-
Technisches
Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft Kommunikationssysteme und insbesondere
ein Verfahren zum Ermöglichen
eines Zugriffs für
eine datenanfordernde Entität
auf Daten, die sich auf einen Identitätsträger beziehen. Die Erfindung
betrifft außerdem
Geräte
und Computerprogramme.
-
Allgemeiner
Stand der Technik
-
In
Kommunikationssystemen können
benutzerbezogene Daten in vielen verschiedenen Entitäten gespeichert
werden, wie beispielsweise einem Mobiltelefon, einem Server eines
Service-Providers und einem Knoten eines Mobilfunkbetreibers.
-
Beispiele
für benutzerbezogene
Daten sind (i) persönliche
Informationen wie ein Name, ein Identifikator oder das Geburtsdatum
des Benutzers, (ii) Finanzinformationen wie eine Bankkontonummer,
eine Kreditkartennummer, eine Bonitätsgeschichte oder ein Bankkontostand,
(iii) Präferenzeninformationen
wie eine Auflistung von unlängst
gekauften Waren oder unlängst
besuchten Websites, Browser- und Mobiltelefoneinstellungen, und
(iv) persönliche
Kontextinformationen wie Informationen zum Standort oder zur Erreichbarkeit
des Benutzers.
-
Benutzerbezogene
Daten können
als Daten angesehen werden, die zu einer Identität eines Benutzers in einem
Kommunikationssystem gehören.
In diesem Sinne kann das Konzept von Benutzer und benutzerbezogenen
Daten auch auf andere Entitäten
ausgeweitet werden, die eine Identität in einem Kommunikationssystem
haben, beispielsweise ein Gerät,
das eine Geräteidentität wie einen
Identifikationscode aufweist und dessen gerätebezogene Daten an irgend
einem Ort gespeichert sind. Die gerätebezogenen Daten können zusammen
mit der Identität
des Gerätes
in einer Entität
eines Kommunikationssystems gespeichert werden, beispielsweise ein
geheimer Zugriffscode, der zusammen mit einem Identifikationscode
gespeichert wird.
-
Zum
Beschreiben einer Entität
mit einer Identität
in einem Kommunikationssystem wird der Begriff "Identitätsträger" verwendet. Ein Identitätsträger ist
eine Gruppe aus einer oder mehreren miteinander verbundenen Identitäten einer
Entität
in einem Kommunikationssystem. Ein Identitätsträger kann zum Beispiel eine Person
darstellen, manchmal auch als Benutzer bezeichnet, oder ein Gerät, wie oben
erläutert.
Ein Benutzer kann durch einen oder mehrere Identitätsträger dargestellt
werden, und ein oder mehrere Benutzer können einen Identitätsträger gemeinsam
nutzen. Somit können
Daten, die sich auf einen Identitätsträger beziehen, oder Identitätsträgerdaten,
als Informationen angesehen werden, die sich auf eine Identität des Identitätsträgers beziehen.
Ein Identitätsträgeridentifikator
kann die Identität
des Identitätsträgers an
einer Entität
anzeigen.
-
Identitätsträgerbezogene
Daten können
durch viele Datenlager erfasst und verarbeitet werden, die durch
verschiedene Entitäten
betrieben werden können.
Somit können
identitätsträgerbezogene
Daten über viele
Entitäten
verteilt, d. h. verbreitet, werden, und Zugriff auf, Austausch von
und Speicherung von Identitätsträgerdaten
können
ohne Wissen des Identitätsträgers oder
Kontrolle durch den Identitätsträger erfolgen,
was vom Standpunkt der Datensicherheit aus ein Nachteil ist.
-
Laut
H. Zandbelt, B. Hulsebosch, H. Eertink, "IDsec: Virtual Identity on the Internet", Internet Engineering
Task Force, Internet Draft draft-zandbelt-idsec-01.txt, Mai 2002,
kann ein Profilmanager verwendet werden, um einem Profilanforderer
Zugriff auf Attribute eines Profils, d. h. auf einen Datensatz,
zu gewähren,
der Informationen über einen
bestimmten Profileigner enthält,
die durch den Profilmanager gespeichert wurden.
-
Zum
Gewähren
des Zugriffs präsentiert
der Profilanforderer dem Profilabrufdienst des Profilmanagers ein
Sitzungszertifikat, das durch den Profileigner zur Verfügung gestellt
wurde, zusammen mit einem Profilanforderer-Zertifikat, das dem Profilanforderer
gehört.
Das Profilanforderer-Zertifikat gibt die angeforderten Attribute
des Profils des Profileigners an.
-
Das
Sitzungszertifikat wird dem Profileigner zur Verfügung gestellt,
wenn er sich mit profilmanagerspezifischen Ausweisdaten in einen
Sitzungseinloggdienst des Profilmanagers einloggt. Das Sitzungszertifikat
besteht aus einem Profilmanagerstandort, d. h. einem Hinweis auf
den Profilabrufdienst, einem Sitzungsidentifikator, der eindeutig
die Sitzung identifiziert, in die der Profileigner eingeloggt ist,
und einer Profilmanagersignatur, die für eine Verifizierung der Integrität der Daten
in dem Sitzungszertifikat durch den Profilmanager verwendet wird,
wenn das Sitzungszertifikat durch den Profilanforderer zum Profilabruf
präsentiert
wird. Des Weiteren enthält
das Sitzungszertifikat einen durch den Profileigner erzeugten öffentlichen
Schlüssel
zum Leiten von Informationen von dem Profilanforderer zu dem Profileigner
in einer sicheren Weise, und es enthält ein Ablaufdatum, das die
Wiederverwendung des Zertifikats nach einem bestimmten Stichtag
verhindert.
-
Wenn
der Profilmanager die Anforderung von dem Profilanforderer empfängt, so
verifiziert der Profilabrufdienst das Sitzungszertifikat und verwendet
den Sitzungsidentifikator zum Auffinden des Profileigners, der der
Sitzung zugeordnet ist. Des Weiteren verifiziert der Profilmanager
das Profilanforderer-Zertifikat anhand vertrauenswürdiger Zertifikate,
die durch den Profileigner gespeichert wurden.
-
Im
Profilmanager ist eine Zugriffskontrollliste für jedes Attribut des Profils
der Profileigners gespeichert, womit spezifiziert wird, welche Profilanforderer
für ein
jeweiliges Attribut einen Lese-Zugriff haben. Anhand der Anfordererverifizierung
und der Zugriffskontrollliste wird ein anfordererspezifisches Profil
erstellt, indem die Zugriffskontrollliste für jedes Attribut des Anforderer-Zertifikats
interpretiert wird. In Reaktion darauf werden die Attribute des
anfordererspezifischen Profils, die im XML-Format codiert sind,
zu dem Anforderer gesandt.
-
Die
Lösung
nach Zandbelt und Mitarbeiter erfordert einen Profilmanager, auf
den während
einer Sitzung sowohl durch den Profileigner als auch durch den Anfordernden
zugegriffen wird, um dem Anforderer die identitätsträgerbezogenen Daten zu übergeben.
Allerdings berücksichtigt
die Lösung
nach Zandbelt und Mitarbeiter nicht die Tatsache, dass Identitätsträgerdaten
bereits über
viele Entitäten
verteilt sind, auf die der Identitätsträger in der Regel nicht zugreifen
kann. Somit ist eine Identitätsträgerdaten
enthaltende Entität,
auf die der Identitätsträger nicht
zugreifen kann, von der Übermittlung
von Identitätsträgerdaten
an den Anforderer ausgeschlossen. Des Weiteren ist die Lösung nach
Zandbelt und Mitarbeiter auf eine Sitzung beschränkt. D. h. das Abrufen von
Profil-Attributen außerhalb
von Sitzungen ist nicht möglich.
Des Weiteren können,
weil nur ein einziger Profilmanager je Sitzung verwendet werden
kann, profileignerbezogene Daten, die über mehrere Profilmanager verteilt
sind, nicht an den Anforderer in einer Sitzung übermittelt werden. Das Speichern
aller Identitätsträgerdaten
in einer einzigen Entität
ist allerdings vom Sicherheitsstandpunkt aus gesehen fragwürdig. Außerdem erhöht das Speichern
aller Identitätsträgerdaten
oder eines großen
Teils der Identitätsträgerdaten
in einer einzigen Entität
die Speicherkapazität,
die zum Speichern der Identitätsträgerdaten
benötigt
wird. Des Weiteren müssen
viele Identitätsträgerdaten,
wie der Standort eines Identitätsträgers, aktualisiert
werden. Jedoch erfordert das Übertragen
von Daten, die aktualisiert werden müssen, zu einem Profilmanager
Zeichengabe- und Verarbeitungsaufwand sowohl in der Entität, die den
Profilmanager enthält,
als auch in der Entität, wo
die aktualisierten Daten erzeugt werden. Überdies kann das Verwenden
einer Zugriffskontrollliste, die in dem Profilmanager gespeichert
ist, unflexibel und komplex sein.
-
Kurzdarstellung
der Erfindung
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren, Geräte und Computerprogramme
bereitzustellen, womit die oben angesprochenen Probleme überwunden
werden und womit ein verbesserter Zugriff für eine datenanfordernde Entität auf Daten,
die sich auf einen Identitätsträger beziehen,
möglich
ist.
-
Diese
Aufgabe wird durch das Verfahren nach Anspruch 1 erfüllt. Des
Weiteren ist die Erfindung in einer Identitätsträgerentität nach Anspruch 12, einer datenanfordernden
Entität
nach Anspruch 19, einer datenbereitstellenden Entität nach Anspruch
22, einem Computerprogramm, das in eine Verarbeitungseinheit einer Identitätsträgerentität geladen
werden kann, nach Anspruch 28, einem Computerprogramm, das in eine
Verarbeitungseinheit einer datenanfordernden Entität geladen
werden kann, nach Anspruch 29 und einem Computerprogramm, das in
eine Verarbeitungseinheit einer datenbereitstellenden Entität geladen
werden kann, nach Anspruch 30 verkörpert. Vorteilhafte Ausführungsformen
sind in den weiteren Ansprüchen
verkörpert.
-
Die
vorliegende Erfindung offenbart ein Verfahren zum Ermöglichen
eines Zugriffs für
eine datenanfordernde Entität
auf Daten, die sich auf einen Identitätsträger beziehen. Das Verfahren
umfasst die folgenden Schritte:
Zuerst wird ein Zugriffgewährungsticket
erzeugt. Das Zugriffgewährungsticket
kann zum Beispiel vor einer – oder
in Reaktion auf eine – Anforderung,
die von der datenanfordernden Entität kommt, erzeugt werden. Das Zugriffgewährungsticket
umfasst eine Zugriffsspezifikation und einen Identitätsträgeridentifikator.
Die Zugriffsspezifikation spezifiziert eine Erlaubnis für einen
Zugriff auf Daten, die sich auf den Identitätsträger beziehen. Diese Daten stehen
an einer datenbereitstellenden Entität zur Verfügung. "Zur Verfügung stehen" bedeutet nicht unbedingt, dass die
Daten, die sich auf den Identitätsträger beziehen,
in der datenbereitstellenden Entität vorhanden sind. Zum Beispiel
können
die zur Verfügung
stehenden Daten von einer anderen Entität zu der datenbereitstellenden
Entität übermittelt
werden. Der Identitätsträgeridentifikator
repräsentiert
den Identitätsträger gegenüber der
datenbereitstellenden Entität.
