DE60309216T2 - Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs - Google Patents

Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs Download PDF

Info

Publication number
DE60309216T2
DE60309216T2 DE60309216T DE60309216T DE60309216T2 DE 60309216 T2 DE60309216 T2 DE 60309216T2 DE 60309216 T DE60309216 T DE 60309216T DE 60309216 T DE60309216 T DE 60309216T DE 60309216 T2 DE60309216 T2 DE 60309216T2
Authority
DE
Germany
Prior art keywords
data
access
entity
principal
ipe1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60309216T
Other languages
English (en)
Other versions
DE60309216D1 (de
Inventor
Axel Busboom
Silke Holtmanns
Raphael Quinet
Marko Schuba
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE60309216D1 publication Critical patent/DE60309216D1/de
Application granted granted Critical
Publication of DE60309216T2 publication Critical patent/DE60309216T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Description

  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft Kommunikationssysteme und insbesondere ein Verfahren zum Ermöglichen eines Zugriffs für eine datenanfordernde Entität auf Daten, die sich auf einen Identitätsträger beziehen. Die Erfindung betrifft außerdem Geräte und Computerprogramme.
  • Allgemeiner Stand der Technik
  • In Kommunikationssystemen können benutzerbezogene Daten in vielen verschiedenen Entitäten gespeichert werden, wie beispielsweise einem Mobiltelefon, einem Server eines Service-Providers und einem Knoten eines Mobilfunkbetreibers.
  • Beispiele für benutzerbezogene Daten sind (i) persönliche Informationen wie ein Name, ein Identifikator oder das Geburtsdatum des Benutzers, (ii) Finanzinformationen wie eine Bankkontonummer, eine Kreditkartennummer, eine Bonitätsgeschichte oder ein Bankkontostand, (iii) Präferenzeninformationen wie eine Auflistung von unlängst gekauften Waren oder unlängst besuchten Websites, Browser- und Mobiltelefoneinstellungen, und (iv) persönliche Kontextinformationen wie Informationen zum Standort oder zur Erreichbarkeit des Benutzers.
  • Benutzerbezogene Daten können als Daten angesehen werden, die zu einer Identität eines Benutzers in einem Kommunikationssystem gehören. In diesem Sinne kann das Konzept von Benutzer und benutzerbezogenen Daten auch auf andere Entitäten ausgeweitet werden, die eine Identität in einem Kommunikationssystem haben, beispielsweise ein Gerät, das eine Geräteidentität wie einen Identifikationscode aufweist und dessen gerätebezogene Daten an irgend einem Ort gespeichert sind. Die gerätebezogenen Daten können zusammen mit der Identität des Gerätes in einer Entität eines Kommunikationssystems gespeichert werden, beispielsweise ein geheimer Zugriffscode, der zusammen mit einem Identifikationscode gespeichert wird.
  • Zum Beschreiben einer Entität mit einer Identität in einem Kommunikationssystem wird der Begriff "Identitätsträger" verwendet. Ein Identitätsträger ist eine Gruppe aus einer oder mehreren miteinander verbundenen Identitäten einer Entität in einem Kommunikationssystem. Ein Identitätsträger kann zum Beispiel eine Person darstellen, manchmal auch als Benutzer bezeichnet, oder ein Gerät, wie oben erläutert. Ein Benutzer kann durch einen oder mehrere Identitätsträger dargestellt werden, und ein oder mehrere Benutzer können einen Identitätsträger gemeinsam nutzen. Somit können Daten, die sich auf einen Identitätsträger beziehen, oder Identitätsträgerdaten, als Informationen angesehen werden, die sich auf eine Identität des Identitätsträgers beziehen. Ein Identitätsträgeridentifikator kann die Identität des Identitätsträgers an einer Entität anzeigen.
  • Identitätsträgerbezogene Daten können durch viele Datenlager erfasst und verarbeitet werden, die durch verschiedene Entitäten betrieben werden können. Somit können identitätsträgerbezogene Daten über viele Entitäten verteilt, d. h. verbreitet, werden, und Zugriff auf, Austausch von und Speicherung von Identitätsträgerdaten können ohne Wissen des Identitätsträgers oder Kontrolle durch den Identitätsträger erfolgen, was vom Standpunkt der Datensicherheit aus ein Nachteil ist.
  • Laut H. Zandbelt, B. Hulsebosch, H. Eertink, "IDsec: Virtual Identity on the Internet", Internet Engineering Task Force, Internet Draft draft-zandbelt-idsec-01.txt, Mai 2002, kann ein Profilmanager verwendet werden, um einem Profilanforderer Zugriff auf Attribute eines Profils, d. h. auf einen Datensatz, zu gewähren, der Informationen über einen bestimmten Profileigner enthält, die durch den Profilmanager gespeichert wurden.
  • Zum Gewähren des Zugriffs präsentiert der Profilanforderer dem Profilabrufdienst des Profilmanagers ein Sitzungszertifikat, das durch den Profileigner zur Verfügung gestellt wurde, zusammen mit einem Profilanforderer-Zertifikat, das dem Profilanforderer gehört. Das Profilanforderer-Zertifikat gibt die angeforderten Attribute des Profils des Profileigners an.
  • Das Sitzungszertifikat wird dem Profileigner zur Verfügung gestellt, wenn er sich mit profilmanagerspezifischen Ausweisdaten in einen Sitzungseinloggdienst des Profilmanagers einloggt. Das Sitzungszertifikat besteht aus einem Profilmanagerstandort, d. h. einem Hinweis auf den Profilabrufdienst, einem Sitzungsidentifikator, der eindeutig die Sitzung identifiziert, in die der Profileigner eingeloggt ist, und einer Profilmanagersignatur, die für eine Verifizierung der Integrität der Daten in dem Sitzungszertifikat durch den Profilmanager verwendet wird, wenn das Sitzungszertifikat durch den Profilanforderer zum Profilabruf präsentiert wird. Des Weiteren enthält das Sitzungszertifikat einen durch den Profileigner erzeugten öffentlichen Schlüssel zum Leiten von Informationen von dem Profilanforderer zu dem Profileigner in einer sicheren Weise, und es enthält ein Ablaufdatum, das die Wiederverwendung des Zertifikats nach einem bestimmten Stichtag verhindert.
  • Wenn der Profilmanager die Anforderung von dem Profilanforderer empfängt, so verifiziert der Profilabrufdienst das Sitzungszertifikat und verwendet den Sitzungsidentifikator zum Auffinden des Profileigners, der der Sitzung zugeordnet ist. Des Weiteren verifiziert der Profilmanager das Profilanforderer-Zertifikat anhand vertrauenswürdiger Zertifikate, die durch den Profileigner gespeichert wurden.
  • Im Profilmanager ist eine Zugriffskontrollliste für jedes Attribut des Profils der Profileigners gespeichert, womit spezifiziert wird, welche Profilanforderer für ein jeweiliges Attribut einen Lese-Zugriff haben. Anhand der Anfordererverifizierung und der Zugriffskontrollliste wird ein anfordererspezifisches Profil erstellt, indem die Zugriffskontrollliste für jedes Attribut des Anforderer-Zertifikats interpretiert wird. In Reaktion darauf werden die Attribute des anfordererspezifischen Profils, die im XML-Format codiert sind, zu dem Anforderer gesandt.
  • Die Lösung nach Zandbelt und Mitarbeiter erfordert einen Profilmanager, auf den während einer Sitzung sowohl durch den Profileigner als auch durch den Anfordernden zugegriffen wird, um dem Anforderer die identitätsträgerbezogenen Daten zu übergeben. Allerdings berücksichtigt die Lösung nach Zandbelt und Mitarbeiter nicht die Tatsache, dass Identitätsträgerdaten bereits über viele Entitäten verteilt sind, auf die der Identitätsträger in der Regel nicht zugreifen kann. Somit ist eine Identitätsträgerdaten enthaltende Entität, auf die der Identitätsträger nicht zugreifen kann, von der Übermittlung von Identitätsträgerdaten an den Anforderer ausgeschlossen. Des Weiteren ist die Lösung nach Zandbelt und Mitarbeiter auf eine Sitzung beschränkt. D. h. das Abrufen von Profil-Attributen außerhalb von Sitzungen ist nicht möglich. Des Weiteren können, weil nur ein einziger Profilmanager je Sitzung verwendet werden kann, profileignerbezogene Daten, die über mehrere Profilmanager verteilt sind, nicht an den Anforderer in einer Sitzung übermittelt werden. Das Speichern aller Identitätsträgerdaten in einer einzigen Entität ist allerdings vom Sicherheitsstandpunkt aus gesehen fragwürdig. Außerdem erhöht das Speichern aller Identitätsträgerdaten oder eines großen Teils der Identitätsträgerdaten in einer einzigen Entität die Speicherkapazität, die zum Speichern der Identitätsträgerdaten benötigt wird. Des Weiteren müssen viele Identitätsträgerdaten, wie der Standort eines Identitätsträgers, aktualisiert werden. Jedoch erfordert das Übertragen von Daten, die aktualisiert werden müssen, zu einem Profilmanager Zeichengabe- und Verarbeitungsaufwand sowohl in der Entität, die den Profilmanager enthält, als auch in der Entität, wo die aktualisierten Daten erzeugt werden. Überdies kann das Verwenden einer Zugriffskontrollliste, die in dem Profilmanager gespeichert ist, unflexibel und komplex sein.
  • Kurzdarstellung der Erfindung
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren, Geräte und Computerprogramme bereitzustellen, womit die oben angesprochenen Probleme überwunden werden und womit ein verbesserter Zugriff für eine datenanfordernde Entität auf Daten, die sich auf einen Identitätsträger beziehen, möglich ist.
  • Diese Aufgabe wird durch das Verfahren nach Anspruch 1 erfüllt. Des Weiteren ist die Erfindung in einer Identitätsträgerentität nach Anspruch 12, einer datenanfordernden Entität nach Anspruch 19, einer datenbereitstellenden Entität nach Anspruch 22, einem Computerprogramm, das in eine Verarbeitungseinheit einer Identitätsträgerentität geladen werden kann, nach Anspruch 28, einem Computerprogramm, das in eine Verarbeitungseinheit einer datenanfordernden Entität geladen werden kann, nach Anspruch 29 und einem Computerprogramm, das in eine Verarbeitungseinheit einer datenbereitstellenden Entität geladen werden kann, nach Anspruch 30 verkörpert. Vorteilhafte Ausführungsformen sind in den weiteren Ansprüchen verkörpert.
  • Die vorliegende Erfindung offenbart ein Verfahren zum Ermöglichen eines Zugriffs für eine datenanfordernde Entität auf Daten, die sich auf einen Identitätsträger beziehen. Das Verfahren umfasst die folgenden Schritte:
    Zuerst wird ein Zugriffgewährungsticket erzeugt. Das Zugriffgewährungsticket kann zum Beispiel vor einer – oder in Reaktion auf eine – Anforderung, die von der datenanfordernden Entität kommt, erzeugt werden. Das Zugriffgewährungsticket umfasst eine Zugriffsspezifikation und einen Identitätsträgeridentifikator. Die Zugriffsspezifikation spezifiziert eine Erlaubnis für einen Zugriff auf Daten, die sich auf den Identitätsträger beziehen. Diese Daten stehen an einer datenbereitstellenden Entität zur Verfügung. "Zur Verfügung stehen" bedeutet nicht unbedingt, dass die Daten, die sich auf den Identitätsträger beziehen, in der datenbereitstellenden Entität vorhanden sind. Zum Beispiel können die zur Verfügung stehenden Daten von einer anderen Entität zu der datenbereitstellenden Entität übermittelt werden. Der Identitätsträgeridentifikator repräsentiert den Identitätsträger gegenüber der datenbereitstellenden Entität.
  • Ein Beispiel für eine Zugriffsspezifikation ist eine Liste, die angibt, auf welche Daten, die sich auf den Identitätsträgeridentifikator in der datenbereitstellenden Entität beziehen, zugegriffen werden darf und auf welche nicht. Die Erlaubnis für den Zugriff kann zum Beispiel wenigstens eine Erlaubnis aus der Gruppe sein, die eine Erlaubnis zum Lesen, Schreiben, Ändern, Anhängen, Erzeugen, Löschen usw. umfasst, wobei die Erlaubnis zum Beispiel positiv – d. h. der Zugriff ist erlaubt – oder negativ – d. h. der Zugriff ist nicht erlaubt – sein kann. Beispiele für einen Identitätsträgeridentifikator sind der echte Name des Identitätsträgers, der zum Beispiel ein Benutzer ist, ein Pseudonym, unter dem der Identitätsträger in der datenbereitstellenden Entität bekannt ist, eine digitale Signatur des Identitätsträgers, ein Geheimcode, den nur der Identitätsträger und die datenbereitstellende Entität kennen, oder Kombinationen davon.
  • Das Zugriffgewährungsticket ist mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität verschlüsselt. Die Verschlüsselung mit einem öffentlichen Schlüssel oder einem geheimen Schlüssel verhindert, dass eine andere Entität, die nicht im Besitz des entsprechenden Entschlüsselungsschlüssels ist, Zugriff auf den Inhalt des Zugriffgewährungstickets erhalten kann, wodurch Vertraulichkeit, Integrität und Privatsphäre der verschlüsselten Daten gewährleistet werden.
  • In einem nächsten Schritt wird das verschlüsselte Zugriffgewährungsticket zu der datenanfordernden Entität übermittelt. Das verschlüsselte Zugriffgewährungsticket wird von einem Identifikator, wie einer Adresse oder einem Namen der datenbereitstellenden Entität, begleitet.
