对用户进行认证的方法和系统的制作方法

专利名称：对用户进行认证的方法和系统的制作方法
对用户进行认证的方法和系统
本发明涉及一种在数据处理系统中对用户进行认证的方法和系统。尤 其是，本发明用于在货币交易装置上对用户进行认证。在数据处理系统 中，尤其是在作为货币交易装置的组成部分的数据处理系统中，不得不考 虑很多安全性方法的问题，以确保未被授权的人不能对这些数据处理系统 进行操作。特别是，应当可靠地阻止用户在未被授权的情况下从一移动存 储介质向该数据处理系统，以及从该数据处理系统向一与其连接的移动存 储介质传送数据，尤其是程序数据。
在货币交易装置中，出于安全性原因，最好是可以阻止未被授权的用 户传输该种数据，以满足对保护数据的需求和防止篡改。尤其是，已知的 货币交易装置可以是自助服务系统，其包括大量的电子组件。这些组件包 含于，例如，取款单元，键盘，读写器卡中，以及其他外围设备中。这些 单独的组件通过通讯接口和数据线与该货币交易装置的数据处理系统建立 连接。每个这些组件处理和生成数据，尤其是操作协议，路经数据和错误 信息。通常，这些数据存储在该数据处理系统的非易失性存储区中，尤其 是存储在该数据处理系统的硬盘中。由于各种原因，这样在进一步的数据 处理系统上，尤其是在位于该货币交易装置的制造商中心的数据处理系统 上，处理和分析这些数据是有用的。对这些数据的分析，例如，可以在 服务技术员的便携式电脑上借助相应的软件得以实现。如此，借助插拔式
闪存，例如具有USB接口的闪存，所谓的USB记忆棒，从该货币交易装置 的数据处理系统向进一步的数据处理系统，例如服务技术员的便携式电 脑，传输数据是不可避免的。所以，有关的数据就被从该货币交易装置的 数据处理系统中复制或者转移到该插拔式闪存的存储区内。然而，鉴于传 统的数据处理系统，该种数据传送没有采取保护措施，使得每个进入到该货币交易装置的数据处理系统的操作者均可复制这些数据。据此，不能排 除对这些数据的误用。进一步地，当将存储在插拔式闪存的存储区内的数 据传送到该货币交易装置的数据处理系统中时，同样应当确保仅有被授权 的用户才允许传送这种数据。当使用其它移动存储介质代替该插拔式闪存 时存在同样的问题。为了在数据处理系统中授予更进一步的用户权限，则 需要对用户进行可靠的认证，以授予该用户预置的用户权限。这些用户权 限尤其是可以阻止能够改变该货币交易装置的与安全性相关的设置的，或 者使得该货币交易装置以一些其它的方式进行操作和/或者能够影响该货 币交易装置的安全操作的应用程序的执行。
本发明的目的是说明一种用于认证用户的系统和方法，通过该系统和 方法，可以顺利地和可靠地对用户进行认证。
通过具有权利要求1所述技术特征的系统和具有权利要求18所述技 术特征的方法实现该目的。在从属权利要求中给出本发明的有利扩展。
通过具有权利要求1所述技术特征的系统和具有权利要求18所述技 术特征的方法，可以轻易地实现在数据处理系统中为操作者，如服务技术 员，分配预置的用户权限，以及对该操作者作为该用户群的用户进行可靠 的认证。据此，不会为未被授权的操作者提供尤其是与安全相关的操作功 能。通过关联证书和为识别移动储存介质所设的识别码，用户认证与分配 给该证书的移动存储介质的出现结合起来。这在用户认证中提供了相对较 高的可靠性，使得有效阻止未被授权的用户进入与安全相关的功能。作为 一种移动存储介质，可以使用普通的成本效益高的具有所需识别信息的移 动存储介质，如USB记忆棒和/或者移动硬盘。因而，该移动存储介质无 需具有执行管理数字证书，生成随机数以及伪随机数和加密随机数和数据的管理程序的控制器。所以，对于本发明，使用简单的成本效益高的存储 有识别数据和证书的无控制器移动存储介质，如简单的大容量存储器，已 经足够。
