 con su respuesta 179 los atributos adicionales solicitados.
A continuación, se realizan los pasos los pasos 226 a 231 al igual que en la forma de realización de acuerdo con la Figura 2.
La Figura 5 muestra un correspondiente diagrama de flujo. A diferencia del diagrama de flujo de acuerdo con la Figura 3, en el paso 13 no se pueden suministrar todos los atributos necesarios por el sistema 172 informático proveedor de atributos de acuerdo con la segunda especificación 111 de atributos.
El sistema informático proveedor de atributos adapta, a continuación, consecuentemente la segunda especificación 111 de atributos, es decir la solicitud de servicio, al generar la tercera especificación 178 de atributos y al escribir en el ID-Token 106. A diferencia de la forma de realización de acuerdo con la Figura 3, además se genera una señal SC-[PACE] de conmutación por el sistema informático proveedor de atributos, para conmutar de vuelta el canal SM-[PACE] de transmisión entre el ID-Token y el sistema informático de usuario.
Sobre esta base, se realizan entonces los pasos 8 a 14 de nuevo de manera análoga con relación al segundo sistema 173 informático proveedor de atributos. A continuación, el sistema 100 informático de usuario genera una señal SC [CA] #1 de conmutación, de modo que el ID-Token 106 conmuta de vuelta al primer canal SM [CA] #1 de transmisión seguro.
Por último, se borran los atributos de acuerdo con la segunda especificación 111 de atributos del ID-Token.
En la Figura 6 se muestra un procedimiento para la generación de una firma electrónica con el sistema informático descrito en la Figura 1.
Para la realización del procedimiento, el ID-Token 106 presenta, preferiblemente, otra zona de memoria para el almacenamiento de valores de resumen, que se generan a partir de los valores de atributo con un algoritmo de resumen también almacenado en el ID-Token. Los valores de resumen están almacenados en la zona de memoria, de tal manera que es posible una asociación inequívoca de los valores de resumen a los valores de atributo.
Por ejemplo, tanto la zona 124 de memoria, al igual que también la zona de memoria para los valores de resumen, presentan la misma estructura de directorios. Las zonas de memoria presentan, por ejemplo, una estructura de directorios con un fichero maestro (MF), así como varios ficheros dedicados (DF) o bien ficheros elementales (EF). Para garantizar una asociación inequívoca de los valores de resumen a los valores de atributo, los valores de resumen y los valores de atributo pueden presentar una indexación, teniendo los valores de atributo y los valores de resumen asociados respectivamente índices que corresponden. Los índices pueden ser, por ejemplo, identificador de fichero (FID), o FID corto (SFI).
Los valores de resumen se generan con un primer algoritmo de resumen. El primer algoritmo de resumen puede estar almacenado en el ID-Token 106 y los valores de resumen se determinaron después del almacenamiento de los valores de atributo mediante el ID-Token 106 y se almacenaron en la zona 126 de memoria. Alternativamente, los valores de resumen pueden determinarse de antemano y copiarse a la zona 126 de memoria.
La memoria 118 electrónica puede presentar además una zona 126 de memoria para el almacenamiento de un certificado. El certificado incluye una clave pública, la cual está asociada a la clave privada almacenada en la zona 122 de memoria protegida. El certificado puede haber sido generado según un estándar de infraestructura de calve pública (PKI), por ejemplo, según el estándar X.509.
Después de la autenticación de usuario, la autenticación del sistema informático proveedor de ID con respecto al ID-Token, así como del envío de la primera especificación de atributos, tiene lugar en primer lugar la descarga de los atributos de acuerdo con la segunda especificación de atributos.
Para los atributos de acuerdo con la segunda especificación de atributos, después del almacenamiento de los atributos de acuerdo con la segunda especificación de atributos en el ID-Token, se generan los valores de resumen con el primer algoritmo de resumen y se almacenan en el ID-Token. Los valores de resumen de los atributos de acuerdo con la segunda especificación de atributos, pueden almacenarse, al igual que también los atributos de acuerdo con la segunda especificación de atributos, en una memoria no volátil o en una volátil.
Una vez que se han enviado los atributos al sistema 103 informático de servicio, se envía al ID-Token una a solicitud de firma para los atributos recibidos. La solicitud de firma incluye una especificación de los atributos transmitidos al sistema 103 informático de servicio.
Después de la recepción de la solicitud de firma, con instrucciones de programa se genera una combinación de los valores de resumen de los atributos enviados. La combinación de los valores de resumen puede generarse mediante concatenación, combinación u otra posibilidad de combinación adecuada.
Por último, mediante otras instrucciones de programa se determina un valor de resumen total con un segundo algoritmo de resumen a partir de la combinación de los valores de resumen.
A partir de este valor de resumen total, se genera una firma con la clave privada del usuario almacenada en la zona 122 de memoria, al cifrarse el valor de resumen total con la clave privada. Esta firma se envía al sistema 103 informático de servicio.
Para verificar la veracidad de los atributos transmitidos, en el sistema informático terminal se pueden determinar con el primer algoritmo de resumen los valores de resumen de los atributos a partir de los atributos recibidos. A continuación, con el mismo procedimiento, que también se utiliza en el ID-Token, se genera una combinación de los valores de resumen y, a partir de esta combinación, con el segundo algoritmo de resumen se determina un valor de resumen total. Este valor de resumen total tiene que coincidir con el valor de resumen total, el cual se generó a partir de la firma enviada con la clave pública del usuario 102.
El procedimiento descrito tiene la ventaja, de que el usuario 102 conserva el control sobre los datos a ser firmados. De esta manera, se evita una firma ciega, en la cual se firman únicamente los valores de resumen enviados por un sistema informático al ID-Token 106. Dado que la generación de la firma tiene lugar completamente mediante el ID-Token 106, además no son necesarios otros medios o sistemas para la generación de la firma. Por lo tanto, además se garantiza la independencia más grande posible para el usuario.
El primer y el segundo algoritmo de resumen pueden coincidir, de modo que en el ID-Token solo tiene que almacenarse un algoritmo de resumen. Sin embargo, también es concebible que se utilicen dos algoritmos de resumen diferentes.
Para aumentar la flexibilidad del ID-Token, por ejemplo, para generar firmas para diferentes servicios, el procesador también puede estar configurado para la generación de varios valores de resumen diferentes y/o valores de resumen totales con diferentes algoritmos de resumen. Sin embargo, también es concebible que la combinación de los valores de resumen se genere de manera diferente para diferentes servicios.
Además, en el ID-Token 106 pueden estar almacenadas varias claves privadas, por ejemplo, para diferentes usuarios o diferentes servicios.
Por ejemplo, con la solicitud de atributos y/o la solicitud de firma se envía un identificador, de qué algoritmos de resumen y/o qué clave privada deben utilizarse para la generación de la firma. Alternativamente, mediante la clave privada y/o los algoritmos de resumen utilizados se determina la autenticación de usuario en el ID-Token.
Después de la generación y la transmisión de la firma, los valores de resumen de los atributos de acuerdo con la segunda especificación se pueden borrar juntamente con los atributos de acuerdo con la segunda especificación de la manera arriba descrita.
Lista de símbolos de referencia
100 sistema informático de usuario 101 aparato de lectura
102 usuario
103 solicitud de servicio
104 interfaz
105 primera especificación de atributos 106 ID-Token
107 comando de lectura
108 interfaz
109 respuesta
110 procesador
111 segunda especificación de atributos 112 instrucciones de programa
113 memoria volátil
114 interfaz de red
116 red
118 memoria electrónica
120 zona de memoria protegida
122 zona de memoria protegida
124 zona de memoria protegida
126 zona de memoria
128 procesador
130 instrucciones de programa
131 instrucciones de programa
132 instrucciones de programa
134 instrucciones de programa
136 sistema informático proveedor de ID 138 interfaz de red
140 memoria
142 clave privada
144 certificado
145 procesador
146 instrucciones de programa
148 instrucciones de programa
149 instrucciones de programa sistema informático de servicio
interfaz de red
procesador
instrucciones de programa
sistema informático proveedor de atributos sistema informático proveedor de atributos sistema informático proveedor de atributos base de datos
respuesta
comando de lectura
tercera especificación de atributos respuesta
mensaje
pantalla
elemento de manejo
memoria

Claims (15)

REIVINDICACIONES
1. Procedimiento para la lectura de atributos desde un ID-Token (106), el cual está asociado a un usuario (102), presentando el ID-Token (106) una memoria (118) electrónica no volátil con una zona (124) de memoria protegida, en la cual están almacenados atributos, siendo posible un acceso a la zona de memoria protegida solo a través de un procesador (128) del ID-Token (106), y presentando el ID-Token (106) una interfaz (108) de comunicaciones para la comunicación con un aparato (101) de lectura de un sistema (100) informático de usuario, con los siguientes pasos:
- envío de una solicitud (103) de servicio del usuario (102) desde el sistema (100) informático de usuario a través de una red (116) a un sistema (150) informático de servicio, el cual está acoplado con un sistema (136) informático proveedor de ID,
- envío de una primera especificación (105) de atributos desde el sistema (150) informático de servicio al sistema (136) informático proveedor de ID a través de la red (116), especificando la primera especificación (105) de atributos aquellos atributos que necesita el sistema (150) informático de servicio para la aportación del servicio solicitado con la solicitud de servicio,
- autenticación del usuario (102) con respecto al ID-Token (106),
- autenticación del sistema (136) informático proveedor de ID con respecto al ID-Token (106),
- autenticación del ID-Token (106) con respecto al sistema (136) informático proveedor de ID,
- establecimiento de un primer canal (SM[CA]#1) de transmisión seguro con cifrado de extremo a extremo entre el ID-token (106) y el sistema (136) informático proveedor de ID a través de la red (116),
- realización de un primer acceso (107) de lectura del sistema (136) informático proveedor de ID al ID-Token (106) para la lectura desde el ID-Token (106) de los atributos de acuerdo con la primera especificación (105) de atributos,
- transmisión de un primer subconjunto, almacenado en la zona (124) de memoria del ID-Token (106), de los atributos especificados en la primera especificación (105) de atributos desde el ID-Token (106) al sistema (136) informático proveedor de ID a través del primer canal (SM[CA]#1) de transmisión seguro,
- generación de una segunda especificación (111) de atributos de un segundo subconjunto de los atributos de la primera especificación (105) de atributos, la cual especifica aquellos atributos los cuales no están incluidos en el primer subconjunto, y transmisión de la segunda especificación (111) de atributos desde el sistema (136) informático proveedor de ID al ID-Token (106) a través del primer canal (SM[CA]#1) de transmisión seguro,
- almacenamiento de la segunda especificación (111) de atributos en el ID-Token (106),
- autenticación de un sistema (172, 173, 174) informático proveedor de atributos con respecto al ID-Token (106) ,
- autenticación del ID-Token (106) con respecto al sistema (172, 173, 174) informático proveedor de atributos,
- establecimiento de un segundo canal (SM[CA]#2) de transmisión seguro con cifrado de extremo a extremo entre el sistema (172, 173, 174) informático proveedor de atributos y el ID-Token (106), manteniéndose el primer canal (SM[CA]#1) de transmisión seguro,
- transmisión de la segunda especificación (111) de atributos desde el ID-Token (106) a través del segundo canal (SM[CA]#1) de transmisión seguro al sistema (172, 173, 174) informático proveedor de atributos, - realización de un acceso de escritura del sistema (172, 173, 174) informático proveedor de atributos a través del segundo canal (SM[CA]#2) de transmisión seguro para el almacenamiento en el ID-Token (106) de atributos de acuerdo con la segunda especificación (111) de atributos,
- realización de un segundo acceso de lectura del sistema (136) informático proveedor de ID a través del primer canal (SM[CA]#1) de transmisión seguro para la lectura de los atributos de acuerdo con la segunda especificación (111) de atributos almacenados en el ID-Token (106) por el sistema (172, 173, 174) informático proveedor de atributos,
- emisión de los atributos leídos, a causa de los accesos de lectura por el sistema (136) informático proveedor de ID desde el ID-Token (106), al sistema (150) informático de servicio,
- borrado de los atributos de acuerdo con la segunda especificación (111) de atributos después del acceso de lectura.
2. Procedimiento según la reivindicación 1, almacenándose en el ID-Token (106) los valores de resumen de los atributos de acuerdo con la segunda especificación (111) de atributos generados con un algoritmo de resumen, borrándose los valores de resumen junto con los atributos, y/o
generándose los valores de resumen de los atributos con un algoritmo de resumen almacenado en el ID-Token (106) y almacenándose en el ID-Token (106), y/o
generándose, después de la lectura de los atributos, una firma de los atributos leídos con los siguientes pasos:
- envío de una solicitud de firma desde el sistema (136) informático proveedor de ID al ID-Token (106), incluyendo la solicitud de firma la especificación de atributos,
- generación mediante el ID-Token de una combinación de los valores de resumen a partir de los valores de resumen almacenados en el ID-Token (106) de los atributos que corresponden con la especificación de atributos,
- generación mediante el ID-Token de un valor de resumen total a partir de la combinación de los valores de resumen mediante ejecución de un segundo algoritmo de resumen después de la recepción de la solicitud de firma,
- generación de una firma del valor de resumen total con la clave privada del usuario,
- envío de la firma al sistema (136) informático proveedor de ID y
- recepción de la firma mediante el sistema (136) informático proveedor de ID.
3. Procedimiento según una de las reivindicaciones anteriores, realizándose iterativamente los pasos para otros sistemas (172, 173, 174) proveedores de atributos, hasta que se alcance una condición de finalización.
4. Procedimiento según la reivindicación 3, tratándose en el caso de la condición de finalización de lo siguiente:
- todos los atributos de acuerdo con la primera especificación (105) de atributos están almacenados en el ID-Token (106),
- se alcanza una cantidad máxima de accesos de lectura,
- se sobrepasa una duración máxima desde el envío de la solicitud de servicio.
5. Procedimiento según una de las reivindicaciones anteriores, teniendo lugar la autenticación del sistema (136) informático proveedor de ID con respecto al ID-Token (106) con ayuda de un certificado de autorización del sistema (136) informático proveedor de ID, en el cual están especificados derechos de lectura del sistema (136) informático proveedor de ID para la lectura de atributos desde el ID-Token (106), realizando el ID-Token (106), para los accesos de lectura del sistema (136) informático proveedor de ID, con ayuda del certificado de autorización, una comprobación de la autorización de escritura del sistema (136) informático proveedor de ID, y/o
teniendo lugar la autenticación del sistema (172, 173, 174) informático proveedor de atributos con ayuda de un certificado de autorización del sistema (172, 173, 174) informático proveedor de atributos, en el cual están especificados derechos del sistema (172, 173, 174) informático proveedor de atributos para la lectura desde el ID-Token (106) de una especificación de atributos y para la escritura de atributos en el ID-Token (106), comprobando el ID-Token (106) el derecho para lectura del sistema (172, 173, 174) informático proveedor de atributos antes de la transmisión de una especificación de atributos al sistema (172, 173, 174) informático proveedor de atributos y comprobando el ID-Token (106) el derecho para la escritura de atributos en el ID-Token (106) antes de la escritura de atributos mediante el sistema (172, 173, 174) informático proveedor de atributos.
6. Procedimiento según una de las reivindicaciones anteriores, visualizándose, antes del almacenamiento de atributos en el ID-Token (106) a causa de un acceso de escritura, los atributos a ser escritos en una pantalla del ID-Token (106), del aparato (101) de lectura o del sistema (100) informático de usuario, y escribiéndose en la memoria (113) electrónica no volátil los atributos a ser escritos, preferiblemente, solo tras ingreso de una confirmación mediante el usuario (102) mediante activación de un elemento de manejo del ID-Token (106), del aparato (101) de lectura o bien del sistema (100) informático de usuario.
7. Procedimiento según una de las reivindicaciones anteriores, presentando el ID-Token una memoria volátil y almacenándose en la memoria volátil los atributos de acuerdo con la segunda especificación (111) de atributos y los valores de resumen asociados, y borrándose tras finalización de la conexión entre el ID-Token (106) y el sistema (100) informático de usuario.
8. Procedimiento según una de las reivindicaciones 1 a 6, presentando el ID-Token (106) una memoria volátil y almacenándose en la memoria volátil las referencias a los atributos de acuerdo con la segunda especificación (111) de atributos y los valores de resumen asociados, y borrándose, tras finalización de la conexión entre el ID-Token (106) y el sistema (100) de usuario, y/o
estando en el ID-Token (106) almacenadas instrucciones de programa, las cuales borran los atributos de acuerdo con la segunda especificación (111) de atributos y los valores de resumen asociados después del acceso de lectura, en la creación de una nueva conexión entre el ID-Token (106) y el sistema (100) informático de usuario.
9. Procedimiento según una de las realizaciones anteriores, enviándose, tras la recepción de los atributos y de los valores de resumen, una solicitud de borrado al ID-Token (106) y/o
tratándose en el caso del ID-Token (106) de un documento de valor o de seguridad, en particular, un documento de identidad, es decir, un documento de ID, en particular un documento de identidad personal electrónico, un pasaporte, un carnet de conducir, una tarjeta de empresa o un medio de pago como, por ejemplo, un billete, una tarjeta de crédito u otra credencial como, por ejemplo, una entrada, una carta de porte o un visado, en particular, una tarjeta con chip, en particular con interfaz de RFID o de NFC.
10. ID-Token (106) el cual está asociado a un usuario (102), presentando el ID-Token (106) una memoria (118) electrónica con una zona (124) de memoria protegida, en la cual están almacenados atributos, siendo posible un acceso a la zona (124) de memoria protegida solo a través de un procesador (128) del ID-Token (106), presentando el ID-Token (106) una interfaz (108) de comunicaciones para la comunicación con un aparato (101) de lectura de un sistema (100) informático de usuario, y estando el ID-Token (106) configurado para la realización de los siguientes pasos:
- autenticación del usuario (102) con respecto al ID-Token (106)
- autenticación de un sistema (136) informático proveedor de ID con respecto al ID-Token (106),
- autenticación del ID-Token (106) con respecto al sistema (136) informático proveedor de ID,
- establecimiento de un primer canal (SM[CA]#1) de transmisión seguro con cifrado de extremo a extremo entre el ID-Token (106) y el sistema (136) informático proveedor de ID a través de la red (116),
- facilitación de un primer acceso de lectura del sistema (136) informático proveedor de ID al ID-Token (106) para la lectura desde el ID-Token de los atributos de acuerdo con una primera especificación (105) de atributos,
- envío de un primer subconjunto, almacenado en la zona (124) de memoria del ID-Token (106), de los atributos especificados en la primera especificación (105) de atributos desde el ID-Token (106) al sistema (136) informático proveedor de ID a través del primer canal (SM[CA]#1) de transmisión seguro,
- recepción de una segunda especificación (111) de atributos, la cual especifica aquellos atributos de un segundo subconjunto de los atributos de la primera especificación (105) de atributos que no están incluidos en el primer subconjunto, desde el sistema informático (136) proveedor de ID mediante el ID-Token (106) a través del primer canal (SM[CA]#1) de transmisión seguro,
- almacenamiento de la segunda especificación (111) de atributos en el ID-Token (106),
- autenticación de un sistema (172, 173, 174) informático proveedor de atributos con respecto al ID-Token (106),
- autenticación del ID-Token (106) con respecto al sistema (172, 173, 174) informático proveedor de atributos,
- establecimiento de un segundo canal (SM[CA]#2) de transmisión seguro con cifrado de extremo a extremo entre el sistema (172, 173, 174) informático proveedor de atributos y el ID-Token (106), manteniéndose el primer canal (SM[CA]#1) de transmisión seguro,
- transmisión de la segunda especificación (111) de atributos desde el ID-Token (106) a través del segundo canal (SM[CA]#2) de transmisión seguro al sistema (172, 173, 174) informático proveedor de atributos, - facilitación de un acceso de escritura del sistema (172, 173, 174) informático proveedor de atributos a través del segundo canal (SM[CA]#2) de transmisión seguro para el almacenamiento en el ID-Token de atributos de acuerdo con la segunda especificación (111) de atributos,
- facilitación de un segundo acceso de lectura del sistema (136) informático proveedor de ID a través del primer canal (SM[CA]#1) de transmisión seguro para la lectura de los atributos almacenados en el ID-Token (106) de acuerdo con la segunda especificación (111) de atributos por el sistema (172, 173, 174) informático proveedor de atributos,
- borrado de los atributos de acuerdo con la segunda especificación (111) de atributos después del acceso de lectura.
11. ID- Token según la reivindicación 10, estando la interfaz (108) de comunicaciones del ID-Token (106) configurada para la comunicación inalámbrica y para la inducción de energía inalámbrica en el ID-Token (106) mediante el aparato (101) de lectura para suministrar al ID-Token (106) con la energía eléctrica necesaria para su funcionamiento, presentando el ID-Token (106) una memoria electrónica volátil, y estando el ID-Token (106) configurado de modo que la segunda especificación (111) de atributos se almacena en la memoria electrónica volátil, de modo que la segunda especificación (111) de atributos se borra de la memoria electrónica volátil cuando el ID-Token (106) se aleja del alcance del aparato (101) de lectura, y almacenándose en la memoria electrónica no volátil los atributos almacenados en el ID-Token (106) a causa del acceso de lectura del sistema (172, 173, 174) informático proveedor de atributos, de modo que no se puede acceder a estos mediante un posterior primer acceso de lectura adicional a causa otra solicitud de servicio.
12. Sistema (172, 173, 174) informático proveedor de atributos con una interfaz (138) de red para el acceso a un ID-Token (106) a través de una red (116), estando el sistema (172, 173, 174) informático proveedor de atributos configurado para la realización de los siguientes pasos:
- autenticación con respecto al ID-Token (106),
- autenticación del ID-Token (106),
- establecimiento de un segundo canal (SM[CA]#2) de transmisión seguro con el ID-Token (106) con cifrado de extremo a extremo,
- lectura de una especificación (111) de atributos desde el ID-Token (106) mediante un acceso de red a través del segundo canal (SM[CA]#2) de transmisión seguro,
- realización de un acceso a base de datos para la lectura desde una base de datos de atributos de acuerdo con la segunda especificación (111) de atributos,
- realización de un acceso de escritura a través del segundo canal (SM[CA]#2) de transmisión seguro al ID-Token (106) para la escritura en el ID-Token (106) de los atributos leídos desde la base de datos,
- para el caso, en que desde la base de datos se pueden leer todos los atributos de acuerdo con la especificación (111) de atributos, generación de una especificación de atributos adicional, la cual especifica aquellos atributos de la especificación (111) de atributos, los cuales no están incluidos en los atributos escritos en el ID-Token (106) a causa del acceso de escritura,
- almacenamiento de la especificación de atributos adicional en el ID-Token (106) para sustituir la especificación de atributos anterior.
13. Sistema informático proveedor de atributos según la reivindicación 12, con un certificado de autorización para la autenticación con respecto al ID-Token (106), estando en el certificado de autorización especificados derechos del sistema (172, 173, 174) informático proveedor de atributos para la lectura de la especificación de atributos desde el ID-Token (106) y para la escritura de atributos en el ID-Token (106).
14. Sistema informático con un ID-Token (106) según una de las reivindicaciones 10 u 11 y con un sistema (136) informático proveedor de ID, estando el sistema (136) informático proveedor de ID configurado para la lectura de atributos desde el ID-Token (106) de acuerdo con la primera especificación (105) de atributos varias veces consecutivas a través del mismo primer canal (SM[CA]#1) de transmisión seguro desde el ID-Token (106).
15. Sistema informático según la reivindicación 14, con al menos un sistema (172, 173, 174) informático proveedor de atributos según una de las reivindicaciones 12 o 13.
ES16731171T 2015-07-15 2016-06-23 Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático Active ES2827949T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015213312.5A DE102015213312A1 (de) 2015-07-15 2015-07-15 Verfahren zum Verwalten von Attributen aus einem ID-Token, ID-Token, Attribut-Provider-Computersystem und Computersystem
PCT/EP2016/064538 WO2017009019A1 (de) 2015-07-15 2016-06-23 Verfahren zum lesen von attributen aus einem id-token, id-token, attribut-provider-computersystem und computersystem

Publications (1)

Publication Number Publication Date
ES2827949T3 true ES2827949T3 (es) 2021-05-25

Family

ID=56178372

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16731171T Active ES2827949T3 (es) 2015-07-15 2016-06-23 Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático

Country Status (5)

Country Link
EP (1) EP3323072B1 (es)
DE (1) DE102015213312A1 (es)
ES (1) ES2827949T3 (es)
PL (1) PL3323072T3 (es)
WO (1) WO2017009019A1 (es)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904040B2 (en) 2004-10-29 2014-12-02 Go Daddy Operating Company, LLC Digital identity validation
DE102008000067C5 (de) 2008-01-16 2012-10-25 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008040416A1 (de) 2008-07-15 2010-01-21 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008042262B4 (de) 2008-09-22 2010-05-27 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
DE102009026953A1 (de) 2009-06-16 2010-12-23 Bundesdruckerei Gmbh Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz
DE102009027681A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren und Lesen von Attributen aus einem ID-Token
DE102009027723A1 (de) 2009-07-15 2011-01-27 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102010028133A1 (de) 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
DE102011082101B4 (de) 2011-09-02 2018-02-22 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem

Also Published As

Publication number Publication date
DE102015213312A8 (de) 2017-03-09
EP3323072A1 (de) 2018-05-23
DE102015213312A1 (de) 2017-01-19
PL3323072T3 (pl) 2021-03-08
WO2017009019A1 (de) 2017-01-19
EP3323072B1 (de) 2020-09-23

Similar Documents

Publication Publication Date Title
US12081546B2 (en) System for accessing data from multiple devices
ES2826599T3 (es) Procedimiento para la generación de una firma electrónica
ES2589050T3 (es) Procedimiento para leer atributos de un testigo de ID
CN109951489B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
ES2881289T3 (es) Método para gestionar una identidad de confianza
US11151260B2 (en) Providing and checking the validity of a virtual document
ES2573692T3 (es) Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático
JP5585969B2 (ja) Idトークンから属性を読み出す方法、プログラム及びコンピュータシステム
US9596089B2 (en) Method for generating a certificate
ES2440826T3 (es) Sistema y procedimiento para delegación de privilegios y control
ES2680152T3 (es) Método y aparato de autenticación conveniente para el usuario usando una aplicación de autenticación móvil
ES2753964T3 (es) Procedimiento para generar un software token, producto de programa informático y sistema informático de servicio
US8146143B1 (en) Fraud detection
KR101298562B1 (ko) 일회용 사설키를 사용하여 디지털 서명을 구현하기 위한시스템 및 방법
KR100493885B1 (ko) 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
US9350538B2 (en) Revocation status using other credentials
US20090164796A1 (en) Anonymous biometric tokens
US20030115467A1 (en) Public key infrastructure token issuance and binding
KR20120050957A (ko) 소프트 토큰의 생성을 위한 방법
CN108141444B (zh) 经改善的认证方法和认证装置
JPWO2008032648A1 (ja) Icカード、およびそのアクセス制御方法
CN106664294A (zh) 借助于令牌的认证方法和系统
DE102020108828A1 (de) Personalisierter, serverindividueller Authentifizierungsmechanismus
ES2837138T3 (es) Procedimiento y sistema para la autentificación de un terminal de telecomunicación móvil en un sistema informático de servicio y terminal de telecomunicación móvil
ES2827949T3 (es) Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático