IDトークンから属性を読み込む方法
本願発明は、IDトークン(106、106')に格納された少なくとも1つの属性を読み込むための方法であり、IDトークンはユーザ(102)に割り当てられ、IDトークンに関してユーザを認証するステップと、IDトークンに対して第1コンピュータシステム(136)を認証するステップと、ユーザおよび第1コンピュータシステムの認証成功の後に、少なくとも1つの属性を第2コンピュータシステムに送信するために、IDトークンに格納された少なくとも1つの属性に、第1コンピュータシステムが読み込みアクセスするステップと、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本願発明は、IDトークンから少なくとも1つの属性を読む方法、コンピュータプログラム製品、IDトークン、およびコンピュータシステムに関する。
【背景技術】
【0002】
従来技術は、ユーザのディジタルアイデンティティとして公知のものを管理する種々の方法を開示する。
【0003】
マイクロソフトWindows(登録商標) CardSpace(登録商標)は、インターネットユーザが自己のディジタルアイデンティティをオンラインサービスに伝達することを可能にすることを意図するクライアントベースのディジタルアイデンティティシステムである。この状況における1つの欠点は、とりわけ、ユーザが自己のディジタルアイデンティティを操作できることである。
【0004】
これに対して、OPENID(登録商標)は、サーバベースのシステムである。アイデンティティサーバとして公知のものは、登録済みユーザのディジタルアイデンティティを有するデータベースを格納する。これの1つの欠点は、とりわけ、不十分なデータ保護である、なぜなら、ユーザのディジタルアイデンティティは中央に格納されており、かつユーザの振る舞いが記録されうるからである。
【0005】
米国出願公開2007/0294431号明細書は、同様にユーザ登録を必要とするディジタルアイデンティティを管理する他の方法を開示する。
【発明の開示】
【課題を解決するための手段】
【0006】
これに対して、本願発明は、少なくとも1つの属性を読み込む改善された方法と、また適切なコンピュータプログラム製品と、IDトークンと、コンピュータシステムを提供する目的に基づく。
【0007】
本願発明が基づく目的は、独立請求項の特徴によってそれぞれ達成される。本願発明の実施形態は、従属請求項で特定される。
【0008】
本願発明は、IDトークンに格納された少なくとも1つの属性を読み込む方法を構成し、ここで、IDトークンは、ユーザに関連付けられている。方法は、次のステップを備える:ユーザがIDトークンに対して認証され、第1コンピュータシステムはIDトークンに対して認証され、ユーザおよび第1コンピュータシステムのIDトークンに対する認証成功に続いて、第1コンピュータシステムは、少なくとも1つの属性を第2のコンピュータシステムに送信するために、IDトークンに格納された少なくとも1つの属性に対して読み込みアクセスを生じさせる。このことは、「信頼アンカー(confidence anchor)」が提供されることを可能にする。
【0009】
本願発明によって、1つ以上の属性を第1コンピュータシステムによってIDトークンに格納することが可能になり、IDトークンおよび第1コンピュータシステムの間の接続は、ネットワーク、とりわけインターネットを介してセットアップされてもよい。上記の1つ以上の属性は、IDトークンに関連付けられたユーザの身分の指示、特にユーザの「ディジタルアイデンティティ」であってもよい。一例として、第1コンピュータシステムは、苗字、名前、住所の属性を読み込み、例えばオンラインサービスのような、第2コンピュータシステムにこれらの属性を転送する。
【0010】
しかしながら、一例として、ユーザの身分を確立するためではなく、むしろ、例えば特定のオンラインサービスを使用するユーザの権限をチェックするために、特定の年齢グループに対して予約されたオンラインサービスの使用を欲しているユーザの年齢や、オンラインサービスを使用する権限のある特定のグループに対するユーザの関連付けを記述するその他の属性のような、単一の属性のみを読み込むことも可能である。
【0011】
IDトークンは、USBスティックとして公知のもののような、携帯電子機器であってもよく、文書、特に重要文書またはセキュリティ文書であってもよい。
【0012】
本願発明においては、「文書」は、身分証明文書、特にパスポート、身分証明カード、ビザ、および運転免許証、車両登録証明書、車両登録文書、社員身分証明書、健康カードまたは他のID文書のような、紙ベースおよび/またはプラスチックベースの文書、および、少なくとも1つの属性を格納するデータメモリを組み込んだ、チップカード、支払手段、特に銀行カードおよびクレジットカード、貨物運送証、または他の委任状を意味するものと理解する。
【0013】
少なくとも1つの属性が、特に信頼できる文書、例えば公式文書から読み込まれるので、本願発明の実施形態は、このように特に有利である。属性の中央ストレージが不要であることも、特に有利である。本願発明は、このように、非常に便利な取り扱いとともに最適なデータ保護を伴う、ディジタルアイデンティティに関連付けられた属性の通信に対して、特に高レベルな信頼性をもたらす。
【0014】
本願発明の一実施形態によると、第1コンピュータシステムは、第1コンピュータシステムをIDトークンに対して認証するために使用される少なくとも1つの証明書を有する。証明書は、第1コンピュータシステムが読み込み権を有する属性の指示を含む。IDトークンは、第1コンピュータシステムによって読み込みアクセスが実行される前に、第1コンピュータシステムが属性に対する読み込みアクセスに必要な読み込み権を有するかどうかをチェックするために、上記の証明書を使用する。
【0015】
本願発明の一実施形態によると、第1のコンピュータシステムは、IDトークンから読み込まれた少なくとも1つの属性を、直接第2コンピュータシステムに送信する。一例として、第2コンピュータシステムは、銀行サービスのようなオンラインサービスまたは他のサービスを提供するための、または商品を注文するためのサーバであってもよい。一例として、ユーザは、ユーザの身分を含む属性が、第1コンピュータシステムから銀行の第2コンピュータシステムに送信されるアカウントをオンラインで開くことができる。
【0016】
本願発明の一実施形態によると、IDトークンから読み込まれた属性は、まず第1コンピュータシステムからユーザの第3コンピュータシステムに転送される。一例として、第3コンピュータシステムは、ユーザが第2コンピュータシステム上でwebページを開くのに使用できる通常のインターネットブラウザを有する。ユーザは、サービスまたは製品の要求または注文をwebページに入力できる。
【0017】
第2コンピュータシステムは、次いで、サービスを提供するまたは注文を取るために必要とする、例えばユーザの、またはユーザのIDトークンの属性を指定する。それらの属性の仕様を含む、対応する属性仕様は、次いで、第2コンピュータシステムから第1コンピュータシステムに送信される。これは、第3コンピュータシステムの介在を伴い、または伴わずになされうる。伴わない場合においては、ユーザは、例えば第3コンピュータシステムからの第2コンピュータシステム上のwebページに第1コンピュータシステムのURLを入力することによって、第2コンピュータシステムに対して好ましい第1コンピュータシステムを指定できる。
【0018】
本願発明の一実施形態によると、ユーザから第2コンピュータシステムへのサービス要求は、識別子の指示を含み、識別子は、第1コンピュータシステムを特定する。一例として、識別子は、例えば第1コンピュータシステム上のURLのようなリンクである。
【0019】
本願発明の一実施形態によると、属性仕様は、第2コンピュータシステムから第1コンピュータシステムに直接送信されるのではなく、むしろ、先ず第2コンピュータシステムから第3コンピュータシステムに送信される。第3コンピュータシステムは、複数の予め定められた構成データレコードを有し、ここで、第3コンピュータは、複数の予め定められた構成データレコードを有し、複数の構成データレコードは、それぞれ、属性の部分セット、少なくとも1つのデータソース、および第1コンピュータシステムのセットからの第1コンピュータシステムを指定し、属性仕様は、第3コンピュータシステムが、属性仕様において指定された少なくとも1つの属性を含む属性の部分セットを指定する少なくとも1つの構成データレコードを選択するのに使用されるように、まず第2コンピュータシステムから第3コンピュータシステムに送信されるとともに、第3コンピュータは、属性仕様を第1コンピュータシステムに転送するとともに、選択された構成データレコードのデータソースの指示によって指定されるIDトークンへの接続がセットアップされる。
【0020】
本願発明の一実施形態によると、IDトークンから読み込まれた属性は、第1コンピュータシステムによって署名されるとともに、次いで、第3コンピュータシステムに転送される。第3コンピュータシステムのユーザは、このように、属性を読み込むことはできるが、それらを更新することはできない。ユーザによって発行された後にのみ、属性は、第3コンピュータシステムから第2コンピュータシステムに転送される。
【0021】
本願発明の一実施形態によると、ユーザは、属性が転送される前に、属性にさらなるデータを追加できる。
【0022】
本願発明の一実施形態によると、第1コンピュータシステムは、異なる読み込み権を伴う複数の証明書を有する。属性仕様の受信に基づき、第1コンピュータシステムは、IDトークンまたは複数の異なるIDトークンから関連する属性を読み込むために、1つ以上のこれらの証明書を選択する。
【0023】
一実施形態によると、第3コンピュータシステムは、ネットワークを介して第3コンピュータシステムからさらなる属性を要求する外部データソースを指定する少なくとも1つの構成データレコードを有する。
【0024】
本願発明の一実施形態によると、少なくとも1つの属性がIDトークンから読み込まれた後に、かつ第3のコンピュータシステムが第1コンピュータシステムから少なくとも1つの属性を受信した後に、さらなる属性が要求され、要求は、少なくとも1つの属性を含む。
【0025】
さらなる構成において、本願発明は、コンピュータプログラム製品、特に、本願発明による方法を実行するための実行可能プログラム命令を伴う、ディジタル格納媒体に関する。
【0026】
さらなる構成において、本願発明は、少なくとも1つの属性を格納するための保護メモリ領域、IDトークンに関連付けられたユーザをIDトークンに対して認証する手段、第1コンピュータシステムをIDトークンに対して認証する手段、および第1コンピュータシステムが少なくとも1つの属性を読み込むのに使用しうる保護された接続を第1コンピュータシステムに対してセットアップする手段を備えるIDトークンに関し、第1コンピュータシステムによってIDトークンから少なくとも1つの属性を読み込む為に必要な前提条件は、IDトークンに対するユーザおよび第1コンピュータシステムの認証成功である。
【0027】
第1コンピュータシステムのIDトークンに対する認証に加えて、それ自体が例えば機械可読旅行文書(MRTD)に対する「拡張アクセス制御」として公知であるとともに、国際民間航空機関ICAOによって指定されるように、ユーザは、このように、自己をIDトークンに対して認証する必要がある。一例として、ユーザのIDトークンに対する認証成功は、さらなるステップ、即ち第1コンピュータシステムのIDトークンに対する認証および/または属性を読み込むための保護された接続のセットアップが発生しうるように、IDトークンをロック解除する。
【0028】
本願発明の一実施形態によると、IDトークンは、エンドツーエンドの暗号化手段を有する。このことは、IDトークンおよび第1コンピュータシステムの間の接続を、ユーザの第3コンピュータシステムを介してセットアップすることを可能にする、なぜなら、ユーザは、エンドツーエンドの暗号化のために、通信を介して送信されるデータにいかなる変更も行えないからである。
【0029】
さらなる構成において、本願発明は、ネットワークを介して属性仕様を受信するための手段を有するコンピュータシステムを伴う第1コンピュータシステムに関し、属性仕様は、少なくとも1つの属性、IDトークンに対する認証手段、保護された接続を介してIDトークンから少なくとも1つの属性を読み込む手段を指定し、少なくとも1つの属性を読み込む為の前提条件は、IDトークンに関連付けられたユーザが、IDトークンに対して自己を認証されていることである。
【0030】
本願発明の一実施形態によると、第1コンピュータシステムは、ユーザに対して要求を生成する手段を含んでもよい。第1コンピュータシステムが第2コンピュータシステムから属性仕様を受信した場合、例えば、第1コンピュータシステムは、ユーザがIDトークンに対して自己の認証を求められるように、次いで、ユーザの第3コンピュータシステムに要求を送信する。IDトークンに対するユーザの認証が実行に成功した場合、第1コンピュータシステムは、第3コンピュータシステムから確認を受信する。第1コンピュータシステムは、次いでIDトークンに対して自己を認証するとともに、エンドツーエンドの暗号化を使用して、IDトークンおよび第1コンピュータシステムの間にセキュアな接続をセットアップする。
【0031】
本願発明の一実施形態によると、第1のコンピュータシステムは、それぞれが異なる読み込み権を指定する複数の証明書をもっている。属性仕様の受信に続いて、第1のコンピュータシステムは、指定された属性を読み込むのに十分な読み込み権を伴う上記の証明書の少なくとも1つを選択する。
【0032】
ユーザのIDトークンに対する認証の要求と組み合わせて、改ざんされていないユーザのディジタルアイデンティティに対する信頼アンカーを形成するので、本願発明による第1コンピュータシステムの実施形態は、特に有利である。この状況における固有の利点は、これにより、コンピュータシステムまたはディジタルアイデンティティを形成するユーザの属性の中央ストレージに、ユーザを予め登録することが必要とされないことである。
【0033】
本願発明の一実施形態によると、第1コンピュータシステムは、第2コンピュータシステムの識別子を、属性仕様とともに受信する。識別子を使用して、コンピュータシステムは、第2コンピュータシステムにこのサービスに対する課金をするために、識別サービスの使用を希望する第2コンピュータシステムを特定する。本願発明の一実施形態によると、コンピュータシステムは、公式に認可された信頼センター、特に、署名法を遵守する信頼センターである。
【0034】
本願発明の実施形態は、図面を参照して、以降においてより詳細に説明される。
【図面の簡単な説明】
【0035】
【図1】図1は、本願発明によるコンピュータシステムの第1実施形態のブロック図を示す。
【図2】図2は、本願発明による方法の実施形態のフローチャートを示す。
【図3a】図3aは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図3b】図3bは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図3c】図3cは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図4】図4は、本願発明による方法のさらなる実施形態のUMLダイアグラムを示す。
【発明を実施するための形態】
【0036】
互いに対応する以降の実施形態の構成要素は、同一の参照符号によって特定される。
【0037】
図1は、ユーザ102のユーザのコンピュータシステム100を示す。ユーザのコンピュータシステム100は、パーソナルコンピュータ、ラップトップまたはパームトップコンピュータのようなポータブルコンピュータ、携帯情報端末(PDA)、特にスマートフォンやそれに類するもののような携帯遠隔通信機器であってもよい。ユーザのコンピュータシステム100は、適切なインターフェース108を有する、IDトークン106と通信するためのインターフェース104を有する。
【0038】
ユーザのコンピュータシステム100は、プログラム命令112を実行するための少なくとも1つのプロセッサ110、およびネットワーク116を介して通信するためのネットワークインターフェース114を有する。ネットワークは、インターネットのようなコンピュータネットワークであってもよい。
【0039】
IDトークン106は、保護メモリ領域120、122、および124を伴う電子メモリ118を有する。保護メモリ領域120は、ユーザ102をIDトークン106に対して認証するのに必要な基準値を格納するのに使用される。上記の基準値は、例えば、特に個人認証番号(PIN)として公知である識別子、またはユーザをIDトークン106に対して認証するのに使用されうる、ユーザ102の生体測定の特徴に対する基準データである。
【0040】
保護された領域122は、秘密鍵を格納するのに使用されるとともに、保護メモリ領域124は、例えば、ユーザ102の名前、居住地、誕生日、性別、および/または、IDトークンを作成または発行した団体、IDトークンの有効期限、或いは、パスポート番号またはクレジットカード番号のようなIDトークンの識別子のような、IDトークン自体に関連する属性である属性を格納するのに使用される。
【0041】
電子メモリ118は、証明書を格納するためのメモリ領域126を有してもよい。証明書は、保護メモリ領域122内に格納された秘密鍵に関連付けられた公開鍵を含む。証明書は、例えば、X.509規格に基づいて、公開鍵基盤(PKI)規格に基づいて生成されてもよい。
【0042】
証明書は、必ずしもIDトークン106の電子メモリ118内に格納される必要はない。これに代えて、またはこれに加えて、証明書は、公開ディレクトリサーバ内に格納されてもよい。
【0043】
IDトークン106は、プロセッサ128を有する。プロセッサ128は、プログラム命令130、132、および134を実行するのに使用される。プログラム命令130は、ユーザ認証のため、即ち、IDトークンに対するユーザ102の認証のために使用される。
【0044】
PINを使用する実施形態において、ユーザ102は、例えばユーザのコンピュータシステム100を介して、IDトークン106に対して自己を認証するために、自己のPINを入力する。プログラム命令130の実行は、次いで、入力PINと、PINに対して格納された基準値とを比較するために、保護メモリ領域120にアクセスする。入力PINが、PINの基準値と一致した場合、ユーザ102は認証されたとみなされる。
【0045】
それに代えて、ユーザ102の生体認証の特徴が取得される。一例として、IDトークン106はこの目的のために指紋センサーを有する、または指紋センサーがユーザのコンピュータシステム100に接続される。ユーザ102から取得された生体認証データは、この実施形態におけるプログラム命令130を実行することによって、保護メモリ領域120に格納された生体認証基準データと比較される。ユーザ102から取得された生体認証データおよび生体認証基準データの間に十分な一致がある場合、次いで、ユーザ102は認証されたものとみなされる。
【0046】
プログラム命令134は、IDプロバイダのコンピュータシステム136をIDトークン106に対して認証するために、IDトークン106に関連する暗号化プロトコルのステップを実行するために使用される。暗号化プロトコルは、対称鍵または非対称鍵対に基づくチャレンジ/応答プロトコルであってもよい。
【0047】
一例として、暗号化プロトコルは、国際民間航空機関(ICAO)によって機械可読旅行文書(MRTD)に対して指定されるような、拡張アクセス制御方法を実施する。暗号化プロトコルの実行成功により、IDプロバイダのコンピュータシステム136がIDトークンに対して認証され、こうして保護メモリ領域124に格納された属性を読み込むためのその読み込み権が証明される。認証はまた、相互的、即ち、IDトークン106は次いで、同じまたは異なる暗号化プロトコルに基づいてIDプロバイダのコンピュータシステム136に対して自己を認証する必要があってもよい。
【0048】
プログラム命令132は、IDトークン106およびIDプロバイダのコンピュータシステム136の間で送信されるデータのエンドツーエンド暗号化のために使用されるが、少なくともIDプロバイダのコンピュータシステム136によって保護メモリ領域124から読み込まれる属性のエンドツーエンド暗号化のために使用される。例えば、暗号化プロトコルが実行される場合、エンドツーエンドの暗号化のために、IDトークン106およびIDプロバイダのコンピュータシステム136の間で合意された対称鍵を使用できる。
【0049】
図1に示された実施形態の代替として、ユーザのコンピュータシステム100は、直接ではなく、むしろ自己のインターフェース104に接続されたIDトークン106のための読み取り機を介してインターフェース108と通信するために、自己のインターフェース104を使用してもよい。例えばクラス2のチップカード端末として公知のものである、この読み取り機は、PINを入力するのに使用されてもよい。
【0050】
IDプロバイダのコンピュータシステム136は、ネットワーク116を介した通信のためのネットワークインターフェース138を有する。IDプロバイダのコンピュータシステム136は、また、IDプロバイダのコンピュータシステム136のための秘密鍵142を格納するメモリ140および適切な証明書144を有する。この証明書は、例えばX.509のような、PKI規格に基づく証明書であってもよい。
【0051】
IDプロバイダのコンピュータシステム136は、また、プログラム命令146および148を実行するための少なくとも1つのプロセッサ145を有する。プログラム命令146を実行することによって、IDプロバイダのコンピュータシステム136に関連する暗号化プロトコルのステップが実行される。全体として、暗号化プロトコルは、このように、IDトークン106のプロセッサ128によるプログラム命令134の実行を通して、およびIDプロバイダのコンピュータシステム136のプロセッサ145によるプログラム命令146の実行を通して実施される。
【0052】
プログラム命令148は、暗号化プロトコルが実行される場合に,例えばIDトークン106およびIDプロバイダコンピュータシステム136の間で合意された対称鍵に基づいて、IDプロバイダのコンピュータシステム136上でエンドツーエンドの暗号化を実施するのに使用されてもよい。原則として、Diffie-Hallman鍵交換のような、事実上既知のエンドツーエンド暗号化のための対称鍵について合意するいかなる方法も使用できる。
【0053】
IDプロバイダコンピュータシステム136が、ユーザ102のIDトークン106に対する認証の必要性と組み合わせてIDトークン106から読み込まれる属性の正当性に対する信頼アンカーを形成するように、IDプロバイダコンピュータシステム136は、特に保護された環境、特に信頼センターとして公知であるものに置かれるのが好ましい。
【0054】
サービスコンピュータシステム150は、サービスまたは製品、特にオンラインサービスの注文または発注を取るように設計されてもよい。一例として、ユーザ102は、銀行に口座を開設でき、また、ネットワーク116を介して接続される他の金融または銀行サービスを使用できる。 サービスコンピュータシステム150は、また、例えば、ユーザ102が携帯電話またはそれに類するものをオンラインで購入できるように、オンライン問屋の形式であってもよい。これに加えて、サービスコンピュータシステム150は、また、例えば音楽データおよび/または動画データのダウンロードのためにデジタルコンテンツを配信するように設計されてもよい。
【0055】
この目的のために、サービスコンピュータシステム150は、ネットワーク116に接続するためのネットワークインターフェース152を有する。これに加えて、サービスコンピュータシステム150は、プログラム命令156を実行するための少なくとも1つのプロセッサ154を有する。プログラム命令156の実行によって、例えば、ユーザ102が自己の発注または自己の注文を入力するのに使用できる、動的HTMLページが生成される。
【0056】
発注されたまたは注文された製品またはサービスの性質によって、サービスコンピュータシステム150は、規定された基準を使用して、ユーザ102および/またはユーザのIDトークン106の1以上の属性をチェックする必要がある。このチェックが合格した場合にのみ、ユーザ102からの注文または発注は、引き受けられ、および/または実行される。
【0057】
一例として、銀行口座を開設する、または携帯電話を関連付けられた契約をもって購入するのに、ユーザ102は、サービスコンピュータシステム150に対する自己の身分を開示する必要があるとともに、この身分がチェックされる必要がある。従来技術においては、ユーザ102は、例えば自己の身分証明カードを提示することによって、これを行わなければならない。この処理は、ユーザ102のディジタルアイデンティティを、ユーザのIDトークン106から読み込むことによって置き換えられる。
【0058】
しかしながら、アプリケーションのインスタンスによっては、ユーザ102は、サービスコンピュータシステム150に自分の身分を開示する必要がなく、むしろ例えば1つの属性のみを通信すれば足りる。一例として、ユーザ102は、ダウンロードのためにサービスコンピュータシステム150上で保持されるデータにアクセスする権限がある特定の人々のグループに自己が属する証拠を提供するための属性の1つを使用してもよい。一例として、そのような基準はユーザ102の最低年齢、または特定の機密データに対するアクセス権限を有する人々のグループとユーザ102との関連であってもよい。
【0059】
サービスコンピュータシステム150によって提供されるサービスを使用するための手順は次のようである。
【0060】
1.ユーザ102のIDトークン106に対する認証
【0061】
ユーザ102は、IDトークン106に対して自己を認証する。PINを使用する実施において、ユーザ102は、例えば、ユーザのコンピュータシステム100、またはそれに接続されたチップカード端末を使用して自分のPINを入力することによってこれを行う。プログラム命令130を実行することによって、IDトークン106は、次いで、入力PINの正確性をチェックする。入力PINが、保護メモリ領域120に格納されたPIN基準値に一致した場合、ユーザ102は認証されたものとみなされる。ユーザ102を認証するために、彼の生体測定の特徴が使用される場合、手順は上記と同様であってもよい。
【0062】
2.IDプロバイダコンピュータシステム136のIDトークン106に対する認証
【0063】
この目的のために、ユーザのコンピュータシステム100およびネットワーク116を介して、IDトークン106およびIDプロバイダのコンピュータシステム136の間の接続がセットアップされる。一例として、IDプロバイダのコンピュータシステム136は、この接続を介して、自己の証明書144をIDトークン106に対して送信する。プログラム命令134は、次いで、チャレンジとして公知であるもの、即ち、例えば乱数を生成する。この乱数は、証明書144に含まれる、IDプロバイダのコンピュータシステム136の公開鍵を使用して暗号化される。結果として生じる暗号は、接続を介して、IDトークン106からIDプロバイダのコンピュータシステム136に送信される。IDプロバイダのコンピュータシステム136は、自己の秘密鍵142を使用して暗号を復号するとともに、このようにして乱数を取得する。乱数は、IDプロバイダのコンピュータシステム136によって接続を介してIDトークン106に返却される。プログラム命令134を実行することによって、IDトークンは、IDプロバイダのコンピュータシステム136から受信された乱数が、元々生成された乱数、即ちチャレンジに一致するかどうかをチェックする。一致した場合、IDプロバイダのコンピュータシステム136は、IDトークン106に対して認証されたものとみなされる。この乱数は、エンドツーエンドの暗号化のための対称鍵として使用されうる。
【0064】
3.ユーザ102が、IDトークン106に対して自己の認証を成功させた場合、かつプロバイダのコンピュータシステム136がIDトークン106に対して自己の認証を成功させた場合、IDプロバイダのコンピュータシステム136は、保護メモリ領域124に格納された属性、複数の属性、または全ての属性を読み込むための読み込み権を提供される。IDプロバイダのコンピュータシステム136が接続を介してIDトークン106に送信する、関連する読み込みコマンドに基づいて、プログラム命令132を実行することによって、要求された属性が、保護メモリ領域124から読み込まれるとともに暗号化される。暗号化された属性は、接続を介してIDプロバイダのコンピュータシステム136に送信され、暗号化された属性はそこでプログラム命令148を実行することによって復号化される。これにより、IDプロバイダのコンピュータシステム136に、IDトークン106から読み込まれた属性の情報が提供される。
【0065】
これらの属性は、IDプロバイダのコンピュータシステムによって、IDプロバイダのコンピュータシステムの証明書144を使用して署名されるとともに、ユーザのコンピュータシステム100を介して、または直接に、サービスコンピュータシステム150に送信される。これにより、おそらくは次いでユーザ102によって要求されたサービスを提供するために、規定された1以上の基準を使用して、サービスコンピュータシステム150はこれらの属性をチェックできるように、サービスコンピュータシステム150にIDトークン106から読み込まれた属性を通知する。
【0066】
IDプロバイダのコンピュータシステム136によりサービスコンピュータシステム150に伝えられたユーザ102の属性が正当であるとともに、改ざんされていないことを、サービスコンピュータシステムが確認できるように、IDトークン106に対するユーザ102の認証およびIDトークン106に対するIDプロバイダのコンピュータシステム136の認証の要求は、必要な信頼アンカーを提供する。
【0067】
実施形態によっては、認証の順序は異なってもよい。一例として、最初に、ユーザ102がIDトークン106に自己の認証をしなくてはならず、IDプロバイダコンピュータシステム136が続くように準備されてもよい。しかしながら、原則として、最初にIDプロバイダのコンピュータシステム136がIDトークン106に対して自己の認証をしなくてはならず、その後にのみユーザ102が続くことも可能である。