在本发明的一种扩展中，对用户进行识别和对已识别用户进行认证， 在数据处理系统中为该用户和/或者为该用户所分至的用户群预置用户权 限，通过对该用户进行认证为其激活用户权限。如此，用户的识别同样可 以借助为识别移动存储介质所设的识别码和/或者借助存储在该移动存储 介质的存储区内的数字证书进行确认。
优选地，该证书为属性证书，通过证书授权中心将作为属性使用的该 认证码和/或者可以通过该数据处理系统的用户界面输入的一密码与一份 证书关联。该属性证书优选地涉及属性或者，相应地，各种属性，以及涉 及一种更进一步的证书。
进一步地，在该移动存储介质的存储区内存储作为一种识别码的制造 商识别码和序列号识别码是有利的。该制造商识别码和序列号识别码优选 地作为该证书的属性。
该证书优选地具有预定的有效期，该有效期届满，证书变为无效，并 不再被该数据处理系统接受。可以通过该数据处理系统检验该证书的真实 性以及该证书的有效期，在得到成功的检验之后，该用户被认证。由此， 尤其是可以有效阻止因认证用户对该移动存储介质进行永久的误用。
借助该证书，可以证明该用户的不对称密钥对的公钥，据此，对可 以通过该密钥对的私钥进行解密的数据进行加密。优选地，借助在发送前 已得到证明的公钥对从该数据处理系统发送至该移动存储介质的数据进行 加密。在一种优选地实施方式中，该数据处理系统是货币交易装置的一部 分，该货币交易装置优选地为存款机，取款机，现金回收机，自动现金保 险箱，自动现金系统和/或者收银系统。
该移动存储介质优选地是外部硬盘和/或者外部闪存，该移动存储介 质通过数据线并优选地通过标1准接口与该数据处理系统建立连接。该标
准接口优选地是USB接口 ，该闪存优选地是存储卡和/或者插拔式USB存 储器。由此，为了认证用户，可以使用具有足够大存储容量的移动存储介 质，以存储从该数据处理系统发送至该移动存储介质的大量数据，以及用 于从该移动存储介质向该数据处理系统发送大量数据。以该种方式，可以 安全地传送用于对该操作系统和/或者该数据处理系统的应用软件进行系 统更新的数据。
在本发明的另一优选的实施方式中，只有在认证用户成功之后，才可 能从该数据处理系统向该移动存储介质发送数据和/或者进一步地从该移 动存储介质向该数据处理系统发送数据。由此，如果没有进行用于允许各 个数据传送的用户认证，则数据的传送将被禁止。由此，可以保证的是， 未被授权的操作者不能从该数据处理系统向该移动存储介质发送与安全相 关的数据，以及不能将不需要的数据，尤其是有害的程序代码，如病毒， 从该移动存储介质发送至该数据处理系统。
可以在初始化过程中创建该证书，并将该证书存储在该移动存储介质 的存储区内。优选地，该证书依照一种数字证书的标准进行创建，尤其是 依照X. 509标准。该X. 509标准在本申请申请日时的可用版本为第三版。
优选地，在该移动存储介质的生产过程中，由制造商将移动存储介质 的一个识别码或者，多个识别码以只读数据的形式存储在该移动存储介质的存储区内，以后不能对其进行更改。该证书同样可以在该种不能再被改 变的存储区内以只读数据的形式进行存储或者，可选地，优选是将该证书 存储在移动存储介质的可进一步重写的存储区内，该存储区是可重写的， 可以在其内进一步地存储数据。在该种优选的实施方式中，其中，该证书 的数据存储在该移动储存介质的可进一步重写的存储区内，由于现存的证 书可以被擦除，并可以被新的证书替换，因此可以以简单的方式对该证书 进行更新。
该属性证书可以通过数据处理系统授权用户执行至少一种应用程序。 为此，尤其是该应用程序或者另外的程序模块可以检验发明的用户认证是 否完成了相应的用户授权，和/或者当程序开始时，是否引起为授权而进 行的用户认证。