-
Ein
Beispiel für
eine Zugriffsspezifikation ist eine Liste, die angibt, auf welche
Daten, die sich auf den Identitätsträgeridentifikator
in der datenbereitstellenden Entität beziehen, zugegriffen werden
darf und auf welche nicht. Die Erlaubnis für den Zugriff kann zum Beispiel
wenigstens eine Erlaubnis aus der Gruppe sein, die eine Erlaubnis
zum Lesen, Schreiben, Ändern,
Anhängen,
Erzeugen, Löschen
usw. umfasst, wobei die Erlaubnis zum Beispiel positiv – d. h.
der Zugriff ist erlaubt – oder
negativ – d.
h. der Zugriff ist nicht erlaubt – sein kann. Beispiele für einen
Identitätsträgeridentifikator
sind der echte Name des Identitätsträgers, der
zum Beispiel ein Benutzer ist, ein Pseudonym, unter dem der Identitätsträger in der
datenbereitstellenden Entität
bekannt ist, eine digitale Signatur des Identitätsträgers, ein Geheimcode, den nur
der Identitätsträger und
die datenbereitstellende Entität
kennen, oder Kombinationen davon.
-
Das
Zugriffgewährungsticket
ist mit einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
verschlüsselt.
Die Verschlüsselung
mit einem öffentlichen
Schlüssel
oder einem geheimen Schlüssel
verhindert, dass eine andere Entität, die nicht im Besitz des
entsprechenden Entschlüsselungsschlüssels ist,
Zugriff auf den Inhalt des Zugriffgewährungstickets erhalten kann,
wodurch Vertraulichkeit, Integrität und Privatsphäre der verschlüsselten
Daten gewährleistet
werden.
-
In
einem nächsten
Schritt wird das verschlüsselte
Zugriffgewährungsticket
zu der datenanfordernden Entität übermittelt.
Das verschlüsselte
Zugriffgewährungsticket
wird von einem Identifikator, wie einer Adresse oder einem Namen
der datenbereitstellenden Entität,
begleitet.
-
Der
Schritt des Erzeugens, des Verschlüsselns und/oder des Übermittelns
kann zum Beispiel durch eine Identitätsträgerentität ausgeführt werden. Der Schritt des
Erzeugens und/oder des Verschlüsselns und/oder
des Übermittelns
kann im Namen des Identitätsträgers in
einer oder mehreren weiteren Entitäten ausgeführt werden, die einen Erzeugungs-Verschlüsselungs-
und/oder Kommunikationsdienst anbieten. Das Erzeugen, Verschlüsseln und/oder Übermitteln
oder Teile diese Schritte kann durch eine Anforderung von Daten,
die sich auf einen Identitätsträger beziehen,
ausgelöst
werden. Alternativ kann ein verschlüsseltes Zugriffgewährungsticket
an die datenanfordernde Entität
auch ohne eine ausdrückliche
Anforderung von Identitätsträgerdaten übermittelt
werden.
-
Anhand
des Identifikators der datenbereitstellenden Entität übermittelt
die datenanfordernde Entität eine
Anforderung an die datenbereitstellende Entität. Die Anforderung umfasst
das verschlüsselte
Zugriffgewährungsticket.
-
Das
verschlüsselte
Zugriffgewährungsticket
wird mit einem Entschlüsselungsschlüssel der
datenbereitstellenden Entität,
welcher dem Verschlüsselungsschlüssel entspricht,
entschlüsselt.
Die Entschlüsselung kann
zum Beispiel durch die datenbereitstellende Entität ausgeführt werden
oder kann im Namen der datenbereitstellenden Entität in einer
anderen Entität
ausgeführt
werden, die einen Entschlüsselungsdienst
anbietet.
-
Der
Zugriff wird der datenanfordernden Entität auf Daten, die sich auf den
Identitätsträgeridentifikator beziehen,
entsprechend der Zugriffsspezifikation gewährt.
-
Das
Verfahren ermöglicht
einen verbesserten Zugriff für
eine datenanfordernde Entität
auf Daten, die sich auf einen Identitätsträger beziehen. Das Verfahren
arbeitet mit einem Zugriffgewährungsticket,
das an die datenanfordernde Entität gesendet wird. Die datenanfordernde
Entität übermittelt
das Zugriffgewährungsticket an
die datenbereitstellende Entität.
Darum braucht ein Identitätsträger keinen
Zugriff auf die datenbereitstellende Entität zu haben, um einer datenanfordernden
Entität
Zugriff auf die Daten zu gewähren,
die sich auf einen Identitätsträger beziehen.
Außerdem
braucht durch die Verwendung einer Zugriffsspezifikation in dem Zugriffgewährungsticket
keine Zugriffskontrollliste mehr in der datenbereitstellenden Entität gespeichert
zu werden, was von Vorteil sein kann, weil – gemäß der vorliegenden Erfindung – zum Spezifizieren
einer Zugriffsspezifikation ein Zugriff der datenbereitstellenden
Entität
nicht mehr erforderlich ist, wodurch sich die Zahl der möglichen
datenbereitstellenden Entitäten
erhöht.
Des Weiteren kann die Zugriffsspezifikation für eine anfordernde Entität weniger
komplex sein als eine Zugriffskontrollliste für alle möglichen datenanfordernden Entitäten. Außerdem muss,
wenn eine neue anfordernde Entität
der Zugriff auf Daten, die sich auf einen Identitätsträger beziehen,
gewährt
werden soll, ein neuer Eintrag in der Zugriffskontrollliste im Profilmanager
für die neue
anfordernde Entität
vorgenommen werden, was gemäß der vorliegenden
Erfindung nicht erforderlich ist. Statt dessen kann eine bereits
existierende Zugriffsspezifikation für eine erste datenanfordernde
Entität
in unveränderter
oder in veränderter
Form in dem Zugriffgewährungsticket
wiederverwendet werden. Ähnliches
gilt für
das Aktualisieren von Zugriffsspezifikationen. Des Weiteren ist
das Verfahren gemäß der vorliegenden
Erfindung nicht auf einen einzelnen Profilmanager in einer einzelnen
Sitzung beschränkt,
und der Zugriff auf Daten, die sich auf den Identitätsträger beziehen,
kann von jeder Art von datenbereitstellender Entität aus erfolgen,
auf die die datenanfordernde Entität zugreifen kann und die den
Zugriff zu den Daten entsprechend dem entschlüsselten Zugriffgewährungsticket
gewähren
kann. Da Zugriffgewährungstickets
an jede Art von datenbereitstellender Entität gerichtet werden können, kann
eine Zentralisierung von Daten, die sich auf einen Identitätsträger beziehen,
vermieden werden, wodurch der Verarbeitungs- und Zeichengabeaufwand
verringert wird und die Ermöglichung
eines Zugriffs auf Daten unterstützt
wird, die häufig
aktualisiert werden. Weil die datenanfordernde Entität in der
Regel nicht den privaten oder geheimen Entschlüsselungsschlüssel der
datenbereitstellenden Entität
besitzt, werden außerdem
Vertraulichkeit, Integrität
und Privatsphäre
der verschlüsselten
Daten in der datenanfordernden Entität gewährleistet.
-
Gemäß einer
bevorzugten Ausführungsform
umfasst das verschlüsselte
Zugriffgewährungsticket
Verifizierungsinformationen, oder wird von Verifizierungsinformationen
begleitet, und der Zugriff wird auf der Grundlage einer Analyse
der Verifizierungsinformationen gewährt. Die Verifizierungsinformationen
können
Informationen sein, die zum Beispiel der datenbereitstellenden Entität beweisen,
dass die datenanfordernde Entität
zum Datenzugriff befugt ist. Beispiele für Verifizierungsinformationen
zum Verifizieren der datenanfordernden Entität sind ein Identifikator wie ein
Name oder ein Pseudonym oder ein Identifikator der datenanfordernden
Entität
in dem verschlüsselten
Zugriffgewährungsticket,
anhand dessen die datenbereitstellende Entität verifizieren kann, ob die
Entität,
von der das verschlüsselte
Zugriffgewährungsticket
vorlegt wird, mit dem Identifikator in dem verschlüsselten
Zugriffgewährungsticket übereinstimmt.
Ein weiteres Beispiel für
Verifizierungsinformationen für
die datenanfordernde Entität
ist eine digitale Signatur der datenanfordernden Entität. Verifizierungsinformationen
zum Verifizieren des Identitätsträgers, wie
ein gemeinsam genutzter Geheimcode oder ein Pseudonym oder ein Identifikator
oder eine digitale Signatur des Identitätsträgers, sind ein weiteres Beispiel
für Verifizierungsinformationen.
Die Verifizierungsinformationen können gehasht werden, und die
Verifizierungsinformationen können
zum Beispiel in Klartext an das verschlüsselte Zugriffgewährungsticket,
das den Hash-Wert zur Verifizierung umfasst, angehängt werden.
Auf der Grundlage des Ergebnisses der Verifizierung kann der Zugriff
gewährt
oder verweigert oder eingeschränkt
werden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
umfasst die Anforderung an die datenbereitstellende Entität eine Spezifikation
für angeforderte
Daten, die sich auf einen Identitätsträger beziehen, und der Zugriff
wird entsprechend einer Übereinstimmung
der Zugriffsspezifikation mit den angeforderten Daten gewährt. Diese
Vorgehensweise erhöht
die Flexibilität
des Verfahren, weil die datenanfordernde Entität ein Ticket erhalten kann,
ohne ausdrücklich
zu wissen, welche Zugriffserlaubnisse in der Zugriffsspezifikation
spezifiziert sind, und abfragen könnte, ob die angeforderten
Daten mit den Daten, die durch die Zugriffsspezifikation spezifiziert
sind, identisch oder von ihnen verschieden sind. Eine Übereinstimmungsanalyse
der angeforderten Daten und der Daten, die in der Zugriffsspezifikation
spezifiziert sind, erhöht
die Sicherheit des Verfahrens, weil die datenbereitstellende Entität ihre Entschei dung
bezüglich
der Zugriffgewährung
in Abhängigkeit
von der Übereinstimmung
treffen kann. Zum Beispiel wird für die angeforderten Daten,
die mit den Daten, die in der Zugriffsspezifikation spezifiziert
sind, identisch sind, der Zugriff gewährt. Im Fall einer Nichtübereinstimmung kann
die datenbereitstellende Entität
zum Beispiel den Zugriff ganz und gar verweigern oder kann den Zugriff für den Teil
der angeforderten Daten und den Teil der Daten gemäß dem Zugriffgewährungsticket,
die nicht übereinstimmen,
verweigern. Es sind noch weitere Aktionen, die sich aus einer Übereinstimmungsanalyse
ergeben, möglich.
