专利名称:从id标记卡读取属性的方法
技术领域:
本发明涉及一种从ID标记卡(ID-Token,或称身份标记卡)读取至少一个属性 (Attribut)的方法、相关的计算机程序产品、ID标记卡及计算机系统。
背景技术:
现有技术已经公开了多种用于管理所谓的用户数字身份的方法。微软的CardSpace (卡片空间)是一个以客户为基础的数字身份系统,其目的是允 许互联网用户将他们的数字身份与在线服务进行交流。除了其它缺点之外,其一个缺点就 是,用户能够篡改他的数字身份。与此相反,OPENID是一个以服务器为基础的系统。所谓的身份服务器存储了一个 数据库,其具有注册用户的数字身份。除了其它缺点之外,其一个缺点就是,数据保护不充 分,因为用户的数字身份集中存储,并且用户的行为可以被记录。美国专利申请2007/0294431A1公开了一种管理数字身份的方法,其同样需要用
户注册。
发明内容
与此相反,本发明的目的是提供一种用于读取至少一个属性的改进方法、一种合 适的计算机程序产品、一种ID标记卡及一种计算机系统。本发明的目的可分别由独立权利中记载的技术方案来实现;而从属权利要求中则 给出了本发明的优选实施方式。根据本发明,其提供了一种用于读取存储在ID标记卡中至少一个属性的方法,其 中,ID标记卡被分配给一用户。该方法包括如下步骤在ID标记卡上验证用户;在ID标记 卡上验证第一计算机系统;在ID标记卡上成功地验证用户与第一计算机系统之后,第一计 算机系统对存储在ID标记卡中的至少一个属性进行读取,以将该至少一个属性传送至第 二计算机系统。这需要提供一个“信任支柱(Vertrauensanker) ”。本发明允许通过第一计算机系统读取存储在ID标记卡中的一个或多个属性,其 中,ID标记卡与第一计算机系统之间的连接是可以通过网络建立的,特别是通过互联网。该 至少一个属性是与分配了 ID标记卡的用户的身份标识,特别是用户的数字身份。例如,第 一计算机系统读取属性“姓”、“名”、“地址”,以将这些属性转发至第二计算机系统,如在线 服务。然而,例如,也可能只读取一个单一属性,其不是用来确认用户身份,而是例如检 查用户对于使用一特定在线服务的授权,如用户想要使用的在线服务是提供给特定年龄群 的,则需要检查使用者的年龄,或者是另一种属性,该属性表示使用者属于授权使用在线服 务的特定组群。ID标记卡可以是一种便携式电子设备,如所谓的USB记忆棒,或者可以是一种文 件(Document,或称证件),特别是有价文件或安全文件。
4
根据本发明,文件可以理解为纸制和/或塑胶制文件,如身份文件,特别是护照、 身份证、签证、驾驶证、车辆登记证、车辆登记文件、企业执照、健康卡及其它ID文件,还有 芯片卡、支付手段特别是银行卡和信用卡、货运单证或其它权利凭证,其内置了用于存储至 少一个属性的数据存储器。因此,本发明的实施方式具有特别的优点,因为该至少一个属性是从一特别值得 信赖的文件如官方文件中读取的;其另外的一个优点就是不需要对属性进行集中存储。因 此,本发明对于在与数字身份相关的属性的交换中,可以实现一个特别高的信任水平,同时 具有极其方便处理的、最佳的数据保护。根据本发明一实施方式,第一计算机系统至少具有一个证书,用于在ID标记卡上 验证自己。该证书包括如下属性的说明,这些属性指出第一计算机系统具有读取授权。ID 标记卡使用这些证书,在第一计算机系统进行读取之前,验证第一计算机系统对于读取的 属性是否具有所必需的授权。根据本发明一实施方式,第一计算机系统将从ID标记卡读取的该至少一个属性 直接发送至第二计算机系统。例如,第二计算机系统可以是提供在线服务或者其它服务的 服务器,如银行服务,或者是订购产品。例如,用户可以在线开一个账户,而包含了用户身份 的属性,可以从第一计算机系统传送至银行的第二计算机系统。根据本发明一实施方式,从ID标记卡读取的属性首先从第一计算机系统传送至 第三计算机系统,即用户的计算机系统。例如,第三计算机系统具有一常规的互联网浏览 器,利用互联网浏览器,用户可以打开第二计算机系统的一个网页。用户能够在该网页输入 对于产品或服务的订购或请求。然后,第二计算机系统指定一些属性,例如用户或其ID标记卡的某些属性,这些 属性是提供服务或接纳订购所必需的。然后,包含了这些属性说明的相应的属性清单,被从 第二计算机系统发送至第一计算机系统。这个过程可以有,也可以没有第三计算机系统的 中间连接。在后者的情况中,用户能够向第二计算机系统指定想要的第一计算机系统,例 如,通过第三计算机系统在第二计算机系统的网页中输入第一计算机系统的URL(网址)。根据本发明一实施方式,用户向第二计算机系统的服务请求包括对于标识符的说 明,其中,该标识符识别确定第一计算机系统。例如,该标识符是一个网址,如第一计算机系 统的网址。根据本发明一实施方式,属性清单不是直接从第二计算机系统发送至第一计算机 系统,而是先从第二计算机系统发送至第三计算机系统。该第三计算机系统具有一系列预 定义的配置数据记录(Konfigurations-datensatz),其中第三计算机具有一系列预定义的 配置数据记录,每个配置数据记录指定了一个属性的子集、至少一个数据源(Datenquelle) 及从一组第一计算机系统中指定一第一计算机系统,其中,属性清单首先从第二计算机系 统传送至第三计算机系统,使得借助第三计算机系统来选择至少一个配置数据记录,用于 详细说明属性子集,该属性子集包括属性清单中列明的至少一个属性,且第三计算机系统 接着将属性清单转发至第一计算机系统,且与ID标记卡的连接是通过选定的配置数据记 录中的数据源之标识的指定来建立。根据本发明一实施方式,从ID标记卡读取的属性,由第一计算机系统标记 (signiert,签字),然后传送至第三计算机系统。因此,第三计算机系统的用户能够读取这