通过本发明，只有在对操作者或者登陆的用户的授权检验结果是肯定 的，才能激活和/或者执行应用软件的与安全相关的功能或者与安全相关 的应用软件。总之，通过本发明增加对数据的保护程度和数据的安全性。
可以通过与所说明的对该认证用户的系统进行扩展的方式的相同方 式，对认证用户的方法进行扩展，尤其是通过独立权利要求所述的技术特 征进行扩展。
下面的内容可以说明本发明的进一步的技术特征和有益之处，参照所 附的附图，在关于一种实施方式的更多细节中解释本发明。


图1示出了用于认证用户的组件的结构图2示出了为用户在USB记忆棒上请求、创建和存储证书的流程； 图3示出了对存储在USB记忆棒上的证书进行校验的流程；图l中说明了一种用于认证用户的系统的结构图，借助该系统，可以
依靠存储在USB记忆棒12上的证书14，通过数据处理系统将服务技术员 认证为"技术员"用户群的一个用户。该USB记忆棒12通过数据线16 与该数据处理系统18的USB接口 20建立连接。该数据处理系统18借助 程序模块提供依据证书标准X. 509的证书服务器22。该证书服务器22可 以访问存储有多个证书25的非易失性存储区24，例如硬盘存储区。借助 该多个证书25，可以检验存储在不同USB记忆棒中，USB硬盘或者其它 USB移动存储介质中的不同的证书。尤其是，该非易失性存储区24包括至 少一个与存储在USB记忆棒12中的证书14相关的证书25。
该服务技术员通过图形用户界面起动至少一种服务和业务应用程序 26。该服务和业务应用程序以文本字段的形式向CSC-W32 API程序模块 28传递一个定义的请求，该CSC-W32 API程序模块28为该服务和业务应 用程序26，以及更进一步的程序提供应用接口。该CSC-W32 API程序模块 28是一个客户端，其通过至少一个插口 (socket)连接30利用该X.509 证书服务器22的服务。该CSC-W32 API程序模块28将该服务和业务应用 程序26的请求以一个请求的形式向该证书服务器22转送。
基于该请求，该证书服务器22检验当前的登陆用户是否能够作为该 用户群"技术员"的用户得到认证，该证书服务器22借助存储在非易失 性存储区24中的证书25检验连接在该数据处理系统18的USB接口中的 USB记忆棒12的证书14是否有效，以及认证该用户实际上是否为该用户 群"技术员"的有效用户。如果该证书服务器22的检验结果是与该USB 记忆棒12的序列号相关的证书14，以及该服务技术员通过该数据处理系 统18的用户界面输入的可选择的密码能够认证该用户，则该证书服务器 22向CSC-W32 API程序模块28传送用户认证成功，以及该服务和业务应用程序26可被进一步处理或者，相应地，可以激活由该服务和业务应用程序26提供的与安全相关的功能的信息。假定为无效的证书14或者，相应地，用户认证不成功，则该证书服务器22针对该CSC-W32 API程序模块28的请求创建相应的响应，结果分别引起检验的对服务和业务应用程序26作进一步处理或者，对应地，提供与安全相关的功能的操作将不会被激活。
图2中举例说明为用户请求、创建和储存证书14，以私人化和激活该USB记忆棒12的流程。相同的组件采用相同的参考标记进行标识。与参照图l进行的说明一样，该证书14用于通过数据处理系统18，以及更进一步的数据处理系统对用户进行认证。借助针对特定用户，例如所提及的服务技术员，的客户-服务器-应用程序对该USB记忆棒12进行私人化。在未说明的预处理步骤中，必须在注册中心请求注册。该注册中心可以由，例如包含该数据处理系统18的货币交易装置的制造商提供。
注册请求由证书授权中心通过管理行为人工地进行处理，并将该注册请求与网络上的新用户的激活相比较。该申请人作为一位用户在数据库中得到注册。该申请人通过，例如e-mail或者电话，提出请求。可选地，当将为其完成授权激活服务和业务应用程序和/或者其它与安全相关的程序和/或者功能的服务技术员被雇佣和/或者服务技术员或者其他用户被新注册时，可通过一程序模块自动地创建该请求。之后，检验为认证所提出的该请求。如果必要，将通过打电话或者e-mail进行沟通，以确保该请求真实地来自于相应的服务技术员。随后，检验是否能够为申请人，也就是该服务技术员，授予所期望的用户权限。可选地或者附加地，适当的用户权限是基于该公司内该服务技术员的职位和他/或她的职能自动确定的，然后，为该服务技术员分配这些用户权限，而且由一证书对用户权限进行确认。优选地，为该服务技术员分配预置的用户组"技术员"的普通用户权限和，如果必要，更进一步的用户权限。
当检验该请求时，如果决定接受该申请人的这个请求，并且将为他/她分配相应的用户权限，则在数据库中创建一个主数据记录，以及通过一数据库条目使能认证所需要的认证程序。该主数据记录和该认证程序均可以用来为相应的服务技术员生成进一步的证书。
图2示出了该服务技术员的通讯设备40，该证书授权中心的作为前端42进行服务的呼叫中心与为待认证用户和已认证用户建立的数据库44之间进行通讯的流程。在步骤SO中，向该数据库发送优选地几个技术员的识别信息，该识别信息包括存储在数据文件中和包含分配给该相应技术员的信息的链表。借助该识别信息，能够识别那些可以为其颁发证书14的服务技术员。该链表可以以，例如通过软件程序微软Excel制作的表格，的形式进行存储，并可以被该数据库44导入。
在步骤S1中，该服务技术员进行一次请求，通过该请求他/她请求认证并对一个所期望的用户角色或者借助识别数据所预置的用户角色进行申请。如果该服务技术员成为该群中的一员，则该用户角色与分配给用户群的用户权限相对应。通常，该用户角色与分配给相应用户(服务技术员)的用户权限相对应。该数据库44为被导入的链表的每个链表条目创建一个单独的数据记录。在步骤Sl. 1中，该前端42向数据库44发出一个请求，请求为该服务技术员创建的该数据记录，并从该数据库中将该数据记录读出。
在步骤Sl.l. l中，该服务技术员的认证是通过，例如，请求认证码，例如是他/她的出生日期，来确定的。进一步地，步骤S1.1.2中激活分配给该服务技术员的权限。然后，该前端42创建一个验证码(vc)。将该验证码加入在数据库44中的该服务技术员的数据记录中。该验证码可以是，例如，在该服务技术员的数据记录的基础上形成的加密值。随后，在步骤S1.2中，将该数据记录和/或者该数据记录的修改数据写入数据库44。在步骤S1.3中，将该验证码发送给该服务技术员。这可以通过，例如，电话或者数据传输，尤其是e-mail完成。可选地，也可以通过信件发送该验证码。在后面的时间节点处将需要该验证码，以对该用户作进一步的认证，尤其是在后面的时间节点处请求一个或者多个证书。在步骤S1.3.1中，该服务技术员记录下该验证码或者，分别地，为进一步的处理而存储该验证码。
图3中说明了创建和传送用户证书的流程。认证客户端应用程序48在例如是台式机或者笔记本电脑上执行，借助该认证客户端应用程序在认证服务器46处请求证书。客户端应用程序可以通过例如网络，如企业内部互联网或者因特网，传送给该台式机或者笔记本电脑，借助该客户端应用程序请求证书。该客户端应用程序在这台计算机上执行。如果必要，该客户端应用程序在执行之前即被安装在该计算机中，并且根据操作系统所需的组件进行适当的注册。优选地，该种客户端应用程序具有如下功能
-生成RSA密钥对
-私人化移动存储介质
-为后私人化提供进一步的功能
-更改密码例如，该客户端应用程序也可以是基于浏览器的和/或者是与平台无
关的Java应用程序。
该认证服务器46通过数据连接与该数据库44进行通讯。也可以借助一个单独的数据处理系统，通过不同的软件应用程序提供该认证服务器46和数据库44。
在步骤A1中，通过该客户端应用程序为该服务技术员生成一密钥对。随后，该客户端应用程序48在步骤A2中创建一个认证请求。为了创建该请求，移动存储介质，优选为该服务技术员的USB记忆棒12，连接至执行该认证客户端应用程序48的数据处理系统。该认证客户端应用程序48读取该移动存储介质的序列号及优选的该移动存储介质的制造商ID，并将其结合到该认证请求中。进一步地，由该服务技术员确定一同样也被结合到该认证请求中的密码。在步骤A3中，将该认证请求从该认证客户端应用程序48发送至认证服务器46，该认证服务器46为即将为其创建证书的技术员加载数据记录。基于该存储在数据库44中的关于该服务技术员的信息，在步骤A3. 1. 1中，该认证服务器46依照存储在数据库44中的授权信息为该服务技术员创建证书14。在步骤A3. 1. 1中，该认证服务器46创建一属性证书，该USB记忆棒的序列号，该USB记忆棒的制造商ID码，该服务技术员的密码和/或者生物特征数据作为创建该属性证书的特征。创建的属性证书在数据处理系统上，例如在执行该客户端认证程序48的数据处理系统上，或者在货币交易装置的数据处理系统上，确定该服务技术员的用户权限。进一步地，通过该用户权限，可以确定对用于起动和执行某些应用程序和/或者与安全相关的功能的授权，正如根据图l所进行的详细说明。优选地，如图2所描述的，该认证请求也包括先前已发送给该技术员的验证码。可选地，可以在认证客户端应用程序48和认证服务器46之间单独传送该验证码。在步骤A3.2中，在数据库44内的该服务技术员的数据记录中记录一个相应的证书已经被创建。优选地，该服务技术员的全部数据记录被重新写入该数据库44中。
在步骤A3. 3中，将创建的证书从该认证服务器46发送至认证客户端应用程序48。该认证客户端应用程序48将该证书写入与执行该认证客户端应用程序48的数据处理系统的USB接口连接的USB记忆棒12的储存区中。该属性证书优选地具有过期日期，该过期日期包含在于步骤A3. 1.1中创建的证书内。
在创建该证书之后，在数据库44中存储与该申请人，即该服务技术员有关的信息、经批准的用户权限或者用户角色、该证书本身，该USB记忆棒12的序列号和/或者该证书的当前状态。该状态可以，例如，被"请求"，"发行"或者"撤销"。该认证客户端应用程序48和认证服务器应用程序46均可具有用户图形界面。该服务器进一步地具有如下功能
-管理密钥存储和至少一个路由证书
-管理用户
-处理认证请求
-在数据库44中记录认证过程
优选地，至少将在步骤A1中生成的该密钥对的公钥，与该证书请求一起，或者在一次独立的传输中，发送至该认证服务器42。可将被发送的密钥本身分配给该用户或者可将其存储在该数据库44的密钥存储区中或 者存储在该认证服务器46的存储区中。
该数据处理系统18的服务和业务应用程序26可以提供仅当用户得到 认证时才能执行的功能，将使用该功能所需的用户权限，也就是特定的用 户角色，分别给该用户。
优选地，该移动存储介质同样可以用来以所谓分组的形式自动地获取 由该数据处理系统18创建的记录和路径数据。据此，可以保证的是，出 于评估的目的，所有必要的记录和路径数据均被复制到该移动存储介质 中。借助存储在该移动存储介质中的证书，以及该移动存储介质的识别信 息，可以自动地检验及触发对复制的授权和复制操作本身。
尤其是，只有当该移动储存介质中存储有有效的证书，该证书对一用 户具有此种读写操作授权进行认证时才允许对该移动储存介质进行读写操 作。出于安全的原因，不会允许其它的对该移动存储介质进行读写操作的 可能性。
进一步地，服务和应用程序的程序数据可以存储在该移动存储介质 上，优选地，该数据处理系统18只有当移动存储介质上存储有有效的证 书时才能执行上述数据，上述证书与该移动存储介质的识别信息共同确认 对这些读写操作的授权。
如果将数据存储在该移动存储介质上，则优选地对这些数据进行压縮 和/或者将这些数据存储在受保护的数据文件中。优选地，借助RSA密钥 对的公钥，以加密的形式存储该数据。在存储的数据文件的文件名中，优选地，可以包括具有数据处理系统
18的货币交易装置的序列号。该数据处理系统18尤其可以是合适的个人 计算机和/或者合适的控制单元。
数据库44优选为SQL数据库，该数据库44中针对每个待认证的用户 和/或者已认证的用户存储了名称、地址、公司、部门、电话号码、e-mail地址、移动存储介质的序列号、分配的证书、证书的有效期、联系 人，数据和状态。优选地，同样要获得个人数据的历史记录，使得改变的 内容也可以及时在后面的节点处得以体现。鉴于如下事件，该数据库44 和/或者该认证服务器46生成一条信息，尤其是该数据库44和/或者该认 证服务器46自动地创建一条e-mail:
-并就到来请的求发送至证书授权中心；
-并在邀请他/她获取该证书的请求被激活后发送至申请人， ，
-并在个人证书失效之前发生至申请人，作为请求延长和/或者请 求新证书的参考；以及
-并当可获得新的和/或者被延长时限的证书时发送至申请人。
在X.509标准的属性证书中，通过关联该移动储存介质的序列号，该 移动存储介质的制造商ID和/或者自由可选的密码，可以使用成本效益相 对较高的标准移动存储介质，如USB移动存储介质，对用户进行认证。借 助该种用户认证，可以增加对数据的保护程度和数据的安全性。
18
权利要求
1.一种用于对用户进行认证的系统，包括移动存储介质(12)，该移动存储介质(12)包括至少一个存储有用于识别该移动存储介质(12)的识别数据的存储区，在该存储区中或者该移动存储介质(12)的另外的存储区中存储有数字证书(14)的数据，数据处理系统(18)，该数据处理系统(18)通过数据传输连接与该移动存储介质(12)建立连接，该识别数据和数字证书(14)的数据从该移动存储介质(12)发送至该数据处理系统(18)，以及该数据处理系统(18)处理该识别数据和该数字证书的数据，并对用户进行认证。
2. 根据权利要求1所述的系统，其特征在于对该用户进行识别和对已 识别用户进行认证，为该用户和/或者该用户所分至的用户群预置权 限，通过认证用户为其激活该预置的权限。
3. 根据上述权利要求之一所述的系统，其特征在于通过输入用户名， 通过该移动存储介质(12)的序列号和/或者该证书(14)识别该用 户。
4. 根据上述权利要求之一所述的系统，其特征在于该证书(14)为属 性证书，其中，通过证书授权中心(44， 46)将作为属性使用的该识 别数据和/或者密码与证书(14)关联，该属性证书优选地涉及属性或 者，相应地，各种属性，以及涉及一种更进一步的证书。
5. 根据上述权利要求之一所述的系统，其特征在于该数据处理系统(18)检验该证书(14)的有效期和/或者该证书(14)的真实性。
6. 根据上述权利要求之一所述的系统，其特征在于借助该证书(14)对该用户的不对称密钥对的公钥进行认证，借助该公钥能通过该密钥 对的私钥能够对已经加密地数据进行解密，最好借助已认证的公钥以 加密的形式将该数据从数据处理系统发送至移动存储介质。
7. 根据上述权利要求之一所述的系统，其特征在于该移动存储介质(12)的存储区中存储有作为识别数据的制造商识别数据和序列号信 息码，该制造商识别数据和该序列号信息码优选地作为该证书(14)的属性。
8. 根据上述权利要求之一所述的系统，其特征在于该数据处理系统(18)为一货币交易装置的组成部分，该货币交易装置优选地为存款机，取款机，现金回收机，自动现金保险箱，自动现金系统和/或者收 银系统。
9. 根据上述权利要求之一所述的系统，其特征在于该证书(14)具有固定的有效期，该证书(14)的有效期届满，证书变为无效，并不再被该数据处理系统接受。
10. 根据根据上述权利要求之一所述的系统，其特征在于该移动存储介质(12)为外部硬盘和/或者外部闪存，该移动存储介质(12)通过数 据线，优选地通过标准接口 (20),与该数据处理系统建立连接，该 标准接口 (20)优选地是USB接口，以及该闪存优选地是存储卡和/或 者插拔式USB存储器。
11. 根据上述权利要求之一所述的系统，其特征在于只有在对用户的认 证成功之后，才可能从该数据处理系统(18)向该移动存储介质(12)发送数据和/或者进一步从该移动存储介质(12)向该数据处理 系统(18)发送数据。
12. 根据上述权利要求之一所述的系统，其特征在于在初始化过程中创建该证书，并将该证书存储在该移动存储介质的该存储区和另外的存储区内。
13. 根据上述权利要求之一所述的系统，其特征在于该证书(14)依照一种数字证书的标准进行创建，优选是依照X. 509标准，尤其是 X.509标准的当前第三版。
14. 根据上述权利要求之一所述的系统，其特征在于该识别数据由制造 商在该移动存储介质的生产过程中以只读数据的形式存储在该移动存 储介质(12)的存储区内，以后不能对其进行更改，该证书的数据存 储在移动存储介质(12)的可进一步重写的存储区内，该存储区内可 进一步存储数据。
15. 根据上述权利要求之一所述的系统，其特征在于该属性证书通过数 据处理系统授权用户执行至少一种应用程序(26)。
16. 根据上述权利要求之一所述的系统，其特征在于:该数据处理系统(18)检验该用户是否得到了对激活该数据处理系统(18)的程序提 供的功能的授权，只有得到成功的检验后，该数据处理系统(18)才 能激活和/或者执行该功能。
17. 根据上述权利要求之一所述的系统，其特征在于认证中心处理对认 证的请求，并检验该请求，在检验结果是确实的情况下开始认证过 程。
18. —种对用户进行认证的方法，其中，在移动存储介质(12)的至少一个存储区内存储用于识别该移 动存储介质(12)的识别数据，在该存储区中或者在该移动存储介质(12)的另外的存储区中存储数 字证书(14)的数据，从该移动存储介质(12)的该存储区中读取该识别数据和该数字证书 的数据，并将该识别数据和该数字证书的数据通过数据传输连接发送至数 据处理系统(18)，以及其中，借助该数据处理系统(18)，为认证该用户对该识别数据和该 数字证书(14)的数据进行处理及使用。
全文摘要
本发明涉及一种对用户进行认证的系统和方法。移动存储介质(12)具有至少一个存储有用于识别该移动存储介质(12)的识别数据的存储区，在该存储区中或者该移动存储介质(12)的另外的存储区中存储有数字证书(14)的数据。进一步地，提供通过数据传输连接与该移动存储介质(12)建立连接的数据处理系统(18)。该识别数据和该数字证书(14)的数据从该移动存储介质发送至该数据处理系统(18)。该数据处理系统(18)处理该识别数据和该数字证书的数据，并对用户进行认证。
文档编号G06F21/34GK101669125SQ200880013691
公开日2010年3月10日 申请日期2008年4月24日 优先权日2007年4月25日
发明者迈克尔·诺尔特, 马可·布鲁姆 申请人:德利多富国际有限责任公司