Somit kann die Übereinstimmungsanalyse
gewährleisten,
dass kein Zugriff auf Daten gewährt wird,
auf die laut dem Zugriffgewährungsticket
zugegriffen werden darf, die aber nicht angefordert wurden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
kann das Zugriffgewährungsticket
auf der Grundlage eines Datenlagers erzeugt werden, das wenigstens
zwei Elemente einer Gruppe korreliert, die den Identifikator der
datenbereitstellenden Entität,
die Daten, die sich auf einen Identitätsträger beziehen und die an der
datenbereitstellenden Entität
zur Verfügung
stehen, den Identitätsträgeridentifikator,
den Verschlüsselungsschlüssel und
die Zugriffsspezifikation umfasst. Die Verwendung des Datenlagers
ist bevorzugt, weil es die Erzeugung des Zugriffgewährungstickets
erleichtert, weil sich andernfalls zum Beispiel der Identitätsträger alle
oder einige Teile oder ihre Korrelationen merken muss, die für die Erzeugung
eines verschlüsselten
Zugriffgewährungstickets
benötigt
werden. Das Datenlager kann zum Beispiel in der Identitätsträgerentität vorhanden
sein. Die Verwendung korrelierter Zugriffsspezifikationen kann vorteilhaft
sein, wenn vorgegebene Zugriffsspezifikationen verwendet werden,
die in das Zugriffgewährungsticket
in unveränderter
oder veränderter Form
integriert werden könnten.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
wird ein Zeichen für
die Zugriffsspezifikation durch den Identitätsträger in eine Identitätsträgerentität eingegeben,
um das Zugriffgewährungsticket
zu erzeugen. Es kann ausdrücklich
eine Zugriffsspezifikation durch den Identitätsträger spezifiziert werden, indem
die gewünschte
Erlaubnis für
bestimmte Daten in das Gerät
des Identitätsträgers eingegeben
wird. Diese Vorgehensweise kann von Vorteil sein, wenn nur sehr
wenige Daten, die sich auf einen Identitätsträger beziehen, für den Zugriff
freigegeben werden, und/oder für
unkomplexe Zugriffsspezifikationen, zum Beispiel eine Lese-Erlaubnis für den momentanen
Standort des Identitätsträgers. Ein
Zeichen für
eine Zugriffsspezifikation kann eine Auswahl mit oder ohne Änderung
einer vorgegebenen Zugriffsspezifikation sein, zum Beispiel aus
einer Gruppe vorgegebener Zugriffsspezifikationen. Ein Zeichen kann
eine Bestätigung
einer vorgegebenen Zugriffsspezifikation sein.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
umfasst das Zugriffgewährungsticket
des Weiteren Sicherheitsinformationen, und der Zugriff wird anhand
einer Analyse der Sicherheitsinformationen gewährt. Das Einbinden von Sicherheitsinformationen
in das Zugriffgewährungsticket
und das Analysieren der eingebundenen Sicherheitsinformationen für die Ermöglichung
des Zugriffs erhöht
die Sicherheit des Verfahrens. Beispiele für Sicherheitsinformationen
sind ein Gültigkeitsdauerindikator,
der einen Gültigkeitszeitraum für das Zugriffgewährungsticket
angibt, oder eine laufende Nummer. Es können noch weitere Sicherheitsdaten wie
Zufallsdaten, mitunter als "Nonce" bezeichnet, integriert
werden, um das Risiko einer Kryptoanalyse durch einen Angreifer
zu verringern. Das Vorhandensein der "Nonce" kann für eine Zugriffgewährung analysiert
werden oder kann unberücksichtigt
bleiben.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
wird das verschlüsselte
Zugriffgewährungsticket von öffentlichen Informationen
begleitet. Beispiele für öffentliche
Informationen sind der teilweise oder komplette Inhalt des verschlüsselten
Zugriffgewährungstickets,
wie die Zugriffsspezifikation oder Teile von ihr, Sicherheitsinformationen
wie ein Gültigkeitsdauerindikator,
oder Verifizierungsinformationen wie ein Name der datenanfordernden
Entität
oder Kombinationen davon. Die öffentlichen
Informationen können
durch jede der beteiligten Parteien analysiert werden, und Entscheidungen
für ein
weiteres Vorgehen können
getroffen anhand der Analyse der öffentlichen Informationen werden,
was zum Beispiel zu einer frühen
Zurückweisung
des verschlüsselten
Zugriffgewährungstickets
führt,
wenn die Analyse der öffentlichen
Informationen offenbart, dass das verschlüsselte Zugriffgewährungsticket
zum Beispiel ungültig
ist, was Verarbeitungsleistung und -zeit oder Kommunikationsaufwand
einsparen kann.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
kann die Anforderung an die datenbereitstellende Entität anhand
einer Analyse der öffentlichen
Informationen übermittelt
werden. Wenn zum Beispiel ein Gültigkeitsdauerindikator
in den öffentlichen
Informationen offenbart, dass das Ticket nicht mehr gültig ist,
so kann die Anforderung an die datenbereitstellende Entität übersprungen
werden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
stützt
sich die Ausführung
der Entschlüsselung des
verschlüsselten
Zugriffgewährungstickets
auf eine Analyse der öffentlichen
Informationen. Wenn eine Analyse der öffentlichen Informationen offenbart,
dass das Zugriffgewährungsticket
nicht länger
gültig
ist, weil zum Beispiel ein Gültigkeitszeitraum
verstrichen ist oder die datenanfordernde Entität nicht befugt ist, die Daten
anzufordern, oder der Zugriff gemäß der Zugriffsspezifikation
nicht mit den angeforderten Daten übereinstimmt, die von der datenanfordernden
Entität
angefordert wurden, so braucht gleichermaßen die Entschlüsselung
nicht ausgeführt
zu werden. Das ist vorteilhaft, weil eine Entschlüsselung
Verarbeitungsleistung in Anspruch nimmt, die man in dem Fall einsparen
kann, dass ungültige
verschlüsselte
Zugriffgewährungstickets durch
eine Analyse der öffentlichen
Informationen aussortiert werden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
können
die Daten, auf die der Zugriff gewährt wird, zu der datenanfordernden
Entität übermittelt
werden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
wird wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket
für weitere
Daten, die sich auf den Identitätsträger beziehen
und an wenigstens einer weiteren datenbereitstellenden Entität zur Verfügung stehen,
erzeugt und an die datenanfordernde Entität übermittelt, um den Zugriff
auf die weiteren identitätsträgerbezogenen
Daten zu ermöglichen,
die an der wenigstens einen weiteren datenbereitstellenden Entität zur Verfügung stehen.
Das übermittelte
wenigstens eine weitere verschlüsselte
Zugriffgewährungsticket
wird von wenigstens einem weiteren Identifikator der wenigstens
einen weiteren datenbereitstellenden Entität begleitet. Die Erzeugung
weiterer Zugriffgewährungstickets ist
vorteilhaft, wenn nicht alle Identitätsträgerdaten für diesen Zugriff, die an die
anfordernde Entität
zu übermitteln
sind, in einer einzelnen Datenverarbeitungsentität zur Verfügung stehen. An die datenanfordernde
Entität
können
Zugriffgewährungstickets übermittelt
werden, die jeweils mit dem Verschlüsselungsschlüssel der entsprechenden
datenbereitstellenden Entität
verschlüsselt
sind, wobei jedes verschlüsselte
Zugriffgewährungsticket
von einem Identifikator der entsprechenden datenbereitstellenden
Entität
begleitet wird. Der jeweilige Identitätsträgeridentifikator, der in dem
jeweiligen Zugriffgewährungsticket
enthalten ist, kann für
die jeweilige datenbereitstellende Entität spezifisch sein. Auf der
Grundlage der mehreren verschlüsselten
Tickets und der begleitenden entsprechenden Identifikatoren kann
die datenanfordernde Entität
so meh rere Anforderungen an die datenbereitstellenden Entitäten übermitteln,
um einen Zugriff an mehreren datenbereitstellenden Entitäten zu ermöglichen.
Diese Ausführungsform
unterstützt
die gleichzeitige Ermöglichung
eines Zugriffs auf Daten, die sich auf einen Identitätsträger beziehen
und über
mehrere datenbereitstellende Entitäten verteilt sind.
-
Die
vorliegende Erfindung betrifft des Weiteren Geräte zum Implementieren des oben
beschriebenen Verfahrens.
-
Bereitgestellt
wird eine Identitätsträgerentität zum Ermöglichen
eines Zugriffs für
eine datenanfordernde Entität
auf Daten, die sich auf einen Identitätsträger beziehen, wobei die Identitätsträgerentität eine Sendeeinheit
zum Senden von Meldungen und Informationen und eine Verarbeitungseinheit
zum Verarbeiten von Meldungen und Informationen umfasst, wobei die
Verarbeitungseinheit dafür
geeignet ist, ein Zugriffgewährungsticket
zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis
für einen
Zugriff auf Daten, die sich auf einen Identitätsträger beziehen, spezifiziert,
wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen,
und einen Identitätsträgeridentifikator
umfasst, der den Identitätsträger gegenüber der
datenbereitstellenden Entität
repräsentiert,
das Zugriffgewährungsticket
mit einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
zu verschlüsseln
und einen Identifikator der datenbereitstellenden Entität zu erhalten,
und wobei die Sendeeinheit dafür
geeignet ist, das verschlüsselte
Zugriffgewährungsticket, das
von dem Identifikator der datenbereitstellenden Entität begleitet
wird, zu der datenanfordernden Entität zu senden.
-
Gemäß einer
bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, Verifizierungsinformationen in das Zugriffgewährungsticket
einzubinden und/oder Verifizierungsinformationen an das verschlüsselte Zugriffgewährungsticket
anzuhängen,
und wobei die Sendeeinheit dafür geeignet
ist, das verschlüsselte
Zugriffgewährungsticket,
das von den angehängten
Verifizierungsinformationen begleitet wird, an die datenanfordernde
Entität
zu senden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, auf ein Datenlager zuzugreifen, das wenigstens zwei Elemente
einer Gruppe korreliert, die den Identifikator der datenbereitstellenden
Entität,
die Daten, die sich auf den Identitätsträger beziehen und die an der
datenbereitstellenden Entität
zur Verfügung
stehen, den Identitätsträgeridentifikator,
den Verschlüsselungsschlüssel und
die Zugriffsspezifikation umfasst, und das Zugriffgewährungsticket
auf der Grundlage des Datenlagers zu erzeugen.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, das Zugriffgewährungsticket
auf der Grundlage eines Zeichens für die Zugriffsspezifikation
zu erzeugen, das in eine Eingabeeinheit der Identitätsträgerentität eingegeben
ist.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, Sicherheitsinformationen in das Zugriffgewährungsticket
einzubinden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, öffentliche
Informationen zu erhalten, und die Sendeeinheit ist dafür geeignet,
das verschlüsselte
Zugriffgewährungsticket,
das von den öffentlichen
Informationen begleitet wird, an die datenanfordernde Entität zu senden.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der Identitätsträgerentität ist die
Verarbeitungseinheit dafür
geeignet, wenigstens ein weiteres verschlüsseltes Zugriffgewährungsticket
für weitere
Daten, die sich auf den Identitätsträger beziehen
und an wenigstens einer weiteren datenbereitstellenden Entität zur Verfügung stehen,
zu erzeugen, und die Sendeeinheit dafür geeignet ist, das weitere
verschlüsselte
Zugriffgewährungsticket,
das von wenigstens einem weiteren Identifikator der wenigstens einen
weiteren datenbereitstellenden Entität begleitet ist, an die datenanfordernde
Entität
zu senden, um einen Zugriff auf die weiteren identitätsträgerbezogenen
Daten zu ermöglichen,
auf die an der wenigstens einen weiteren datenbereitstellenden Entität zugegriffen
werden kann.