  • Der Schritt des Erzeugens, des Verschlüsselns und/oder des Übermittelns kann zum Beispiel durch eine Identitätsträgerentität ausgeführt werden. Der Schritt des Erzeugens und/oder des Verschlüsselns und/oder des Übermittelns kann im Namen des Identitätsträgers in einer oder mehreren weiteren Entitäten ausgeführt werden, die einen Erzeugungs-Verschlüsselungs- und/oder Kommunikationsdienst anbieten. Das Erzeugen, Verschlüsseln und/oder Übermitteln oder Teile diese Schritte kann durch eine Anforderung von Daten, die sich auf einen Identitätsträger beziehen, ausgelöst werden. Alternativ kann ein verschlüsseltes Zugriffgewährungsticket an die datenanfordernde Entität auch ohne eine ausdrückliche Anforderung von Identitätsträgerdaten übermittelt werden.
  • Anhand des Identifikators der datenbereitstellenden Entität übermittelt die datenanfordernde Entität eine Anforderung an die datenbereitstellende Entität. Die Anforderung umfasst das verschlüsselte Zugriffgewährungsticket.
  • Das verschlüsselte Zugriffgewährungsticket wird mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität, welcher dem Verschlüsselungsschlüssel entspricht, entschlüsselt. Die Entschlüsselung kann zum Beispiel durch die datenbereitstellende Entität ausgeführt werden oder kann im Namen der datenbereitstellenden Entität in einer anderen Entität ausgeführt werden, die einen Entschlüsselungsdienst anbietet.
  • Der Zugriff wird der datenanfordernden Entität auf Daten, die sich auf den Identitätsträgeridentifikator beziehen, entsprechend der Zugriffsspezifikation gewährt.
  • Das Verfahren ermöglicht einen verbesserten Zugriff für eine datenanfordernde Entität auf Daten, die sich auf einen Identitätsträger beziehen. Das Verfahren arbeitet mit einem Zugriffgewährungsticket, das an die datenanfordernde Entität gesendet wird. Die datenanfordernde Entität übermittelt das Zugriffgewährungsticket an die datenbereitstellende Entität. Darum braucht ein Identitätsträger keinen Zugriff auf die datenbereitstellende Entität zu haben, um einer datenanfordernden Entität Zugriff auf die Daten zu gewähren, die sich auf einen Identitätsträger beziehen. Außerdem braucht durch die Verwendung einer Zugriffsspezifikation in dem Zugriffgewährungsticket keine Zugriffskontrollliste mehr in der datenbereitstellenden Entität gespeichert zu werden, was von Vorteil sein kann, weil – gemäß der vorliegenden Erfindung – zum Spezifizieren einer Zugriffsspezifikation ein Zugriff der datenbereitstellenden Entität nicht mehr erforderlich ist, wodurch sich die Zahl der möglichen datenbereitstellenden Entitäten erhöht. Des Weiteren kann die Zugriffsspezifikation für eine anfordernde Entität weniger komplex sein als eine Zugriffskontrollliste für alle möglichen datenanfordernden Entitäten. Außerdem muss, wenn eine neue anfordernde Entität der Zugriff auf Daten, die sich auf einen Identitätsträger beziehen, gewährt werden soll, ein neuer Eintrag in der Zugriffskontrollliste im Profilmanager für die neue anfordernde Entität vorgenommen werden, was gemäß der vorliegenden Erfindung nicht erforderlich ist. Statt dessen kann eine bereits existierende Zugriffsspezifikation für eine erste datenanfordernde Entität in unveränderter oder in veränderter Form in dem Zugriffgewährungsticket wiederverwendet werden. Ähnliches gilt für das Aktualisieren von Zugriffsspezifikationen. Des Weiteren ist das Verfahren gemäß der vorliegenden Erfindung nicht auf einen einzelnen Profilmanager in einer einzelnen Sitzung beschränkt, und der Zugriff auf Daten, die sich auf den Identitätsträger beziehen, kann von jeder Art von datenbereitstellender Entität aus erfolgen, auf die die datenanfordernde Entität zugreifen kann und die den Zugriff zu den Daten entsprechend dem entschlüsselten Zugriffgewährungsticket gewähren kann. Da Zugriffgewährungstickets an jede Art von datenbereitstellender Entität gerichtet werden können, kann eine Zentralisierung von Daten, die sich auf einen Identitätsträger beziehen, vermieden werden, wodurch der Verarbeitungs- und Zeichengabeaufwand verringert wird und die Ermöglichung eines Zugriffs auf Daten unterstützt wird, die häufig aktualisiert werden. Weil die datenanfordernde Entität in der Regel nicht den privaten oder geheimen Entschlüsselungsschlüssel der datenbereitstellenden Entität besitzt, werden außerdem Vertraulichkeit, Integrität und Privatsphäre der verschlüsselten Daten in der datenanfordernden Entität gewährleistet.
  • Gemäß einer bevorzugten Ausführungsform umfasst das verschlüsselte Zugriffgewährungsticket Verifizierungsinformationen, oder wird von Verifizierungsinformationen begleitet, und der Zugriff wird auf der Grundlage einer Analyse der Verifizierungsinformationen gewährt. Die Verifizierungsinformationen können Informationen sein, die zum Beispiel der datenbereitstellenden Entität beweisen, dass die datenanfordernde Entität zum Datenzugriff befugt ist. Beispiele für Verifizierungsinformationen zum Verifizieren der datenanfordernden Entität sind ein Identifikator wie ein Name oder ein Pseudonym oder ein Identifikator der datenanfordernden Entität in dem verschlüsselten Zugriffgewährungsticket, anhand dessen die datenbereitstellende Entität verifizieren kann, ob die Entität, von der das verschlüsselte Zugriffgewährungsticket vorlegt wird, mit dem Identifikator in dem verschlüsselten Zugriffgewährungsticket übereinstimmt. Ein weiteres Beispiel für Verifizierungsinformationen für die datenanfordernde Entität ist eine digitale Signatur der datenanfordernden Entität. Verifizierungsinformationen zum Verifizieren des Identitätsträgers, wie ein gemeinsam genutzter Geheimcode oder ein Pseudonym oder ein Identifikator oder eine digitale Signatur des Identitätsträgers, sind ein weiteres Beispiel für Verifizierungsinformationen. Die Verifizierungsinformationen können gehasht werden, und die Verifizierungsinformationen können zum Beispiel in Klartext an das verschlüsselte Zugriffgewährungsticket, das den Hash-Wert zur Verifizierung umfasst, angehängt werden. Auf der Grundlage des Ergebnisses der Verifizierung kann der Zugriff gewährt oder verweigert oder eingeschränkt werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform umfasst die Anforderung an die datenbereitstellende Entität eine Spezifikation für angeforderte Daten, die sich auf einen Identitätsträger beziehen, und der Zugriff wird entsprechend einer Übereinstimmung der Zugriffsspezifikation mit den angeforderten Daten gewährt. Diese Vorgehensweise erhöht die Flexibilität des Verfahren, weil die datenanfordernde Entität ein Ticket erhalten kann, ohne ausdrücklich zu wissen, welche Zugriffserlaubnisse in der Zugriffsspezifikation spezifiziert sind, und abfragen könnte, ob die angeforderten Daten mit den Daten, die durch die Zugriffsspezifikation spezifiziert sind, identisch oder von ihnen verschieden sind. Eine Übereinstimmungsanalyse der angeforderten Daten und der Daten, die in der Zugriffsspezifikation spezifiziert sind, erhöht die Sicherheit des Verfahrens, weil die datenbereitstellende Entität ihre Entschei dung bezüglich der Zugriffgewährung in Abhängigkeit von der Übereinstimmung treffen kann. Zum Beispiel wird für die angeforderten Daten, die mit den Daten, die in der Zugriffsspezifikation spezifiziert sind, identisch sind, der Zugriff gewährt. Im Fall einer Nichtübereinstimmung kann die datenbereitstellende Entität zum Beispiel den Zugriff ganz und gar verweigern oder kann den Zugriff für den Teil der angeforderten Daten und den Teil der Daten gemäß dem Zugriffgewährungsticket, die nicht übereinstimmen, verweigern. Es sind noch weitere Aktionen, die sich aus einer Übereinstimmungsanalyse ergeben, möglich. Somit kann die Übereinstimmungsanalyse gewährleisten, dass kein Zugriff auf Daten gewährt wird, auf die laut dem Zugriffgewährungsticket zugegriffen werden darf, die aber nicht angefordert wurden.
  • Gemäß einer weiteren bevorzugten Ausführungsform kann das Zugriffgewährungsticket auf der Grundlage eines Datenlagers erzeugt werden, das wenigstens zwei Elemente einer Gruppe korreliert, die den Identifikator der datenbereitstellenden Entität, die Daten, die sich auf einen Identitätsträger beziehen und die an der datenbereitstellenden Entität zur Verfügung stehen, den Identitätsträgeridentifikator, den Verschlüsselungsschlüssel und die Zugriffsspezifikation umfasst. Die Verwendung des Datenlagers ist bevorzugt, weil es die Erzeugung des Zugriffgewährungstickets erleichtert, weil sich andernfalls zum Beispiel der Identitätsträger alle oder einige Teile oder ihre Korrelationen merken muss, die für die Erzeugung eines verschlüsselten Zugriffgewährungstickets benötigt werden. Das Datenlager kann zum Beispiel in der Identitätsträgerentität vorhanden sein. Die Verwendung korrelierter Zugriffsspezifikationen kann vorteilhaft sein, wenn vorgegebene Zugriffsspezifikationen verwendet werden, die in das Zugriffgewährungsticket in unveränderter oder veränderter Form integriert werden könnten.
  • Gemäß einer weiteren bevorzugten Ausführungsform wird ein Zeichen für die Zugriffsspezifikation durch den Identitätsträger in eine Identitätsträgerentität eingegeben, um das Zugriffgewährungsticket zu erzeugen. Es kann ausdrücklich eine Zugriffsspezifikation durch den Identitätsträger spezifiziert werden, indem die gewünschte Erlaubnis für bestimmte Daten in das Gerät des Identitätsträgers eingegeben wird. Diese Vorgehensweise kann von Vorteil sein, wenn nur sehr wenige Daten, die sich auf einen Identitätsträger beziehen, für den Zugriff freigegeben werden, und/oder für unkomplexe Zugriffsspezifikationen, zum Beispiel eine Lese-Erlaubnis für den momentanen Standort des Identitätsträgers. Ein Zeichen für eine Zugriffsspezifikation kann eine Auswahl mit oder ohne Änderung einer vorgegebenen Zugriffsspezifikation sein, zum Beispiel aus einer Gruppe vorgegebener Zugriffsspezifikationen. Ein Zeichen kann eine Bestätigung einer vorgegebenen Zugriffsspezifikation sein.
  • Gemäß einer weiteren bevorzugten Ausführungsform umfasst das Zugriffgewährungsticket des Weiteren Sicherheitsinformationen, und der Zugriff wird anhand einer Analyse der Sicherheitsinformationen gewährt. Das Einbinden von Sicherheitsinformationen in das Zugriffgewährungsticket und das Analysieren der eingebundenen Sicherheitsinformationen für die Ermöglichung des Zugriffs erhöht die Sicherheit des Verfahrens. Beispiele für Sicherheitsinformationen sind ein Gültigkeitsdauerindikator, der einen Gültigkeitszeitraum für das Zugriffgewährungsticket angibt, oder eine laufende Nummer. Es können noch weitere Sicherheitsdaten wie Zufallsdaten, mitunter als "Nonce" bezeichnet, integriert werden, um das Risiko einer Kryptoanalyse durch einen Angreifer zu verringern. Das Vorhandensein der "Nonce" kann für eine Zugriffgewährung analysiert werden oder kann unberücksichtigt bleiben.
  • Gemäß einer weiteren bevorzugten Ausführungsform wird das verschlüsselte Zugriffgewährungsticket von öffentlichen Informationen begleitet. Beispiele für öffentliche Informationen sind der teilweise oder komplette Inhalt des verschlüsselten Zugriffgewährungstickets, wie die Zugriffsspezifikation oder Teile von ihr, Sicherheitsinformationen wie ein Gültigkeitsdauerindikator, oder Verifizierungsinformationen wie ein Name der datenanfordernden Entität oder Kombinationen davon. Die öffentlichen Informationen können durch jede der beteiligten Parteien analysiert werden, und Entscheidungen für ein weiteres Vorgehen können getroffen anhand der Analyse der öffentlichen Informationen werden, was zum Beispiel zu einer frühen Zurückweisung des verschlüsselten Zugriffgewährungstickets führt, wenn die Analyse der öffentlichen Informationen offenbart, dass das verschlüsselte Zugriffgewährungsticket zum Beispiel ungültig ist, was Verarbeitungsleistung und -zeit oder Kommunikationsaufwand einsparen kann.
  • Gemäß einer weiteren bevorzugten Ausführungsform kann die Anforderung an die datenbereitstellende Entität anhand einer Analyse der öffentlichen Informationen übermittelt werden. Wenn zum Beispiel ein Gültigkeitsdauerindikator in den öffentlichen Informationen offenbart, dass das Ticket nicht mehr gültig ist, so kann die Anforderung an die datenbereitstellende Entität übersprungen werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform stützt sich die Ausführung der Entschlüsselung des verschlüsselten Zugriffgewährungstickets auf eine Analyse der öffentlichen Informationen. Wenn eine Analyse der öffentlichen Informationen offenbart, dass das Zugriffgewährungsticket nicht länger gültig ist, weil zum Beispiel ein Gültigkeitszeitraum verstrichen ist oder die datenanfordernde Entität nicht befugt ist, die Daten anzufordern, oder der Zugriff gemäß der Zugriffsspezifikation nicht mit den angeforderten Daten übereinstimmt, die von der datenanfordernden Entität angefordert wurden, so braucht gleichermaßen die Entschlüsselung nicht ausgeführt zu werden. Das ist vorteilhaft, weil eine Entschlüsselung Verarbeitungsleistung in Anspruch nimmt, die man in dem Fall einsparen kann, dass ungültige verschlüsselte Zugriffgewährungstickets durch eine Analyse der öffentlichen Informationen aussortiert werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform können die Daten, auf die der Zugriff gewährt wird, zu der datenanfordernden Entität übermittelt werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform wird wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket für weitere Daten, die sich auf den Identitätsträger beziehen und an wenigstens einer weiteren datenbereitstellenden Entität zur Verfügung stehen, erzeugt und an die datenanfordernde Entität übermittelt, um den Zugriff auf die weiteren identitätsträgerbezogenen Daten zu ermöglichen, die an der wenigstens einen weiteren datenbereitstellenden Entität zur Verfügung stehen. Das übermittelte wenigstens eine weitere verschlüsselte Zugriffgewährungsticket wird von wenigstens einem weiteren Identifikator der wenigstens einen weiteren datenbereitstellenden Entität begleitet. Die Erzeugung weiterer Zugriffgewährungstickets ist vorteilhaft, wenn nicht alle Identitätsträgerdaten für diesen Zugriff, die an die anfordernde Entität zu übermitteln sind, in einer einzelnen Datenverarbeitungsentität zur Verfügung stehen. An die datenanfordernde Entität können Zugriffgewährungstickets übermittelt werden, die jeweils mit dem Verschlüsselungsschlüssel der entsprechenden datenbereitstellenden Entität verschlüsselt sind, wobei jedes verschlüsselte Zugriffgewährungsticket von einem Identifikator der entsprechenden datenbereitstellenden Entität begleitet wird. Der jeweilige Identitätsträgeridentifikator, der in dem jeweiligen Zugriffgewährungsticket enthalten ist, kann für die jeweilige datenbereitstellende Entität spezifisch sein. Auf der Grundlage der mehreren verschlüsselten Tickets und der begleitenden entsprechenden Identifikatoren kann die datenanfordernde Entität so meh rere Anforderungen an die datenbereitstellenden Entitäten übermitteln, um einen Zugriff an mehreren datenbereitstellenden Entitäten zu ermöglichen. Diese Ausführungsform unterstützt die gleichzeitige Ermöglichung eines Zugriffs auf Daten, die sich auf einen Identitätsträger beziehen und über mehrere datenbereitstellende Entitäten verteilt sind.
  • Die vorliegende Erfindung betrifft des Weiteren Geräte zum Implementieren des oben beschriebenen Verfahrens.
  • Bereitgestellt wird eine Identitätsträgerentität zum Ermöglichen eines Zugriffs für eine datenanfordernde Entität auf Daten, die sich auf einen Identitätsträger beziehen, wobei die Identitätsträgerentität eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Verarbeitungseinheit dafür geeignet ist, ein Zugriffgewährungsticket zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die sich auf einen Identitätsträger beziehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität repräsentiert, das Zugriffgewährungsticket mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität zu verschlüsseln und einen Identifikator der datenbereitstellenden Entität zu erhalten, und wobei die Sendeeinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket, das von dem Identifikator der datenbereitstellenden Entität begleitet wird, zu der datenanfordernden Entität zu senden.
  • Gemäß einer bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, Verifizierungsinformationen in das Zugriffgewährungsticket einzubinden und/oder Verifizierungsinformationen an das verschlüsselte Zugriffgewährungsticket anzuhängen, und wobei die Sendeeinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket, das von den angehängten Verifizierungsinformationen begleitet wird, an die datenanfordernde Entität zu senden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, auf ein Datenlager zuzugreifen, das wenigstens zwei Elemente einer Gruppe korreliert, die den Identifikator der datenbereitstellenden Entität, die Daten, die sich auf den Identitätsträger beziehen und die an der datenbereitstellenden Entität zur Verfügung stehen, den Identitätsträgeridentifikator, den Verschlüsselungsschlüssel und die Zugriffsspezifikation umfasst, und das Zugriffgewährungsticket auf der Grundlage des Datenlagers zu erzeugen.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, das Zugriffgewährungsticket auf der Grundlage eines Zeichens für die Zugriffsspezifikation zu erzeugen, das in eine Eingabeeinheit der Identitätsträgerentität eingegeben ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, Sicherheitsinformationen in das Zugriffgewährungsticket einzubinden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, öffentliche Informationen zu erhalten, und die Sendeeinheit ist dafür geeignet, das verschlüsselte Zugriffgewährungsticket, das von den öffentlichen Informationen begleitet wird, an die datenanfordernde Entität zu senden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Identitätsträgerentität ist die Verarbeitungseinheit dafür geeignet, wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket für weitere Daten, die sich auf den Identitätsträger beziehen und an wenigstens einer weiteren datenbereitstellenden Entität zur Verfügung stehen, zu erzeugen, und die Sendeeinheit dafür geeignet ist, das weitere verschlüsselte Zugriffgewährungsticket, das von wenigstens einem weiteren Identifikator der wenigstens einen weiteren datenbereitstellenden Entität begleitet ist, an die datenanfordernde Entität zu senden, um einen Zugriff auf die weiteren identitätsträgerbezogenen Daten zu ermöglichen, auf die an der wenigstens einen weiteren datenbereitstellenden Entität zugegriffen werden kann.
  • Bereitgestellt wird eine datenanfordernde Entität, die eine Empfangseinheit zum Empfangen von Meldungen und Informationen, eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Empfangseinheit dafür geeignet ist, ein erstes verschlüsseltes Zugriffgewährungsticket zu empfangen, um einen Zugriff auf erste Daten, die sich auf einen Identitätsträger beziehen, zu ermöglichen, wobei diese ersten Daten in einer ersten datenbereitstellenden Entität zur Verfügung stehen, wobei das erste verschlüsselte Zugriffgewährungsticket von einem Identifikator der ersten datenbereitstellenden Entität begleitet ist, und ein weiteres verschlüsseltes Zugriffgewährungsticket zu empfangen, um einen Zugriff auf weitere Daten, die sich auf den Identitätsträger beziehen, zu ermöglichen, wobei die weiteren Daten an einer weiteren datenbereitstellenden Entität zur Verfügung stehen, wobei das weitere verschlüsselte Zugriffgewährungsticket von einem weiteren Identifikator der weiteren datenbereitstellenden Entität begleitet ist, wobei die Verarbeitungseinheit dafür geeignet ist, eine erste Anforderung zu erzeugen, die das erste verschlüsselte Zugriffgewährungsticket umfasst, und eine weitere Anforderung zu erzeugen, die das weitere verschlüsselte Zugriffgewährungsticket umfasst, und die Sendeeinheit dafür geeignet ist, die erste Anforderung an die erste datenbereitstellende Entität zu senden und die weitere Anforderung an die weitere datenbereitstellende Entität zu senden, und wobei die Empfangseinheit dafür geeignet ist, ein erstes Zeichen für eine Gewährung eines Zugriffs auf die ersten Daten von der ersten datenbereitstellenden Entität zu empfangen und ein weiteres Zeichen für eine Gewährung eines Zugriffs auf die weiteren Daten von der weiteren datenbereitstellenden Entität zu empfangen.
  • Gemäß einer bevorzugten Ausführungsform der datenanfordernden Entität wird das erste verschlüsselte Zugriffgewährungsticket oder das weitere verschlüsselte Zugriffgewährungsticket oder beide von öffentlichen Informationen begleitet, und die Verarbeitungseinheit ist dafür geeignet, die öffentlichen Informationen zu analysieren, bevor die erste Anforderung und/oder die weitere Anforderung erzeugt wird.
  • Gemäß einer weiteren bevorzugten Ausführungsform der datenanfordernden Entität umfasst das erste Zeichen die ersten Daten, die sich auf den Identitätsträger beziehen, und das weitere Zeichen umfasst die weiteren Daten, die sich auf den Identitätsträger beziehen.
  • Bereitgestellt wird eine datenbereitstellende Entität zum Ermöglichen eines Zugriffs auf Daten, die sich auf einen Identitätsträger beziehen, wobei die datenbereitstellende Entität eine Empfangseinheit zum Empfangen von Meldungen und Informationen, eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Empfangseinheit dafür geeignet ist, eine Anforderung von einer datenanfordernden Entität zu empfangen, wobei die Anforderung ein Zugriffgewährungsticket umfasst, das mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität verschlüsselt ist, wobei das Zugriffgewährungsticket eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität repräsentiert, wobei die Verarbeitungseinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität, der dem Verschlüsselungsschlüssel entspricht, zu entschlüsseln und der datenanfordernden Entität entsprechend der Zugriffsspezifikation Zugriff auf die Daten, die sich auf den Identitätsträger beziehen, zu gewähren.
  • Gemäß einer bevorzugten Ausführungsform der datenbereitstellenden Entität umfasst das verschlüsselte Zugriffgewährungsticket Verifizierungsinformationen, oder wird von Verifizierungsinformationen begleitet, und die Verarbeitungseinheit ist dafür geeignet, auf der Grundlage einer Analyse der Verifizierungsinformationen einen Zugriff zu gewähren.
  • Gemäß einer weiteren bevorzugten Ausführungsform der datenbereitstellenden Entität umfasst die Anforderung eine Spezifikation für angeforderte Daten, die sich auf den Identitätsträger beziehen, und die Verarbeitungseinheit ist dafür geeignet, entsprechend einer Übereinstimmung der Zugriffsspezifikation und der angeforderten Daten einen Zugriff zu gewähren.
  • Gemäß einer weiteren bevorzugten Ausführungsform der datenbereitstellenden Entität umfasst das Zugriffgewährungsticket des Weiteren Sicherheitsinformationen, und die Verarbeitungseinheit ist dafür geeignet, auf der Grundlage einer Analyse der Sicherheitsinformationen einen Zugriff zu gewähren.
  • Gemäß einer weiteren bevorzugten Ausführungsform der datenbereitstellenden Entität ist das verschlüsselte Zugriffgewährungsticket von öffentlichen Informationen begleitet, und die Verarbeitungseinheit ist dafür geeignet, die Entschlüsselung auf der Grundlage einer Analyse der öffentlichen Informationen zu initiieren.
  • Gemäß einer weiteren bevorzugten Ausführungsform der datenbereitstellenden Entität ist die Sendeeinheit dafür geeignet, die Daten, auf die der Zugriff gewährt wird, an die datenanfordernde Entität zu senden.
  • Die vorliegende Erfindung betrifft des Weiteren Computerprogramme, die Abschnitte von Softwarecodes umfassen, um das oben beschriebene Verfahren zu implementieren, wenn sie in der Identitätsträgerentität, der datenanfordernden Entität oder der datenbereitstellenden Entität betrieben werden. Die Computerprogramme können auf einem computerlesbaren Medium gespeichert werden. Das computerlesbare Medium kann ein dauerhafter oder überschreibbarer Speicher innerhalb der Identitätsträgerentität, der datenanfordernden Entität oder der datenbereitstellenden Entität sein oder kann extern angeordnet sein. Die jeweiligen Computerprogramme können auch zu der Identitätsträgerentität, der datenanfordernden Entität oder der datenbereitstellenden Entität beispielsweise über ein Kabel oder eine Drahtlosverbindung als eine Abfolge von Zeichen übermittelt werden.
  • Bereitgestellt wird ein Computerprogramm, das in die Verarbeitungseinheit einer Identitätsträgerentität geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, ein Zugriffgewährungsticket zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität repräsentiert, das Zugriffgewährungsticket mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität zu verschlüsseln, einen Identifikator einer datenbereitstellenden Entität zu erlangen und ein Senden des verschlüsselten Zugriffgewährungstickets, das von dem Identifikator der datenbereitstellenden Entität begleitet ist, zu der datenanfordernden Entität zu initiieren.
  • Bereitgestellt wird ein Computerprogramm, das in die Verarbeitungseinheit einer datenanfordernden Entität geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, ein erstes verschlüsseltes Zugriffgewährungsticket zu verarbeiten, um einen Zugriff auf erste Daten, die sich auf einen Identitätsträger beziehen, zu ermöglichen, wobei diese ersten Daten in einer ersten datenbereitstellenden Entität zur Verfügung stehen, wobei das erste verschlüsselte Zugriffgewährungsticket von einem Identifikator der ersten datenbereitstellenden Entität begleitet ist, und ein weiteres verschlüsseltes Zugriffgewährungsticket zu verarbeiten, um einen Zugriff auf weitere Daten, die sich auf den Identitätsträger beziehen, zu ermöglichen, wobei die weiteren Daten an einer weiteren datenbereitstellenden Entität zur Verfügung stehen, wobei das weitere verschlüsselte Zugriffgewährungsticket von einem weiteren Identifikator der weiteren datenbereitstellenden Entität begleitet ist, eine erste Anforderung zu erzeugen, die das erste verschlüsselte Zugriffgewährungsticket umfasst, und eine weitere Anforderung zu erzeugen, die das weitere verschlüsselte Zugriffgewährungsticket umfasst, und ein Senden der ersten Anforderung an die erste datenbereitstellende Entität und der weiteren Anforderung an die weitere datenbereitstellende Entität zu initiieren, und ein erstes Zeichen für eine Gewährung eines Zugriffs auf die ersten Daten von der ersten datenbereitstellenden Entität und ein weiteres Zeichen für eine Gewährung eines Zugriffs auf die weiteren Daten von der weiteren datenbereitstellenden Entität zu verarbeiten.
  • Bereitgestellt wird ein Computerprogramm, das in die Verarbeitungseinheit einer datenbereitstellenden Entität geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, eine Anforderung von einer datenanfordernden Entität zu verarbeiten, wobei die Anforderung ein Zugriffgewährungsticket umfasst, das mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität verschlüsselt ist, wobei das Zugriffgewährungsticket eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität repräsentiert, das verschlüsselte Zugriffgewährungsticket mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität, der dem Verschlüsselungsschlüssel entspricht, zu entschlüsseln und der datenanfordernden Entität entsprechend der Zugriffsspezifikation Zugriff auf Daten, die sich auf den Identitätsträger beziehen, zu gewähren.
  • Das Computerprogramm, das in die Verarbeitungseinheit einer Identitätsträgerentität geladen werden kann, das Computerprogramm, das in die Verarbeitungseinheit einer datenanfordernden Entität geladen werden kann, und das Computerprogramm, das in die Verarbeitungseinheit einer datenbereitstellenden Entität geladen werden kann, können Code umfassen, der dafür geeignet ist, beliebige der Schritte des erfindungsgemäßen Verfahrens auszuführen.
  • Kurze Beschreibung der Zeichnungen
  • 1 veranschaulicht einen Fluss von Meldungen und Prozessen gemäß einer ersten Ausführungsform der Erfindung.
  • 2 veranschaulicht Beispiele für Tickets gemäß der Erfindung.
  • 3 veranschaulicht Geräte und Verbindungen gemäß einer zweiten Ausführungsform der Erfindung.
  • Detaillierte Beschreibung der Erfindung
  • 1 veranschaulicht eine erste Ausführungsform der Erfindung. Der Identitätsträger, beispielsweise durch einen Benutzer dargestellt, sendet von einer Identitätsträgerentität UE, wie einem Mobiltelefon oder einem Personalcomputer, eine Anforderung 100 für einen Dienst an einen Service-Provider, der in diesem Beispiel als datenanfordernde Entität IRE agiert. Die datenanfordernde Entität IRE prüft die Anforderung 100 und erkennt, dass, um den angeforderten Dienst erbringen zu können, Daten, die sich auf den Identitätsträger beziehen, benötigt werden, beispielsweise eine Kreditkartennummer für eine Finanzdienstleistung oder ein Standort des Identitätsträgers für eine standortbasierte Dienstleistung. Die datenanfordernde Entität kann eine Anforderung 105 erzeugen, um beim Identitätsträger die benötigten Daten abzufragen, und kann die Anforderung 105 an die Identitätsträgerentität UE senden.
  • Der Identitätsträger oder die Identitätsträgerentität UE erkennen, dass die benötigten Daten, die sich auf den Identitätsträger beziehen, in der datenbereitstellenden Entität IPE1 zur Verfügung stehen. Die Identitätsträgerentität UE erzeugt 110 ein verschlüsseltes Zugriffgewährungsticket, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf die benötigten Daten, die sich auf den Identitätsträger beziehen, umfasst. Des Weiteren enthält das Zugriffgewährungsticket einen Identi tätsträgeridentifikator, anhand dessen die datenbereitstellende Entität IPE1 die Daten, die sich auf den Identitätsträger beziehen, identifizieren kann. Die Zugriffsspezifikation und der Identitätsträgeridentifikator werden mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität IPE1 verschlüsselt. Dieser Verschlüsselungsschlüssel ist in der Regel ein öffentlicher Schlüssel gemäß der Public-Key Infrastructure (PKI). Alternativ oder zusätzlich kann er auch ein geheimer Schlüssel der datenbereitstellenden Entität IPE1 sein. Die Identitätsträgerentität erlangt einen Identifikator für die datenbereitstellende Entität IPE1 und sendet das verschlüsselte Zugriffgewährungsticket, das von dem Identifikator der datenbereitstellenden Entität IPE1 begleitet ist, über die Meldung 115 an die datenanfordernde Entität IRE. Anhand des Identifikators der datenbereitstellenden Entität IPE1 weiß die datenanfordernde Entität IRE, wohin das verschlüsselte Zugriffgewährungsticket zu senden ist. Die datenanfordernde Entität IRE sendet das verschlüsselte Zugriffgewährungsticket über die Anforderung 120 an die datenbereitstellende Entität IPE1, die anschließend das verschlüsselte Zugriffgewährungsticket mit einem Entschlüsselungsschlüssel, der dem Verschlüsselungsschlüssel entspricht, entschlüsselt 125, wobei der Entschlüsselungsschlüssel zum Beispiel der private Schlüssel der datenbereitstellenden Entität IPE1 ist, der dem öffentlichen Schlüssel der datenbereitstellenden Entität IPE1 entspricht, der zum Verschlüsseln verwendet wird. Die datenbereitstellende Entität IPE1 erlangt die Zugriffsspezifikation und den Identitätsträgeridentifikator. Auf der Grundlage einer Analyse der erlangten Informationen kann die datenbereitstellende Entität IPE1 zum Beispiel im Datenlager nach Informationen suchen, die mit dem Identitätsträgeridentifikator und den Daten, die in der Zugriffsspezifikation spezifiziert sind, übereinstimmen. Um der datenanfordernden Entität IRE einen Zugriff auf die benötigten Daten, die sich auf den Identitätsträger beziehen, zu ermöglichen, kann die datenbereitstellende Entität IPE1 die benötigten Daten aus dem Datenlager erlangen und kann die benötigten Daten, die sich auf den Identitätsträger beziehen, über die Meldung 130 an die datenanfordernde Entität IRE senden. Die datenanfordernde Entität IRE, die nun im Besitz der benötigten Daten, die sich auf den Identitätsträger beziehen, ist, kann die benötigten Daten, die sich auf den Identitätsträger beziehen, entsprechend verarbeiten 135 und kann den Zugriff auf den angeforderten Dienst gewähren 140.
  • Viele Varianten der grundlegenden Prozesse und Meldungen 100140 von 1 sind möglich. Einige von ihnen werden im Folgenden näher beschrieben.
  • Die Meldungen 100, 105 können in dem Fall übersprungen werden, dass dem Identitätsträger und/oder der Identitätsträgerentität UE vorab bekannt ist, dass die datenanfordernde Entität IRE bestimmte Daten, die sich auf den Identitätsträger beziehen, benötigt. In diesem Fall kann die Dienstleistungsanforderung zusammen mit dem verschlüsselten Zugriffgewährungsticket, das von dem Identifikator der datenbereitstellenden Entität IPE1 begleitet ist, in der Meldung 115 gesendet werden.
  • Gemäß 1 erfolgt das Erzeugen des verschlüsselten Zugriffgewährungstickets in der Identitätsträgerentität UE. Die Identitätsträgerentität UE weist vorzugsweise ein Datenlager auf oder hat Zugriff auf ein Datenlager, zum Beispiel in Form einer Liste, die Namen und Identifikatoren der Entität oder datenbereitstellenden Entitäten, die jeweiligen Daten, die sich auf den Identitätsträger beziehen und in der jeweiligen datenbereitstellenden Entität oder den jeweiligen datenbereitstellenden Entitäten zur Verfügung stehen, die jeweiligen Verschlüsselungsschlüssel der jeweiligen datenbereitstellenden Entitäten, die jeweiligen Identitätsträgeridentifikatoren in den jeweiligen datenbereitstellenden Entitäten und optional zuvor festge legte, zum Beispiel standardmäßig vorgegebene, Zugriffsspezifikationslisten umfasst. Name und Identifikator einer datenbereitstellenden Entität können identisch sein.
  • Tabelle A zeigt ein Beispiel für ein Datenlager für zwei datenbereitstellende Entitäten mit Namen IPE1, IPE2 und Identifikatoren A_IPE1, A_IPE2, Daten D1, die sich auf den Identitätsträger beziehen und in der datenbereitstellenden Entität IPE1 zur Verfügung stehen, und Daten D2, D3, die sich auf den Identitätsträger beziehen und in der datenbereitstellenden Entität IPE2 zur Verfügung stehen, einem Verschlüsselungsschlüssel K1 der datenbereitstellenden Entität IPE1 und Verschlüsselungsschlüssel K2, K3 der datenbereitstellenden Entität IPE2 sowie Zugriffsspezifikationen AS1–AS4. Der Identitätsträgeridentifikator I1 repräsentiert den Identitätsträger in der datenbereitstellenden Entität IPE1, und die Identifikatoren I2, I3 repräsentieren den Identitätsträger in der datenbereitstellenden Entität IPE2.
  • Figure 00260001
    Tabelle A zeigt ein Beispiel für ein Datenlager gemäß der vorliegenden Erfindung
  • Gemäß dem Datenlager von Tabelle A können die folgenden verschlüsselten Zugriffgewährungstickets erzeugt werden:
    Gemäß der ersten Zeile wird ein Zugriffgewährungsticket, das die Zugriffsspezifikation AS1 für Daten umfasst, die sich auf den Identitätsträgeridentifikator I1 beziehen, erzeugt. Somit umfasst das Zugriffgewährungsticket die Zugriffsspezifikation AS1 und den Identitätsträgeridentifikator I1. Das Zugriffgewährungsticket wird mit dem Verschlüsselungsschlüssel K1 verschlüsselt und, von dem Identifikator A_IPE1 begleitet, an eine datenanfordernde Entität gesandt, um eine Zugriffsgewährung an der datenbereitstellenden Entität IPE1 anzufordern.
  • Gemäß der zweiten Zeile wird ein ähnliches Zugriffgewährungsticket erzeugt, das nun die Zugriffsspezifikation AS2 und den Identitätsträgeridentifikator I2 umfasst, die mit dem Schlüssel K2 verschlüsselt sind, und – von dem Identifikator A_IPE2 begleitet – an eine datenanfordernde Entität gesandt, um an der datenbereitstellenden Entität IPE2 einen Zugriff zu ermöglichen.
  • Die dritte Zeile unterscheidet sich von der zweiten Zeile insofern, als der Identitätsträger nun einen Identitätsträgeridentifikator I3 verwendet, der sich von dem Identitätsträgeridentifikator I2 in Zeile 2 unterscheidet. Das Verwenden verschiedener Identitäten, die durch verschiedene Identitätsträgeridentifikatoren repräsentiert werden, kann aus Gründen der Sicherheit oder Privatsphäre oder aus praktischen Gründen vorteilhaft sein, beispielsweise um zwischen verschiedenen Teilmengen von Daten D2 und D3 zu unterschieden, die an einer einzelnen datenbereitstellenden Entität IPE1 zur Verfügung stehen.
  • Die vierte Zeile unterscheidet sich von der zweiten Zeile insofern, als ein anderer Verschlüsselungsschlüssel K3 verwendet wird. Je nach den Teilmengen der Daten, die an einer bestimmten datenbereitstellenden Entität zur Verfügung stehen, können verschiedene Schlüssel verwendet werden. Der Verschlüsselungsschlüssel kann in dem Fall, dass ein Zugriff auf sehr sensible Daten ermöglicht werden soll, stärker sein. Zum Beispiel sind die Daten D2, die an der datenbereitstellenden Entität IPE2 zur Verfügung stehen, gemäß der zweiten und vierten Reihe identisch, und es wird auch der gleiche Identitätsträgeridentifikator I2 verwendet. Allerdings können die Daten D2 weniger sensible Daten, die sich auf den Identitätsträger beziehen, wie eine Telefonnummer oder eine E-Mail-Adresse, und sensible Informationen wie eine Kreditkartennummer enthalten. Wenn ein Zugriff auf weniger sensible Daten, zum Beispiel gemäß der Zugriffsspezifikation AS2, gewährt werden soll, so kann ein schwächerer Verschlüsselungsschlüssel K2 verwendet werden, wodurch der Verarbeitungs- und Zeichengabeaufwand in den beteiligten Entitäten verringert wird. Für die Gewährung eines Zugriffs zu sensiblen Daten zum Beispiel gemäß der Zugriffsspezifikation AS4 kann ein stärkerer Verschlüsselungsschlüssel verwendet werden, was zu einem stärkeren Datenschutz führt.
  • Es sind noch viele weitere Varianten möglich, die nicht in Tabelle A dargestellt sind. Zum Beispiel kann der Identitätsträgeridentifikator I1 und I2 identisch sein, oder eine datenbereitstellende Entität kann mehrere Identifikatoren haben.
  • Ein Beispiel für eine Zugriffsspezifikation findet sich in Tabelle B. Diese Zugriffsspezifikation umfasst eine Liste von Daten D1a–D1d, die in einer datenbereitstellenden Entität IPE1 zur Verfügung stehen, mit zugehörigen Erlaubnissen zum Lesen, Ändern, Anhängen, Erzeugen und Löschen, wobei ein erlaubter Zugriff mit einem "Y" gekennzeichnet ist und ein verbotener Zugriff mit einem "N" gekennzeichnet ist. Die Zugriffsspezifikation, die in dem verschlüsselten Zugriffgewährungsticket enthalten ist, kann in der Form von Tabelle B für alle Daten, die sich auf den Identitätsträger beziehen, in der datenbereitstellenden Entität IPE1 oder Teilen von ihr vorliegen, zum Beispiel nur Daten, auf die zugegriffen werden darf. Zum Beispiel kann in dem Zugriffgewährungsticket eine Kette von Daten enthalten sein, die D1a R|M|A|C|D;D1c R als Zugriffsspezifikation gemäß dem vorliegenden Beispiel umfasst, wodurch die Datenmenge in dem Zugriffgewährungsticket und folglich der Verarbeitungsaufwand für das Verschlüsseln und Entschlüsseln sowie der Zeichengabeaufwand infolge der verringerten Datenmenge verringert wird. Gleichermaßen kann eine negative Zugriffsspezifikation erzeugt werden, indem die Daten spezifiziert werden, auf die kein Zugriff gestattet wird. Die Zugriffsspezifikation kann vorher festgelegt werden oder kann auf der Grundlage von Eingaben durch den Identitätsträger zusammengestellt werden. In jedem Fall kann es aus Sicherheitsgründen von Vorteil sein, dass ein Identitätsträger die endgültige Zugriffsspezifikation bestätigt, die in das Zugriffgewährungsticket aufgenommen wird. Der Bestätigungsschritt gibt dem Identitätsträger zusätzliche oder ausdrückliche Kontrolle über die Daten, auf die der Zugriff in der einen oder den mehreren datenbereitstellenden Entitäten – hier die datenbereitstellende Entität IPE1 – gewährt werden soll.