【0068】
1つ目の場合においては、IDトークン106は、一例として、ユーザ102による正しいPINの入力または正しい生体測定の特徴を通じてのみロック解除されるように設計される。このロック解除によってのみ、プログラム命令132および134が開始して、それ故にIDプロバイダのコンピュータシステム136が認証されることが可能になる。2つ目の場合においては、ユーザ102がIDトークン106に対して自己の認証をしていない場合であっても,プログラム命令132および134が開始可能である。この場合、一例として、プログラム命令134は、プログラム命令130がユーザ102も認証成功したことを通知するまで、IDプロバイダのコンピュータシステム136が1つ以上の属性を読み込むことを目的として保護メモリ領域124に読み込みアクセスを実行できないような形式であってもよい。
【0069】
特に有利であるのは、例えばメディアの途絶なし(zwar medienbruchfrei)に、かつ、法的にIDトークン106に対してユーザ102およびIDプロバイダのコンピュータシステム136が認証される必要によって形成された信頼アンカーに基づく、eコマースおよび電子政府のアプリケーションにおけるIDトークン106の利用である。また、特に有利であるのは、様々なユーザ102の属性の中央ストレージが不要であるという事実であり、このことは、従来技術において存在したデータ保護問題が、ここでは解決されていることを意味する。本願方法を適用することの利便性に関する限り、プロバイダのコンピュータシステム136を使用するためのユーザ102の事前登録は不要であることが、特に有利である。
【0070】
図2は、本願発明による方法の一実施形態を示す。ステップ200において、サービス要求が、ユーザのコンピュータシステムからサービスコンピュータシステムに送信される。一例として、ユーザは、ユーザのコンピュータシステム上でインターネットブラウザを開始するとともに、サービスコンピュータシステム上のwebページを呼び出すためのURLを入力することによって、これを行う。ユーザは、次いで、例えば、サービスまたは製品を注文または発注するために、呼び出されたwebページに自分のサービス要求を入力する。
【0071】
ステップ202において、サービスコンピュータシステム150は、次いで、サービス要求に対するユーザの権限をチェックするために、自己が必要とする1以上の属性を指定する。特に、サービスコンピュータシステムは、ユーザ102のディジタルアイデンティティを決定する属性を指定できる。このサービスコンピュータシステム150による属性の指定は、固定的に規定されてもよく、または規定の規則を使用して、サービス要求に依存して、サービスコンピュータシステム150によって個別に決定されてもよい。
【0072】
ステップ204において、属性仕様、即ち、1以上の属性に対してステップ202において実行される属性は、特に、直接またはユーザのコンピュータシステムを介して、サービスコンピュータシステムからIDプロバイダコンピュータシステムに送信される。
【0073】
IDプロバイダのコンピュータシステムに、ユーザのIDトークンから属性を読み込む機会を提供するために、ステップ206において、ユーザはIDトークンに対して自己を認証する。
【0074】
ステップ208において、IDトークンおよびIDプロバイダのコンピュータシステムの間で接続がセットアップされる。これは、例えば、セキュアなメッセージング方法として公知であるものに基づく、保護された接続であるのが好ましい。
【0075】
ステップ210において、IDプロバイダのコンピュータシステムは、ステップ208においてセットアップされている通信を介して、少なくともIDトークンに対して認証される。それに加えて、IDトークンが、IDプロバイダのコンピュータシステムに対して認証されるための準備があってもよい。
【0076】
ユーザおよびIDプロバイダのコンピュータシステムが、IDトークンに対して認証成功した場合、IDプロバイダのコンピュータシステムは、IDトークンによって、属性を読み込むアクセス権限が提供される。ステップ212において、IDプロバイダのコンピュータシステムは、属性仕様により必要とされる属性をIDトークンから読み込む1つ以上の読み込みコマンドを送信する。属性は、次いで、保護された接続を介してIDプロバイダのコンピュータシステムに、エンドツーエンドの暗号化を使用して転送され、そこで属性は復号化される。
【0077】
ステップ214において、読み込まれた属性値はIDプロバイダのコンピュータシステムによって署名される。ステップ216において、IDプロバイダのコンピュータシステムは、ネットワークを介して、署名済みの属性値を送信する。署名済みの属性値は、直接またはユーザのコンピュータシステムを介して、サービスコンピュータシステムに到達する。ユーザのコンピュータシステムを介する場合には、ユーザは、署名済みの属性値の記録を取る、および/または署名済みの属性値にさらなるデータを追加する機会を有してもよい。ユーザによって発行された後にのみ、ユーザのコンピュータシステムからサービスコンピュータシステムに、おそらくは追加データを伴った、署名済み属性値が転送されるように準備がなされてもよい。これにより、IDプロバイダのコンピュータシステムからサービスコンピュータシステムに送信される属性の観点からは、ユーザに対して最大限可能な透過性が提供される。
【0078】
図3は、本願発明によるIDトークンおよび本願発明によるコンピュータシステムのさらなる実施形態を示す。図3内の実施形態において、IDトークン106は、インターフェース108、メモリ118、およびプロセッサ128を形成する集積電子回路を伴う、紙ベースおよび/またはプラスチックベースの文書のような、文書の形式である。一例として、集積電子回路は、RFIDタグまたはRFIDラベルとも呼ばれる、無線タグとして公知であるものであってもよい。これに代えて、インターフェース108は、接触部を備えても、デュアルモードインターフェースの形式であってもよい。
【0079】
特に、文書106は、電子パスポートまたは電子身分証明カードのような、機械可読旅行文書(MRTD)のような重要文書またはセキュリティ文書であってもよく、クレジットカードのような支払手段であってもよい。
【0080】
本ケースで考察下の実施形態において、保護メモリ領域124は、属性iを格納し、ここで、1≦i≦nである。続いて、一般性を限定することなく、図3の例を使用して示されるIDトークン106は、電子身分証明カードであると仮定される。一例として、属性i=1は苗字であり、属性i=2は名前であり、属性i=3は住所であり、かつ属性i=4は誕生日等である。
【0081】
考察下の実施形態においては、ユーザのコンピュータシステム100のインターフェース104は、RFIDリーダーの形式であってもよく、ユーザのコンピュータシステムの一体化部分を形成してもよく、または別個の構成要素としてそれに接続されてもよい。
【0082】
ユーザ102は、クレジットカードであるIDトークン106'と基本的に同一設計の1つまたは複数のさらなるIDトークンを有する。
【0083】
ユーザのコンピュータシステム100は、複数の構成データレコード158、160、…を格納してもよい。各構成データレコードは、特定の属性のセットに対して、データソースおよび指定されたデータソースから読み込み可能なIDプロバイダのコンピュータシステムを指示する。この実施形態において、ユーザのコンピュータシステム100は、異なる「信頼センター」にそれぞれが関連付けられてもよい、異なるIDプロバイダのコンピュータシステム136、136'、…を指定するために、ネットワーク116を使用しうる。一例として、IDプロバイダのコンピュータシステム136は、信頼センターAに関連付けられるとともに、原則として同じ設計であるIDプロバイダのコンピュータシステム136'は、他の信頼センターBに関連付けられてもよい。
【0084】
IDコンテナとも呼ばれる構成データレコード158は、自己において定義された属性i=1からi=4に対する属性のセットを有する。これらの属性は、それぞれこれらの属性に関連付けられたデータソース「身分証明カード」即ちIDトークン106と、信頼センターA、即ちIDプロバイダのコンピュータシステム136を有する。信頼センターAは、そのURLの形式で、例えば構成データレコード158において指定されてもよい。
【0085】
これに対して、構成データレコード116は、そこで定義された属性のセットI、II、およびIIIを有する。これらの属性に対して指示されるデータソースは、個々のクレジットカード、即ちIDトークン106'である。IDトークン106'は、属性I、II、IIIを格納する保護メモリ領域124'を有する。例えば、属性Iはクレジットカードの保有者の名前であってもよく、例えば、属性IIはクレジットカード番号であってもよく、かつ属性IIIはクレジットカードの有効性等であってもよい。
【0086】
構成データレコード160内で指示されたIDプロバイダのコンピュータシステムは、信頼センターBのIDプロバイダコンピュータシステム136'である。
【0087】
図3に示された実施形態の代替として、異なる属性に対して、同じ構成データレコードにおいて異なるデータソースおよび/または異なるIDプロバイダのコンピュータシステムが指示されることも可能である。
【0088】
図3の実施形態においては、IDプロバイダのコンピュータシステム136、136'、…のそれぞれは、個々の複数の証明書を有していてもよい。
【0089】
一例として、図3内の例によって示されたIDプロバイダのコンピュータシステム136のメモリ140は、それぞれに関連付けられた秘密鍵142.1および142.2を伴う証明書144.1および144.2のような、複数の証明書を格納する。証明書144.1において、i=1からi=4までの属性に対してIDプロバイダのコンピュータシステム136に対する読み込み権が定義される一方で、証明書144.2では、属性IからIIIまでに対して読み込み権が定義される。
【0090】
サービスコンピュータシステム150によって提供されるサービスを使用するために、ユーザ102は、先ず、ユーザのコンピュータシステム100に、例えば、サービスコンピュータシステム150上のwebページに自分の望ましいサービスの要求を入力するために、ユーザ入力162を生成する。サービス要求164は、ネットワーク116を介して、ユーザのコンピュータシステム100からサービスコンピュータシステム150に送信される。サービスコンピュータシステム150は、次いで、例えばユーザ102からのサービス要求164を処理するためにサービスコンピュータシステム150が要求する属性を指定することによって、属性仕様166を伴って応答する。一例として、属性仕様は、「苗字」、「名前」、「住所」、「クレジットカード番号」のような属性名の形式で作成される。
【0091】
属性仕様166の受信は、ユーザのコンピュータシステム100によってユーザ102に通知される。ユーザ102は、次いで、属性仕様166により、少なくとも部分セットとして属性を含む、属性のセットをそれぞれ定義する、1つ、または必要であれば複数の、構成データレコード158、160、…を選択できる。
【0092】
属性仕様166が単にユーザ102の苗字、名前、および住所の通知を要求する場合、例えば、ユーザ102は構成データレコード158を選択できる。それに対して、属性仕様166においてクレジットカード番号が追加的に指定されている場合、ユーザ102は、構成データレコード160を追加的に選択できる。この処理は、また、ユーザのコンピュータシステム100によって、例えばプログラム命令112を実行することによって、完全に自動的に実行されてもよい。
【0093】
続いて、まず、構成データレコード158のような構成データレコードの1つのみが、属性仕様166に基づいて選択されていると仮定する。
【0094】
ユーザのコンピュータシステム100は、次いで、選択された構成データレコード内で指示されたIDプロバイダのコンピュータシステムに、考察下の本実施例においては、信頼センターAのIDプロバイダのコンピュータシステム136に、要求168を送信する。上記要求168は、構成データレコード158において指示されるデータソースからIDプロバイダのコンピュータシステム136によって読み込まれる必要のある、属性仕様166による、属性の指示を含む。
【0095】
IDプロバイダのコンピュータシステム136は、次いで、これらの属性を読み込むのに必要な読み込み権を有する1つ以上の自己の証明書を選択する。一例として、身分証明カードから属性i=1から3が読み込まれるならば、IDプロバイダのコンピュータシステム136は、そこで必要とされる読み込み権を定義する自己の証明書144.1を選択する。この証明書の選択は、プログラム命令149を実行することによって行われる。
【0096】
次いで、暗号化プロトコルの実行が開始される。一例として、この目的のためにIDプロバイダのコンピュータシステム136は、ユーザのコンピュータシステム100に応答を送信する。ユーザのコンピュータシステム100は、次いで、ユーザ102に、指定されたデータソースに対して、即ちこの場合は身分証明カードに対して、自己を認証するように依頼する。
【0097】
ユーザ102は、次いで、自分の身分証明カード、即ちIDトークン106を、RFID読み取り機104の範囲にかざすとともに、例えば自己を認証するために自分のPINを入力する。IDトークン106に対するユーザ102の認証成功により、暗号化プロトコルの実行、即ちプログラム命令134の実行に対してIDトークン106がロック解除される。続いて、IDプロバイダのコンピュータシステム136は、選択された証明書144.1を使用して、例えばチャレンジ/応答方法を使用して、IDトークン106に対して自己を認証する。認証は、相互的であってもよい。IDトークン106に対するIDプロバイダのコンピュータシステム136の認証成功に続いて、IDプロバイダのコンピュータシステムは、必要な属性を読み込むための読み込み要求をユーザのコンピュータシステム100に送信するとともに、ユーザのコンピュータシステム100は、この読み込み要求を、RFID読み取り機104を介してIDトークン106に転送する。IDトークン106は、IDプロバイダのコンピュータシステム136が必要な読み込み権を有しているかどうかをチェックするために証明書144.1を使用する。もし有している場合、望ましい属性が保護メモリ領域124から読み込まれるとともに、エンドツーエンドの暗号化を使用して、ユーザのコンピュータシステム100を介してIDプロバイダのコンピュータシステムに送信される。
【0098】
IDプロバイダのコンピュータシステム136は、次いで、読み込まれた属性を含む応答170を、ネットワーク116を介してサービスコンピュータシステム150に送信する。応答170は、証明書144.1をもって電子署名される。
【0099】
それに代えて、IDプロバイダのコンピュータシステム136は、ユーザのコンピュータシステム100に応答170を送信する。ユーザ102は、次いで、応答170に含まれる属性を読み込むとともに、これらの属性をサービスコンピュータシステム150に転送することを実際に欲しているか否かを判定するための機会を提供される。ユーザ102からの開放コマンドがユーザのコンピュータシステム100に入力された場合にのみ、次いで、応答170はサービスコンピュータシステム150に転送される。この実施形態において、ユーザ102は、応答170にさらなるデータを追加することも可能である。
【0100】
複数のIDプロバイダのコンピュータシステム136、136'、…が関係する場合、IDプロバイダのコンピュータシステムからの個々の応答は、ユーザのコンピュータシステム100によって、属性仕様166による属性の全てを含む単一の応答に結合されてもよく、この単一の応答は、次いでユーザのコンピュータシステム100からサービスコンピュータシステム150に送信される。
【0101】
本願発明の一実施形態によると、ユーザ102は、サービス要求164の発生時に、例えば、サービス要求164の一部としてネットワーク116を介してユーザの属性をサービスコンピュータシステムに送信することによって、1以上の自分の属性をサービスコンピュータシステム150に開示できる。特に、ユーザ102は、サービスコンピュータシステム150上のwebページに属性を入力できる。これらの属性の正当性は、次いで、応答170によって確認される、即ち、サービスコンピュータシステム150は、IDプロバイダのコンピュータ136によってIDトークン106から読み込まれた属性と、ユーザ102から受信した属性とを比較でき、かつ属性が一致することをチェックできる。
【0102】
本願発明のさらなる実施形態によると、ユーザ102のIDトークンの1つに格納されていないが、なお外部データソースから要求されうる属性である、少なくとも1つのさらなる属性を、属性仕様166において指示することが可能である。一例として、このことは、ユーザ102の信用力に関連する属性を含みうる。この目的のために、ユーザのコンピュータシステム100は、データソースおよびIDプロバイダのコンピュータシステムの属性A−例えば信用力に対する指示を含む、さらなる構成データレコード161を有してもよい。データソースは、信用調査所、Dun&Bradstreetまたはこれに類するもののような、オンライン信用調査機関であってもよい。一例として、指示されるIDプロバイダのコンピュータシステムは、図3の実施形態のように、信頼センターCである。この場合において、データソースは、信頼センターCに配置されてもよい。
【0103】
属性Aを要求するために、ユーザのコンピュータシステム100は、このように、信頼センターC、即ちIDプロバイダのコンピュータシステム136''に(図3に図示されていない)適切な要求を送信する。IDプロバイダのコンピュータシステム136''は、次いで、ユーザのコンピュータシステム100がユーザ102のIDトークンから読み込まれたさらなる属性と共にサービスコンピュータシステム150に転送する属性Aを配信する。
【0104】
属性Aは、例えば、ユーザ102のディジタルアイデンティティに関する属性がユーザ102のIDトークンの1つから既に要求されており、かつユーザのコンピュータシステム100によって署名済み応答170として受信された後に要求されるのが好ましい。ユーザのコンピュータシステム100によるIDプロバイダのコンピュータシステム136''からの属性Aの要求は、次いで、IDプロバイダのコンピュータシステム136''がユーザ102の身分に関する信頼できる情報を有するように、署名済み応答170を含む。
【0105】
図4は、本願発明による方法のさらなる実施形態を示す。ユーザ102からのユーザのコンピュータシステム100へのユーザ入力は、ユーザ102によって、彼または彼女が仕様を欲しているサービスコンピュータシステム上のサービスを指定するのに使用される。一例として、このことは、サービスコンピュータシステム上のインターネットページを呼び出すとともに、そこで提供されるサービスの1つを選択することによって行われる。ユーザ102からのサービス要求は、ユーザのコンピュータシステム100からサービスコンピュータシステム150に転送される。
【0106】
サービスコンピュータシステム150は、属性仕様、即ち、例えば、属性名のリストを伴って、サービス要求に応答する。属性仕様が受信された場合、ユーザのコンピュータシステム100は、例えば入力要求により、IDトークン106への自己の認証をユーザ102に依頼する。
【0107】
ユーザ102は、次いで、例えば自分のPINを入力することによって、IDトークン106に対して自己を認証する。認証成功に続いて、属性仕様が、ユーザのコンピュータシステム100からIDプロバイダのコンピュータシステム136に転送される。IDプロバイダのコンピュータシステム136は、次いで、IDトークン106に対して自己の認証を行なうとともに、IDトークン106に対する属性仕様により、属性を読む読み込み要求を送信する。
【0108】
従来の、ユーザ102の、およびIDプロバイダのコンピュータシステム136の認証成功を仮定して、IDトークン106は、望ましい属性を伴う読み込み要求に応答する。IDプロバイダのコンピュータシステム136は、属性に署名するとともに、署名済みの属性をユーザのコンピュータシステム100に送信する。ユーザ102による発行に続いて、署名済みの属性は、次いで必要に応じて望ましいサービスを提供しうるサービスコンピュータシステム150に、次いで転送される。
【符号の説明】
【0109】
100 ユーザのコンピュータシステム
102 ユーザ
104 インターフェース
106 IDトークン
108 インターフェース
110 プロセッサ
112 プログラム命令
114 ネットワークインターフェース
116 ネットワーク
118 電子メモリ
120 保護メモリ領域
122 保護メモリ領域
124 保護メモリ領域
126 メモリ領域
128 プロセッサ
130 プログラム命令
132 プログラム命令
134 プログラム命令
136 IDプロバイダのコンピュータシステム
138 ネットワークインターフェース
140 メモリ
142 秘密鍵
144 証明書
145 プロセッサ
146 プログラム命令
148 プログラム命令
149 プログラム命令
150 サービスコンピュータシステム
152 ネットワークインターフェース
154 プロセッサ
156 プログラム命令
158 構成データレコード
160 構成データレコード
161 構成データレコード
162 ユーザ入力
164 サービス要求
166 属性仕様
168 要求
170 応答
【技術分野】
【0001】
本願発明は、IDトークンから少なくとも1つの属性を読む方法、コンピュータプログラム製品、IDトークン、およびコンピュータシステムに関する。
【背景技術】
【0002】
従来技術は、ユーザのディジタルアイデンティティとして公知のものを管理する種々の方法を開示する。
【0003】
マイクロソフトWindows(登録商標) CardSpace(登録商標)は、インターネットユーザが自己のディジタルアイデンティティをオンラインサービスに伝達することを可能にすることを意図するクライアントベースのディジタルアイデンティティシステムである。この状況における1つの欠点は、とりわけ、ユーザが自己のディジタルアイデンティティを操作できることである。
【0004】
これに対して、OPENID(登録商標)は、サーバベースのシステムである。アイデンティティサーバとして公知のものは、登録済みユーザのディジタルアイデンティティを有するデータベースを格納する。これの1つの欠点は、とりわけ、不十分なデータ保護である、なぜなら、ユーザのディジタルアイデンティティは中央に格納されており、かつユーザの振る舞いが記録されうるからである。
【0005】
米国出願公開2007/0294431号明細書は、同様にユーザ登録を必要とするディジタルアイデンティティを管理する他の方法を開示する。
【発明の開示】
【課題を解決するための手段】
【0006】
これに対して、本願発明は、少なくとも1つの属性を読み込む改善された方法と、また適切なコンピュータプログラム製品と、IDトークンと、コンピュータシステムを提供する目的に基づく。
【0007】
本願発明が基づく目的は、独立請求項の特徴によってそれぞれ達成される。本願発明の実施形態は、従属請求項で特定される。
【0008】
本願発明は、IDトークンに格納された少なくとも1つの属性を読み込む方法を構成し、ここで、IDトークンは、ユーザに関連付けられている。方法は、次のステップを備える:ユーザがIDトークンに対して認証され、第1コンピュータシステムはIDトークンに対して認証され、ユーザおよび第1コンピュータシステムのIDトークンに対する認証成功に続いて、第1コンピュータシステムは、少なくとも1つの属性を第2のコンピュータシステムに送信するために、IDトークンに格納された少なくとも1つの属性に対して読み込みアクセスを生じさせる。このことは、「信頼アンカー(confidence anchor)」が提供されることを可能にする。
【0009】
本願発明によって、1つ以上の属性を第1コンピュータシステムによってIDトークンに格納することが可能になり、IDトークンおよび第1コンピュータシステムの間の接続は、ネットワーク、とりわけインターネットを介してセットアップされてもよい。上記の1つ以上の属性は、IDトークンに関連付けられたユーザの身分の指示、特にユーザの「ディジタルアイデンティティ」であってもよい。一例として、第1コンピュータシステムは、苗字、名前、住所の属性を読み込み、例えばオンラインサービスのような、第2コンピュータシステムにこれらの属性を転送する。
【0010】
しかしながら、一例として、ユーザの身分を確立するためではなく、むしろ、例えば特定のオンラインサービスを使用するユーザの権限をチェックするために、特定の年齢グループに対して予約されたオンラインサービスの使用を欲しているユーザの年齢や、オンラインサービスを使用する権限のある特定のグループに対するユーザの関連付けを記述するその他の属性のような、単一の属性のみを読み込むことも可能である。
【0011】
IDトークンは、USBスティックとして公知のもののような、携帯電子機器であってもよく、文書、特に重要文書またはセキュリティ文書であってもよい。
【0012】
本願発明においては、「文書」は、身分証明文書、特にパスポート、身分証明カード、ビザ、および運転免許証、車両登録証明書、車両登録文書、社員身分証明書、健康カードまたは他のID文書のような、紙ベースおよび/またはプラスチックベースの文書、および、少なくとも1つの属性を格納するデータメモリを組み込んだ、チップカード、支払手段、特に銀行カードおよびクレジットカード、貨物運送証、または他の委任状を意味するものと理解する。
【0013】
少なくとも1つの属性が、特に信頼できる文書、例えば公式文書から読み込まれるので、本願発明の実施形態は、このように特に有利である。属性の中央ストレージが不要であることも、特に有利である。本願発明は、このように、非常に便利な取り扱いとともに最適なデータ保護を伴う、ディジタルアイデンティティに関連付けられた属性の通信に対して、特に高レベルな信頼性をもたらす。
【0014】
本願発明の一実施形態によると、第1コンピュータシステムは、第1コンピュータシステムをIDトークンに対して認証するために使用される少なくとも1つの証明書を有する。証明書は、第1コンピュータシステムが読み込み権を有する属性の指示を含む。IDトークンは、第1コンピュータシステムによって読み込みアクセスが実行される前に、第1コンピュータシステムが属性に対する読み込みアクセスに必要な読み込み権を有するかどうかをチェックするために、上記の証明書を使用する。
【0015】
本願発明の一実施形態によると、第1のコンピュータシステムは、IDトークンから読み込まれた少なくとも1つの属性を、直接第2コンピュータシステムに送信する。一例として、第2コンピュータシステムは、銀行サービスのようなオンラインサービスまたは他のサービスを提供するための、または商品を注文するためのサーバであってもよい。一例として、ユーザは、ユーザの身分を含む属性が、第1コンピュータシステムから銀行の第2コンピュータシステムに送信されるアカウントをオンラインで開くことができる。
【0016】
本願発明の一実施形態によると、IDトークンから読み込まれた属性は、まず第1コンピュータシステムからユーザの第3コンピュータシステムに転送される。一例として、第3コンピュータシステムは、ユーザが第2コンピュータシステム上でwebページを開くのに使用できる通常のインターネットブラウザを有する。ユーザは、サービスまたは製品の要求または注文をwebページに入力できる。
【0017】
第2コンピュータシステムは、次いで、サービスを提供するまたは注文を取るために必要とする、例えばユーザの、またはユーザのIDトークンの属性を指定する。それらの属性の仕様を含む、対応する属性仕様は、次いで、第2コンピュータシステムから第1コンピュータシステムに送信される。これは、第3コンピュータシステムの介在を伴い、または伴わずになされうる。伴わない場合においては、ユーザは、例えば第3コンピュータシステムからの第2コンピュータシステム上のwebページに第1コンピュータシステムのURLを入力することによって、第2コンピュータシステムに対して好ましい第1コンピュータシステムを指定できる。
【0018】
本願発明の一実施形態によると、ユーザから第2コンピュータシステムへのサービス要求は、識別子の指示を含み、識別子は、第1コンピュータシステムを特定する。一例として、識別子は、例えば第1コンピュータシステム上のURLのようなリンクである。
【0019】
本願発明の一実施形態によると、属性仕様は、第2コンピュータシステムから第1コンピュータシステムに直接送信されるのではなく、むしろ、先ず第2コンピュータシステムから第3コンピュータシステムに送信される。第3コンピュータシステムは、複数の予め定められた構成データレコードを有し、ここで、第3コンピュータは、複数の予め定められた構成データレコードを有し、複数の構成データレコードは、それぞれ、属性の部分セット、少なくとも1つのデータソース、および第1コンピュータシステムのセットからの第1コンピュータシステムを指定し、属性仕様は、第3コンピュータシステムが、属性仕様において指定された少なくとも1つの属性を含む属性の部分セットを指定する少なくとも1つの構成データレコードを選択するのに使用されるように、まず第2コンピュータシステムから第3コンピュータシステムに送信されるとともに、第3コンピュータは、属性仕様を第1コンピュータシステムに転送するとともに、選択された構成データレコードのデータソースの指示によって指定されるIDトークンへの接続がセットアップされる。
【0020】
本願発明の一実施形態によると、IDトークンから読み込まれた属性は、第1コンピュータシステムによって署名されるとともに、次いで、第3コンピュータシステムに転送される。第3コンピュータシステムのユーザは、このように、属性を読み込むことはできるが、それらを更新することはできない。ユーザによって発行された後にのみ、属性は、第3コンピュータシステムから第2コンピュータシステムに転送される。
【0021】
本願発明の一実施形態によると、ユーザは、属性が転送される前に、属性にさらなるデータを追加できる。
【0022】
本願発明の一実施形態によると、第1コンピュータシステムは、異なる読み込み権を伴う複数の証明書を有する。属性仕様の受信に基づき、第1コンピュータシステムは、IDトークンまたは複数の異なるIDトークンから関連する属性を読み込むために、1つ以上のこれらの証明書を選択する。
【0023】
一実施形態によると、第3コンピュータシステムは、ネットワークを介して第3コンピュータシステムからさらなる属性を要求する外部データソースを指定する少なくとも1つの構成データレコードを有する。
【0024】
本願発明の一実施形態によると、少なくとも1つの属性がIDトークンから読み込まれた後に、かつ第3のコンピュータシステムが第1コンピュータシステムから少なくとも1つの属性を受信した後に、さらなる属性が要求され、要求は、少なくとも1つの属性を含む。
【0025】
さらなる構成において、本願発明は、コンピュータプログラム製品、特に、本願発明による方法を実行するための実行可能プログラム命令を伴う、ディジタル格納媒体に関する。
【0026】
さらなる構成において、本願発明は、少なくとも1つの属性を格納するための保護メモリ領域、IDトークンに関連付けられたユーザをIDトークンに対して認証する手段、第1コンピュータシステムをIDトークンに対して認証する手段、および第1コンピュータシステムが少なくとも1つの属性を読み込むのに使用しうる保護された接続を第1コンピュータシステムに対してセットアップする手段を備えるIDトークンに関し、第1コンピュータシステムによってIDトークンから少なくとも1つの属性を読み込む為に必要な前提条件は、IDトークンに対するユーザおよび第1コンピュータシステムの認証成功である。
【0027】
第1コンピュータシステムのIDトークンに対する認証に加えて、それ自体が例えば機械可読旅行文書(MRTD)に対する「拡張アクセス制御」として公知であるとともに、国際民間航空機関ICAOによって指定されるように、ユーザは、このように、自己をIDトークンに対して認証する必要がある。一例として、ユーザのIDトークンに対する認証成功は、さらなるステップ、即ち第1コンピュータシステムのIDトークンに対する認証および/または属性を読み込むための保護された接続のセットアップが発生しうるように、IDトークンをロック解除する。
【0028】
本願発明の一実施形態によると、IDトークンは、エンドツーエンドの暗号化手段を有する。このことは、IDトークンおよび第1コンピュータシステムの間の接続を、ユーザの第3コンピュータシステムを介してセットアップすることを可能にする、なぜなら、ユーザは、エンドツーエンドの暗号化のために、通信を介して送信されるデータにいかなる変更も行えないからである。
【0029】
さらなる構成において、本願発明は、ネットワークを介して属性仕様を受信するための手段を有するコンピュータシステムを伴う第1コンピュータシステムに関し、属性仕様は、少なくとも1つの属性、IDトークンに対する認証手段、保護された接続を介してIDトークンから少なくとも1つの属性を読み込む手段を指定し、少なくとも1つの属性を読み込む為の前提条件は、IDトークンに関連付けられたユーザが、IDトークンに対して自己を認証されていることである。
【0030】
本願発明の一実施形態によると、第1コンピュータシステムは、ユーザに対して要求を生成する手段を含んでもよい。第1コンピュータシステムが第2コンピュータシステムから属性仕様を受信した場合、例えば、第1コンピュータシステムは、ユーザがIDトークンに対して自己の認証を求められるように、次いで、ユーザの第3コンピュータシステムに要求を送信する。IDトークンに対するユーザの認証が実行に成功した場合、第1コンピュータシステムは、第3コンピュータシステムから確認を受信する。第1コンピュータシステムは、次いでIDトークンに対して自己を認証するとともに、エンドツーエンドの暗号化を使用して、IDトークンおよび第1コンピュータシステムの間にセキュアな接続をセットアップする。
【0031】
本願発明の一実施形態によると、第1のコンピュータシステムは、それぞれが異なる読み込み権を指定する複数の証明書をもっている。属性仕様の受信に続いて、第1のコンピュータシステムは、指定された属性を読み込むのに十分な読み込み権を伴う上記の証明書の少なくとも1つを選択する。
【0032】
ユーザのIDトークンに対する認証の要求と組み合わせて、改ざんされていないユーザのディジタルアイデンティティに対する信頼アンカーを形成するので、本願発明による第1コンピュータシステムの実施形態は、特に有利である。この状況における固有の利点は、これにより、コンピュータシステムまたはディジタルアイデンティティを形成するユーザの属性の中央ストレージに、ユーザを予め登録することが必要とされないことである。
【0033】
本願発明の一実施形態によると、第1コンピュータシステムは、第2コンピュータシステムの識別子を、属性仕様とともに受信する。識別子を使用して、コンピュータシステムは、第2コンピュータシステムにこのサービスに対する課金をするために、識別サービスの使用を希望する第2コンピュータシステムを特定する。本願発明の一実施形態によると、コンピュータシステムは、公式に認可された信頼センター、特に、署名法を遵守する信頼センターである。
【0034】
本願発明の実施形態は、図面を参照して、以降においてより詳細に説明される。
【図面の簡単な説明】
【0035】
【図1】図1は、本願発明によるコンピュータシステムの第1実施形態のブロック図を示す。
【図2】図2は、本願発明による方法の実施形態のフローチャートを示す。
【図3a】図3aは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図3b】図3bは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図3c】図3cは、本願発明によるコンピュータシステムのさらなる実施形態のブロック図を示す。
【図4】図4は、本願発明による方法のさらなる実施形態のUMLダイアグラムを示す。
【発明を実施するための形態】
【0036】
互いに対応する以降の実施形態の構成要素は、同一の参照符号によって特定される。
【0037】
図1は、ユーザ102のユーザのコンピュータシステム100を示す。ユーザのコンピュータシステム100は、パーソナルコンピュータ、ラップトップまたはパームトップコンピュータのようなポータブルコンピュータ、携帯情報端末(PDA)、特にスマートフォンやそれに類するもののような携帯遠隔通信機器であってもよい。ユーザのコンピュータシステム100は、適切なインターフェース108を有する、IDトークン106と通信するためのインターフェース104を有する。
【0038】
ユーザのコンピュータシステム100は、プログラム命令112を実行するための少なくとも1つのプロセッサ110、およびネットワーク116を介して通信するためのネットワークインターフェース114を有する。ネットワークは、インターネットのようなコンピュータネットワークであってもよい。
【0039】
IDトークン106は、保護メモリ領域120、122、および124を伴う電子メモリ118を有する。保護メモリ領域120は、ユーザ102をIDトークン106に対して認証するのに必要な基準値を格納するのに使用される。上記の基準値は、例えば、特に個人認証番号(PIN)として公知である識別子、またはユーザをIDトークン106に対して認証するのに使用されうる、ユーザ102の生体測定の特徴に対する基準データである。
【0040】
保護された領域122は、秘密鍵を格納するのに使用されるとともに、保護メモリ領域124は、例えば、ユーザ102の名前、居住地、誕生日、性別、および/または、IDトークンを作成または発行した団体、IDトークンの有効期限、或いは、パスポート番号またはクレジットカード番号のようなIDトークンの識別子のような、IDトークン自体に関連する属性である属性を格納するのに使用される。
【0041】
電子メモリ118は、証明書を格納するためのメモリ領域126を有してもよい。証明書は、保護メモリ領域122内に格納された秘密鍵に関連付けられた公開鍵を含む。証明書は、例えば、X.509規格に基づいて、公開鍵基盤(PKI)規格に基づいて生成されてもよい。
【0042】
証明書は、必ずしもIDトークン106の電子メモリ118内に格納される必要はない。これに代えて、またはこれに加えて、証明書は、公開ディレクトリサーバ内に格納されてもよい。
【0043】
IDトークン106は、プロセッサ128を有する。プロセッサ128は、プログラム命令130、132、および134を実行するのに使用される。プログラム命令130は、ユーザ認証のため、即ち、IDトークンに対するユーザ102の認証のために使用される。
【0044】
PINを使用する実施形態において、ユーザ102は、例えばユーザのコンピュータシステム100を介して、IDトークン106に対して自己を認証するために、自己のPINを入力する。プログラム命令130の実行は、次いで、入力PINと、PINに対して格納された基準値とを比較するために、保護メモリ領域120にアクセスする。入力PINが、PINの基準値と一致した場合、ユーザ102は認証されたとみなされる。
【0045】
それに代えて、ユーザ102の生体認証の特徴が取得される。一例として、IDトークン106はこの目的のために指紋センサーを有する、または指紋センサーがユーザのコンピュータシステム100に接続される。ユーザ102から取得された生体認証データは、この実施形態におけるプログラム命令130を実行することによって、保護メモリ領域120に格納された生体認証基準データと比較される。ユーザ102から取得された生体認証データおよび生体認証基準データの間に十分な一致がある場合、次いで、ユーザ102は認証されたものとみなされる。
【0046】
プログラム命令134は、IDプロバイダのコンピュータシステム136をIDトークン106に対して認証するために、IDトークン106に関連する暗号化プロトコルのステップを実行するために使用される。暗号化プロトコルは、対称鍵または非対称鍵対に基づくチャレンジ/応答プロトコルであってもよい。
【0047】
一例として、暗号化プロトコルは、国際民間航空機関(ICAO)によって機械可読旅行文書(MRTD)に対して指定されるような、拡張アクセス制御方法を実施する。暗号化プロトコルの実行成功により、IDプロバイダのコンピュータシステム136がIDトークンに対して認証され、こうして保護メモリ領域124に格納された属性を読み込むためのその読み込み権が証明される。認証はまた、相互的、即ち、IDトークン106は次いで、同じまたは異なる暗号化プロトコルに基づいてIDプロバイダのコンピュータシステム136に対して自己を認証する必要があってもよい。
【0048】
プログラム命令132は、IDトークン106およびIDプロバイダのコンピュータシステム136の間で送信されるデータのエンドツーエンド暗号化のために使用されるが、少なくともIDプロバイダのコンピュータシステム136によって保護メモリ領域124から読み込まれる属性のエンドツーエンド暗号化のために使用される。例えば、暗号化プロトコルが実行される場合、エンドツーエンドの暗号化のために、IDトークン106およびIDプロバイダのコンピュータシステム136の間で合意された対称鍵を使用できる。
【0049】
図1に示された実施形態の代替として、ユーザのコンピュータシステム100は、直接ではなく、むしろ自己のインターフェース104に接続されたIDトークン106のための読み取り機を介してインターフェース108と通信するために、自己のインターフェース104を使用してもよい。例えばクラス2のチップカード端末として公知のものである、この読み取り機は、PINを入力するのに使用されてもよい。
【0050】
IDプロバイダのコンピュータシステム136は、ネットワーク116を介した通信のためのネットワークインターフェース138を有する。IDプロバイダのコンピュータシステム136は、また、IDプロバイダのコンピュータシステム136のための秘密鍵142を格納するメモリ140および適切な証明書144を有する。この証明書は、例えばX.509のような、PKI規格に基づく証明書であってもよい。
【0051】
IDプロバイダのコンピュータシステム136は、また、プログラム命令146および148を実行するための少なくとも1つのプロセッサ145を有する。プログラム命令146を実行することによって、IDプロバイダのコンピュータシステム136に関連する暗号化プロトコルのステップが実行される。全体として、暗号化プロトコルは、このように、IDトークン106のプロセッサ128によるプログラム命令134の実行を通して、およびIDプロバイダのコンピュータシステム136のプロセッサ145によるプログラム命令146の実行を通して実施される。
【0052】
プログラム命令148は、暗号化プロトコルが実行される場合に,例えばIDトークン106およびIDプロバイダコンピュータシステム136の間で合意された対称鍵に基づいて、IDプロバイダのコンピュータシステム136上でエンドツーエンドの暗号化を実施するのに使用されてもよい。原則として、Diffie-Hallman鍵交換のような、事実上既知のエンドツーエンド暗号化のための対称鍵について合意するいかなる方法も使用できる。
【0053】
IDプロバイダコンピュータシステム136が、ユーザ102のIDトークン106に対する認証の必要性と組み合わせてIDトークン106から読み込まれる属性の正当性に対する信頼アンカーを形成するように、IDプロバイダコンピュータシステム136は、特に保護された環境、特に信頼センターとして公知であるものに置かれるのが好ましい。
【0054】
サービスコンピュータシステム150は、サービスまたは製品、特にオンラインサービスの注文または発注を取るように設計されてもよい。一例として、ユーザ102は、銀行に口座を開設でき、また、ネットワーク116を介して接続される他の金融または銀行サービスを使用できる。 サービスコンピュータシステム150は、また、例えば、ユーザ102が携帯電話またはそれに類するものをオンラインで購入できるように、オンライン問屋の形式であってもよい。これに加えて、サービスコンピュータシステム150は、また、例えば音楽データおよび/または動画データのダウンロードのためにデジタルコンテンツを配信するように設計されてもよい。
【0055】
この目的のために、サービスコンピュータシステム150は、ネットワーク116に接続するためのネットワークインターフェース152を有する。これに加えて、サービスコンピュータシステム150は、プログラム命令156を実行するための少なくとも1つのプロセッサ154を有する。プログラム命令156の実行によって、例えば、ユーザ102が自己の発注または自己の注文を入力するのに使用できる、動的HTMLページが生成される。
【0056】
発注されたまたは注文された製品またはサービスの性質によって、サービスコンピュータシステム150は、規定された基準を使用して、ユーザ102および/またはユーザのIDトークン106の1以上の属性をチェックする必要がある。このチェックが合格した場合にのみ、ユーザ102からの注文または発注は、引き受けられ、および/または実行される。
【0057】
一例として、銀行口座を開設する、または携帯電話を関連付けられた契約をもって購入するのに、ユーザ102は、サービスコンピュータシステム150に対する自己の身分を開示する必要があるとともに、この身分がチェックされる必要がある。従来技術においては、ユーザ102は、例えば自己の身分証明カードを提示することによって、これを行わなければならない。この処理は、ユーザ102のディジタルアイデンティティを、ユーザのIDトークン106から読み込むことによって置き換えられる。
【0058】
しかしながら、アプリケーションのインスタンスによっては、ユーザ102は、サービスコンピュータシステム150に自分の身分を開示する必要がなく、むしろ例えば1つの属性のみを通信すれば足りる。一例として、ユーザ102は、ダウンロードのためにサービスコンピュータシステム150上で保持されるデータにアクセスする権限がある特定の人々のグループに自己が属する証拠を提供するための属性の1つを使用してもよい。一例として、そのような基準はユーザ102の最低年齢、または特定の機密データに対するアクセス権限を有する人々のグループとユーザ102との関連であってもよい。
【0059】
サービスコンピュータシステム150によって提供されるサービスを使用するための手順は次のようである。
【0060】
1.ユーザ102のIDトークン106に対する認証
【0061】
ユーザ102は、IDトークン106に対して自己を認証する。PINを使用する実施において、ユーザ102は、例えば、ユーザのコンピュータシステム100、またはそれに接続されたチップカード端末を使用して自分のPINを入力することによってこれを行う。プログラム命令130を実行することによって、IDトークン106は、次いで、入力PINの正確性をチェックする。入力PINが、保護メモリ領域120に格納されたPIN基準値に一致した場合、ユーザ102は認証されたものとみなされる。ユーザ102を認証するために、彼の生体測定の特徴が使用される場合、手順は上記と同様であってもよい。
【0062】
2.IDプロバイダコンピュータシステム136のIDトークン106に対する認証
【0063】
この目的のために、ユーザのコンピュータシステム100およびネットワーク116を介して、IDトークン106およびIDプロバイダのコンピュータシステム136の間の接続がセットアップされる。一例として、IDプロバイダのコンピュータシステム136は、この接続を介して、自己の証明書144をIDトークン106に対して送信する。プログラム命令134は、次いで、チャレンジとして公知であるもの、即ち、例えば乱数を生成する。この乱数は、証明書144に含まれる、IDプロバイダのコンピュータシステム136の公開鍵を使用して暗号化される。結果として生じる暗号は、接続を介して、IDトークン106からIDプロバイダのコンピュータシステム136に送信される。IDプロバイダのコンピュータシステム136は、自己の秘密鍵142を使用して暗号を復号するとともに、このようにして乱数を取得する。乱数は、IDプロバイダのコンピュータシステム136によって接続を介してIDトークン106に返却される。プログラム命令134を実行することによって、IDトークンは、IDプロバイダのコンピュータシステム136から受信された乱数が、元々生成された乱数、即ちチャレンジに一致するかどうかをチェックする。一致した場合、IDプロバイダのコンピュータシステム136は、IDトークン106に対して認証されたものとみなされる。この乱数は、エンドツーエンドの暗号化のための対称鍵として使用されうる。
【0064】
3.ユーザ102が、IDトークン106に対して自己の認証を成功させた場合、かつプロバイダのコンピュータシステム136がIDトークン106に対して自己の認証を成功させた場合、IDプロバイダのコンピュータシステム136は、保護メモリ領域124に格納された属性、複数の属性、または全ての属性を読み込むための読み込み権を提供される。IDプロバイダのコンピュータシステム136が接続を介してIDトークン106に送信する、関連する読み込みコマンドに基づいて、プログラム命令132を実行することによって、要求された属性が、保護メモリ領域124から読み込まれるとともに暗号化される。暗号化された属性は、接続を介してIDプロバイダのコンピュータシステム136に送信され、暗号化された属性はそこでプログラム命令148を実行することによって復号化される。これにより、IDプロバイダのコンピュータシステム136に、IDトークン106から読み込まれた属性の情報が提供される。
【0065】
これらの属性は、IDプロバイダのコンピュータシステムによって、IDプロバイダのコンピュータシステムの証明書144を使用して署名されるとともに、ユーザのコンピュータシステム100を介して、または直接に、サービスコンピュータシステム150に送信される。これにより、おそらくは次いでユーザ102によって要求されたサービスを提供するために、規定された1以上の基準を使用して、サービスコンピュータシステム150はこれらの属性をチェックできるように、サービスコンピュータシステム150にIDトークン106から読み込まれた属性を通知する。
【0066】
IDプロバイダのコンピュータシステム136によりサービスコンピュータシステム150に伝えられたユーザ102の属性が正当であるとともに、改ざんされていないことを、サービスコンピュータシステムが確認できるように、IDトークン106に対するユーザ102の認証およびIDトークン106に対するIDプロバイダのコンピュータシステム136の認証の要求は、必要な信頼アンカーを提供する。
【0067】
実施形態によっては、認証の順序は異なってもよい。一例として、最初に、ユーザ102がIDトークン106に自己の認証をしなくてはならず、IDプロバイダコンピュータシステム136が続くように準備されてもよい。しかしながら、原則として、最初にIDプロバイダのコンピュータシステム136がIDトークン106に対して自己の認証をしなくてはならず、その後にのみユーザ102が続くことも可能である。
【0068】
1つ目の場合においては、IDトークン106は、一例として、ユーザ102による正しいPINの入力または正しい生体測定の特徴を通じてのみロック解除されるように設計される。このロック解除によってのみ、プログラム命令132および134が開始して、それ故にIDプロバイダのコンピュータシステム136が認証されることが可能になる。2つ目の場合においては、ユーザ102がIDトークン106に対して自己の認証をしていない場合であっても,プログラム命令132および134が開始可能である。この場合、一例として、プログラム命令134は、プログラム命令130がユーザ102も認証成功したことを通知するまで、IDプロバイダのコンピュータシステム136が1つ以上の属性を読み込むことを目的として保護メモリ領域124に読み込みアクセスを実行できないような形式であってもよい。
【0069】
特に有利であるのは、例えばメディアの途絶なし(zwar medienbruchfrei)に、かつ、法的にIDトークン106に対してユーザ102およびIDプロバイダのコンピュータシステム136が認証される必要によって形成された信頼アンカーに基づく、eコマースおよび電子政府のアプリケーションにおけるIDトークン106の利用である。また、特に有利であるのは、様々なユーザ102の属性の中央ストレージが不要であるという事実であり、このことは、従来技術において存在したデータ保護問題が、ここでは解決されていることを意味する。本願方法を適用することの利便性に関する限り、プロバイダのコンピュータシステム136を使用するためのユーザ102の事前登録は不要であることが、特に有利である。
【0070】
図2は、本願発明による方法の一実施形態を示す。ステップ200において、サービス要求が、ユーザのコンピュータシステムからサービスコンピュータシステムに送信される。一例として、ユーザは、ユーザのコンピュータシステム上でインターネットブラウザを開始するとともに、サービスコンピュータシステム上のwebページを呼び出すためのURLを入力することによって、これを行う。ユーザは、次いで、例えば、サービスまたは製品を注文または発注するために、呼び出されたwebページに自分のサービス要求を入力する。
【0071】
ステップ202において、サービスコンピュータシステム150は、次いで、サービス要求に対するユーザの権限をチェックするために、自己が必要とする1以上の属性を指定する。特に、サービスコンピュータシステムは、ユーザ102のディジタルアイデンティティを決定する属性を指定できる。このサービスコンピュータシステム150による属性の指定は、固定的に規定されてもよく、または規定の規則を使用して、サービス要求に依存して、サービスコンピュータシステム150によって個別に決定されてもよい。
【0072】
ステップ204において、属性仕様、即ち、1以上の属性に対してステップ202において実行される属性は、特に、直接またはユーザのコンピュータシステムを介して、サービスコンピュータシステムからIDプロバイダコンピュータシステムに送信される。
【0073】
IDプロバイダのコンピュータシステムに、ユーザのIDトークンから属性を読み込む機会を提供するために、ステップ206において、ユーザはIDトークンに対して自己を認証する。
【0074】
ステップ208において、IDトークンおよびIDプロバイダのコンピュータシステムの間で接続がセットアップされる。これは、例えば、セキュアなメッセージング方法として公知であるものに基づく、保護された接続であるのが好ましい。
【0075】
ステップ210において、IDプロバイダのコンピュータシステムは、ステップ208においてセットアップされている通信を介して、少なくともIDトークンに対して認証される。それに加えて、IDトークンが、IDプロバイダのコンピュータシステムに対して認証されるための準備があってもよい。
【0076】
ユーザおよびIDプロバイダのコンピュータシステムが、IDトークンに対して認証成功した場合、IDプロバイダのコンピュータシステムは、IDトークンによって、属性を読み込むアクセス権限が提供される。ステップ212において、IDプロバイダのコンピュータシステムは、属性仕様により必要とされる属性をIDトークンから読み込む1つ以上の読み込みコマンドを送信する。属性は、次いで、保護された接続を介してIDプロバイダのコンピュータシステムに、エンドツーエンドの暗号化を使用して転送され、そこで属性は復号化される。
【0077】
ステップ214において、読み込まれた属性値はIDプロバイダのコンピュータシステムによって署名される。ステップ216において、IDプロバイダのコンピュータシステムは、ネットワークを介して、署名済みの属性値を送信する。署名済みの属性値は、直接またはユーザのコンピュータシステムを介して、サービスコンピュータシステムに到達する。ユーザのコンピュータシステムを介する場合には、ユーザは、署名済みの属性値の記録を取る、および/または署名済みの属性値にさらなるデータを追加する機会を有してもよい。ユーザによって発行された後にのみ、ユーザのコンピュータシステムからサービスコンピュータシステムに、おそらくは追加データを伴った、署名済み属性値が転送されるように準備がなされてもよい。これにより、IDプロバイダのコンピュータシステムからサービスコンピュータシステムに送信される属性の観点からは、ユーザに対して最大限可能な透過性が提供される。
【0078】
図3は、本願発明によるIDトークンおよび本願発明によるコンピュータシステムのさらなる実施形態を示す。図3内の実施形態において、IDトークン106は、インターフェース108、メモリ118、およびプロセッサ128を形成する集積電子回路を伴う、紙ベースおよび/またはプラスチックベースの文書のような、文書の形式である。一例として、集積電子回路は、RFIDタグまたはRFIDラベルとも呼ばれる、無線タグとして公知であるものであってもよい。これに代えて、インターフェース108は、接触部を備えても、デュアルモードインターフェースの形式であってもよい。
【0079】
特に、文書106は、電子パスポートまたは電子身分証明カードのような、機械可読旅行文書(MRTD)のような重要文書またはセキュリティ文書であってもよく、クレジットカードのような支払手段であってもよい。
【0080】
本ケースで考察下の実施形態において、保護メモリ領域124は、属性iを格納し、ここで、1≦i≦nである。続いて、一般性を限定することなく、図3の例を使用して示されるIDトークン106は、電子身分証明カードであると仮定される。一例として、属性i=1は苗字であり、属性i=2は名前であり、属性i=3は住所であり、かつ属性i=4は誕生日等である。
【0081】
考察下の実施形態においては、ユーザのコンピュータシステム100のインターフェース104は、RFIDリーダーの形式であってもよく、ユーザのコンピュータシステムの一体化部分を形成してもよく、または別個の構成要素としてそれに接続されてもよい。
【0082】
ユーザ102は、クレジットカードであるIDトークン106'と基本的に同一設計の1つまたは複数のさらなるIDトークンを有する。
【0083】
ユーザのコンピュータシステム100は、複数の構成データレコード158、160、…を格納してもよい。各構成データレコードは、特定の属性のセットに対して、データソースおよび指定されたデータソースから読み込み可能なIDプロバイダのコンピュータシステムを指示する。この実施形態において、ユーザのコンピュータシステム100は、異なる「信頼センター」にそれぞれが関連付けられてもよい、異なるIDプロバイダのコンピュータシステム136、136'、…を指定するために、ネットワーク116を使用しうる。一例として、IDプロバイダのコンピュータシステム136は、信頼センターAに関連付けられるとともに、原則として同じ設計であるIDプロバイダのコンピュータシステム136'は、他の信頼センターBに関連付けられてもよい。
【0084】
IDコンテナとも呼ばれる構成データレコード158は、自己において定義された属性i=1からi=4に対する属性のセットを有する。これらの属性は、それぞれこれらの属性に関連付けられたデータソース「身分証明カード」即ちIDトークン106と、信頼センターA、即ちIDプロバイダのコンピュータシステム136を有する。信頼センターAは、そのURLの形式で、例えば構成データレコード158において指定されてもよい。
【0085】
これに対して、構成データレコード116は、そこで定義された属性のセットI、II、およびIIIを有する。これらの属性に対して指示されるデータソースは、個々のクレジットカード、即ちIDトークン106'である。IDトークン106'は、属性I、II、IIIを格納する保護メモリ領域124'を有する。例えば、属性Iはクレジットカードの保有者の名前であってもよく、例えば、属性IIはクレジットカード番号であってもよく、かつ属性IIIはクレジットカードの有効性等であってもよい。
【0086】
構成データレコード160内で指示されたIDプロバイダのコンピュータシステムは、信頼センターBのIDプロバイダコンピュータシステム136'である。
【0087】
図3に示された実施形態の代替として、異なる属性に対して、同じ構成データレコードにおいて異なるデータソースおよび/または異なるIDプロバイダのコンピュータシステムが指示されることも可能である。
【0088】
図3の実施形態においては、IDプロバイダのコンピュータシステム136、136'、…のそれぞれは、個々の複数の証明書を有していてもよい。
【0089】
一例として、図3内の例によって示されたIDプロバイダのコンピュータシステム136のメモリ140は、それぞれに関連付けられた秘密鍵142.1および142.2を伴う証明書144.1および144.2のような、複数の証明書を格納する。証明書144.1において、i=1からi=4までの属性に対してIDプロバイダのコンピュータシステム136に対する読み込み権が定義される一方で、証明書144.2では、属性IからIIIまでに対して読み込み権が定義される。
【0090】
サービスコンピュータシステム150によって提供されるサービスを使用するために、ユーザ102は、先ず、ユーザのコンピュータシステム100に、例えば、サービスコンピュータシステム150上のwebページに自分の望ましいサービスの要求を入力するために、ユーザ入力162を生成する。サービス要求164は、ネットワーク116を介して、ユーザのコンピュータシステム100からサービスコンピュータシステム150に送信される。サービスコンピュータシステム150は、次いで、例えばユーザ102からのサービス要求164を処理するためにサービスコンピュータシステム150が要求する属性を指定することによって、属性仕様166を伴って応答する。一例として、属性仕様は、「苗字」、「名前」、「住所」、「クレジットカード番号」のような属性名の形式で作成される。
【0091】
属性仕様166の受信は、ユーザのコンピュータシステム100によってユーザ102に通知される。ユーザ102は、次いで、属性仕様166により、少なくとも部分セットとして属性を含む、属性のセットをそれぞれ定義する、1つ、または必要であれば複数の、構成データレコード158、160、…を選択できる。
【0092】
属性仕様166が単にユーザ102の苗字、名前、および住所の通知を要求する場合、例えば、ユーザ102は構成データレコード158を選択できる。それに対して、属性仕様166においてクレジットカード番号が追加的に指定されている場合、ユーザ102は、構成データレコード160を追加的に選択できる。この処理は、また、ユーザのコンピュータシステム100によって、例えばプログラム命令112を実行することによって、完全に自動的に実行されてもよい。
【0093】
続いて、まず、構成データレコード158のような構成データレコードの1つのみが、属性仕様166に基づいて選択されていると仮定する。
【0094】
ユーザのコンピュータシステム100は、次いで、選択された構成データレコード内で指示されたIDプロバイダのコンピュータシステムに、考察下の本実施例においては、信頼センターAのIDプロバイダのコンピュータシステム136に、要求168を送信する。上記要求168は、構成データレコード158において指示されるデータソースからIDプロバイダのコンピュータシステム136によって読み込まれる必要のある、属性仕様166による、属性の指示を含む。
【0095】
IDプロバイダのコンピュータシステム136は、次いで、これらの属性を読み込むのに必要な読み込み権を有する1つ以上の自己の証明書を選択する。一例として、身分証明カードから属性i=1から3が読み込まれるならば、IDプロバイダのコンピュータシステム136は、そこで必要とされる読み込み権を定義する自己の証明書144.1を選択する。この証明書の選択は、プログラム命令149を実行することによって行われる。
【0096】
次いで、暗号化プロトコルの実行が開始される。一例として、この目的のためにIDプロバイダのコンピュータシステム136は、ユーザのコンピュータシステム100に応答を送信する。ユーザのコンピュータシステム100は、次いで、ユーザ102に、指定されたデータソースに対して、即ちこの場合は身分証明カードに対して、自己を認証するように依頼する。
【0097】
ユーザ102は、次いで、自分の身分証明カード、即ちIDトークン106を、RFID読み取り機104の範囲にかざすとともに、例えば自己を認証するために自分のPINを入力する。IDトークン106に対するユーザ102の認証成功により、暗号化プロトコルの実行、即ちプログラム命令134の実行に対してIDトークン106がロック解除される。続いて、IDプロバイダのコンピュータシステム136は、選択された証明書144.1を使用して、例えばチャレンジ/応答方法を使用して、IDトークン106に対して自己を認証する。認証は、相互的であってもよい。IDトークン106に対するIDプロバイダのコンピュータシステム136の認証成功に続いて、IDプロバイダのコンピュータシステムは、必要な属性を読み込むための読み込み要求をユーザのコンピュータシステム100に送信するとともに、ユーザのコンピュータシステム100は、この読み込み要求を、RFID読み取り機104を介してIDトークン106に転送する。IDトークン106は、IDプロバイダのコンピュータシステム136が必要な読み込み権を有しているかどうかをチェックするために証明書144.1を使用する。もし有している場合、望ましい属性が保護メモリ領域124から読み込まれるとともに、エンドツーエンドの暗号化を使用して、ユーザのコンピュータシステム100を介してIDプロバイダのコンピュータシステムに送信される。
【0098】
IDプロバイダのコンピュータシステム136は、次いで、読み込まれた属性を含む応答170を、ネットワーク116を介してサービスコンピュータシステム150に送信する。応答170は、証明書144.1をもって電子署名される。
【0099】
それに代えて、IDプロバイダのコンピュータシステム136は、ユーザのコンピュータシステム100に応答170を送信する。ユーザ102は、次いで、応答170に含まれる属性を読み込むとともに、これらの属性をサービスコンピュータシステム150に転送することを実際に欲しているか否かを判定するための機会を提供される。ユーザ102からの開放コマンドがユーザのコンピュータシステム100に入力された場合にのみ、次いで、応答170はサービスコンピュータシステム150に転送される。この実施形態において、ユーザ102は、応答170にさらなるデータを追加することも可能である。
【0100】
複数のIDプロバイダのコンピュータシステム136、136'、…が関係する場合、IDプロバイダのコンピュータシステムからの個々の応答は、ユーザのコンピュータシステム100によって、属性仕様166による属性の全てを含む単一の応答に結合されてもよく、この単一の応答は、次いでユーザのコンピュータシステム100からサービスコンピュータシステム150に送信される。
【0101】
本願発明の一実施形態によると、ユーザ102は、サービス要求164の発生時に、例えば、サービス要求164の一部としてネットワーク116を介してユーザの属性をサービスコンピュータシステムに送信することによって、1以上の自分の属性をサービスコンピュータシステム150に開示できる。特に、ユーザ102は、サービスコンピュータシステム150上のwebページに属性を入力できる。これらの属性の正当性は、次いで、応答170によって確認される、即ち、サービスコンピュータシステム150は、IDプロバイダのコンピュータ136によってIDトークン106から読み込まれた属性と、ユーザ102から受信した属性とを比較でき、かつ属性が一致することをチェックできる。
【0102】
本願発明のさらなる実施形態によると、ユーザ102のIDトークンの1つに格納されていないが、なお外部データソースから要求されうる属性である、少なくとも1つのさらなる属性を、属性仕様166において指示することが可能である。一例として、このことは、ユーザ102の信用力に関連する属性を含みうる。この目的のために、ユーザのコンピュータシステム100は、データソースおよびIDプロバイダのコンピュータシステムの属性A−例えば信用力に対する指示を含む、さらなる構成データレコード161を有してもよい。データソースは、信用調査所、Dun&Bradstreetまたはこれに類するもののような、オンライン信用調査機関であってもよい。一例として、指示されるIDプロバイダのコンピュータシステムは、図3の実施形態のように、信頼センターCである。この場合において、データソースは、信頼センターCに配置されてもよい。
【0103】
属性Aを要求するために、ユーザのコンピュータシステム100は、このように、信頼センターC、即ちIDプロバイダのコンピュータシステム136''に(図3に図示されていない)適切な要求を送信する。IDプロバイダのコンピュータシステム136''は、次いで、ユーザのコンピュータシステム100がユーザ102のIDトークンから読み込まれたさらなる属性と共にサービスコンピュータシステム150に転送する属性Aを配信する。
【0104】
属性Aは、例えば、ユーザ102のディジタルアイデンティティに関する属性がユーザ102のIDトークンの1つから既に要求されており、かつユーザのコンピュータシステム100によって署名済み応答170として受信された後に要求されるのが好ましい。ユーザのコンピュータシステム100によるIDプロバイダのコンピュータシステム136''からの属性Aの要求は、次いで、IDプロバイダのコンピュータシステム136''がユーザ102の身分に関する信頼できる情報を有するように、署名済み応答170を含む。
【0105】
図4は、本願発明による方法のさらなる実施形態を示す。ユーザ102からのユーザのコンピュータシステム100へのユーザ入力は、ユーザ102によって、彼または彼女が仕様を欲しているサービスコンピュータシステム上のサービスを指定するのに使用される。一例として、このことは、サービスコンピュータシステム上のインターネットページを呼び出すとともに、そこで提供されるサービスの1つを選択することによって行われる。ユーザ102からのサービス要求は、ユーザのコンピュータシステム100からサービスコンピュータシステム150に転送される。
【0106】
サービスコンピュータシステム150は、属性仕様、即ち、例えば、属性名のリストを伴って、サービス要求に応答する。属性仕様が受信された場合、ユーザのコンピュータシステム100は、例えば入力要求により、IDトークン106への自己の認証をユーザ102に依頼する。
【0107】
ユーザ102は、次いで、例えば自分のPINを入力することによって、IDトークン106に対して自己を認証する。認証成功に続いて、属性仕様が、ユーザのコンピュータシステム100からIDプロバイダのコンピュータシステム136に転送される。IDプロバイダのコンピュータシステム136は、次いで、IDトークン106に対して自己の認証を行なうとともに、IDトークン106に対する属性仕様により、属性を読む読み込み要求を送信する。
【0108】
従来の、ユーザ102の、およびIDプロバイダのコンピュータシステム136の認証成功を仮定して、IDトークン106は、望ましい属性を伴う読み込み要求に応答する。IDプロバイダのコンピュータシステム136は、属性に署名するとともに、署名済みの属性をユーザのコンピュータシステム100に送信する。ユーザ102による発行に続いて、署名済みの属性は、次いで必要に応じて望ましいサービスを提供しうるサービスコンピュータシステム150に、次いで転送される。
【符号の説明】
【0109】
100 ユーザのコンピュータシステム
102 ユーザ
104 インターフェース
106 IDトークン
108 インターフェース
110 プロセッサ
112 プログラム命令
114 ネットワークインターフェース
116 ネットワーク
118 電子メモリ
120 保護メモリ領域
122 保護メモリ領域
124 保護メモリ領域
126 メモリ領域
128 プロセッサ
130 プログラム命令
132 プログラム命令
134 プログラム命令
136 IDプロバイダのコンピュータシステム
138 ネットワークインターフェース
140 メモリ
142 秘密鍵
144 証明書
145 プロセッサ
146 プログラム命令
148 プログラム命令
149 プログラム命令
150 サービスコンピュータシステム
152 ネットワークインターフェース
154 プロセッサ
156 プログラム命令
158 構成データレコード
160 構成データレコード
161 構成データレコード
162 ユーザ入力
164 サービス要求
166 属性仕様
168 要求
170 応答
【特許請求の範囲】
【請求項1】
IDトークン(106、106')に格納される少なくとも1つの属性を読み込む方法であって、前記IDトークンはユーザ(102)に関連付けられ、前記方法は、
前記ユーザが、前記IDトークンに対して認証されるステップと、
第1コンピュータシステム(136)が、前記IDトークンに対して認証されるステップと、
前記IDトークンに対する前記ユーザおよび前記第1コンピュータシステムの認証成功に続いて、前記第1コンピュータシステムは、前記少なくとも1つの属性を、署名された場合に第2コンピュータシステム(150)に送信することを目的として、前記IDトークンに格納された前記少なくとも1つの属性に対する読み込みアクセスを生じさせるステップと、
を備える方法。
【請求項2】
前記第1コンピュータシステムは、前記第1コンピュータシステムの証明書(144)を使用して前記IDトークンに対して認証され、前記証明書は、前記第1コンピュータシステムが読み込みアクセスのために認証を受ける前記IDトークンに格納された前記属性の指示を含む請求項1に記載の方法。
【請求項3】
前記IDトークンは、前記証明書を使用して、前記第1コンピュータシステムの前記属性の少なくとも1つに対する前記読み込みアクセスのための前記読み込み権をチェックする請求項2に記載の方法。
【請求項4】
前記IDトークンから読み込まれた前記少なくとも1つの属性に、前記第1コンピュータシステムが署名するステップと、
署名された前記属性を、前記第1コンピュータシステムから前記第2コンピュータシステムに送信するステップと、
をさらに備える請求項1から3のいずれか一項に記載の方法。
【請求項5】
第3コンピュータシステム(100)から前記第2コンピュータシステムに要求(164)が送信されるステップと、
前記第2コンピュータシステムが、1つ以上の属性を指定するステップと、
前記属性仕様(166)が、前記第2コンピュータシステムから前記第1コンピュータシステムに送信されるステップと、
をさらに備え、
前記属性仕様において指定される前記1以上の属性を前記IDトークンから読み込むことを目的として、前記第1コンピュータシステムによる前記読み込みアクセスが発生する、請求項4に記載の方法。
【請求項6】
前記要求(164)は、前記第2コンピュータシステムによって前記第1コンピュータシステムを特定するための識別子を含むとともに、前記属性仕様は、前記第3コンピュータシステムの介在なしに前記第2コンピュータシステムから前記第1コンピュータシステムに送信される、請求項5に記載の方法。
【請求項7】
前記第3コンピュータシステムは、複数の予め定められた構成データレコード(158、160、…)を有し、
前記構成データレコードは、それぞれ前記属性の部分セット、少なくとも1つのデータソース、および第1コンピュータシステムのセット(136、136'、…)のうちの第1コンピュータシステムを指定し、
前記第3コンピュータシステムが、前記属性仕様において指定された前記少なくとも1つの属性を含む前記属性の部分セットを指定する前記少なくとも1つの前記構成データレコードを選択するのに使用されるように、前記属性仕様は、先ず、前記第2コンピュータシステムから前記第3コンピュータシステムに送信され、かつ
前記第3コンピュータシステムは、前記属性仕様を前記第1コンピュータシステムに転送し、かつ
選択された前記構成データレコード内の前記データソースの指示によって指定される前記第1コンピュータシステムおよび前記IDトークンの間の接続は、前記第3コンピュータシステムを介してセットアップされる、請求項5に記載の方法。
【請求項8】
前記第1コンピュータシステムによって前記IDトークンから読み込まれた前記少なくとも1つの属性は、前記第3コンピュータシステムに送信され、前記少なくとも1つの属性は、前記ユーザによる発行に続いて、前記第3コンピュータシステムから前記第2コンピュータシステムに転送される請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記ユーザは、前記第2コンピュータシステムに前記属性が転送される前に、前記属性にさらなるデータを追加する請求項8に記載の方法。
【請求項10】
前記第1コンピュータシステムは、異なる読み込み権を伴う複数の証明書(144.1、144.2)を有し、前記第1コンピュータシステムは、前記属性仕様において指定される前記属性を読み込むために十分である前記読み込み権を有する少なくとも1つの前記証明書を選択するための基準として、前記属性仕様の受信を行う請求項1から9のいずれか一項に記載の方法。
【請求項11】
前記第3コンピュータシステムは、前記ネットワーク(116)を介して前記第3コンピュータシステムからさらなる属性(A)を要求するための外部データソースを指定する少なくとも1つの構成データレコード(161)を有する、請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記少なくとも1つの属性が前記IDトークンから読み込まれた後であり、かつ前記第3コンピュータシステムが前記第1コンピュータシステムから少なくとも1つの署名済み属性を受信した後に、前記さらなる属性が要求され、前記要求は、前記少なくとも1つの署名済み属性を含む、請求項11に記載の方法。
【請求項13】
請求項1から12のいずれか一項に記載の方法を実行する目的でコンピュータシステムによって実行されうる命令を有するコンピュータプログラム製品。
【請求項14】
IDトークンであって、
少なくとも1つの属性を格納する保護メモリ領域(124)と、
前記IDトークンに関連付けられたユーザ(102)を、前記IDトークンに対して認証する手段(120、130)と、
第1コンピュータシステム(136)を前記IDトークンに対して認証する手段(134)と、
前記第1コンピュータシステムが前記少なくとも1つの属性を読み込むのに使用できる、前記第1コンピュータシステムへの保護された接続をセットアップする手段(132)と、
を備え、
前記第1コンピュータシステムによる前記IDトークンからの前記少なくとも1つの属性の前記読み込みに必要な前提条件は、前記ユーザおよび前記第1コンピュータシステムの前記IDトークンに対する認証成功である、IDトークン。
【請求項15】
前記少なくとも1つの属性を前記第1コンピュータシステムに保護して送信するために、前記接続をエンドツーエンドで暗号化する手段を備える請求項14に記載のIDトークン。
【請求項16】
前記IDトークンは、電子機器、特にUSBスティック、または文書、特に重要文書またはセキュリティ文書である、請求項14または15に記載のIDトークン。
【請求項17】
ネットワーク(116)を介して属性仕様(166)を受信する手段(138)と、
IDトークン(106)に対して認証する手段(142、144、146)と、
保護された接続を介して前記IDトークンから少なくとも1つの属性を読み込む手段と、
を備え、
前記属性仕様は、少なくとも1つの属性を指定し、
前記少なくとも1つの属性の前記読み込みの前提条件は、前記IDトークンに関連付けられたユーザおよび前記コンピュータシステムが、前記IDトークンに対して自己を認証したことである、コンピュータシステム。
【請求項18】
前記属性仕様の前記受信に基づいて、前記IDトークンに対する認証の前記ユーザに対する要求を生成する手段を備える請求項17に記載のコンピュータシステム。
【請求項19】
前記手段(138)は、第2コンピュータシステムから前記属性仕様を受信するように設計されるとともに、前記第2コンピュータシステムに転送する目的で、前記IDトークンから読み込まれた前記少なくとも1つの属性を、第3コンピュータシステム(100)に送信する手段(138)を有する、請求項17または18に記載のコンピュータシステム。
【請求項20】
前記少なくとも1つの属性を署名する手段(144)を有し、署名された前記属性は送信される、請求項17、18、および19のいずれか一項に記載のコンピュータシステム。
【請求項21】
異なる読み込み権を伴う複数の前記証明書(144.1;144.2)を備えるコンピュータシステムであって、
前記コンピュータシステムは、前記属性仕様において指定された前記属性を読み込むのに十分な前記読み込み権を有する前記証明書の少なくとも1つを選択する基準として、前記属性仕様の前記受信を行うように設計される、請求項17から20のいずれか一項に記載のコンピュータシステム。
【請求項1】
IDトークン(106、106')に格納される少なくとも1つの属性を読み込む方法であって、前記IDトークンはユーザ(102)に関連付けられ、前記方法は、
前記ユーザが、前記IDトークンに対して認証されるステップと、
第1コンピュータシステム(136)が、前記IDトークンに対して認証されるステップと、
前記IDトークンに対する前記ユーザおよび前記第1コンピュータシステムの認証成功に続いて、前記第1コンピュータシステムは、前記少なくとも1つの属性を、署名された場合に第2コンピュータシステム(150)に送信することを目的として、前記IDトークンに格納された前記少なくとも1つの属性に対する読み込みアクセスを生じさせるステップと、
を備える方法。
【請求項2】
前記第1コンピュータシステムは、前記第1コンピュータシステムの証明書(144)を使用して前記IDトークンに対して認証され、前記証明書は、前記第1コンピュータシステムが読み込みアクセスのために認証を受ける前記IDトークンに格納された前記属性の指示を含む請求項1に記載の方法。
【請求項3】
前記IDトークンは、前記証明書を使用して、前記第1コンピュータシステムの前記属性の少なくとも1つに対する前記読み込みアクセスのための前記読み込み権をチェックする請求項2に記載の方法。
【請求項4】
前記IDトークンから読み込まれた前記少なくとも1つの属性に、前記第1コンピュータシステムが署名するステップと、
署名された前記属性を、前記第1コンピュータシステムから前記第2コンピュータシステムに送信するステップと、
をさらに備える請求項1から3のいずれか一項に記載の方法。
【請求項5】
第3コンピュータシステム(100)から前記第2コンピュータシステムに要求(164)が送信されるステップと、
前記第2コンピュータシステムが、1つ以上の属性を指定するステップと、
前記属性仕様(166)が、前記第2コンピュータシステムから前記第1コンピュータシステムに送信されるステップと、
をさらに備え、
前記属性仕様において指定される前記1以上の属性を前記IDトークンから読み込むことを目的として、前記第1コンピュータシステムによる前記読み込みアクセスが発生する、請求項4に記載の方法。
【請求項6】
前記要求(164)は、前記第2コンピュータシステムによって前記第1コンピュータシステムを特定するための識別子を含むとともに、前記属性仕様は、前記第3コンピュータシステムの介在なしに前記第2コンピュータシステムから前記第1コンピュータシステムに送信される、請求項5に記載の方法。
【請求項7】
前記第3コンピュータシステムは、複数の予め定められた構成データレコード(158、160、…)を有し、
前記構成データレコードは、それぞれ前記属性の部分セット、少なくとも1つのデータソース、および第1コンピュータシステムのセット(136、136'、…)のうちの第1コンピュータシステムを指定し、
前記第3コンピュータシステムが、前記属性仕様において指定された前記少なくとも1つの属性を含む前記属性の部分セットを指定する前記少なくとも1つの前記構成データレコードを選択するのに使用されるように、前記属性仕様は、先ず、前記第2コンピュータシステムから前記第3コンピュータシステムに送信され、かつ
前記第3コンピュータシステムは、前記属性仕様を前記第1コンピュータシステムに転送し、かつ
選択された前記構成データレコード内の前記データソースの指示によって指定される前記第1コンピュータシステムおよび前記IDトークンの間の接続は、前記第3コンピュータシステムを介してセットアップされる、請求項5に記載の方法。
【請求項8】
前記第1コンピュータシステムによって前記IDトークンから読み込まれた前記少なくとも1つの属性は、前記第3コンピュータシステムに送信され、前記少なくとも1つの属性は、前記ユーザによる発行に続いて、前記第3コンピュータシステムから前記第2コンピュータシステムに転送される請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記ユーザは、前記第2コンピュータシステムに前記属性が転送される前に、前記属性にさらなるデータを追加する請求項8に記載の方法。
【請求項10】
前記第1コンピュータシステムは、異なる読み込み権を伴う複数の証明書(144.1、144.2)を有し、前記第1コンピュータシステムは、前記属性仕様において指定される前記属性を読み込むために十分である前記読み込み権を有する少なくとも1つの前記証明書を選択するための基準として、前記属性仕様の受信を行う請求項1から9のいずれか一項に記載の方法。
【請求項11】
前記第3コンピュータシステムは、前記ネットワーク(116)を介して前記第3コンピュータシステムからさらなる属性(A)を要求するための外部データソースを指定する少なくとも1つの構成データレコード(161)を有する、請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記少なくとも1つの属性が前記IDトークンから読み込まれた後であり、かつ前記第3コンピュータシステムが前記第1コンピュータシステムから少なくとも1つの署名済み属性を受信した後に、前記さらなる属性が要求され、前記要求は、前記少なくとも1つの署名済み属性を含む、請求項11に記載の方法。
【請求項13】
請求項1から12のいずれか一項に記載の方法を実行する目的でコンピュータシステムによって実行されうる命令を有するコンピュータプログラム製品。
【請求項14】
IDトークンであって、
少なくとも1つの属性を格納する保護メモリ領域(124)と、
前記IDトークンに関連付けられたユーザ(102)を、前記IDトークンに対して認証する手段(120、130)と、
第1コンピュータシステム(136)を前記IDトークンに対して認証する手段(134)と、
前記第1コンピュータシステムが前記少なくとも1つの属性を読み込むのに使用できる、前記第1コンピュータシステムへの保護された接続をセットアップする手段(132)と、
を備え、
前記第1コンピュータシステムによる前記IDトークンからの前記少なくとも1つの属性の前記読み込みに必要な前提条件は、前記ユーザおよび前記第1コンピュータシステムの前記IDトークンに対する認証成功である、IDトークン。
【請求項15】
前記少なくとも1つの属性を前記第1コンピュータシステムに保護して送信するために、前記接続をエンドツーエンドで暗号化する手段を備える請求項14に記載のIDトークン。
【請求項16】
前記IDトークンは、電子機器、特にUSBスティック、または文書、特に重要文書またはセキュリティ文書である、請求項14または15に記載のIDトークン。
【請求項17】
ネットワーク(116)を介して属性仕様(166)を受信する手段(138)と、
IDトークン(106)に対して認証する手段(142、144、146)と、
保護された接続を介して前記IDトークンから少なくとも1つの属性を読み込む手段と、
を備え、
前記属性仕様は、少なくとも1つの属性を指定し、
前記少なくとも1つの属性の前記読み込みの前提条件は、前記IDトークンに関連付けられたユーザおよび前記コンピュータシステムが、前記IDトークンに対して自己を認証したことである、コンピュータシステム。
【請求項18】
前記属性仕様の前記受信に基づいて、前記IDトークンに対する認証の前記ユーザに対する要求を生成する手段を備える請求項17に記載のコンピュータシステム。
【請求項19】
前記手段(138)は、第2コンピュータシステムから前記属性仕様を受信するように設計されるとともに、前記第2コンピュータシステムに転送する目的で、前記IDトークンから読み込まれた前記少なくとも1つの属性を、第3コンピュータシステム(100)に送信する手段(138)を有する、請求項17または18に記載のコンピュータシステム。
【請求項20】
前記少なくとも1つの属性を署名する手段(144)を有し、署名された前記属性は送信される、請求項17、18、および19のいずれか一項に記載のコンピュータシステム。
【請求項21】
異なる読み込み権を伴う複数の前記証明書(144.1;144.2)を備えるコンピュータシステムであって、
前記コンピュータシステムは、前記属性仕様において指定された前記属性を読み込むのに十分な前記読み込み権を有する前記証明書の少なくとも1つを選択する基準として、前記属性仕様の前記受信を行うように設計される、請求項17から20のいずれか一項に記載のコンピュータシステム。
【図1】
【図2】
【図3a】
【図3b】
【図3c】
【図4】
【図2】
【図3a】
【図3b】
【図3c】
【図4】
【公表番号】特表2011−510387(P2011−510387A)
【公表日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2010−542545(P2010−542545)
【出願日】平成20年11月13日(2008.11.13)
【国際出願番号】PCT/EP2008/065470
【国際公開番号】WO2009/089943
【国際公開日】平成21年7月23日(2009.7.23)
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
【公表日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願日】平成20年11月13日(2008.11.13)
【国際出願番号】PCT/EP2008/065470
【国際公開番号】WO2009/089943
【国際公開日】平成21年7月23日(2009.7.23)
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
[ Back to top ]