-
Bereitgestellt
wird eine datenanfordernde Entität,
die eine Empfangseinheit zum Empfangen von Meldungen und Informationen,
eine Sendeeinheit zum Senden von Meldungen und Informationen und
eine Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen
umfasst, wobei die Empfangseinheit dafür geeignet ist, ein erstes
verschlüsseltes
Zugriffgewährungsticket
zu empfangen, um einen Zugriff auf erste Daten, die sich auf einen
Identitätsträger beziehen,
zu ermöglichen,
wobei diese ersten Daten in einer ersten datenbereitstellenden Entität zur Verfügung stehen,
wobei das erste verschlüsselte
Zugriffgewährungsticket von
einem Identifikator der ersten datenbereitstellenden Entität begleitet
ist, und ein weiteres verschlüsseltes Zugriffgewährungsticket
zu empfangen, um einen Zugriff auf weitere Daten, die sich auf den
Identitätsträger beziehen,
zu ermöglichen,
wobei die weiteren Daten an einer weiteren datenbereitstellenden
Entität
zur Verfügung
stehen, wobei das weitere verschlüsselte Zugriffgewährungsticket
von einem weiteren Identifikator der weiteren datenbereitstellenden
Entität
begleitet ist, wobei die Verarbeitungseinheit dafür geeignet
ist, eine erste Anforderung zu erzeugen, die das erste verschlüsselte Zugriffgewährungsticket umfasst,
und eine weitere Anforderung zu erzeugen, die das weitere verschlüsselte Zugriffgewährungsticket
umfasst, und die Sendeeinheit dafür geeignet ist, die erste Anforderung
an die erste datenbereitstellende Entität zu senden und die weitere
Anforderung an die weitere datenbereitstellende Entität zu senden,
und wobei die Empfangseinheit dafür geeignet ist, ein erstes
Zeichen für
eine Gewährung
eines Zugriffs auf die ersten Daten von der ersten datenbereitstellenden
Entität
zu empfangen und ein weiteres Zeichen für eine Gewährung eines Zugriffs auf die
weiteren Daten von der weiteren datenbereitstellenden Entität zu empfangen.
-
Gemäß einer
bevorzugten Ausführungsform
der datenanfordernden Entität
wird das erste verschlüsselte
Zugriffgewährungsticket
oder das weitere verschlüsselte
Zugriffgewährungsticket
oder beide von öffentlichen
Informationen begleitet, und die Verarbeitungseinheit ist dafür geeignet,
die öffentlichen
Informationen zu analysieren, bevor die erste Anforderung und/oder
die weitere Anforderung erzeugt wird.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der datenanfordernden Entität
umfasst das erste Zeichen die ersten Daten, die sich auf den Identitätsträger beziehen,
und das weitere Zeichen umfasst die weiteren Daten, die sich auf
den Identitätsträger beziehen.
-
Bereitgestellt
wird eine datenbereitstellende Entität zum Ermöglichen eines Zugriffs auf
Daten, die sich auf einen Identitätsträger beziehen, wobei die datenbereitstellende
Entität
eine Empfangseinheit zum Empfangen von Meldungen und Informationen,
eine Sendeeinheit zum Senden von Meldungen und Informationen und eine
Verarbeitungseinheit zum Verarbeiten von Meldungen und Informationen
umfasst, wobei die Empfangseinheit dafür geeignet ist, eine Anforderung
von einer datenanfordernden Entität zu empfangen, wobei die Anforderung
ein Zugriffgewährungsticket
umfasst, das mit einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
verschlüsselt
ist, wobei das Zugriffgewährungsticket
eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen
Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert,
wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen,
und einen Identitätsträgeridentifikator
umfasst, der den Identitätsträger gegenüber der
datenbereitstellenden Entität
repräsentiert,
wobei die Verarbeitungseinheit dafür geeignet ist, das verschlüsselte Zugriffgewährungsticket
mit einem Entschlüsselungsschlüssel der
datenbereitstellenden Entität,
der dem Verschlüsselungsschlüssel entspricht,
zu entschlüsseln
und der datenanfordernden Entität
entsprechend der Zugriffsspezifikation Zugriff auf die Daten, die
sich auf den Identitätsträger beziehen,
zu gewähren.
-
Gemäß einer
bevorzugten Ausführungsform
der datenbereitstellenden Entität
umfasst das verschlüsselte
Zugriffgewährungsticket
Verifizierungsinformationen, oder wird von Verifizierungsinformationen
begleitet, und die Verarbeitungseinheit ist dafür geeignet, auf der Grundlage
einer Analyse der Verifizierungsinformationen einen Zugriff zu gewähren.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der datenbereitstellenden Entität
umfasst die Anforderung eine Spezifikation für angeforderte Daten, die sich
auf den Identitätsträger beziehen,
und die Verarbeitungseinheit ist dafür geeignet, entsprechend einer Übereinstimmung
der Zugriffsspezifikation und der angeforderten Daten einen Zugriff
zu gewähren.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der datenbereitstellenden Entität
umfasst das Zugriffgewährungsticket
des Weiteren Sicherheitsinformationen, und die Verarbeitungseinheit
ist dafür
geeignet, auf der Grundlage einer Analyse der Sicherheitsinformationen
einen Zugriff zu gewähren.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der datenbereitstellenden Entität
ist das verschlüsselte
Zugriffgewährungsticket
von öffentlichen
Informationen begleitet, und die Verarbeitungseinheit ist dafür geeignet,
die Entschlüsselung
auf der Grundlage einer Analyse der öffentlichen Informationen zu
initiieren.
-
Gemäß einer
weiteren bevorzugten Ausführungsform
der datenbereitstellenden Entität
ist die Sendeeinheit dafür
geeignet, die Daten, auf die der Zugriff gewährt wird, an die datenanfordernde
Entität
zu senden.
-
Die
vorliegende Erfindung betrifft des Weiteren Computerprogramme, die
Abschnitte von Softwarecodes umfassen, um das oben beschriebene
Verfahren zu implementieren, wenn sie in der Identitätsträgerentität, der datenanfordernden
Entität
oder der datenbereitstellenden Entität betrieben werden. Die Computerprogramme
können
auf einem computerlesbaren Medium gespeichert werden. Das computerlesbare
Medium kann ein dauerhafter oder überschreibbarer Speicher innerhalb
der Identitätsträgerentität, der datenanfordernden
Entität
oder der datenbereitstellenden Entität sein oder kann extern angeordnet
sein. Die jeweiligen Computerprogramme können auch zu der Identitätsträgerentität, der datenanfordernden
Entität
oder der datenbereitstellenden Entität beispielsweise über ein
Kabel oder eine Drahtlosverbindung als eine Abfolge von Zeichen übermittelt
werden.
-
Bereitgestellt
wird ein Computerprogramm, das in die Verarbeitungseinheit einer
Identitätsträgerentität geladen
werden kann, wobei das Computerprogramm Code umfasst, der dafür geeignet
ist, ein Zugriffgewährungsticket
zu erzeugen, das eine Zugriffsspezifikation umfasst, die eine Erlaubnis
für einen
Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert,
wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen,
und einen Identitätsträgeridentifikator
umfasst, der den Identitätsträger gegenüber der datenbereitstellenden
Entität
repräsentiert,
das Zugriffgewährungsticket
mit einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
zu verschlüsseln,
einen Identifikator einer datenbereitstellenden Entität zu erlangen
und ein Senden des verschlüsselten
Zugriffgewährungstickets,
das von dem Identifikator der datenbereitstellenden Entität begleitet
ist, zu der datenanfordernden Entität zu initiieren.
-
Bereitgestellt
wird ein Computerprogramm, das in die Verarbeitungseinheit einer
datenanfordernden Entität
geladen werden kann, wobei das Computerprogramm Code umfasst, der
dafür geeignet
ist, ein erstes verschlüsseltes
Zugriffgewährungsticket
zu verarbeiten, um einen Zugriff auf erste Daten, die sich auf einen Identitätsträger beziehen,
zu ermöglichen,
wobei diese ersten Daten in einer ersten datenbereitstellenden Entität zur Verfügung stehen,
wobei das erste verschlüsselte
Zugriffgewährungsticket
von einem Identifikator der ersten datenbereitstellenden Entität begleitet
ist, und ein weiteres verschlüsseltes
Zugriffgewährungsticket
zu verarbeiten, um einen Zugriff auf weitere Daten, die sich auf
den Identitätsträger beziehen,
zu ermöglichen, wobei
die weiteren Daten an einer weiteren datenbereitstellenden Entität zur Verfügung stehen,
wobei das weitere verschlüsselte
Zugriffgewährungsticket
von einem weiteren Identifikator der weiteren datenbereitstellenden
Entität
begleitet ist, eine erste Anforderung zu erzeugen, die das erste
verschlüsselte
Zugriffgewährungsticket
umfasst, und eine weitere Anforderung zu erzeugen, die das weitere
verschlüsselte
Zugriffgewährungsticket
umfasst, und ein Senden der ersten Anforderung an die erste datenbereitstellende
Entität
und der weiteren Anforderung an die weitere datenbereitstellende
Entität
zu initiieren, und ein erstes Zeichen für eine Gewährung eines Zugriffs auf die ersten
Daten von der ersten datenbereitstellenden Entität und ein weiteres Zeichen
für eine
Gewährung
eines Zugriffs auf die weiteren Daten von der weiteren datenbereitstellenden
Entität zu
verarbeiten.
-
Bereitgestellt
wird ein Computerprogramm, das in die Verarbeitungseinheit einer
datenbereitstellenden Entität
geladen werden kann, wobei das Computerprogramm Code umfasst, der
dafür geeignet
ist, eine Anforderung von einer datenanfordernden Entität zu verarbeiten,
wobei die Anforderung ein Zugriffgewährungsticket umfasst, das mit
einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
verschlüsselt ist,
wobei das Zugriffgewährungsticket
eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen
Zugriff auf Daten, die sich auf den Identitätsträger beziehen, spezifiziert,
wobei diese Daten in einer datenbereitstellenden Entität zur Verfügung stehen,
und einen Identitätsträgeridentifikator
umfasst, der den Identitätsträger gegenüber der
datenbereitstellenden Entität
repräsentiert,
das verschlüsselte
Zugriffgewährungsticket
mit einem Entschlüsselungsschlüssel der
datenbereitstellenden Entität,
der dem Verschlüsselungsschlüssel entspricht,
zu entschlüsseln
und der datenanfordernden Entität
entsprechend der Zugriffsspezifikation Zugriff auf Daten, die sich
auf den Identitätsträger beziehen,
zu gewähren.
-
Das
Computerprogramm, das in die Verarbeitungseinheit einer Identitätsträgerentität geladen
werden kann, das Computerprogramm, das in die Verarbeitungseinheit
einer datenanfordernden Entität
geladen werden kann, und das Computerprogramm, das in die Verarbeitungseinheit
einer datenbereitstellenden Entität geladen werden kann, können Code
umfassen, der dafür
geeignet ist, beliebige der Schritte des erfindungsgemäßen Verfahrens
auszuführen.
-
Kurze Beschreibung der
Zeichnungen
-
1 veranschaulicht
einen Fluss von Meldungen und Prozessen gemäß einer ersten Ausführungsform
der Erfindung.
-
2 veranschaulicht
Beispiele für
Tickets gemäß der Erfindung.
-
3 veranschaulicht
Geräte
und Verbindungen gemäß einer
zweiten Ausführungsform
der Erfindung.
-
Detaillierte
Beschreibung der Erfindung
-
1 veranschaulicht
eine erste Ausführungsform
der Erfindung. Der Identitätsträger, beispielsweise durch
einen Benutzer dargestellt, sendet von einer Identitätsträgerentität UE, wie
einem Mobiltelefon oder einem Personalcomputer, eine Anforderung 100 für einen
Dienst an einen Service-Provider, der in diesem Beispiel als datenanfordernde
Entität
IRE agiert. Die datenanfordernde Entität IRE prüft die Anforderung 100 und erkennt,
dass, um den angeforderten Dienst erbringen zu können, Daten, die sich auf den
Identitätsträger beziehen,
benötigt
werden, beispielsweise eine Kreditkartennummer für eine Finanzdienstleistung
oder ein Standort des Identitätsträgers für eine standortbasierte
Dienstleistung. Die datenanfordernde Entität kann eine Anforderung 105 erzeugen,
um beim Identitätsträger die
benötigten
Daten abzufragen, und kann die Anforderung 105 an die Identitätsträgerentität UE senden.
-
Der
Identitätsträger oder
die Identitätsträgerentität UE erkennen,
dass die benötigten
Daten, die sich auf den Identitätsträger beziehen,
in der datenbereitstellenden Entität IPE1 zur Verfügung stehen.
Die Identitätsträgerentität UE erzeugt 110 ein
verschlüsseltes
Zugriffgewährungsticket,
das eine Zugriffsspezifikation umfasst, die eine Erlaubnis für einen
Zugriff auf die benötigten
Daten, die sich auf den Identitätsträger beziehen,
umfasst. Des Weiteren enthält
das Zugriffgewährungsticket
einen Identi tätsträgeridentifikator,
anhand dessen die datenbereitstellende Entität IPE1 die Daten, die sich
auf den Identitätsträger beziehen,
identifizieren kann. Die Zugriffsspezifikation und der Identitätsträgeridentifikator
werden mit einem Verschlüsselungsschlüssel der
datenbereitstellenden Entität
IPE1 verschlüsselt.
Dieser Verschlüsselungsschlüssel ist
in der Regel ein öffentlicher
Schlüssel
gemäß der Public-Key
Infrastructure (PKI). Alternativ oder zusätzlich kann er auch ein geheimer
Schlüssel
der datenbereitstellenden Entität
IPE1 sein. Die Identitätsträgerentität erlangt
einen Identifikator für
die datenbereitstellende Entität
IPE1 und sendet das verschlüsselte
Zugriffgewährungsticket,
das von dem Identifikator der datenbereitstellenden Entität IPE1 begleitet
ist, über
die Meldung 115 an die datenanfordernde Entität IRE. Anhand
des Identifikators der datenbereitstellenden Entität IPE1 weiß die datenanfordernde
Entität
IRE, wohin das verschlüsselte
Zugriffgewährungsticket
zu senden ist. Die datenanfordernde Entität IRE sendet das verschlüsselte Zugriffgewährungsticket über die
Anforderung 120 an die datenbereitstellende Entität IPE1,
die anschließend
das verschlüsselte
Zugriffgewährungsticket
mit einem Entschlüsselungsschlüssel, der
dem Verschlüsselungsschlüssel entspricht,
entschlüsselt 125,
wobei der Entschlüsselungsschlüssel zum
Beispiel der private Schlüssel
der datenbereitstellenden Entität
IPE1 ist, der dem öffentlichen
Schlüssel
der datenbereitstellenden Entität
IPE1 entspricht, der zum Verschlüsseln
verwendet wird. Die datenbereitstellende Entität IPE1 erlangt die Zugriffsspezifikation
und den Identitätsträgeridentifikator.
Auf der Grundlage einer Analyse der erlangten Informationen kann
die datenbereitstellende Entität
IPE1 zum Beispiel im Datenlager nach Informationen suchen, die mit
dem Identitätsträgeridentifikator
und den Daten, die in der Zugriffsspezifikation spezifiziert sind, übereinstimmen.
Um der datenanfordernden Entität
IRE einen Zugriff auf die benötigten
Daten, die sich auf den Identitätsträger beziehen,
zu ermöglichen,
kann die datenbereitstellende Entität IPE1 die benötigten Daten
aus dem Datenlager erlangen und kann die benötigten Daten, die sich auf
den Identitätsträger beziehen, über die
Meldung 130 an die datenanfordernde Entität IRE senden.
Die datenanfordernde Entität
IRE, die nun im Besitz der benötigten
Daten, die sich auf den Identitätsträger beziehen,
ist, kann die benötigten
Daten, die sich auf den Identitätsträger beziehen,
entsprechend verarbeiten 135 und kann den Zugriff auf den
angeforderten Dienst gewähren 140.
-
Viele
Varianten der grundlegenden Prozesse und Meldungen 100–140 von 1 sind
möglich.
Einige von ihnen werden im Folgenden näher beschrieben.
-
Die
Meldungen 100, 105 können in dem Fall übersprungen
werden, dass dem Identitätsträger und/oder
der Identitätsträgerentität UE vorab
bekannt ist, dass die datenanfordernde Entität IRE bestimmte Daten, die
sich auf den Identitätsträger beziehen,
benötigt.
In diesem Fall kann die Dienstleistungsanforderung zusammen mit
dem verschlüsselten
Zugriffgewährungsticket,
das von dem Identifikator der datenbereitstellenden Entität IPE1 begleitet
ist, in der Meldung 115 gesendet werden.
-
Gemäß 1 erfolgt
das Erzeugen des verschlüsselten
Zugriffgewährungstickets
in der Identitätsträgerentität UE. Die
Identitätsträgerentität UE weist
vorzugsweise ein Datenlager auf oder hat Zugriff auf ein Datenlager,
zum Beispiel in Form einer Liste, die Namen und Identifikatoren
der Entität
oder datenbereitstellenden Entitäten,
die jeweiligen Daten, die sich auf den Identitätsträger beziehen und in der jeweiligen
datenbereitstellenden Entität
oder den jeweiligen datenbereitstellenden Entitäten zur Verfügung stehen,
die jeweiligen Verschlüsselungsschlüssel der
jeweiligen datenbereitstellenden Entitäten, die jeweiligen Identitätsträgeridentifikatoren
in den jeweiligen datenbereitstellenden Entitäten und optional zuvor festge legte,
zum Beispiel standardmäßig vorgegebene,
Zugriffsspezifikationslisten umfasst. Name und Identifikator einer
datenbereitstellenden Entität
können
identisch sein.
-
Tabelle
A zeigt ein Beispiel für
ein Datenlager für
zwei datenbereitstellende Entitäten
mit Namen IPE1, IPE2 und Identifikatoren A_IPE1, A_IPE2, Daten D1,
die sich auf den Identitätsträger beziehen
und in der datenbereitstellenden Entität IPE1 zur Verfügung stehen,
und Daten D2, D3, die sich auf den Identitätsträger beziehen und in der datenbereitstellenden
Entität
IPE2 zur Verfügung
stehen, einem Verschlüsselungsschlüssel K1
der datenbereitstellenden Entität
IPE1 und Verschlüsselungsschlüssel K2,
K3 der datenbereitstellenden Entität IPE2 sowie Zugriffsspezifikationen
AS1–AS4.
Der Identitätsträgeridentifikator
I1 repräsentiert
den Identitätsträger in der
datenbereitstellenden Entität
IPE1, und die Identifikatoren I2, I3 repräsentieren den Identitätsträger in der
datenbereitstellenden Entität
IPE2.
-
Tabelle
A zeigt ein Beispiel für
ein Datenlager gemäß der vorliegenden
Erfindung
-
Gemäß dem Datenlager
von Tabelle A können
die folgenden verschlüsselten
Zugriffgewährungstickets
erzeugt werden:
Gemäß der ersten
Zeile wird ein Zugriffgewährungsticket,
das die Zugriffsspezifikation AS1 für Daten umfasst, die sich auf
den Identitätsträgeridentifikator
I1 beziehen, erzeugt. Somit umfasst das Zugriffgewährungsticket die Zugriffsspezifikation
AS1 und den Identitätsträgeridentifikator
I1. Das Zugriffgewährungsticket
wird mit dem Verschlüsselungsschlüssel K1
verschlüsselt
und, von dem Identifikator A_IPE1 begleitet, an eine datenanfordernde
Entität
gesandt, um eine Zugriffsgewährung
an der datenbereitstellenden Entität IPE1 anzufordern.
-
Gemäß der zweiten
Zeile wird ein ähnliches
Zugriffgewährungsticket
erzeugt, das nun die Zugriffsspezifikation AS2 und den Identitätsträgeridentifikator
I2 umfasst, die mit dem Schlüssel
K2 verschlüsselt
sind, und – von
dem Identifikator A_IPE2 begleitet – an eine datenanfordernde
Entität
gesandt, um an der datenbereitstellenden Entität IPE2 einen Zugriff zu ermöglichen.
-
Die
dritte Zeile unterscheidet sich von der zweiten Zeile insofern,
als der Identitätsträger nun
einen Identitätsträgeridentifikator
I3 verwendet, der sich von dem Identitätsträgeridentifikator I2 in Zeile
2 unterscheidet. Das Verwenden verschiedener Identitäten, die
durch verschiedene Identitätsträgeridentifikatoren
repräsentiert
werden, kann aus Gründen
der Sicherheit oder Privatsphäre
oder aus praktischen Gründen
vorteilhaft sein, beispielsweise um zwischen verschiedenen Teilmengen
von Daten D2 und D3 zu unterschieden, die an einer einzelnen datenbereitstellenden
Entität
IPE1 zur Verfügung
stehen.
-
Die
vierte Zeile unterscheidet sich von der zweiten Zeile insofern,
als ein anderer Verschlüsselungsschlüssel K3
verwendet wird. Je nach den Teilmengen der Daten, die an einer bestimmten
datenbereitstellenden Entität
zur Verfügung
stehen, können
verschiedene Schlüssel
verwendet werden. Der Verschlüsselungsschlüssel kann
in dem Fall, dass ein Zugriff auf sehr sensible Daten ermöglicht werden
soll, stärker
sein. Zum Beispiel sind die Daten D2, die an der datenbereitstellenden
Entität
IPE2 zur Verfügung
stehen, gemäß der zweiten
und vierten Reihe identisch, und es wird auch der gleiche Identitätsträgeridentifikator
I2 verwendet. Allerdings können
die Daten D2 weniger sensible Daten, die sich auf den Identitätsträger beziehen,
wie eine Telefonnummer oder eine E-Mail-Adresse, und sensible Informationen
wie eine Kreditkartennummer enthalten. Wenn ein Zugriff auf weniger
sensible Daten, zum Beispiel gemäß der Zugriffsspezifikation
AS2, gewährt werden
soll, so kann ein schwächerer
Verschlüsselungsschlüssel K2
verwendet werden, wodurch der Verarbeitungs- und Zeichengabeaufwand
in den beteiligten Entitäten
verringert wird. Für
die Gewährung
eines Zugriffs zu sensiblen Daten zum Beispiel gemäß der Zugriffsspezifikation
AS4 kann ein stärkerer
Verschlüsselungsschlüssel verwendet
werden, was zu einem stärkeren
Datenschutz führt.
-
Es
sind noch viele weitere Varianten möglich, die nicht in Tabelle
A dargestellt sind. Zum Beispiel kann der Identitätsträgeridentifikator
I1 und I2 identisch sein, oder eine datenbereitstellende Entität kann mehrere Identifikatoren
haben.
-
Ein
Beispiel für
eine Zugriffsspezifikation findet sich in Tabelle B. Diese Zugriffsspezifikation
umfasst eine Liste von Daten D1a–D1d, die in einer datenbereitstellenden
Entität
IPE1 zur Verfügung
stehen, mit zugehörigen
Erlaubnissen zum Lesen, Ändern,
Anhängen,
Erzeugen und Löschen,
wobei ein erlaubter Zugriff mit einem "Y" gekennzeichnet
ist und ein verbotener Zugriff mit einem "N" gekennzeichnet
ist. Die Zugriffsspezifikation, die in dem verschlüsselten
Zugriffgewährungsticket
enthalten ist, kann in der Form von Tabelle B für alle Daten, die sich auf
den Identitätsträger beziehen,
in der datenbereitstellenden Entität IPE1 oder Teilen von ihr
vorliegen, zum Beispiel nur Daten, auf die zugegriffen werden darf.
Zum Beispiel kann in dem Zugriffgewährungsticket eine Kette von
Daten enthalten sein, die D1a R|M|A|C|D;D1c R als Zugriffsspezifikation
gemäß dem vorliegenden
Beispiel umfasst, wodurch die Datenmenge in dem Zugriffgewährungsticket
und folglich der Verarbeitungsaufwand für das Verschlüsseln und
Entschlüsseln
sowie der Zeichengabeaufwand infolge der verringerten Datenmenge
verringert wird. Gleichermaßen
kann eine negative Zugriffsspezifikation erzeugt werden, indem die
Daten spezifiziert werden, auf die kein Zugriff gestattet wird.
Die Zugriffsspezifikation kann vorher festgelegt werden oder kann
auf der Grundlage von Eingaben durch den Identitätsträger zusammengestellt werden.
In jedem Fall kann es aus Sicherheitsgründen von Vorteil sein, dass
ein Identitätsträger die
endgültige
Zugriffsspezifikation bestätigt,
die in das Zugriffgewährungsticket
aufgenommen wird. Der Bestätigungsschritt
gibt dem Identitätsträger zusätzliche
oder ausdrückliche
Kontrolle über
die Daten, auf die der Zugriff in der einen oder den mehreren datenbereitstellenden
Entitäten – hier die
datenbereitstellende Entität
IPE1 – gewährt werden
soll.
-
Ein
Beispiel für
D1a kann ein Feld sein, das dafür
verwendet werden kann, freien Text durch die datenanfordernde Entität IRE gemäß der Zugriffsspezifikation
von Tabelle B einzugeben. D1b kann eine Kreditkartennummer sein,
auf die gemäß Tabelle
B kein Zugriff gestattet ist. D1c können Standortinformationen
sein, die durch die datenbereitstellende Entität gemäß der Zugriffsspezifikation
von Tabelle B gelesen werden können,
und D1d können
weitere Daten sein, die sich auf den Identitätsträger beziehen und auf die kein
Zugriff gestattet ist.
-
Tabelle
B: Beispiel für
eine Zugriffsspezifikation
-
Eine
Zugriffsspezifikation oder ein Zugriffgewährungsticket kann ein Stück ausführbarer
oder selbst-ausführbarer
Softwarecode sein, der die datenbereitstellende Entität anweist,
Zugriff auf die Daten, die sich auf den Identitätsträgeridentifikator beziehen,
und die Zugriffsspezifikation, die in dem verschlüsselten
Zugriffgewährungsticket
enthalten ist, zu gewähren.
Das hat den Vorteil, dass die Softwarefunktionalität in einer datenbereitstellenden
Entität
verringert werden kann.
-
Anstatt
das verschlüsselte
Zugriffgewährungsticket
in der Identitätsträgerentität UE zu
erzeugen, können
einige der erforderlichen Prozesse von der Identitätsträgerentität UE zu
einer oder mehreren weiteren Entitäten (die in 1 nicht
gezeigt sind) delegiert werden. Zum Beispiel kann die Verschlüsselung
in einer weiteren Entität
stattfinden, wodurch die Identitätsträgerentität UE von
Verschlüsselungsfunktionalität befreit
wird. Das verschlüsselte
Ticket kann dann im Namen des Identitätsträgers von der weiteren Entität zu der
datenanfordernden Entität
IRE gesendet werden, wodurch der Zeichengabe- und Verarbeitungsaufwand
in der Identitätsträgerentität UE verringert
werden kann.
-
Im
Folgenden werden Beispiele für
Tickets, die in 4 gezeigt sind, beschrieben,
die gemäß der Erfindung
erzeugt und verarbeitet werden können.
-
Gemäß 2a umfasst das erste Ticket T1 ein Zugriffgewährungsticket
AGT, das mit dem Verschlüsselungsschlüssel ECR
der datenbereitstellenden Entität
verschlüsselt
ist, in der die Zugriffsgewährung
erfolgen soll. Die obligatorischen Teile in dem Zugriffgewährungsticket
AGT sind eine Zugriffsspezifikation und ein Identitätsträgeridentifikator.
Zum Erhöhen
der Sicherheit können
Sicherheitsinformationen wie ein Gültigkeitsdauerindikator, eine
laufende Nummer oder ein Nonce in das Zugriffgewährungsticket AGT eingebunden
oder an das Zugriffgewährungsticket
AGT ange hängt
werden. Des Weiteren können
Verifizierungsinformationen in das verschlüsselte Zugriffgewährungsticket
AGT eingebunden werden, wie ein Identifikator für die datenanfordernde Entität oder Verifizierungsinformationen
zum Verifizieren des Identitätsträgers.
-
Außerdem umfasst
das erste Ticket T1 ein Feld, das für öffentliche Informationen reserviert
ist, die nicht durch den Verschlüsselungsschlüssel ECR
verschlüsselt
sind. Das Feld kann einen Inhalt des Zugriffgewährungstickets, von Sicherheitsinformationen
oder von Verifizierungsinformationen oder Teile oder Kombinationen
davon enthalten, die der Öffentlichkeit
zugänglich
gemacht werden können.
Aus Gründen
der Sicherheit und/oder der Privatsphäre ist jedoch der Identitätsträgeridentifikator
höchstwahrscheinlich
nicht in den öffentlichen
Informationen offenbart. Der Identifikator der datenbereitstellenden
Entität,
der das verschlüsselte
Zugriffgewährungsticket
begleitet, kann ein Teil der öffentlichen
Informationen sein. Somit braucht kein zusätzlicher Identifikator, der
zum Beispiel an das Ticket angehängt
wird, übermittelt
zu werden.
-
Das
Ticket oder Teile davon können
durch eine digitale Signatur SIG1 des Identitätsträgers signiert werden, wie in
den 2b)–d) veranschaulicht. Die Signatur
kann zum Beispiel unter Verwendung eines privaten Schlüssels des
Identitätsträgers gemäß PKI oder
unter Verwendung eines geheimen Schlüssels, den der Identitätsträger und
die datenbereitstellende Entität
gemeinsam nutzen, festgelegt werden. Gemäß 2b)
werden das AGT oder Teile davon signiert, was die datenbereitstellende
Entität
darüber
informiert, dass das Ticket T2 ursprünglich durch den Identitätsträger erzeugt
wurde. In diesem Sinn kann die Signatur als Verifizierungsinformationen
für die
datenbereitstellende Entität
angesehen werden, weil die datenbereitstellende Entität anhand
des Vergleichs der digitalen Signatur SIG1 mit dem Identitätsträgeridentifikator
des Zugriffgewährungstickets
AGT den Identitätsträger verifizieren
kann. Zur Verifizierung von Informationen, die mit einem privaten
Schlüssel
signiert sind, muss ein entsprechender öffentlicher Schlüssel verwendet
werden. Anstelle von oder zusätzlich
zum Signieren und der Signaturverifizierung kann "Simple PKI" (SPKI) verwendet werden.
-
Gemäß dem dritten
Ticket T3 wird das verschlüsselte
Zugriffgewährungsticket
mit der digitalen Signatur SIG1 signiert, was eine Integritätsverifizierung
für eine
datenanfordernde Entität
und eine datenbereitstellende Entität bedeuten kann. Gemäß 2d) erfasst die digitale Signatur in dem
vierten Ticket T4 das verschlüsselte
Zugriffgewährungsticket
ECR, AGT und die öffentlichen
Informationen, was für
die beteiligten Informationen auch Integrität bezüglich der signierten Informationen
gewährleisten
kann.
-
Im
Folgenden werden verschiedene Ausführungsformen der Erfindung
für verschiedene
Arten von Tickets und Zugriffsspezifikationen beschrieben. Zur Erläuterung
und zum besseren Verständnis
nehmen wir Bezug auf 1, und anstelle der Formulierung "verschlüsseltes
Zugriffgewährungsticket,
das von einem Identifikator der zugriffsgewährenden Entität begleitet
wird" verwenden
wir ab jetzt den Begriff "Ticket".
-
Beim
Empfang eines Tickets kann die datenanfordernde Entität IRE öffentliche
Informationen analysieren und ihre Entscheidung bezüglich einer
Datenzugriffsanforderung auf der Grundlage des Analyseergebnisses
treffen. Wenn zum Beispiel die öffentlichen
Informationen einen Gültigkeitsdauerindikator
enthalten, so kann die datenanfordernde Entität IRE das Ticket verwerfen,
wenn der Gültigkeitsdauerindikator
abgelaufen ist und keine Anforderung an die datenbereitstellende
Entität
IPE1 gesendet wird.
-
Ein
weiteres Beispiel kann eine ungültige
laufende Nummer sein, beispielsweise eine Nummer, die für einen
früheren
Datenzugriff verwendet wurde, oder nicht-übereinstimmende Kombinationen
von Inhalten der öffentlichen
Informationen, beispielsweise ein Gültigkeitsdauerindikator, der
nicht mit einer Zugriffszeit der datenbereitstellenden Entität IPE1 übereinstimmt.