  • Ein Beispiel für D1a kann ein Feld sein, das dafür verwendet werden kann, freien Text durch die datenanfordernde Entität IRE gemäß der Zugriffsspezifikation von Tabelle B einzugeben. D1b kann eine Kreditkartennummer sein, auf die gemäß Tabelle B kein Zugriff gestattet ist. D1c können Standortinformationen sein, die durch die datenbereitstellende Entität gemäß der Zugriffsspezifikation von Tabelle B gelesen werden können, und D1d können weitere Daten sein, die sich auf den Identitätsträger beziehen und auf die kein Zugriff gestattet ist.
  • Figure 00290001
    Tabelle B: Beispiel für eine Zugriffsspezifikation
  • Eine Zugriffsspezifikation oder ein Zugriffgewährungsticket kann ein Stück ausführbarer oder selbst-ausführbarer Softwarecode sein, der die datenbereitstellende Entität anweist, Zugriff auf die Daten, die sich auf den Identitätsträgeridentifikator beziehen, und die Zugriffsspezifikation, die in dem verschlüsselten Zugriffgewährungsticket enthalten ist, zu gewähren. Das hat den Vorteil, dass die Softwarefunktionalität in einer datenbereitstellenden Entität verringert werden kann.
  • Anstatt das verschlüsselte Zugriffgewährungsticket in der Identitätsträgerentität UE zu erzeugen, können einige der erforderlichen Prozesse von der Identitätsträgerentität UE zu einer oder mehreren weiteren Entitäten (die in 1 nicht gezeigt sind) delegiert werden. Zum Beispiel kann die Verschlüsselung in einer weiteren Entität stattfinden, wodurch die Identitätsträgerentität UE von Verschlüsselungsfunktionalität befreit wird. Das verschlüsselte Ticket kann dann im Namen des Identitätsträgers von der weiteren Entität zu der datenanfordernden Entität IRE gesendet werden, wodurch der Zeichengabe- und Verarbeitungsaufwand in der Identitätsträgerentität UE verringert werden kann.
  • Im Folgenden werden Beispiele für Tickets, die in 4 gezeigt sind, beschrieben, die gemäß der Erfindung erzeugt und verarbeitet werden können.
  • Gemäß 2a umfasst das erste Ticket T1 ein Zugriffgewährungsticket AGT, das mit dem Verschlüsselungsschlüssel ECR der datenbereitstellenden Entität verschlüsselt ist, in der die Zugriffsgewährung erfolgen soll. Die obligatorischen Teile in dem Zugriffgewährungsticket AGT sind eine Zugriffsspezifikation und ein Identitätsträgeridentifikator. Zum Erhöhen der Sicherheit können Sicherheitsinformationen wie ein Gültigkeitsdauerindikator, eine laufende Nummer oder ein Nonce in das Zugriffgewährungsticket AGT eingebunden oder an das Zugriffgewährungsticket AGT ange hängt werden. Des Weiteren können Verifizierungsinformationen in das verschlüsselte Zugriffgewährungsticket AGT eingebunden werden, wie ein Identifikator für die datenanfordernde Entität oder Verifizierungsinformationen zum Verifizieren des Identitätsträgers.
  • Außerdem umfasst das erste Ticket T1 ein Feld, das für öffentliche Informationen reserviert ist, die nicht durch den Verschlüsselungsschlüssel ECR verschlüsselt sind. Das Feld kann einen Inhalt des Zugriffgewährungstickets, von Sicherheitsinformationen oder von Verifizierungsinformationen oder Teile oder Kombinationen davon enthalten, die der Öffentlichkeit zugänglich gemacht werden können. Aus Gründen der Sicherheit und/oder der Privatsphäre ist jedoch der Identitätsträgeridentifikator höchstwahrscheinlich nicht in den öffentlichen Informationen offenbart. Der Identifikator der datenbereitstellenden Entität, der das verschlüsselte Zugriffgewährungsticket begleitet, kann ein Teil der öffentlichen Informationen sein. Somit braucht kein zusätzlicher Identifikator, der zum Beispiel an das Ticket angehängt wird, übermittelt zu werden.
  • Das Ticket oder Teile davon können durch eine digitale Signatur SIG1 des Identitätsträgers signiert werden, wie in den 2b)–d) veranschaulicht. Die Signatur kann zum Beispiel unter Verwendung eines privaten Schlüssels des Identitätsträgers gemäß PKI oder unter Verwendung eines geheimen Schlüssels, den der Identitätsträger und die datenbereitstellende Entität gemeinsam nutzen, festgelegt werden. Gemäß 2b) werden das AGT oder Teile davon signiert, was die datenbereitstellende Entität darüber informiert, dass das Ticket T2 ursprünglich durch den Identitätsträger erzeugt wurde. In diesem Sinn kann die Signatur als Verifizierungsinformationen für die datenbereitstellende Entität angesehen werden, weil die datenbereitstellende Entität anhand des Vergleichs der digitalen Signatur SIG1 mit dem Identitätsträgeridentifikator des Zugriffgewährungstickets AGT den Identitätsträger verifizieren kann. Zur Verifizierung von Informationen, die mit einem privaten Schlüssel signiert sind, muss ein entsprechender öffentlicher Schlüssel verwendet werden. Anstelle von oder zusätzlich zum Signieren und der Signaturverifizierung kann "Simple PKI" (SPKI) verwendet werden.
  • Gemäß dem dritten Ticket T3 wird das verschlüsselte Zugriffgewährungsticket mit der digitalen Signatur SIG1 signiert, was eine Integritätsverifizierung für eine datenanfordernde Entität und eine datenbereitstellende Entität bedeuten kann. Gemäß 2d) erfasst die digitale Signatur in dem vierten Ticket T4 das verschlüsselte Zugriffgewährungsticket ECR, AGT und die öffentlichen Informationen, was für die beteiligten Informationen auch Integrität bezüglich der signierten Informationen gewährleisten kann.
  • Im Folgenden werden verschiedene Ausführungsformen der Erfindung für verschiedene Arten von Tickets und Zugriffsspezifikationen beschrieben. Zur Erläuterung und zum besseren Verständnis nehmen wir Bezug auf 1, und anstelle der Formulierung "verschlüsseltes Zugriffgewährungsticket, das von einem Identifikator der zugriffsgewährenden Entität begleitet wird" verwenden wir ab jetzt den Begriff "Ticket".
  • Beim Empfang eines Tickets kann die datenanfordernde Entität IRE öffentliche Informationen analysieren und ihre Entscheidung bezüglich einer Datenzugriffsanforderung auf der Grundlage des Analyseergebnisses treffen. Wenn zum Beispiel die öffentlichen Informationen einen Gültigkeitsdauerindikator enthalten, so kann die datenanfordernde Entität IRE das Ticket verwerfen, wenn der Gültigkeitsdauerindikator abgelaufen ist und keine Anforderung an die datenbereitstellende Entität IPE1 gesendet wird.
  • Ein weiteres Beispiel kann eine ungültige laufende Nummer sein, beispielsweise eine Nummer, die für einen früheren Datenzugriff verwendet wurde, oder nicht-übereinstimmende Kombinationen von Inhalten der öffentlichen Informationen, beispielsweise ein Gültigkeitsdauerindikator, der nicht mit einer Zugriffszeit der datenbereitstellenden Entität IPE1 übereinstimmt. Zum Beispiel kann es der datenanfordernden Entität IRE bekannt sein, dass die datenbereitstellende Entität IPE1 während eines bestimmten Zeitraums nicht zugänglich war, und die genehmigte Zeit fällt laut dem Gültigkeitsdauerindikator genau in diesen Zeitraum. Wenn also die Analyse der öffentlichen Informationen ein ungültiges Ticket offenbart, so kann die Anforderung an die datenbereitstellende Entität IPE1 übersprungen werden.
  • Zum Senden der Anforderung 120 an die datenanfordernde Entität IRE kann die datenbereitstellende Entität den Identifikator der datenbereitstellenden Entität IPE1 nachschlagen, der zum Beispiel in den öffentlichen Informationen enthalten ist, wie zuvor erläutert. Der nachgeschlagene Identifikator kann in eine Adresse der datenbereitstellenden Entität, an die die Anforderung 120 gesendet wird, umgewandelt werden.
  • In der Anforderung 120 kann die datenanfordernde Entität IRE um Zugriff auf bestimmte angeforderte Daten, die sich auf den Identitätsträger beziehen, ersuchen. Diese angeforderten Daten können mit den Daten, die durch die Zugriffsspezifikation spezifiziert sind, identisch oder von ihnen verschieden sein. Angeforderte Daten können verschieden sein, wenn die datenanfordernde Entität IRE identitätsträgerbezogene Daten von der Identitätsträgerentität UE, zum Beispiel über die Meldung 105, anfordert und die Identitätsträgerentität UE in der Meldung 115 mit einer Zugriffsspezifikation mit einer Gewährung eines Zugriffs auf Daten antwortet, die sich auf den Identitätsträger beziehen und von den ursprünglich angeforderten Daten verschieden sind, zum Beispiel weil der Identitätsträger nicht der datenanfordernden Entität IRE den Zugriff auf alle angeforderten Daten gestatten möchte. Es sind noch weitere Gründe für das Vorkommen verschiedener Daten möglich, zum Beispiel wenn ein Ticket ohne öffentliche Informationen über die Zugriffsspezifikation an eine unbefugte datenanfordernde Entität IRE gerichtet wird oder einfach, weil die datenanfordernde Entität IRE nicht mit genügend Informationen über die Zugriffsspezifikation versorgt wird, zum Beispiel in dem Fall, wo der Identitätsträger bereits vorhandenes Wissen über von der datenbereitstellenden Entität IPE1 angeforderte Daten verwendet, die insofern falsch sind, als die Zugriffsspezifikation gemäß dem bereits vorhandenen Wissen nicht mit den Daten übereinstimmt, die sich auf den Identitätsträger beziehen und durch die datenanfordernde Entität IRE angefordert wurden.
  • Die datenbereitstellende Entität IPE1, die das Ticket empfängt, hat verschiedene Optionen, nach denen sie verfahren kann, zum Beispiel je nach dem Ticket oder eventuell angeforderten Daten.
  • Wenn das Ticket öffentliche Informationen umfasst, so kann es von Vorteil sein, zuerst die öffentlichen Informationen zu analysieren, um eine erste Prüfung bezüglich der Gültigkeit des Tickets (zum Beispiel auf der Grundlage des Gültigkeitsdauerindikators oder der laufenden Nummer), eine erste Verifizierung der datenanfordernden Entität IRE (zum Beispiel durch Vergleichen eines Identifikators, wie eines Namens oder Identifikators der datenanfordernden Entität IRE, wie er in den öffentlichen Informationen angegeben ist, mit einem Identifikator oder Namen, der über einen Datenaustausch mit der datenanfordernden Entität IRE erhalten werden kann) oder Kombinationen daraus vorzunehmen. Es kann alternativ oder zusätzlich geprüft werden, ob in den öffentlichen Informationen eine oder mehrere weitere Informationen gegeben sind, wie zum Beispiel, dass das Ticket in einem bestimmten Land oder einer bestimmten Region ungültig ist. Wenn das Ticket signiert ist, so kann die Signatur als eine erste Verifizierung des Identitätsträgers und als ein erster Nachweis der Integrität geprüft werden. Wenn eine der Prüfungen nicht bestanden wird, so kann die datenbereitstellende Entität IPE1 die Gewährung des Zugriffs beenden.
  • Andernfalls kann die datenbereitstellende Entität IPE1 mit dem Entschlüsseln des verschlüsselten Teils des Tickets mit ihrem Entschlüsselungsschlüssel fortfahren. Sie erlangt die Zugriffsspezifikation und den Identitätsträgeridentifikator und – wenn Sicherheits- und/oder Verifizierungsinformationen in dem verschlüsselten Teil des Zugriffgewährungstickets enthalten sind – die Sicherheits- und/oder Verifizierungsinformationen. Das Überprüfen der Sicherheitsinformationen und/oder Verifizierungsinformationen aus dem verschlüsselten Teil kann in einer ähnlichen Weise erfolgen wie das Überprüfen der Sicherheits- oder Verifizierungsinformationen, die in öffentlichen Informationen enthalten sind. Jedoch ist das Überprüfen der Sicherheits- oder Verifizierungsinformationen, die dem verschlüsselten Teil des Tickets entnommen werden, viel sicherer, weil die Verschlüsselung dafür sorgt, dass der verschlüsselte Inhalt vor Manipulation durch Dritte geschützt ist, die sich nicht im Besitz des entsprechenden Entschlüsselungsschlüssels befinden, wie zum Beispiel die datenanfordernde Entität IRE. Der Entschlüsselungsschlüssel ist geheim und befindet sich in der Regel im Besitz der datenbereitstellenden Entität IPE1. Jedoch kann die Entschlüsselung auch im Namen der datenbereitstellenden Entität IPE1 in einer weiteren Entität ausgeführt werden, die den Entschlüsselungsschlüssel besitzt. Je nach dem Ergebnis der Analyse der Sicherheits- oder Verifizierungsinformationen kann die datenbereitstellende Entität IPE1 mit der Gewährung des Zugriffs fortfahren oder kann das Verfahren beenden.
  • Auf der Grundlage der Zugriffsspezifikation und des Identitätsträgeridentifikators kann die datenbereitstellende Entität IPE1 einen Zugriff gewähren. Zum Beispiel kann sie in einem Datenlager nach den Daten suchen, die sich auf den Identitätsträgeridentifikator beziehen, und kann zum Beispiel einen Lesezugriff gemäß der Zugriffsspezifikation auf die Daten gewähren, die sich auf den Identitätsträgeridentifikator beziehen. Die datenbereitstellende Entität IPE1 kann die in der Zugriffsspezifikation spezifizierten Daten auf Übereinstimmung mit angeforderten Daten prüfen, die von der datenanfordernden Entität IRE angefordert wurden. Zum Beispiel kann sie die Zugriffsgewährung beenden, wenn beide Daten nicht oder nur teilweise übereinstimmen. Gemäß einer weiteren Implementierung kann die datenbereitstellende Entität IPE1 den Zugriff auf Teile beider Daten, die übereinstimmen, gewähren. Aus Sicherheitsgründen kann die datenbereitstellende Entität die Zugriffsspezifikation mit eigenen Zugriffsbeschränkungen vergleichen. Zum Beispiel kann sie das Lesen von Daten, die sich auf einen Identitätsträger beziehen, erlauben, nicht aber das Schreiben, Ändern, Anhängen, Erzeugen und/oder Löschen, und kann den Zugriff auf Daten, die sich auf den Identitätsträgeridentifikator beziehen, entsprechend einer Übereinstimmung der Zugriffsspezifikation mit ihren eigenen Zugriffsbeschränkungen gewähren. Somit kann die datenbereitstellende Entität gewährleisten, dass Daten, die sich auf den Identitätsträger beziehen, nicht geändert werden können, was aus technischen oder rechtlichen Gründen, die dem Identitätsträger nicht bekannt sind, von Bedeutung sein kann.
  • Die Gewährung des Zugriffs auf die Daten, die sich auf den Identitätsträgeridentifikator beziehen, kann zum Beispiel folgendermaßen geschehen. Im Fall eines Lesezugriffs auf Daten, die sich auf den Identitätsträgeridentifikator beziehen, kann die datenbereitstellende Entität IPE1 diese Daten von einem Datenlager beziehen oder sie von einer beliebigen Entität, wo die Daten gespeichert sind oder erzeugt werden, anfordern und die Daten an die datenanfordernde Entität IRE senden. Im Fall einer Löschungserlaubnis kann die datenbereitstellende Entität IPE1 das Löschen mit oder ohne weiteren Datenaustausch mit der datenanfordernden Entität IRE ausführen. Im Fall anderer Erlaubnisse, wie Schreiben, Ändern, Anhängen oder Erzeugen, kann ein bidirektionaler Datenaustausch zwischen ihnen hergestellt werden, um den Zugriff auf Daten, die sich auf den Identitätsträger beziehen, gemäß der Zugriffsspezifikation zu ermöglichen. Alternativ kann die Anforderung an die datenbereitstellende Entität ausdrücklich die Daten enthalten, die zu schreiben, zu ändern oder zu erzeugen sind, und das Schreiben, Ändern und Anhängen kann gemäß der Zugriffsspezifikation für die Daten, die sich auf den Identitätsträgeridentifikator beziehen, und den enthaltenen Daten ausgeführt werden. Es kann eine Bestätigung der Ausführung der Anforderung an die anfordernde Entität gesendet werden. Das Verfahren kann dergestalt implementiert werden, dass im Fall keines weiteren Datenaustauschs oder in dem Fall, dass keine Bestätigung der Zugriffsgewährung empfangen wird, das Fehlen eines weiteren Datenaustauschs bzw. einer Bestätigung durch die datenanfordernde Entität als ein impliziter Hinweis auf die Zugriffsgewährung interpretiert werden kann.
  • 3 zeigt ein Beispiel für Geräte mit relevanten Einheiten und Verbindungen zum Implementieren der Erfindung gemäß einer zweiten Ausführungsform, wobei Daten, die sich auf den Identitätsträger für diesen Zugriff beziehen und an die datenanfordernde Entität IRE übermittelt werden sollen, über zwei datenbereitstellende Entitäten IPE1, IPE2 verteilt sind. Gemäß dem vorliegenden Beispiel besteht die Identitätsträgerentität UE aus einer Empfangseinheit RU1, einer Sendeeinheit TU1, einer Verarbeitungseinheit PU1 und einem Datenlager DU1. Das Datenlager DU1 kann ähnlich wie zum Beispiel die ersten beiden Zeilen des in Tabelle B gezeigten Datenlagers organisiert sein. Die Identitätsträ gerentität UE kann eine Eingabe-Ausgabe-Einheit zum Eingeben bzw. Darstellen von Daten für den Identitätsträger umfassen. Diese Eingabe-Ausgabe-Einheit ist nicht gezeigt, weil die Eingabe- und Ausgabefunktionalität durch die Empfangseinheit RU1 bzw. die Sendeeinheit TU1 abgedeckt ist. Die Identitätsträgerentität UE kann eine Dienstanforderung in der Verarbeitungseinheit PU1 erzeugen und diese Dienstanforderung über die Verbindung C02 zu der Sendeeinheit TU1 senden, die die Anforderung über die Verbindung C05 an die Empfangseinheit RR1 der datenanfordernden Entität IRE weitersendet. Die Empfangseinheit RR1 sendet die Anforderung über die Verbindung C07 an ihre Verarbeitungseinheit PR1. Eine Anforderung nach Daten, die sich auf den Identitätsträger beziehen, zur Gewährung eines Zugriffs auf den angeforderten Dienst kann in der Verarbeitungseinheit PR1 erzeugt werden, die dann diese Anforderung über die Sendeeinheit TR1 zu der Empfangseinheit RU1 und der Verarbeitungseinheit PU1 über die Verbindungen C06, C04 und C03 senden kann.
  • Die Verarbeitungseinheit PU1 überprüft ihr Datenlager DU1 und erkennt, dass die Daten, die sich auf den Identitätsträger beziehen und von der datenanfordernden Entität IRE angefordert wurden, über die erste datenbereitstellende Entität IPE1 und die zweite datenbereitstellende Entität IPE2 verteilt sind, und erzeugt auf der Grundlage ihres Datenlagers DU1 ein erstes Ticket, das ein erstes verschlüsseltes Zugriffgewährungsticket für die erste datenbereitstellende Entität IPE1, das von einem ersten Identifikator der ersten datenbereitstellenden Entität IPE1 begleitet ist, umfasst, und ein zweites Ticket, das ein zweites verschlüsseltes Zugriffgewährungsticket für die zweite datenbereitstellende Entität IPE2, das von einem zweiten Identifikator der zweiten datenbereitstellenden Entität IPE2 begleitet ist, umfasst.
  • Das erste Zugriffgewährungsticket umfasst eine erste Zugriffsspezifikation für erste Daten, die sich auf den Identitätsträger beziehen und in der ersten datenbereitstellenden Entität IPE1 zur Verfügung stehen, und einen ersten Identitätsträgeridentifikator, der den Identitätsträger in der ersten datenbereitstellenden Entität IPE1 repräsentiert. Das erste Zugriffgewährungsticket ist mit einem ersten Verschlüsselungsschlüssel der ersten datenbereitstellenden Entität IPE1 verschlüsselt. Gleichermaßen umfasst das zweite Zugriffgewährungsticket eine zweite Zugriffsspezifikation für zweite Daten, die sich auf den Identitätsträger beziehen und in der zweiten datenbereitstellenden Entität IPE2 zur Verfügung stehen, und einen zweiten Identitätsträgeridentifikator, der den Identitätsträger in der zweiten datenbereitstellenden Entität IPE2 repräsentiert; und das zweite Zugriffgewährungsticket ist mit einem zweiten Verschlüsselungsschlüssel der zweiten datenbereitstellenden Entität IPE2 verschlüsselt.
  • Gemäß dem vorliegenden Beispiel werden das erste Ticket und das zweite Ticket von der Verarbeitungseinheit PU1 über die Sendeeinheit TU1 und die Empfangseinheit RR1 zu der Verarbeitungseinheit PR1 über die Verbindungen C02, C05 und C07 gesendet. Die Verarbeitungseinheit PR1 erzeugt eine erste Anforderung, die das erste Ticket umfasst, und eine zweite Anforderung, die das zweite Ticket umfasst. Alternativ kann die Verarbeitungseinheit wenigstens eine der beiden Anforderungen, die beide Tickets umfasst, erzeugen. In der Praxis kann es von Vorteil sein, die beiden empfangenen Tickets in beide Anforderungen einzubinden, wodurch der Verarbeitungsaufwand in der datenanfordernden Entität IRE verringert werden kann. Die datenbereitstellenden Entitäten IPE1, IPE2 können dafür geeignet sein, die ungültigen Tickets zu verwerfen, d. h. das zweite Ticket, das für die erste datenbereitstellende Entität IPE1 ungültig ist, und das erste Ticket, das für die zweite datenbereitstellende Entität IPE2 ungültig ist.
  • Von der Verarbeitungseinheit PR1 kann die erste Anforderung über die Sendeeinheit TR2 und über die Empfangseinheit RP1 zu der Verarbeitungseinheit PP1 der ersten datenbereitstellenden Entität IPE1 mittels der Verbindungen C08, C12 und C14 gesendet werden. Gleichermaßen kann das zweite Ticket über die Sendeeinheit TR3 und über die Empfangseinheit RP2 zu der Verarbeitungseinheit PP2 über die Verbindungen C10, C17 und C19 gesendet werden.
  • Für die Gewährung eines Zugriffs verarbeitet die Verarbeitungseinheit PP1 das erste Ticket gemäß der Erfindung und gewährt einen Zugriff auf die Daten, die sich auf den Identitätsträgeridentifikator beziehen, in dem Datenlager DP1 gemäß der ersten Zugriffsspezifikation. Für eine Leseerlaubnis kann die Verarbeitungseinheit PP1 die ersten Daten aus dem Datenlager DP1 über die Verbindung C16 erlangen und eine Meldung, welche die erlangten Daten enthält, über die Sendeeinheit TP1 und über die Empfangseinheit RR2 an die Verarbeitungseinheit PR1 über die Verbindungen C15, C13 und C09 senden. Gleichermaßen kann die Zugriffsgewährung für das zweite Ticket durch die Verarbeitungseinheit PP2 und das Datenlager DP2 und die Sendeeinheit TP2 und die Empfangseinheit RR3 und die Verbindungen C21, C20, C18 und C11 erreicht werden, was zum Senden der zweiten Daten aus der zweiten datenbereitstellenden Entität IPE2 zu der datenanfordernden Entität IRE führt.
  • Auf der Grundlage der bereitgestellten ersten und zweiten Daten, die sich auf den Identitätsträger beziehen, kann die datenanfordernde Entität IRE den Dienst ausführen, der von der Identitätsträgerentität UE angefordert wurde, zum Beispiel durch Verwenden der Sendeeinheit TR1 und der Empfangseinheit RU1 und der Verbindungen C06, C04 und C03 für einen Datenaustausch von der Verarbeitungseinheit PR1 zu der Verarbeitungseinheit PU1 und durch Verwenden der Sendeeinheit TU1 und der Empfangseinheit RR1 und der Ver bindungen C02, C05 und C07 zum Datenaustausch von der Verarbeitungseinheit PU1 zu der Verarbeitungseinheit PR1.
  • Das Beispiel für die Geräte und Verbindungen zum Implementieren des Verfahrens ist nur eines von vielen möglichen Beispielen. Zum Beispiel können mehr als zwei datenbereitstellende Entitäten für eine Zugriffsgewährung adressiert werden, indem mehr als zwei verschlüsselte Zugriffgewährungstickets erzeugt und übermittelt werden. Anstatt drei Sendeeinheiten TR1, TR2 und TR3 zu verwenden, ist es auch möglich, nur eine oder zwei Sendeeinheiten zu verwenden. Das gleiche gilt für die Empfangseinheiten RR1, RR2 und RR3. Die Sendeeinheiten TR1, TR2 und TR3 und die Empfangseinheiten RR1, RR2 und RR3 können in einer der in mehreren Empfangseinheiten integriert sein. Gleichermaßen können die Empfangseinheit RU1 und die Sendeeinheit TU1 in einer Sender-Empfänger-Einheit integriert sein, was auch für die jeweiligen Einheiten für die erste datenbereitstellende Entität IPE1 und die zweite datenbereitstellende Entität IPE2 gilt. Des Weiteren kann die datenanfordernde Entität IRE ein Datenlager zum Speichern zugegriffener Daten oder Tickets oder Teile davon umfassen. Zwei oder mehr der beteiligten Entitäten können, obgleich sie in 3 als separate Geräte dargestellt sind, auf einer gemeinsamen Plattform, zum Beispiel auf einem gemeinsamen Server, realisiert werden. Weitere Beispiele für die beteiligten Geräte sind die Identitätsträgerentität in Form eines Mobiltelefons oder eines Personalcomputers und die datenanfordernde Entität IRE in Form eines Servers eines Service-Providers im Internet und die datenbereitstellenden Entitäten IPE1, IPE2 in Form weiterer Server von weiteren Service-Providern oder Knoten in einem Kommunikationsnetz. Weitere Entitäten wie Router können zwischen einer Identitätsträgerentität, einer datenanfordernden Entität IRE und/oder datenbereitstellenden Entitäten angeordnet werden. Die Verbindungen können verdrahtet oder drahtlos oder Kombinationen davon sein. Eine Verbindung, die zum Senden einer Meldung von einer ersten Entität zu einer zweiten Entität in einer Richtung verwendet wird, kann identisch mit – oder verschieden von – einer Verbindung sein, die zum Senden einer Meldung von der zweiten Entität zu der ersten Entität verwendet wird. Eine Benutzerentität kann Tickets an mehrere datenanfordernden Entitäten senden.
  • Daten, die sich auf einen Identitätsträger beziehen, werden praktisch durch eine Vielzahl verschiedener Entitäten erfasst, gespeichert und verarbeitet. Die vorliegende Erfindung widmet sich diesen verteilten Aspekten und stellt eine Lösung für das Ermöglichen eines Zugriffs auf Daten die sich auf einen Identitätsträger beziehen, bereit, die über viele Entitäten verteilt sind. Überdies kann der Identitätsträger die Kontrolle behalten und kann anhand von Zugriffgewährungstickets entscheiden, wer auf welche Daten zugreifen darf und in welchem Umfang. Des Weiteren ist das erfindungsgemäße Verfahren in einer offenen Netzwerkumgebung dank der Verschlüsselung sicher. Das Verfahren bietet Vertraulichkeit, Privatsphäre und Sicherheit, wodurch die Akzeptanz des Verfahrens erhöht wird. Außerdem entspricht die durch den Identitätsträger ausgeübte Kontrolle den rechtlichen Vorgaben. Des Weiteren kann eine große Anzahl datenbereitstellender Entitäten verwendet werden, um einer datenanfordernden Entität einen Zugriff auf Daten, die sich auf den Identitätsträger beziehen, zu gewähren, weil der Identitätsträger auf keine datenbereitstellende Entität zuzugreifen braucht.

