公开(公告)号：EP3540623B1

公开(公告)日：2020-11-18

申请号：EP19167314.4

申请日：2013-01-24

申请人： Bundesdruckerei GmbH

发明人： KAHLO, Christian ,  ENTSCHEW, Enrico ,  RÜDIGER, Mark ,  SAUER, Sascha ,  BRUNTSCH, Christian ,  MOSZYNSKI, Ivo

IPC分类号： G06F21/41 ,  H04L9/08 ,  G06F21/33 ,  G06F21/34 ,  H04L29/06

公开(公告)号：EP3528159A1

公开(公告)日：2019-08-21

申请号：EP19163137.3

申请日：2013-01-04

申请人： Bundesdruckerei GmbH

发明人： KAHLO, Christian ,  ENTSCHEW, Enrico ,  RÜDIGER, Mark ,  SAUER, Sascha ,  BRUNTSCH, Christian ,  MOSZYNSKI, Ivo

IPC分类号： G06F21/34 ,  G06F21/62 ,  H04L9/08

摘要： Die Erfindung betrifft ein Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens für einen Nutzer, wobei der ID-Token einem Nutzer zugeordnet ist und der ID-Token einen geschützten Speicherbereich zur Speicherung zumindest eines privaten Schlüssels eines dem ID-Token zugeordneten ersten asymmetrischen kryptografischen Schlüsselpaars aufweist, und wobei das Pseudonym des Nutzers einem Dienst-Computersystem aus einer Menge von Dienst-Computersystemen zugeordnet ist, mit folgenden Schritten:
- Aufruf einer Internetseite eines von dem Nutzer ausgewählten der Dienst-Computersysteme mit einem Internetbrowser (112) eines Nutzer-Computersystems (100) über ein Netzwerk (116),
- Erzeugung einer Anforderung durch das ausgewählte Dienst-Computersystem für das Pseudonyms des Nutzers,
- Übertragung der Anforderung von dem Dienst-Computersystem an ein ID-Provider-Computersystem (136) über das Netzwerk,
- Authentifizierung des Nutzers gegenüber dem ID-Token,
- Authentifizierung des ID-Provider-Computersystems gegenüber dem ID-Token über das Netzwerk mit einem Zertifikat, welches einen öffentlichen Schlüssel eines zweiten asymmetrischen kryptografischen Schlüsselpaars beinhaltet und in dem eine Leseberechtigung des ID-Provider-Computersystems für einen Lesezugriff zum Lesen eines ID-Token-Pseudonyms definiert ist,
- Erzeugung des ID-Token-Pseudonyms durch den ID-Token durch kryptografische Ableitung des ID-Token-Pseudonyms aus dem privaten
Schlüssel und dem öffentlichen Schlüssel und temporäre Speicherung des ID-Token-Pseudonyms in dem ID-Token,
- nach erfolgreicher Authentifizierung des Nutzers und des ID-Provider-Computersystems gegenüber dem ID-Token, Lesezugriff des ID-Provider-Computersystems auf das in dem ID-Token gespeicherte ID-Token-Pseudonym über das Netzwerk,
- Übertragung des ID-Token-Pseudonyms von dem ID-Token an das ID-Provider-Computersystem mit Ende-zu-Ende-Verschlüsselung über das Netzwerk,
- Prüfung der Validität des ID-Token-Pseudonyms durch das ID-Provider-Computersystem,
- Ableitung des dem ausgewählten Dienst-Computersystem zugeordneten Pseudonyms des Nutzers aus dem ID-Token-Pseudonym des Nutzers mittels einer für das ausgewählte Dienst-Computersystem spezifischen kryptografischen Funktion durch das ID-Provider-Computersystem,
- Signierung des abgeleiteten Pseudonyms durch das ID-Provider-Computersystem,
- Übertragung des signierten Pseudonyms von dem ID-Provider-Computersystem an das ausgewählte Dienst-Computersystem über das Netzwerk.

公开(公告)号：EP3540623A1

公开(公告)日：2019-09-18

申请号：EP19167314.4

申请日：2013-01-24

申请人： Bundesdruckerei GmbH

发明人： KAHLO, Christian ,  ENTSCHEW, Enrico ,  RÜDIGER, Mark ,  SAUER, Sascha ,  BRUNTSCH, Christian ,  MOSZYNSKI, Ivo

IPC分类号： G06F21/33 ,  G06F21/34 ,  H04L29/06

摘要： Die Erfindung betrifft ein Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens (106) für einen Nutzer (102), wobei der ID-Token dem Nutzer zugeordnet ist und der ID-Token einen geschützten Speicherbereich (122) zur Speicherung zumindest eines privaten Schlüssels eines dem ID-Token zugeordneten ersten asymmetrischen kryptografischen Schlüsselpaars aufweist, und wobei das Pseudonym des Nutzers einem Dienst-Computersystem aus einer Menge von Dienst-Computersystemen (150, 150', 150",...) zugeordnet ist, mit folgenden Schritten:
- Aufruf einer Internetseite eines von dem Nutzer ausgewählten der Dienst-Computersysteme mit einem Internetbrowser (112) eines Nutzer-Computersystems (100) über ein Netzwerk (116),
- Erzeugung einer Anforderung (176) durch das ausgewählte Dienst-Computersystem für das Pseudonyms des Nutzers,
- Übertragung der Anforderung von dem Dienst-Computersystem an ein ID-Provider-Computersystem (136) über das Netzwerk,
- Erzeugung des ID-Token-Pseudonyms durch den ID-Token durch kryptografische Ableitung des ID-Token-Pseudonyms aus dem privaten Schlüssel und dem öffentlichen Schlüssel,
- temporäre Speicherung des ID-Token-Pseudonyms in dem ID-Token,
- Übertragung des ID-Token-Pseudonyms von dem ID-Token an das ID-Provider-Computersystem mit Ende-zu-Ende-Verschlüsselung über das Netzwerk,
- Zugriff auf einen Speicher (186, 188) durch das ID-Provider-Computersystem mit Hilfe des ID-Token-Pseudonyms (RID), um ein dem ID-Token-Pseudonym zugeordnetes virtuelles Pseudonym (vP) des Nutzers zu lesen,
- Ableitung des dem ausgewählten Dienst-Computersystem zugeordneten Pseudonyms (RID') des Nutzers aus dem virtuellen Pseudonym des Nutzers mittels einer für das ausgewählte Dienst-Computersystem spezifischen kryptografischen Funktion durch das ID-Provider-Computersystem,
- Signierung des abgeleiteten Pseudonyms durch das ID-Provider-Computersystem,
- Übertragung des signierten Pseudonyms von dem ID-Provider-Computersystem an das ausgewählte Dienst-Computersystem über das Netzwerk.