Zum Beispiel kann es der datenanfordernden Entität IRE bekannt sein, dass die
datenbereitstellende Entität
IPE1 während
eines bestimmten Zeitraums nicht zugänglich war, und die genehmigte
Zeit fällt
laut dem Gültigkeitsdauerindikator
genau in diesen Zeitraum. Wenn also die Analyse der öffentlichen
Informationen ein ungültiges
Ticket offenbart, so kann die Anforderung an die datenbereitstellende
Entität
IPE1 übersprungen
werden.
-
Zum
Senden der Anforderung 120 an die datenanfordernde Entität IRE kann
die datenbereitstellende Entität
den Identifikator der datenbereitstellenden Entität IPE1 nachschlagen,
der zum Beispiel in den öffentlichen
Informationen enthalten ist, wie zuvor erläutert. Der nachgeschlagene
Identifikator kann in eine Adresse der datenbereitstellenden Entität, an die
die Anforderung 120 gesendet wird, umgewandelt werden.
-
In
der Anforderung 120 kann die datenanfordernde Entität IRE um
Zugriff auf bestimmte angeforderte Daten, die sich auf den Identitätsträger beziehen,
ersuchen. Diese angeforderten Daten können mit den Daten, die durch
die Zugriffsspezifikation spezifiziert sind, identisch oder von
ihnen verschieden sein. Angeforderte Daten können verschieden sein, wenn
die datenanfordernde Entität
IRE identitätsträgerbezogene
Daten von der Identitätsträgerentität UE, zum
Beispiel über
die Meldung 105, anfordert und die Identitätsträgerentität UE in
der Meldung 115 mit einer Zugriffsspezifikation mit einer
Gewährung
eines Zugriffs auf Daten antwortet, die sich auf den Identitätsträger beziehen
und von den ursprünglich
angeforderten Daten verschieden sind, zum Beispiel weil der Identitätsträger nicht
der datenanfordernden Entität
IRE den Zugriff auf alle angeforderten Daten gestatten möchte. Es
sind noch weitere Gründe
für das
Vorkommen verschiedener Daten möglich,
zum Beispiel wenn ein Ticket ohne öffentliche Informationen über die
Zugriffsspezifikation an eine unbefugte datenanfordernde Entität IRE gerichtet
wird oder einfach, weil die datenanfordernde Entität IRE nicht
mit genügend Informationen über die
Zugriffsspezifikation versorgt wird, zum Beispiel in dem Fall, wo
der Identitätsträger bereits
vorhandenes Wissen über
von der datenbereitstellenden Entität IPE1 angeforderte Daten verwendet,
die insofern falsch sind, als die Zugriffsspezifikation gemäß dem bereits
vorhandenen Wissen nicht mit den Daten übereinstimmt, die sich auf
den Identitätsträger beziehen
und durch die datenanfordernde Entität IRE angefordert wurden.
-
Die
datenbereitstellende Entität
IPE1, die das Ticket empfängt,
hat verschiedene Optionen, nach denen sie verfahren kann, zum Beispiel
je nach dem Ticket oder eventuell angeforderten Daten.
-
Wenn
das Ticket öffentliche
Informationen umfasst, so kann es von Vorteil sein, zuerst die öffentlichen Informationen
zu analysieren, um eine erste Prüfung
bezüglich
der Gültigkeit
des Tickets (zum Beispiel auf der Grundlage des Gültigkeitsdauerindikators
oder der laufenden Nummer), eine erste Verifizierung der datenanfordernden
Entität
IRE (zum Beispiel durch Vergleichen eines Identifikators, wie eines
Namens oder Identifikators der datenanfordernden Entität IRE, wie
er in den öffentlichen
Informationen angegeben ist, mit einem Identifikator oder Namen,
der über
einen Datenaustausch mit der datenanfordernden Entität IRE erhalten
werden kann) oder Kombinationen daraus vorzunehmen. Es kann alternativ
oder zusätzlich
geprüft
werden, ob in den öffentlichen
Informationen eine oder mehrere weitere Informationen gegeben sind,
wie zum Beispiel, dass das Ticket in einem bestimmten Land oder
einer bestimmten Region ungültig
ist. Wenn das Ticket signiert ist, so kann die Signatur als eine
erste Verifizierung des Identitätsträgers und
als ein erster Nachweis der Integrität geprüft werden. Wenn eine der Prüfungen nicht
bestanden wird, so kann die datenbereitstellende Entität IPE1 die
Gewährung
des Zugriffs beenden.
-
Andernfalls
kann die datenbereitstellende Entität IPE1 mit dem Entschlüsseln des
verschlüsselten Teils
des Tickets mit ihrem Entschlüsselungsschlüssel fortfahren.
Sie erlangt die Zugriffsspezifikation und den Identitätsträgeridentifikator
und – wenn
Sicherheits- und/oder Verifizierungsinformationen in dem verschlüsselten
Teil des Zugriffgewährungstickets
enthalten sind – die
Sicherheits- und/oder Verifizierungsinformationen. Das Überprüfen der
Sicherheitsinformationen und/oder Verifizierungsinformationen aus
dem verschlüsselten Teil
kann in einer ähnlichen
Weise erfolgen wie das Überprüfen der
Sicherheits- oder Verifizierungsinformationen, die in öffentlichen
Informationen enthalten sind. Jedoch ist das Überprüfen der Sicherheits- oder Verifizierungsinformationen,
die dem verschlüsselten
Teil des Tickets entnommen werden, viel sicherer, weil die Verschlüsselung
dafür sorgt,
dass der verschlüsselte
Inhalt vor Manipulation durch Dritte geschützt ist, die sich nicht im
Besitz des entsprechenden Entschlüsselungsschlüssels befinden,
wie zum Beispiel die datenanfordernde Entität IRE. Der Entschlüsselungsschlüssel ist
geheim und befindet sich in der Regel im Besitz der datenbereitstellenden
Entität
IPE1. Jedoch kann die Entschlüsselung
auch im Namen der datenbereitstellenden Entität IPE1 in einer weiteren Entität ausgeführt werden,
die den Entschlüsselungsschlüssel besitzt.
Je nach dem Ergebnis der Analyse der Sicherheits- oder Verifizierungsinformationen
kann die datenbereitstellende Entität IPE1 mit der Gewährung des
Zugriffs fortfahren oder kann das Verfahren beenden.
-
Auf
der Grundlage der Zugriffsspezifikation und des Identitätsträgeridentifikators
kann die datenbereitstellende Entität IPE1 einen Zugriff gewähren. Zum
Beispiel kann sie in einem Datenlager nach den Daten suchen, die
sich auf den Identitätsträgeridentifikator
beziehen, und kann zum Beispiel einen Lesezugriff gemäß der Zugriffsspezifikation
auf die Daten gewähren,
die sich auf den Identitätsträgeridentifikator
beziehen. Die datenbereitstellende Entität IPE1 kann die in der Zugriffsspezifikation
spezifizierten Daten auf Übereinstimmung
mit angeforderten Daten prüfen,
die von der datenanfordernden Entität IRE angefordert wurden. Zum Beispiel
kann sie die Zugriffsgewährung
beenden, wenn beide Daten nicht oder nur teilweise übereinstimmen. Gemäß einer
weiteren Implementierung kann die datenbereitstellende Entität IPE1 den
Zugriff auf Teile beider Daten, die übereinstimmen, gewähren. Aus
Sicherheitsgründen
kann die datenbereitstellende Entität die Zugriffsspezifikation
mit eigenen Zugriffsbeschränkungen
vergleichen. Zum Beispiel kann sie das Lesen von Daten, die sich
auf einen Identitätsträger beziehen,
erlauben, nicht aber das Schreiben, Ändern, Anhängen, Erzeugen und/oder Löschen, und
kann den Zugriff auf Daten, die sich auf den Identitätsträgeridentifikator
beziehen, entsprechend einer Übereinstimmung
der Zugriffsspezifikation mit ihren eigenen Zugriffsbeschränkungen gewähren. Somit
kann die datenbereitstellende Entität gewährleisten, dass Daten, die
sich auf den Identitätsträger beziehen,
nicht geändert
werden können,
was aus technischen oder rechtlichen Gründen, die dem Identitätsträger nicht
bekannt sind, von Bedeutung sein kann.
-
Die
Gewährung
des Zugriffs auf die Daten, die sich auf den Identitätsträgeridentifikator
beziehen, kann zum Beispiel folgendermaßen geschehen. Im Fall eines
Lesezugriffs auf Daten, die sich auf den Identitätsträgeridentifikator beziehen,
kann die datenbereitstellende Entität IPE1 diese Daten von einem
Datenlager beziehen oder sie von einer beliebigen Entität, wo die
Daten gespeichert sind oder erzeugt werden, anfordern und die Daten
an die datenanfordernde Entität
IRE senden. Im Fall einer Löschungserlaubnis
kann die datenbereitstellende Entität IPE1 das Löschen mit
oder ohne weiteren Datenaustausch mit der datenanfordernden Entität IRE ausführen. Im
Fall anderer Erlaubnisse, wie Schreiben, Ändern, Anhängen oder Erzeugen, kann ein bidirektionaler
Datenaustausch zwischen ihnen hergestellt werden, um den Zugriff
auf Daten, die sich auf den Identitätsträger beziehen, gemäß der Zugriffsspezifikation
zu ermöglichen.
Alternativ kann die Anforderung an die datenbereitstellende Entität ausdrücklich die
Daten enthalten, die zu schreiben, zu ändern oder zu erzeugen sind,
und das Schreiben, Ändern
und Anhängen
kann gemäß der Zugriffsspezifikation
für die
Daten, die sich auf den Identitätsträgeridentifikator
beziehen, und den enthaltenen Daten ausgeführt werden. Es kann eine Bestätigung der
Ausführung
der Anforderung an die anfordernde Entität gesendet werden. Das Verfahren kann
dergestalt implementiert werden, dass im Fall keines weiteren Datenaustauschs
oder in dem Fall, dass keine Bestätigung der Zugriffsgewährung empfangen
wird, das Fehlen eines weiteren Datenaustauschs bzw. einer Bestätigung durch
die datenanfordernde Entität
als ein impliziter Hinweis auf die Zugriffsgewährung interpretiert werden
kann.
-
3 zeigt
ein Beispiel für
Geräte
mit relevanten Einheiten und Verbindungen zum Implementieren der
Erfindung gemäß einer
zweiten Ausführungsform,
wobei Daten, die sich auf den Identitätsträger für diesen Zugriff beziehen und
an die datenanfordernde Entität
IRE übermittelt
werden sollen, über
zwei datenbereitstellende Entitäten
IPE1, IPE2 verteilt sind. Gemäß dem vorliegenden
Beispiel besteht die Identitätsträgerentität UE aus
einer Empfangseinheit RU1, einer Sendeeinheit TU1, einer Verarbeitungseinheit
PU1 und einem Datenlager DU1. Das Datenlager DU1 kann ähnlich wie
zum Beispiel die ersten beiden Zeilen des in Tabelle B gezeigten
Datenlagers organisiert sein. Die Identitätsträ gerentität UE kann eine Eingabe-Ausgabe-Einheit
zum Eingeben bzw. Darstellen von Daten für den Identitätsträger umfassen.
Diese Eingabe-Ausgabe-Einheit ist nicht gezeigt, weil die Eingabe-
und Ausgabefunktionalität
durch die Empfangseinheit RU1 bzw. die Sendeeinheit TU1 abgedeckt
ist. Die Identitätsträgerentität UE kann
eine Dienstanforderung in der Verarbeitungseinheit PU1 erzeugen
und diese Dienstanforderung über
die Verbindung C02 zu der Sendeeinheit TU1 senden, die die Anforderung über die
Verbindung C05 an die Empfangseinheit RR1 der datenanfordernden
Entität
IRE weitersendet. Die Empfangseinheit RR1 sendet die Anforderung über die
Verbindung C07 an ihre Verarbeitungseinheit PR1. Eine Anforderung
nach Daten, die sich auf den Identitätsträger beziehen, zur Gewährung eines Zugriffs
auf den angeforderten Dienst kann in der Verarbeitungseinheit PR1
erzeugt werden, die dann diese Anforderung über die Sendeeinheit TR1 zu
der Empfangseinheit RU1 und der Verarbeitungseinheit PU1 über die
Verbindungen C06, C04 und C03 senden kann.
-
Die
Verarbeitungseinheit PU1 überprüft ihr Datenlager
DU1 und erkennt, dass die Daten, die sich auf den Identitätsträger beziehen
und von der datenanfordernden Entität IRE angefordert wurden, über die
erste datenbereitstellende Entität
IPE1 und die zweite datenbereitstellende Entität IPE2 verteilt sind, und erzeugt
auf der Grundlage ihres Datenlagers DU1 ein erstes Ticket, das ein
erstes verschlüsseltes
Zugriffgewährungsticket
für die
erste datenbereitstellende Entität
IPE1, das von einem ersten Identifikator der ersten datenbereitstellenden
Entität
IPE1 begleitet ist, umfasst, und ein zweites Ticket, das ein zweites
verschlüsseltes
Zugriffgewährungsticket
für die
zweite datenbereitstellende Entität IPE2, das von einem zweiten
Identifikator der zweiten datenbereitstellenden Entität IPE2 begleitet
ist, umfasst.
-
Das
erste Zugriffgewährungsticket
umfasst eine erste Zugriffsspezifikation für erste Daten, die sich auf den
Identitätsträger beziehen
und in der ersten datenbereitstellenden Entität IPE1 zur Verfügung stehen,
und einen ersten Identitätsträgeridentifikator,
der den Identitätsträger in der
ersten datenbereitstellenden Entität IPE1 repräsentiert. Das erste Zugriffgewährungsticket
ist mit einem ersten Verschlüsselungsschlüssel der
ersten datenbereitstellenden Entität IPE1 verschlüsselt. Gleichermaßen umfasst
das zweite Zugriffgewährungsticket
eine zweite Zugriffsspezifikation für zweite Daten, die sich auf
den Identitätsträger beziehen
und in der zweiten datenbereitstellenden Entität IPE2 zur Verfügung stehen,
und einen zweiten Identitätsträgeridentifikator,
der den Identitätsträger in der
zweiten datenbereitstellenden Entität IPE2 repräsentiert; und das zweite Zugriffgewährungsticket
ist mit einem zweiten Verschlüsselungsschlüssel der
zweiten datenbereitstellenden Entität IPE2 verschlüsselt.
-
Gemäß dem vorliegenden
Beispiel werden das erste Ticket und das zweite Ticket von der Verarbeitungseinheit
PU1 über
die Sendeeinheit TU1 und die Empfangseinheit RR1 zu der Verarbeitungseinheit
PR1 über
die Verbindungen C02, C05 und C07 gesendet. Die Verarbeitungseinheit
PR1 erzeugt eine erste Anforderung, die das erste Ticket umfasst,
und eine zweite Anforderung, die das zweite Ticket umfasst. Alternativ kann
die Verarbeitungseinheit wenigstens eine der beiden Anforderungen,
die beide Tickets umfasst, erzeugen. In der Praxis kann es von Vorteil
sein, die beiden empfangenen Tickets in beide Anforderungen einzubinden,
wodurch der Verarbeitungsaufwand in der datenanfordernden Entität IRE verringert
werden kann. Die datenbereitstellenden Entitäten IPE1, IPE2 können dafür geeignet
sein, die ungültigen
Tickets zu verwerfen, d. h. das zweite Ticket, das für die erste
datenbereitstellende Entität
IPE1 ungültig
ist, und das erste Ticket, das für
die zweite datenbereitstellende Entität IPE2 ungültig ist.
-
Von
der Verarbeitungseinheit PR1 kann die erste Anforderung über die
Sendeeinheit TR2 und über
die Empfangseinheit RP1 zu der Verarbeitungseinheit PP1 der ersten
datenbereitstellenden Entität
IPE1 mittels der Verbindungen C08, C12 und C14 gesendet werden.
Gleichermaßen
kann das zweite Ticket über
die Sendeeinheit TR3 und über
die Empfangseinheit RP2 zu der Verarbeitungseinheit PP2 über die
Verbindungen C10, C17 und C19 gesendet werden.
-
Für die Gewährung eines
Zugriffs verarbeitet die Verarbeitungseinheit PP1 das erste Ticket
gemäß der Erfindung
und gewährt
einen Zugriff auf die Daten, die sich auf den Identitätsträgeridentifikator
beziehen, in dem Datenlager DP1 gemäß der ersten Zugriffsspezifikation.
Für eine
Leseerlaubnis kann die Verarbeitungseinheit PP1 die ersten Daten
aus dem Datenlager DP1 über
die Verbindung C16 erlangen und eine Meldung, welche die erlangten
Daten enthält, über die
Sendeeinheit TP1 und über
die Empfangseinheit RR2 an die Verarbeitungseinheit PR1 über die
Verbindungen C15, C13 und C09 senden. Gleichermaßen kann die Zugriffsgewährung für das zweite
Ticket durch die Verarbeitungseinheit PP2 und das Datenlager DP2
und die Sendeeinheit TP2 und die Empfangseinheit RR3 und die Verbindungen
C21, C20, C18 und C11 erreicht werden, was zum Senden der zweiten
Daten aus der zweiten datenbereitstellenden Entität IPE2 zu
der datenanfordernden Entität
IRE führt.
-
Auf
der Grundlage der bereitgestellten ersten und zweiten Daten, die
sich auf den Identitätsträger beziehen,
kann die datenanfordernde Entität
IRE den Dienst ausführen,
der von der Identitätsträgerentität UE angefordert
wurde, zum Beispiel durch Verwenden der Sendeeinheit TR1 und der
Empfangseinheit RU1 und der Verbindungen C06, C04 und C03 für einen
Datenaustausch von der Verarbeitungseinheit PR1 zu der Verarbeitungseinheit
PU1 und durch Verwenden der Sendeeinheit TU1 und der Empfangseinheit
RR1 und der Ver bindungen C02, C05 und C07 zum Datenaustausch von
der Verarbeitungseinheit PU1 zu der Verarbeitungseinheit PR1.
-
Das
Beispiel für
die Geräte
und Verbindungen zum Implementieren des Verfahrens ist nur eines
von vielen möglichen
Beispielen. Zum Beispiel können
mehr als zwei datenbereitstellende Entitäten für eine Zugriffsgewährung adressiert
werden, indem mehr als zwei verschlüsselte Zugriffgewährungstickets
erzeugt und übermittelt
werden. Anstatt drei Sendeeinheiten TR1, TR2 und TR3 zu verwenden,
ist es auch möglich,
nur eine oder zwei Sendeeinheiten zu verwenden. Das gleiche gilt
für die
Empfangseinheiten RR1, RR2 und RR3. Die Sendeeinheiten TR1, TR2
und TR3 und die Empfangseinheiten RR1, RR2 und RR3 können in
einer der in mehreren Empfangseinheiten integriert sein. Gleichermaßen können die
Empfangseinheit RU1 und die Sendeeinheit TU1 in einer Sender-Empfänger-Einheit
integriert sein, was auch für
die jeweiligen Einheiten für
die erste datenbereitstellende Entität IPE1 und die zweite datenbereitstellende
Entität
IPE2 gilt. Des Weiteren kann die datenanfordernde Entität IRE ein
Datenlager zum Speichern zugegriffener Daten oder Tickets oder Teile
davon umfassen. Zwei oder mehr der beteiligten Entitäten können, obgleich
sie in 3 als separate Geräte dargestellt sind, auf einer
gemeinsamen Plattform, zum Beispiel auf einem gemeinsamen Server,
realisiert werden. Weitere Beispiele für die beteiligten Geräte sind
die Identitätsträgerentität in Form
eines Mobiltelefons oder eines Personalcomputers und die datenanfordernde
Entität
IRE in Form eines Servers eines Service-Providers im Internet und die datenbereitstellenden
Entitäten
IPE1, IPE2 in Form weiterer Server von weiteren Service-Providern
oder Knoten in einem Kommunikationsnetz. Weitere Entitäten wie
Router können
zwischen einer Identitätsträgerentität, einer
datenanfordernden Entität
IRE und/oder datenbereitstellenden Entitäten angeordnet werden. Die
Verbindungen können
verdrahtet oder drahtlos oder Kombinationen davon sein. Eine Verbindung,
die zum Senden einer Meldung von einer ersten Entität zu einer
zweiten Entität
in einer Richtung verwendet wird, kann identisch mit – oder verschieden
von – einer
Verbindung sein, die zum Senden einer Meldung von der zweiten Entität zu der
ersten Entität
verwendet wird. Eine Benutzerentität kann Tickets an mehrere datenanfordernden
Entitäten
senden.
-
Daten,
die sich auf einen Identitätsträger beziehen,
werden praktisch durch eine Vielzahl verschiedener Entitäten erfasst,
gespeichert und verarbeitet. Die vorliegende Erfindung widmet sich
diesen verteilten Aspekten und stellt eine Lösung für das Ermöglichen eines Zugriffs auf
Daten die sich auf einen Identitätsträger beziehen,
bereit, die über
viele Entitäten
verteilt sind. Überdies
kann der Identitätsträger die
Kontrolle behalten und kann anhand von Zugriffgewährungstickets
entscheiden, wer auf welche Daten zugreifen darf und in welchem
Umfang. Des Weiteren ist das erfindungsgemäße Verfahren in einer offenen
Netzwerkumgebung dank der Verschlüsselung sicher. Das Verfahren
bietet Vertraulichkeit, Privatsphäre und Sicherheit, wodurch
die Akzeptanz des Verfahrens erhöht
wird. Außerdem
entspricht die durch den Identitätsträger ausgeübte Kontrolle den
rechtlichen Vorgaben. Des Weiteren kann eine große Anzahl datenbereitstellender
Entitäten
verwendet werden, um einer datenanfordernden Entität einen
Zugriff auf Daten, die sich auf den Identitätsträger beziehen, zu gewähren, weil
der Identitätsträger auf
keine datenbereitstellende Entität
zuzugreifen braucht.