Claims (30)

  1. Verfahren zum Ermöglichen eines Zugriffs für eine datenanfordernde Entität (IRE) auf Daten, die mit einem Identitätsträger in Verbindung stehen, umfassend die folgenden Schritte: – Erzeugen eines Zugriffgewährungstickets, umfassend: (a) eine Zugriffsspezifikation, die eine Erlaubnis für einen Zugriff auf Daten, die mit dem Identitätsträger in Verbindung stehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität (IPE1) zur Verfügung stehen, (b) einen Identitätsträgeridentifikator, der den Identitätsträger gegenüber der datenbereitstellende Entität (IPE1) repräsentiert, – Verschlüsseln des Zugriffgewährungstickets mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1), – Übermitteln des verschlüsselten Zugriffgewährungstickets, das von einem Identifikator der datenbereitstellenden Entität (IPE1) begleitet ist, an die datenanfordernde Entität (IRE), – Übermitteln einer Anforderung, die das verschlüsselte Zugriffgewährungsticket umfasst, von der datenanfordernden Entität (IRE) an die datenbereitstellende Entität (IPE1), – Entschlüsseln des verschlüsselten Zugriffgewährungstickets mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1), der dem Verschlüsselungsschlüssel entspricht, – Ermöglichen eines Zugriffs auf Daten, die mit dem Identitätsträgeridentifikator in Verbindung stehen, für die datenanfordernde Entität (IRE) gemäß der Zugriffsspezifikation.
  2. Verfahren nach Anspruch 1, wobei das verschlüsselte Zugriffgewährungsticket Verifizierungsinformationen umfasst oder von Verifizierungsinformationen begleitet wird und der Zugriff auf der Grundlage einer Analyse der Verifizierungsinformationen gewährt wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Anforderung an die datenbereitstellende Entität (IPE1) eine Spezifikation für angeforderte Daten, die mit dem Identitätsträger in Verbindung stehen, umfasst und der Zugriff gemäß einer Übereinstimmung der Zugriffsspezifikation mit den angeforderten Daten gewährt wird.
  4. Verfahren nach einem der vorangehenden Ansprüche, wobei das Zugriffgewährungsticket auf der Grundlage eines Datenspeichers erzeugt wird, das wenigstens zwei Elemente einer Gruppe korreliert, die den Identifikator der datenbereitstellenden Entität (IPE1), die Daten, die mit dem Identitätsträger in Verbindung stehen und an der datenbereitstellenden Entität (IPE1) zur Verfügung stehen, den Identitätsträgeridentifikator, den Verschlüsselungsschlüssel und die Zugriffsspezifikation umfasst.
  5. Verfahren nach einem der vorangehenden Ansprüche, wobei eine Anzeige für die Zugriffsspezifikation in eine Identitätsträgerentität (UE) eingegeben wird, um das Zugriffgewährungsticket zu erzeugen.
  6. Verfahren nach einem der vorangehenden Ansprüche, wobei das Zugriffgewährungsticket des Weiteren Sicherheitsinformationen umfasst und der Zugriff anhand einer Analyse der Sicherheitsinformationen gewährt wird.
  7. Verfahren nach einem der vorangehenden Ansprüche, wobei das verschlüsselte Zugriffgewährungsticket von öffentlichen Informationen begleitet wird.
  8. Verfahren nach Anspruch 7, wobei die Anforderung an die datenbereitstellende Entität (IPE1) anhand einer Analyse der öffentlichen Informationen übermittelt wird.
  9. Verfahren nach Anspruch 7 oder 8, wobei sich die Entschlüsselung auf eine Analyse der öffentlichen Informationen stützt.
  10. Verfahren nach einem der vorangehenden Ansprüche, wobei die Daten, auf die der Zugriff gewährt wird, zu der datenanfordernden Entität (IRE) übermittelt werden.
  11. Verfahren nach einem der vorangehenden Ansprüche, wobei wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket für weitere Daten, die mit dem Identitätsträger in Verbindung stehen und an wenigstens einer weiteren datenbereitstellenden Entität (IPE2) zur Verfügung stehen, erzeugt und an die datenanfordernde Entität (IRE) übermittelt werden, um den Zugriff auf die weiteren identitätsträgerbezogenen Daten zu ermöglichen, die an der wenigstens einen weiteren datenbereitstellenden Entität (IPE2) zur Verfügung stehen, wobei das wenigstens eine weitere verschlüsselte Zugriffgewährungsticket von wenigstens einem weiteren Identifikator der wenigstens einen weiteren datenbereitstellenden Entität (IPE2) begleitet wird.
  12. Identitätsträgerentität (UE) zum Ermöglichen eines Zugriffs für eine datenanfordernde Entität (IRE) auf Daten, die mit einem Identitätsträger in Verbindung stehen, wobei die Identitätsträgerentität (UE) eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Verarbeitungseinheit dafür geeignet ist, ein Zugriffgewährungsticket zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die mit dem Identitätsträger in Verbindung stehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität (IPE1) zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität (IPE1) repräsentiert, das Zugriffgewährungsticket mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1) zu verschlüsseln und einen Identifikator der datenbereitstellenden Entität (IPE1) zu erhalten, und wobei die Sendeeinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket, das von dem Identifikator der datenbereitstellenden Entität (IPE1) begleitet wird, zu der datenanfordernden Entität (IRE) zu senden.
  13. Identitätsträgerentität (UE) nach Anspruch 12, wobei die Verarbeitungseinheit dafür geeignet ist, Verifizierungsinformationen in das Zugriffgewährungsticket einzubinden und/oder Verifizierungsinformationen an das verschlüsselte Zugriffgewährungsticket anzuhängen, und wobei die Sendeeinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket, das von den angehängten Verifizierungsinformationen begleitet wird, an die datenanfordernde Entität (IRE) zu senden.
  14. Identitätsträgerentität (UE) nach Anspruch 12 oder 13, wobei die Verarbeitungseinheit dafür geeignet ist, auf einen Datenspeicher zuzugreifen, der wenigstens zwei Elemente einer Gruppe korreliert, die den Identifikator der datenbereitstellenden Entität (IPE1), die Daten, die mit dem Identitätsträger in Verbindung stehen und die an der datenbereitstellenden Entität (IPE1) zur Verfügung stehen, den Identitätsträgeridentifikator, den Verschlüsselungsschlüssel und die Zugriffsspezifikation umfasst, und das Zugriffgewährungsticket auf der Grundlage des Datenspeichers zu erzeugen.
  15. Identitätsträgerentität (UE) nach einem der Ansprüche 12 bis 14, wobei die Verarbeitungseinheit dafür geeignet ist, das Zugriffgewährungsticket auf der Grundlage einer Anzeige für die Zugriffsspezifikation zu erzeugen, die in eine Eingabeeinheit der Identitätsträgerentität (UE) eingegeben ist.
  16. Identitätsträgerentität (UE) nach einem der Ansprüche 12 bis 15, wobei die Verarbeitungseinheit dafür geeignet ist, Sicherheitsinformationen in das Zugriffgewährungsticket einzubinden.
  17. Identitätsträgerentität (UE) nach einem der Ansprüche 12 bis 16, wobei die Verarbeitungseinheit dafür geeignet ist, öffentliche Informationen zu erhalten, und die Sendeeinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket, das von den öffentlichen Informationen begleitet wird, an die datenanfordernde Entität (IRE) zu senden.
  18. Identitätsträgerentität (UE) nach einem der Ansprüche 12 bis 17, wobei die Verarbeitungseinheit dafür geeignet ist, wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket für weitere Daten, die mit dem Identitätsträger in Verbindung stehen und an wenigstens einer weiteren datenbereitstellenden Entität (IPE2) zur Verfügung stehen, zu erzeugen, und die Sendeeinheit dafür geeignet ist, das weitere verschlüsselte Zugriffgewährungsticket, das von wenigstens einem weiteren Identifikator der wenigstens einen weiteren datenbereitstellenden Entität (IPE2) begleitet ist, an die datenanfordernde Entität (IRE) zu senden, um einen Zugriff auf die weiteren identitätsträgerbezogenen Daten zu ermöglichen, auf die an der wenigstens einen weiteren datenbereitstellenden Entität (IPE2) zugegriffen werden kann.
  19. Datenanfordernde Entität (IRE), die eine Empfangseinheit zum Empfangen von Meldungen und Informationen, eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Empfangseinheit dafür geeignet ist, ein erstes verschlüsseltes Zugriffgewährungsticket zu empfangen, um einen Zugriff auf erste Daten, die mit einem Identitätsträger in Verbindung stehen, zu ermöglichen, wobei diese ersten Daten in einer ersten datenbereitstellenden Entität (IPE1) zur Verfügung stehen, wobei das erste verschlüsselte Zugriffgewährungsticket von einem Identifikator der ersten datenbereitstellenden Entität (IPE1) begleitet ist, und ein weiteres verschlüsseltes Zugriffgewährungsticket zu empfangen, um einen Zugriff auf weitere Daten, die mit dem Identitätsträger in Verbindung stehen, zu ermöglichen, wobei die weiteren Daten an einer weiteren datenbereitstellenden Entität (IPE2) zur Verfügung stehen, wobei das weitere verschlüsselte Zugriffgewährungsticket von einem weiteren Identifikator der weiteren datenbereitstellenden Entität (IPE2) begleitet ist, wobei die Verarbeitungseinheit dafür geeignet ist, eine erste Anforderung zu erzeugen, die das erste verschlüsselte Zugriffgewährungsticket umfasst, und eine weitere Anforderung zu erzeugen, die das weitere verschlüsselte Zugriffgewährungsticket umfasst, und die Sendeeinheit dafür geeignet ist, die erste Anforderung an die erste datenbereitstellende Entität (IPE1) zu senden und die weitere Anforderung an die weitere datenbereitstellende Entität (IPE2) zu senden, und wobei die Empfangseinheit dafür geeignet ist, eine erste Anzeige für eine Gewährung eines Zugriffs auf die ersten Daten von der ersten datenbereitstellenden Entität (IPE1) zu empfangen und eine weitere Anzeige für eine Gewährung eines Zugriffs auf die weiteren Daten von der weiteren datenbereitstellenden Entität (IPE2) zu empfangen.
  20. Datenanfordernde Entität (IRE) nach Anspruch 19, wobei das erste verschlüsselte Zugriffgewährungsticket oder das weitere verschlüsselte Zugriffgewährungsticket oder beide von öffentlichen Informationen begleitet sind und die Verarbeitungseinheit dafür geeignet ist, die öffentlichen Informationen zu analysieren, bevor die erste Anforderung und/oder die weitere Anforderung erzeugt wird.
  21. Datenanfordernde Entität (IRE) nach Anspruch 19 oder 20, wobei die erste Anzeige die ersten Daten, die mit dem Identitätsträger in Verbindung stehen, umfasst und die weitere Anzeige die weiteren Daten, die mit dem Identitätsträger in Verbindung stehen, umfasst.
  22. Datenbereitstellende Entität {IPE1) zum Ermöglichen eines Zugriffs auf Daten, die mit einem Identitätsträger in Verbindung stehen, wobei die datenbereitstellende Entität (IPE1) eine Empfangseinheit zum Empfangen von Meldungen und Informationen, eine Sendeeinheit zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen umfasst, wobei die Empfangseinheit dafür geeignet ist, eine Anforderung von einer datenanfordernden Entität (IRE) zu empfangen, wobei die Anforderung ein Zugriffgewährungsticket umfasst, das mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1) verschlüsselt ist, wobei das Zugriffgewährungsticket eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die mit dem Identitätsträger in Verbindung stehen, spezifiziert, wobei diese Daten in der datenbereitstellenden Entität (IPE1) zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität (IPE1) repräsentiert, wobei die Verarbeitungseinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1), der dem Verschlüsselungsschlüssel entspricht, zu entschlüsseln und der datenanfordernden Entität (IRE) entsprechend der Zugriffsspezifikation Zugriff auf die Daten, die mit dem Identitätsträgeridentifikator in Verbindung stehen, zu gewähren.
  23. Datenbereitstellende Entität (IPE1) nach Anspruch 22, wobei das verschlüsselte Zugriffgewährungsticket Verifizierungsinformationen umfasst oder von Verifizierungsinformationen begleitet wird und die Verarbeitungseinheit dafür geeignet ist, auf der Grundlage einer Analyse der Verifizierungsinformationen einen Zugriff zu gewähren.
  24. Datenbereitstellende Entität (IPE1) nach Anspruch 22 oder 23, wobei die Anforderung eine Spezifikation für angeforderte Daten, die mit dem Identitätsträger in Verbindung stehen, umfasst und die Verarbeitungseinheit dafür geeignet ist, entsprechend einer Übereinstimmung der Zugriffsspezifikation und der angeforderten Daten einen Zugriff zu gewähren.
  25. Datenbereitstellende Entität (IPE1) nach einem der Ansprüche 22 bis 24, wobei das Zugriffgewährungsticket des Weiteren Sicherheitsinformationen umfasst und die Verarbeitungseinheit dafür geeignet ist, auf der Grundlage einer Analyse der Sicherheitsinformationen einen Zugriff zu gewähren.
  26. Datenbereitstellende Entität (IPE1) nach einem der Ansprüche 22 bis 25, wobei das verschlüsselte Zugriffgewährungsticket von öffentlichen Informationen begleitet ist und die Verarbeitungseinheit dafür geeignet ist, die Entschlüsselung auf der Grundlage einer Analyse der öffentlichen Informationen zu initiieren.
  27. Datenbereitstellende Entität (IPE1) nach einem der Ansprüche 22 bis 26, wobei die Sendeeinheit dafür geeignet ist, die Daten, auf die der Zugriff gewährt wird, an die datenanfordernde Entität (IRE) zu senden.
  28. Computerprogramm, das in die Verarbeitungseinheit einer Identitätsträgerentität (UE) geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, ein Zugriffgewährungsticket zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die mit einem Identitätsträger in Verbindung stehen, spezifiziert, wobei diese Daten in einer datenbereitstellenden Entität (IPE1) zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität (IPE1) repräsentiert, das Zugriffgewährungsticket mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1) zu verschlüsseln, einen Identifikator einer datenbereitstellenden Entität (IPE1) zu erhalten und ein Senden des verschlüsselten Zugriffgewährungstickets, das von dem Identifikator der datenbereitstellenden Entität (IPE1) begleitet ist, zu der datenanfordernden Entität (IRE) zu initiieren.
  29. Computerprogramm, das in die Verarbeitungseinheit einer datenanfordernden Entität (IRE) geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, ein erstes verschlüsseltes Zugriffgewährungsticket zu verarbeiten, um einen Zugriff auf erste Daten, die mit einem Identitätsträger in Verbindung stehen, zu ermöglichen, wobei diese ersten Daten in einer ersten datenbereitstellenden Entität (IPE1) zur Verfügung stehen, wobei das erste verschlüsselte Zugriffgewährungsticket von einem Identifikator der ersten datenbereitstellenden Entität (IPE1) begleitet ist, und ein weiteres verschlüsseltes Zugriffgewährungsticket zu verarbeiten, um einen Zugriff auf weitere Daten, die mit dem Identitätsträger in Verbindung stehen, zu ermöglichen, wobei die weiteren Daten an einer weiteren datenbereitstellenden Entität (IPE2) zur Verfügung stehen, wobei das weitere verschlüsselte Zugriffgewährungsticket von einem weiteren Identifikator der weiteren datenbereitstellenden Entität (IPE2) begleitet ist, eine erste Anforderung zu erzeugen, die das erste verschlüsselte Zugriffgewährungsticket umfasst, und eine weitere Anforderung zu erzeugen, die das weitere verschlüsselte Zugriffgewährungsticket umfasst, und ein Senden der ersten Anforderung an die erste datenbereitstellende Entität (IPE1) und der weiteren Anforderung an die weitere datenbereitstellende Entität (IPE2) zu initiieren, und eine erste Anzeige für eine Gewährung eines Zugriffs auf die ersten Daten von der ersten datenbereitstellenden Entität (IPE1) und eine weitere Anzeige für eine Gewährung eines Zugriffs auf die weiteren Daten von der weiteren datenbereitstellenden Entität (IPE2) zu verarbeiten.
  30. Computerprogramm, das in die Verarbeitungseinheit einer datenbereitstellenden Entität (IPE1) geladen werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet ist, eine Anforderung von einer datenanfordernden Entität (IRE) zu verarbeiten, wobei die Anforderung ein Zugriffgewährungsticket umfasst, das mit einem Verschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1) verschlüsselt ist, wobei das Zugriffgewährungsticket eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen Zugriff auf Daten, die mit einem Identitätsträger in Verbindung stehen, spezifiziert, wobei diese Daten in der datenbereitstellenden Entität (IPE1) zur Verfügung stehen, und einen Identitätsträgeridentifikator umfasst, der den Identitätsträger gegenüber der datenbereitstellenden Entität (IPE1) repräsentiert, das verschlüsselte Zugriffgewährungsticket mit einem Entschlüsselungsschlüssel der datenbereitstellenden Entität (IPE1), der dem Verschlüsselungsschlüssel entspricht, zu entschlüsseln und der datenanfordernden Entität (IRE) entsprechend der Zugriffsspezifikation Zugriff auf Daten, die mit dem Identitätsträgeridentifikator in Verbindung stehen, zu gewähren.
DE60309216T 2003-04-04 2003-04-04 Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs Expired - Lifetime DE60309216T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2003/003539 WO2004088947A1 (en) 2003-04-04 2003-04-04 Method for provision of access