5些属性,但是不能修改它们。只有当用户放行了,这些属性才能够从第三计算机系统转发至 第二计算机系统。根据本发明一实施方式,在属性转发之前,用户能够通过进一步的数据来补充该 属性。根据本发明一实施方式,第一计算机系统具有一系列不同权限的证书。基于属性 清单的接受,第一计算机系统可以选择一个或多个证书,以从ID标记卡或一系列不同的ID 标记卡中读取相关的属性。根据本发明一实施方式,第三计算机系统至少具有一个配置数据记录,其针对通 过网络来自第三计算机系统的更多属性的请求,指定外部的数据源。根据本发明一实施方式,在至少一个属性从ID标记卡读取后,且第三计算机系统 已经接收到来自第一计算机系统的该至少一个属性后,可以请求更多的属性,其中该请求 包括该至少一个属性。另一方面,本发明涉及一种计算机程序产品,特别是数字的存储介质,其具有完成 本发明方法的可执行的程序指令。再一方面,本发明涉及一种ID标记卡,其具有受保护的存储区域以存储至少一 个属性;在ID标记卡上验证被分配了 ID标记卡的用户的手段;在ID标记卡上验证第一计 算机系统的手段;与第一计算机系统建立受保护的连接的手段,通过该连接第一计算机系 统可以读取至少一个属性,其中,第一计算机系统从ID标记卡读取至少一个属性的先决条 件是,用户及第一计算机系统在ID标记卡上验证成功。除了第一计算机系统在ID标记卡上验证之外,例如可以是众所周知的机读旅 行证件(MRTD)的、由国际民航组织(ICAO)指定的“扩展访问控制(Extended Access Control) ”,用户还必须在ID标记卡上验证自己。例如,用户在ID标记卡上验证成功后,激 活了 ID标记卡,使得可以进行下一步的步骤,也即在ID标记卡上验证第一计算机系统,和 /或建立用于读取属性的受保护的连接。根据本发明一实施方式,ID标记卡具有端到端力卩密 (Ende-zu-Ende-Verschluesselung)的手段。这使得可以通过用户的第三计算机系统,在 ID标记卡与第一计算机系统之间建立连接,因为端到端加密的方式,用户不能对通过该连 接传送的数据作出任何修改。又一方面,本发明涉及第一计算机系统,其具有计算机系统,该计算机系统具有 通过网络接收属性清单的手段,其中,该属性清单指定至少一个属性;在ID标记卡上进行 验证的手段;通过受保护的连接从ID标记卡读取至少一个属性的手段,其中读取该至少一 个属性的先决条件是,被分配了 ID标记卡的用户已经在ID标记卡上验证了自己。根据本发明一实施方式,第一计算机系统可以包括向用户产生请求的手段。例如, 当第一计算机系统接收到来自第二计算机系统的属性清单后,它向用户的第三计算机系统 发出一个请求,使得用户被要求在ID标记卡上验证自己。当用户在ID标记卡上验证成功 后,第一计算机系统从第三计算机系统接收到确认。然后,第一计算机系统在ID标记卡上 验证自己,并借助端到端加密的方式,在ID标记卡与第一计算机系统之间建立一个安全的 连接。根据本发明一实施方式,第一计算机系统可以具有一系列分别指定不同读取权限的证书。在接受到属性清单后,第一计算机系统从这些证书中选择至少一个,其具有足够的 读取权限,以读取指定的属性。根据本发明第一计算机系统的实施方式,其具有特别的优点,因为它们与需要用 户在ID标记卡上验证相结合,对于用户非伪造的数字身份形成了一个信任支柱。此处的一 个独特优势是,用户不需要在计算机系统进行预先注册,也不需要将形成数字身份的用户 的属性放入中央存储器重。根据本发明一实施方式,第一计算机系统可以接收与属性清单一起的、第二计算 机系统之标识符。借助该标识符,计算机系统可以识别第二计算机系统,其希望利用该识别 服务,并为此服务而命令第二计算机系统。根据本发明一实施方式,计算机系统是官方认证的信用中心,特别是与数字签字 技术相符合的信用中心。下面借助附图,来详细地描述本发明的优选实施方式。其中
图1显示了根据本发明之计算机系统的第一实施方式的模块图。图2显示了根据本发明之方法的实施方式的流程图。图3显示了根据本发明之计算机系统的另一实施方式的模块图。图4显示了根据本发明之方法的另一实施方式的UML图。
具体实施例方式图1显示了用户102的用户计算机系统100。该用户计算机系统100可以是个人 电脑、便携式电脑(如笔记本电脑或掌上电脑)、个人电子记事本、移动通信设备特别是智 能手机、或者类似的设备。用户计算机系统100具有一接口 104,用于与具有相应接口 108 的ID标记卡106进行通讯。用户计算机系统100至少具有一用于执行程序指令112的处理器110、以及一通过 网络116进行通讯的网络接口 114。该网络可以是电脑网络,如互联网。ID标记卡106具有电子存储器118,其具有受保护的存储区域120、122及124。受 保护的存储区域120用于存储一参数值(Referenzwert),该参数值是在ID标记卡106上验 证用户102所必需的。例如,该参数值是一识别符,特别是所谓的个人识别码(PIN),或者是 能够用于在ID标记卡106上验证用户的用户102之生物特征的基准数据。受保护的区域122用于存储私钥,受保护的区域124用于存储属性,例如用户102 的属性,如其名字、居所、出生日期、性别和/或关于ID标记卡本身的属性,如ID标记卡的 制作或发行机构、ID标记卡的有效期或ID标记卡的标识符,如护照号码或信用卡号码。电子存储器118还可以具有一用于存储证书的存储区域126。该证书包括一公 钥,该公钥分配给存储在受保护存储区域122中的私钥。该证书可以是基于公钥基础设施 (PKI)标准如X. 509标准而生成的证书。该证书不是必须要存储在ID标记卡106的电子存储器118中。此外,该证书还可 以存储在公共目录服务器中。ID标记卡106具有一处理器128。该处理器128用于执行程序指令130、132及
7134。程序指令130用于用户验证,也就是,在ID标记卡上验证用户102。在一使用PIN(个人识别码)的实施方式中,用户102将其PIN输入,以在ID标记 卡106中验证自己,例如通过用户计算机系统100。然后,执行程序指令,进入受保护区域 120,将输入的PIN与存储在此的PIN的参数值进行比对。如果输入的PIN与PIN的参数值 匹配,用户102就视作通过了验证。另外,可以获得用户102的生物特征。例如,ID标记卡106为此目的而具有指纹 传感器,或者指纹传感器连接于用户计算机系统100。在此实施方式中,从用户102获得的 生物特征数据,将通过执行程序指令130,而与存储在受保护的存储区域120中的生物特征 基准数据进行比对。如果在从用户102获得的生物特征数据与生物特征基准数据有足够的 匹配,则用户102就视作已经验证。程序指令134用于执行关于ID标记卡106的密码协议的步骤,以在ID标记卡106 上验证ID供应商计算机系统136。密码协议可以是一个基于对称密钥或非对称密钥对的口 令 / 应答协议(Challenge-Response-Protokoll)。例如,密码协议keyi实现了一扩展的访问控制方法,如国际民航组织(ICAO)指定 的机读旅行证件(MRTD)中那样。通过密码协议的成功执行,可以在ID标记卡上验证ID供 应商计算机系统136,从而证明其读取存储在受保护存储区域124中的属性的读取授权。身 份验证还可以是互相的,也就是,ID标记卡106也必需基于相同的或不同的密码协议而在 ID供应商计算机系统136中验证自己。程序指令132用于在ID标记卡与ID供应商计算机系统136间传送的数据的端到 端加密,至少是通过ID供应商计算机系统从受保护的存储区域124读取的属性的端到端加 密。例如,为了端到端加密,可以使用对称密钥,该对称密钥是在ID标记卡106与ID供应 商计算机系统136之间执行密码协议时达成的。作为图1所显示实施方式的一个选择性方案,用户计算机系统100所使用的接口 104可以不是直接与接口 108连接,而是通过一个连接于接口 104的、用于ID标记卡106的 阅读器。通过该阅读器,如被称为2级芯片卡终端的阅读器,还能够用于输入PIN。ID供应商计算机系统136具有通过网络116进行通讯的网络接口 138。ID供应商 计算机系统136还具有存储器140,其存储了 ID供应商计算机系统136之私钥142及相应 的证书144。例如,该证书可以是基于PKI标准如X. 509的证书。ID供应商计算机系统136还至少具有一个用于执行程序指令146与148的处理 器145。通过执行程序指令146,而可以执行关于ID供应商计算机系统136的密码协议的 步骤。因此,通过由ID标记卡106的处理器128执行程序指令134,以及通过由ID供应商 计算机系统136的处理器145执行程序指令146,来执行密码协议。程序指令148用于在ID供应商计算机系统136上执行端到端加密,例如基于对 称密钥,而该对称密钥是在ID标记卡106与ID供应商计算机系统136之间执行密码协 议时达成的。原则上,可以使用任何已知的方法,达成端到端加密所使用的对称密钥,如 Diffie-Hellman 密钥交换。ID供应商计算机系统136优选处在一个受特别保护的环境中,特别是在所谓的信 用中心,使得ID供应商计算机系统136,与用户102在ID标记卡上所必需的验证相结合,而 形成了从ID标记卡106所读取属性之验证的信任支柱。
服务计算机系统150设计成能够针对一种服务或者产品进行订购或委托,特别是 在线服务。例如,用户102能够通过网络116在银行开一个账户或者使用其它金融或银行 服务。例如,服务计算机系统150还可以是网上商店,使得用户102能够购买移动电话或者 类似的东西。另外,服务计算机系统150还可以设计成提供数字内容,如下载音乐数据和/ 或视频数据。为此,服务计算机系统150具有一用于连接至网络116的网络接口 152。另外,服 务计算机系统150具有至少一个用于执行程序指令156的处理器154。例如,通过执行程序 指令156,产生动态的HTML页面,用户能够使用这些页面输入其委托或订购。取决于委托或订购的产品或服务的性质,服务计算机系统150根据一个或多个预 设的标准,来检查用户102和/或其ID标记卡106的一个或多个属性。只有通过了检查, 来自用户102的订购或委托才可以执行。例如,通过相关合同开设一银行账户或购买一移动电话,就要求用户102必须向 服务计算机系统150表明身份,并且需要对该身份进行检查。例如,在现有技术中,用户102 必须通过提交身份证来这样做。这个过程可以由从用户ID标记卡106中读取用户102的 数字身份来替代。然而,根据不同的应用场合,用户102不必向服务计算机系统150表明身份,而是 需要一个能够足以进行交流的属性。例如,用户102能够使用属性中的一个,来证明他属于 一个特别的组群,该组群已经授权可以访问服务计算机系统150,下载准备好的数据。例如, 这样的标准可以是用户102的最小年龄,或者是用户102在某一圈子的会员资格,该圈子对 于特别的秘密数据具有访问授权。为了使用服务计算机系统150所提供的服务,将进行如下的过程1、在ID标记卡106上验证用户102。用户102在ID标记卡106上验证自己。在使用PIN的执行中,用户102通过用户 计算机系统100或者与之相连的芯片卡终端输入其PIN来执行。然后,通过执行程序指令 130,ID标记卡106检查输入的PIN的正确性。如果输入的PIN与存储在受保护的存储区域 120中的PIN的参数值匹配,用户102就视为已经通过验证。如上所述,如果利用用户102 的生物特征来进行验证,其过程是相似的。2、在ID标记卡106上验证ID供应商计算机系统136。为此,通过用户计算机系统100与网络116,在ID标记卡106与ID供应商计算机 系统136之间,建立一个连接。例如,ID供应商计算机系统136通过该连接传送它的证书 丄姑至〗!)标记卡106。然后,程序指令134产生所谓的口令,也就是一随机号码。该随机 号码通过使用证书144中的ID供应商计算机系统136的公钥进行加密。由此产生的密码 (Chiffrat)通过该连接,从ID标记卡106传送至ID供应商计算机系统136。ID供应商计 算机系统136使用私钥142解密该密码,并以这种方式获得随机号码。ID供应商计算机系 统136通过该连接将该随机号码返回至ID标记卡106。通过执行程序指令134,验证从ID 供应商计算机系统136接收的随机号码与开始生成的随机号码,也就是口令,是否匹配。如 果匹配,就视为已经在ID标记卡106上验证了 ID供应商计算机系统136。随机号码可以作 为终端对终端加密的对称密钥。3、当用户102在ID标记卡106上成功验证后,而且ID供应商计算机系统136在ID标记卡106上也成功验证后,则ID供应商计算机系统136就拥有了读取存储在受保护的 存储区域124的一个、多个或所有属性的读取授权。基于ID供应商计算机系统136通过该 连接向ID标记卡106所发送的相关的读取命令,所请求的属性就从受保护的存储区域124 中被读取,并通过运行程序指令132进行加密。加密的属性通过该连接传送至ID供应商计 算机系统136,在此通过执行程序指令148进行解密。这样,ID供应商计算机系统136获得 了从ID标记卡所读取属性的信息。借助证书144,这些属性通过ID供应商计算机系统而得到签注(签字),并通过用 户计算机系统100或者直接传送至服务计算机系统150。这样,服务计算机系统150被告知 了从ID标记卡106所读取的属性,而使得服务计算机系统150能够使用预先确定的一个或 多个标准来检查这些属性,从而可能为用户102提供所请求的服务。必须在ID标记卡106上验证用户102,及必须在ID标记卡106上验证ID供应商 计算机系统,这提供了必需的信任支柱,使得服务计算机系统150能够确定,通过ID供应商 计算机系统136向其传达的用户102的属性是正确的,而不是伪造的。根据不同的实施方式,验证的顺序可能不同。例如,可以规定首先是用户102在ID 标记卡106上验证自己,然后是ID供应商计算机系统136的验证。然而,原则上还可以首 先是ID供应商计算机系统136在ID标记卡106上验证自己,然后是用户102的验证。例如,在第一种情况下ID标记卡106是如此设计的,其通过用户102输入正确的 PIN或正确的生物特征来解锁。只有实现这种解锁,才允许启动程序指令132及134,从而 验证ID供应商计算机系统136。在第二种情况下,可以在用户102还没有在ID标记卡106验证自己时,就启动程 序指令132及134。在这种情况下,例如,程序指令134是如此设置的,直到程序指令130已 经签注用户102成功验证之后,ID供应商计算机系统136才能对受保护的存储区域124进 行读取,以读取一个或多个属性。在电子商务及电子政务应用方面利用ID标记卡106有特别的优势,而且由于必须 在ID标记卡上验证用户102与ID供应商计算机系统而形成信任支柱,从而没有媒介之干 扰,而使权利更安全。还有一个特别的优势是,不需要集中存储不同用户102的属性,这意 味着现有技术中的数据保护问题在此得到解决。至于方法应用的便捷性,也是一个值得考 虑的优点,即为了使用ID供应商计算机系统136,用户102不必预先登记。图2显示了根据本发明方法的一实施方式。在步骤200中,服务请求从用户计算 机系统发送至服务计算机系统。例如,用户通过启动用户计算机系统上的浏览器,并输入一 URL以访问服务计算机系统的一个网页。然后,用户向访问的网页输入其服务请求,例如,针 对服务或产品的订购或委托。然后,在步骤202中,服务计算机系统150指定所必须的一个或多个属性,以检查 用户对于服务请求的权利。特别地,服务计算机系统应指定能够确定用户102数字身份的 属性。这种通过服务计算机系统150进行的属性的指定,可以是预先确定的,也可以根据服 务请求,通过服务计算机系统150按设定的规则来确定。在步骤204中,属性清单,也就是在步骤202中指定的一个或多个属性,被从服务 计算机系统直接或通过用户计算机系统,传送至ID供应商计算机系统。在步骤206中,为了给ID供应商计算机系统提供从ID标记卡读取属性的机会,用
10户要在ID标记卡上验证自己。在步骤208中,在ID标记卡与ID供应商计算机系统间建立了一连接。该连接优 选为一个受保护的连接,如基于所谓的安全信息传递方法。在步骤210中,ID供应商计算机系统至少要通过步骤208中建立的连接,在ID标 记卡上进行验证。另外,还可以在ID供应商计算机系统上验证ID标记卡。当用户与ID供应商计算机系统都已经成功地在ID标记卡上进行了验证后,就通 过ID标记卡为ID供应商计算机系统提供读取属性的授权。在步骤212中,ID供应商计算 机系统发送一个或多个读取命令,以读取来自ID标记卡的属性清单中所必需的属性。然 后,这些属性通过受保护的连接,借助端到端加密,传送至ID供应商计算机系统,并在此解
滋
Γ t [ O在步骤214中,这些读取的属性值,通过ID供应商计算机系统进行签注。在步骤 216中,ID供应商计算机系统通过网络发送已签注的属性值。这些签注的属性值直接或通 过用户计算机系统到达服务计算机系统。在后一种情况中,用户有机会识别签注的属性值 和/或通过进一步的数据进行补充。可以考虑,签注的属性值,也许只有当用户从用户计算 机系统中放行后,才能同补充的数据继续传送至服务计算机系统。这在从ID供应商计算机 系统发送至服务计算机系统的属性方面,给用户提供了最大可能的透明度。图3显示了根据本发明另一实施方式的ID标记卡与计算机系统。在图3的实施 方式中,ID标记卡106是一个文件的形式,如带有集成电路的纸制和/或塑胶制文件(证 件),其形成有接口 108、存储器118及处理器128。例如,集成电路可以是所谓的无线标签, 还可以叫做射频标签(RFID-标签)或RFID。另外,接口 108可以设置为接触式接口或者双 模接口。特别地,文件106可以是一个有价文件或者安全文件,如机读旅行证件、电子护 照、电子身份证或者可以是支付手段,如信用卡。在此处所考虑的实施方式中,受保护的存储区域124储存了属性i,其中
然后假设,没有任何一般性质的限制,图3中所示例的ID标记卡106是一电子 身份证。例如,属性i = 1是姓、属性i = 2是名、属性i = 3是地址及属性i = 4是出生
曰期等等。在此处所考虑的实施方式中,用户计算机系统100的接口 104可以是RFID阅读器 的形式,其可以是用户计算机系统的组成部分,或者也可以是一与其相连的单独元件。用户102可以支配一个或多个设计上基本相同的ID标记卡,例如ID标记卡106’
是一信用卡。用户计算机系统100可以储存一系列配置数据记录158、160.......每一配置数
据记录为一组特定属性指定数据源和ID供应商计算机系统,该ID供应商计算机系统能够 读取指定的数据源。在此实施方式中,用户计算机系统100能够使用网络116,连接不同的
ID供应商计算机系统136、136’........这些系统可以属于不同的信用中心。例如,ID供
应商计算机系统136属于信用中心A,而结构上基本相同的ID供应商计算机系统136’属于 另外一个信用中心B。配置数据记录158,也叫做ID容器(ID-Container),定义了用于属性i = 1至i =4的属性组。这些属性分别分配了数据源“身份证”,也就是ID标记卡106,也分别分配了信用中心A,也就是与他们相连的ID供应商计算机系统136。例如,后者在配置数据记录 158中可以指定为URL的形式。与此相对,配置数据记录116中定义了一组属性I、II及III。这些属性的数据源都 指定了相应的信用卡,也就是ID标记卡106’。ID标记卡106’具有一受保护区域124’,其 存储了属性I、II及III。例如,属性I可以是信用卡持有者的名字、属性II可以是信用卡号 码、属性III可以是信用卡的有效期等等。在配置数据记录160中,指定信用中心B的ID供应商计算机系统136’作为ID用 户计算机系统。作为图3所示实施方式的替代方式,可以是在这些相同的配置数据记录中,对于 不同的属性指定不同的数据源和/或不同ID供应商计算机系统。在图3所示实施方式中,ID供应商计算机系统136、136’......中的每个可能具
有各自的多个证书。例如,如图3所示,ID供应商计算机系统136的存储器140,储存了多个证书,如分 别具有相应私钥142. 1及142. 2的证书144. 1及144. 2。在证书144. 1中,通过属性i = 1 至i = 4,对ID供应商计算机系统136的读取权利进行定义,而在证书144. 2中,通过属性 I至III,对读取权利进行定义。为了通过服务计算机系统150使用服务,首先用户102要向用户计算机系统100 进行一个输入162,例如,为了想要的服务,向服务计算机系统150上的一网页中输入其请 求。该服务请求164通过网络116由用户计算机系统100传送至服务计算机系统150。然 后,该服务计算机系统150反映出属性清单166,也就是指定服务计算机系统150要求的那 些,用于处理来自用户102的服务请求164的属性。例如,属性清单能够以属性名称的形式 做出,如“姓”、“名”、“地址”、“信用卡号码”。属性清单166的回执,通过用户计算机系统100显示给用户102。然后,用户102
能够选择一个或多个配置数据记录158、160......,其能够根据属性清单166分别定义包
含属性的属性组,至少是一个子集。例如,如果属性清单166仅仅要求用户102姓、名及地址,用户102能够选择配置 数据记录158。相反地,如果在属性清单166中补充指定了信用卡号码,用户102能够补充 选择配置数据记录160。这个过程还能够由用户计算机系统100全部自动地进行,例如通过 执行程序指令112。然后,首先假设只有一个配置数据记录,如配置数据记录158,其是基于属性清单 166选定的。然后,用户计算机系统100向选定的配置数据记录中指示的ID供应商计算机系统 发送一请求168,如信用中心A的ID供应商计算机系统136。请求168根据属性清单166, 包含一个关于属性的报告(Angabe),其需要通过ID供应商计算机系统136,从配置数据记 录158中指示的数据源读取。然后,ID供应商计算机系统136选择一个或多个具有读取属性所需的读取权利的 证书。例如,如果属性i = 1至3是从身份证读取,ID供应商计算机系统136因此选择定 义了所需权利的证书144. 1。这种证书的选择是通过程序指令149的执行来进行的。然后,开始执行密码协议。例如,ID供应商计算机系统136为此向用户计算机系统
12100发送一个回复。然后用户计算机系统100要求用户102在指定的数据源上验证自己,也 就是,在ID标记卡上验证自己。然后,用户102把其标记卡,也就是ID标记卡106,放入RFID阅读器104的范围 内,并输入PIN,以验证自己。用户102在ID标记卡106上成功验证,解锁了密码协议的执 行,也就是程序指令134的执行。接着,ID供应商计算机系统136使用选定的证书144. 1在 ID标记卡106上验证它自己,如使用口令/应答的方式。这种验证还可以是相互的。随着 ID供应商计算机系统136在ID标记卡106上验证成功,ID供应商计算机系统136向用户 计算机系统100发送一用于读取必要的属性的读取请求,并且后者通过RFID阅读器向ID 标记卡106转发该请求。ID标记卡106使用证书144. 1以检查ID供应商计算机系统136 是否有必要的读取权利。如果有,所需的属性就从受保护的存储区域124中读取,并借助端 到端加密的方式,通过用户计算机系统100传送至ID供应商计算机系统。然后,ID供应商计算机系统136通过网络116向服务计算机系统150发送一回复 170,其包括已经读取的属性。该回复170数字签注了证书144. 1。此外,ID供应商计算机系统136向用户计算机系统100发送回复170。然后,提供 给用户102机会阅读回复170中包含的属性,并决定他是否希望向服务计算机系统150转 发这些属性。仅仅当用户102向用户计算机系统100输入一个放行命令时,然后回复170 才会转发至服务计算机系统150。在此实施方式中,用户102还可能向回复170增加进一步 的数据。如果涉及多个ID供应商计算机系统136、136’......,来自ID供应商计算机系统
的个别的回复能够通过用户计算机系统100结合成一个单独的回复,其包括了所有根据属 性清单166而来的属性,然后,该回复从用户计算机系统100传送至服务计算机系统150。根据本发明一实施方式,用户102在服务请求164的情形下,能够向服务计算机系 统150公开一个或多个其属性,如通过网络116向服务计算机系统传送用户的属性,作为服 务请求164的一部分。特别地,用户102能够向服务计算机系统150上的网页中输入该属 性。然后,通过回复170确认这些属性的有效性,也就是,服务计算机系统150能够通过ID 供应商电脑,将从用户102接收到的属性与从ID标记卡106读取的属性进行比对,并检查 他们是否匹配。根据本发明进一步的实施方式,还可能在属性清单166中至少指示一个更进一步 的属性,该属性没有存储在用户102的一个ID标记卡上,但是可以从一外部信息源那里请 求。例如,这种方式是关于用户102的信誉的属性。为此,用户计算机系统100可以包括另 外的配置数据记录161,其包括对于属性A如信誉的数据源与ID供应商计算机系统的报告。 数据源可以是一网上信用机构,如联邦德国信贷风险保护协会、Dim& Bradstreet或者类似 的机构。例如,ID供应商计算机系统指示了一个信用中心C,如图3所示。在此情况下,数 据源可以定位于信用中心C中。为了请求属性A,用户计算机系统100向信用中心C,也就是ID供应商计算机系统 136”,发送相应的请求(图3中未示出)。然后,信用中心提交属性A,其是用户计算机系统 100转发给服务计算机系统150的属性以及从用户102的ID标记卡中已读取的其它属性。优选地,例如,在关于用户102数字身份的属性已经从用户102的ID标记卡得到 请求,并且通过用户计算机系统100接收了签注的回复170之后,属性A才得到请求。通过
13用户计算机系统100、而从ID供应商计算机系统136”请求的属性A,其请求包括签注的回 复170,使得ID供应商计算机系统136”关于用户102的身份具有可靠的信息。图4显示了根据本发明方法的另外实施方式。通过用户102向用户系统100的用 户输入,用户102在服务计算机系统上指定了其需要的服务。例如,这可通过访问服务计算 机系统上的网页并选择其提供的一个服务来达到。来自用户102的服务请求从用户计算机 系统100传送至服务计算机系统150。服务计算机系统150通过一个属性清单对服务请求做出回复,也就是,例如属性 名称的清单。当该属性清单被接收后,用户计算机系统100请求用户102在ID标记卡106 上验证他自己,例如通过输入请求的方式。然后,用户102在ID标记卡106上验证他自己,例如通过输入其PIN。随着验证成 功,属性清单从用户计算机系统100转发至ID供应商计算机系统。然后,后者在ID标记卡 上验证自己,并根据属性清单向ID标记卡发送一用于读取属性的读取请求。假设之前的用户102与ID供应商计算机系统136的验证成功,ID标记卡以想要 的属性对读取请求做出回复。ID供应商计算机系统136签注该属性,并将已签注的属性发 送至用户计算机系统100。随着用户102的放行,然后,该已签注的属性传送至服务计算机 系统150,然后,其提供需要的服务。附图标记清单
100用户计算机系统
102用户
104接口
106ID标识卡
108接口
110处理器
112程序指令
114网络接口
116网络
118电子存储器
120受保护的存储区域
122受保护的存储区域
124受保护的存储区域
126存储区域
128处理器
130程序指令
132程序指令
134程序指令
136ID供应商计算机系统
138网络接口
140存储器
142私钥
144证书
145处理器
146程序指令
148程序指令
149程序指令
150服务计算机系统
152网络接口
154处理器
156程序指令
158配置数据记录
160配置数据记录
161配置数据记录
162用户输入
164服务请求
166属性清单
168请求
170回复
权利要求
一种用于读取至少一个存储在ID标记卡(106,106’)中的属性的方法,其中,所述的ID标记卡分配给用户(102),其具有如下步骤在所述的ID标记卡上验证用户;在所述的ID标记卡上验证第一计算机系统(136);随着在所述ID标记卡上成功验证了所述的用户与所述的第一计算机系统,所述的第一计算机系统对存储在所述的ID标记卡中的至少一个属性进行读取,以将签注后的该至少一个属性传送至第二计算机系统(150)。
2.如权利要求1所述的方法,其中,在所述ID标记卡上验证所述第一计算机系统是借 助所述第一计算机系统的证书(144)进行的,其中,所述的证书包括对于存储在所述ID标 记卡中属性的指示,以用于授权所述第一计算机系统进行读取。
3.如权利要求2所述的方法,其中,所述的ID标记卡借助所述的证书,验证所第一计算 机系统对于所述至少一个属性进行读取的授权。
4.如权利要求1-3之一所述的方法,其进一步包括如下的步骤通过所述的第一计算机系统,对来自所述ID标记卡的至少一个属性进行签注;将所述的已签注的属性从所述第一计算机系统传送至第二计算机系统;
5.如权利要求4所述的方法,其进一步包括如下的步骤从第三计算机系统(100)发送请求(164)至所述的第二计算机系统;通过所述的第二计算机系统指定一个或多个属性;从所述的第二计算机系统将属性清单(166)发送至所述的第一计算机系统;其中,所述的第一计算机系统进行读取,以从所述ID标记卡中读取一个或多个在所述 属性清单中指定的属性。
6.如权利要求5所述的方法,其中,所述的请求(164)包括通过所述第二计算机系统识 别所述第一计算机系统的识标符,其中,从所述第二计算机系统将所述属性清单传送至所 述第一计算机系统时,没有第三计算机系统的参与。
7.如权利要求5所述的方法,其中,所述的第三计算机系统具有多个预定义的配置数据记录(158、160.......),其中,每个配置数据记录指定了一个属性子集,其至少有一个数据源及来自第一计算机系统组(136、136’.......)的一个第一计算机系统;其中,所述的属性清单首先从所述第二计算机系统传送至所述第三计算机系统,使得借助于所述第三 计算机系统,选择至少一个配置数据记录,用于指定一属性子集,该属性子集包括所述属性 清单中指定的至少一个属性;其中,所述的第三计算机系统将所述属性清单转发至所述第 一计算机系统;其中,在所述第一计算机系统与所述的ID标记卡之间的连接由所述的第三 计算机系统建立,其中,所述的ID标记卡被所选定的配置数据记录中的数据源的指示所指 定。
8.如前述权利要求之一所述的方法,其中,从所述ID标记卡中读取的所述至少一个属 性,从所述第一计算机系统发送至第三计算机系统,并随着用户的放行,从所述第三计算机 系统转发至所述的第二计算机系统。
9.如权利要求8所述的方法,其中,所述的用户在所述属性转发至所述的第二计算机 系统之前,对其进一步补充数据。
10.如前述权利要求之一所述的方法,其中,所述第一计算机系统具有不同读取权限的多个证书(144. 1 ; 144. 2),其中,所述的第一计算机系统根据接收的所述属性清单,选择至 少一个证书,该证书具有用于读取所述属性清单中指定的属性的足够读取权限。
11.如前述权利要求之一所述的方法,其中,第三计算机系统具有至少一个配置数据记 录(161),其通过网络(116),从所述第三计算机系统指定用于请求进一步属性(A)的外部 数据源。
12.如权利要求11所述的方法,其中,所述的进一步属性的请求,是在所述至少一个属 性从所述ID标记卡读取之后、以及在所述第三计算机系统从所述第一计算机系统接收到 已签注的所述至少一个属性之后而进行的,所述的请求包括已签注的所述至少一个属性。
13.一种具有能够由计算机系统执行的指令的计算机程序产品,以完成前述权利要求 之一所述的方法。
14.一种ID标记卡,其具有用于存储至少一个属性的受保护的存储区域(124);在所述ID标记卡上验证分配了该ID标记卡之用户(102)的手段(120、130);在所述ID标记卡上验证第一计算机系统(136)的手段(134);建立受保护的、与所述第一计算机系统之连接的手段,其中,所述第一计算机系统能够 使用该连接读取所述的至少一个属性;其中,通过所述第一计算机系统从所述ID标记卡中读取所述至少一个属性的先决条 件是,所述用户及所述第一计算机系统在所述ID标记卡上进行了成功地验证。
15.如权利要求14所述的ID标记卡,其具有用于所述连接的端到端加密的手段,以保 护向所述第一计算机系统传送所述至少一个属性。
16.如权利要求14或15所述的ID标记卡,其中,该ID标记卡是一个电子设备,特别是 USB记忆棒或文件,特别是有价文件或安全文件。
17.一种计算机系统,其具有通过网络(116)接收属性清单(166)的手段(138),其中,所述属性清单指定了至少一 个属性;在ID标记卡(106)上进行验证的手段(142、144、146);通过受保护的连接从所述ID标记卡读取至少一个属性的手段;其中,读取所述至少一个属性的先决条件是,在所述ID标记卡上,成功地验证了分配 了该ID标记卡之用户与所述的计算机系统。
18.如权利要求17所述的计算机系统,其具有基于接收所述属性清单而向所述用户产 生请求的手段,以在所述ID标记卡上验证该用户。
19.如权利要求17或18所述的计算机系统,其中,所述的手段(138)设计成用于从第 二计算机系统接收所述属性清单,而且借助手段(138),将从所述ID标记卡中读取的至少 一个属性发送至第三计算机系统(100),以转发至所述第二计算机系统。
20.如权利要求17-19之一所述的计算机系统,其具有用于签注所述至少一个属性的 手段,其中,签注的属性将被发送。
21.如权利要求17-20之一所述的计算机系统,其具有多个不同读取权限的证书 (144. 1 ; 144. 2),其中,所述的计算机系统是如此设计的,其根据接收的所述属性清单,选择 至少一个证书,该证书具有足够的读取权限,以读取所述属性清单中指定的属性。
全文摘要
本发明提供了一种用于读取存储在ID标记卡(106、106′)中至少一个属性的方法,其中,ID标记卡被指派给一用户。该方法包括如下步骤在ID标记卡上验证用户;在ID标记卡上验证第一计算机系统;在ID标记卡上成功验证了用户与第一计算机系统后,第一计算机系统读取存储在ID标记卡中的至少一个属性,以将该至少一个属性传送至第二计算机系统。
文档编号G06Q20/00GK101918954SQ200880125201
公开日2010年12月15日 申请日期2008年11月13日 优先权日2008年1月16日
发明者曼弗雷德·皮斯达, 法兰克·毕赛奥, 法兰克·迪特里克 申请人:联邦印刷有限公司