Publications (2)

Publication Number Publication Date
DE60309216D1 DE60309216D1 (de) 2006-11-30
DE60309216T2 true DE60309216T2 (de) 2007-08-23

Family

ID=33104030

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60309216T Expired - Lifetime DE60309216T2 (de) 2003-04-04 2003-04-04 Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs

Country Status (11)

Country Link
US (1) US7958548B2 (de)
EP (1) EP1611725B8 (de)
JP (1) JP4607602B2 (de)
CN (1) CN1759585B (de)
AT (1) ATE343294T1 (de)
AU (1) AU2003227565A1 (de)
CA (1) CA2526237C (de)
DE (1) DE60309216T2 (de)
ES (1) ES2274229T3 (de)
MX (1) MXPA05010126A (de)
WO (1) WO2004088947A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1632091A4 (de) * 2003-05-12 2006-07-26 Gtech Corp Verfahren und system zur authentifizierung
US8095500B2 (en) 2003-06-13 2012-01-10 Brilliant Digital Entertainment, Inc. Methods and systems for searching content in distributed computing networks
US7729992B2 (en) * 2003-06-13 2010-06-01 Brilliant Digital Entertainment, Inc. Monitoring of computer-related resources and associated methods and systems for disbursing compensation
AU2003286146A1 (en) * 2003-10-31 2005-06-08 Telefonaktiebolaget Lm Ericsson (Publ) Method and devices for the control of the usage of content
WO2005106675A1 (en) * 2004-05-03 2005-11-10 Research In Motion Limited System and method for application authorization
US8220042B2 (en) * 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
US8347090B2 (en) * 2006-10-16 2013-01-01 Nokia Corporation Encryption of identifiers in a communication system
US8208900B2 (en) * 2008-03-04 2012-06-26 Apple Inc. Secure device configuration profiles
CN102237999B (zh) * 2010-04-23 2016-04-13 中兴通讯股份有限公司 消息处理方法及消息发送装置
CN103534702A (zh) * 2011-03-23 2014-01-22 日本电气株式会社 许可证发行装置和许可证发行方法
EP2560124A1 (de) * 2011-08-02 2013-02-20 Tata Consultancy Services Limited Zugangsrechteverwaltung in Systemen zur digitalen Rechteverwaltung von Unternehmen
US11334884B2 (en) * 2012-05-04 2022-05-17 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US8844026B2 (en) 2012-06-01 2014-09-23 Blackberry Limited System and method for controlling access to secure resources
JP2016520230A (ja) 2013-05-23 2016-07-11 インタートラスト テクノロジーズ コーポレイション 安全な承認システム及び方法
WO2015142339A1 (en) * 2014-03-20 2015-09-24 Hewlett-Packard Development Company, L.P. Storage system transactions
US10588019B2 (en) * 2016-05-05 2020-03-10 Qualcomm Incorporated Secure signaling before performing an authentication and key agreement
CN110084003B (zh) * 2018-01-26 2021-04-09 北大方正集团有限公司 一种基于中间件访问加密锁的方法和系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1179293C (zh) * 1997-11-07 2004-12-08 瑞士电信流动电话公司 确定人员真实性的方法、系统和装置
US6023510A (en) * 1997-12-24 2000-02-08 Philips Electronics North America Corporation Method of secure anonymous query by electronic messages transported via a public network and method of response
US6484258B1 (en) * 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
JP2001186122A (ja) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd 認証システム及び認証方法
JP2002082917A (ja) * 2000-07-04 2002-03-22 Sony Computer Entertainment Inc コンテンツ配信方法、コンテンツ配信サーバ及びコンテンツ配信インフラにおけるクライアント端末
US20020152393A1 (en) * 2001-01-09 2002-10-17 Johannes Thoma Secure extensible computing environment
SE518725C2 (sv) * 2001-03-16 2002-11-12 Smarttrust Systems Oy Förfarande och arrangemang i ett kommunikationssystem
JP2003016364A (ja) * 2001-07-04 2003-01-17 Jcb:Kk クレジットカード取引依頼装置、クレジット決済サーバ、クレジットカード取引依頼方法、コンピュータプログラム、及びicチップ

Also Published As

Publication number Publication date
DE60309216D1 (de) 2006-11-30
JP4607602B2 (ja) 2011-01-05
WO2004088947A1 (en) 2004-10-14
EP1611725B1 (de) 2006-10-18
ATE343294T1 (de) 2006-11-15
CN1759585B (zh) 2011-08-03
JP2006522374A (ja) 2006-09-28
EP1611725B8 (de) 2007-02-28
US7958548B2 (en) 2011-06-07
CN1759585A (zh) 2006-04-12
EP1611725A1 (de) 2006-01-04
CA2526237A1 (en) 2004-10-14
US20070067836A1 (en) 2007-03-22
AU2003227565A1 (en) 2004-10-25
ES2274229T3 (es) 2007-05-16
CA2526237C (en) 2012-10-23
MXPA05010126A (es) 2005-11-16

Similar Documents

Publication Publication Date Title
DE60309216T2 (de) Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE60315914T2 (de) Ad hoc Sicherheitszugriff auf Dokumente und Dienste
DE102008000067B4 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
DE102008042262B4 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
DE102013108714B3 (de) Unterstützung einer Entschlüsselung von verschlüsselten Daten
EP3031226B1 (de) Unterstützung der nutzung eines geheimen schlüssels
DE102008040416A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102010028133A1 (de) Verfahren zum Lesen eines Attributs aus einem ID-Token
EP2332313A2 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
EP3909221B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE102009001959A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE10221665A1 (de) Gesichertes wechselseitiges Legalisierungssystem
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
EP3114600B1 (de) Sicherheitssystem mit zugriffskontrolle
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
DE102014204344B4 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
WO2022200035A1 (de) Verfahren und vorrichtung zum erzeugen, bereitstellen und weitergeben eines vertrauenswürdigen elektronischen datensatzes oder zertifikates basierend auf einem einen nutzer betreffenden elektronischen dokument
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
DE102015001817B4 (de) Verfahren, Vorrichtungen und System zur Online-Datensicherung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition