ES2573692T3 - Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático - Google Patents
Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático Download PDFInfo
- Publication number
- ES2573692T3 ES2573692T3 ES09782622.6T ES09782622T ES2573692T3 ES 2573692 T3 ES2573692 T3 ES 2573692T3 ES 09782622 T ES09782622 T ES 09782622T ES 2573692 T3 ES2573692 T3 ES 2573692T3
- Authority
- ES
- Spain
- Prior art keywords
- computer system
- card
- data
- connection
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Procedimiento para el almacenamiento de datos con las siguientes etapas: - establecimiento de una primera conexión (101) entre una primera ficha de ID (106) y un primer sistema informático (136) a través de un segundo sistema informático (100) para la lectura de al menos un primer atributo de la primera ficha de ID, - establecimiento de una segunda conexión (103) entre una segunda ficha de ID (107) y el primer sistema informático a través del segundo sistema informático para la lectura de al menos un segundo atributo de la segunda ficha de ID, - envío de los primeros y segundos atributos por el primer sistema informático a un tercer sistema informático (150), - recepción de los datos del tercer sistema informático por el primer sistema informático, - escritura de los datos del primer sistema informático en la segunda ficha de ID a través de la segunda conexión para almacenar los datos en la segunda ficha de ID, siendo un prerrequisito para la escritura de los datos que también siga existiendo la primera conexión, en el que en cuanto a la primera y segunda conexiones se trata, respectivamente, de conexiones con cifrado de extremo a extremo y con un protocolo orientado a la conexión.
Description
5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Procedimiento para el almacenamiento de datos, producto de programa informatico, ficha de ID y sistema informatico
La invencion se refiere a un procedimiento para el almacenamiento de datos, un producto de programa informatico, una ficha de ID, en particular un documento de valor o de seguridad, asf como un sistema informatico.
Por el estado de la tecnica son conocidos diferentes procedimientos para la gestion de la llamada identidad digital de un usuario.
Windows CardSpace de Microsoft es un sistema de identidad digital basado en cliente, que debe permitir a los usuarios de Internet comunicar su identidad digital frente a servicios en lmea. Un inconveniente del mismo es, entre otras cosas, que el usuario puede manipular su identidad digital.
OPENID es, por el contrario, un sistema basado en servidor. Un denominado servidor de identidad almacena una base de datos con las identidades digitales de los usuarios registrados. En este caso es desfavorable, entre otras cosas, que se trata de una proteccion pobre de los datos, ya que las identidades digitales de los usuarios son almacenadas de forma central y el comportamiento del usuario se puede grabar.
Por el documento US 2007/0294431 A1 es conocido otro procedimiento para la gestion de las identidades digitales que requiere igualmente un registro del usuario.
En la solicitud de patente DE 2008 000067.1-31 no publicada en el momento de la solicitud de la misma solicitante, se da a conocer un procedimiento para la lectura de al menos un atributo almacenado en una ficha de ID, en el que se requiere tanto una autenticacion del usuario como de un sistema informatico con respecto a la ficha de ID para permitir un acceso de lectura a un atributo almacenado en la ficha de ID, de manera que este puede ser reenviado a un sistema informatico para proporcionar un servicio.
Por el documento US 2003/0023858 A1 es conocido un procedimiento para la generacion de un conjunto de datos que sirva como pasaporte electronico. El conjunto de datos es descargado por un usuario y almacenado, por ejemplo, en un telefono movil.
Por el documento EP 1802155 es conocido un procedimiento para la autenticacion de un usuario. El procedimiento incluye el envfo de una demanda de autenticacion a un aparato de autenticacion, asf como la generacion de una primera informacion de autenticacion. Un aparato movil del usuario recibe esta informacion y en funcion de la primera informacion de autenticacion genera una segunda informacion de autenticacion. La segunda informacion de autenticacion es enviada al aparato de autenticacion y validada. En caso de una validacion con exito es generada una senal de autenticacion.
Por el documento US 2005/071282 A es conocido un sistema y un procedimiento correspondiente para posibilitar transacciones seguras a traves de una red informatica que impide el robo de identidad en ordenadores que no sean dignos de confianza. Un ordenador cliente unido a la red proporciona una interfaz de usuario para un usuario, asf como una conexion segura para la transmision de informaciones de confianza del usuario a un ordenador servidor.
Por el documento US 2008/083827 A1 es conocido un procedimiento de seguridad para su uso en un terminal de comunicacion. El procedimiento incluye las etapas de proporcionar una primera tarjeta, la combinacion de la primera tarjeta con una segunda tarjeta para formar una tarjeta doble, la inicializacion de la primera o segunda tarjeta, asf como una etapa de verificacion que sirve para que la tarjeta doble sea desactivada cuando de la etapa de verificacion resulte que, por ejemplo, la primera o la segunda tarjeta fue sustituida por otra.
Frente a esto, la invencion se propone el objeto de conseguir un procedimiento mejorado para el almacenamiento de datos, asf como un producto de programa informatico correspondiente, una ficha de ID y un sistema informatico.
Los objetos que se propone la invencion se llevan a cabo, respectivamente, con las caractensticas de las reivindicaciones independientes. Formas de realizacion de la invencion se especifican en las reivindicaciones dependientes.
Segun formas de realizacion de la invencion se consigue un procedimiento para el almacenamiento de datos. Se establece una primera conexion entre una primera ficha de ID y un primer sistema informatico a traves de un segundo sistema informatico. En cuanto al primer sistema informatico puede tratarse de un sistema informatico servidor, que en lo sucesivo sera denominado tambien sistema informatico proveedor de ID, y que esta conectado al segundo sistema informatico a traves de una red, por ejemplo Internet. En cuanto al segundo sistema informatico puede tratarse de un ordenador personal (PC) de un usuario, que en lo sucesivo sera denominado tambien sistema informatico de usuario. Por el primer sistema informatico es lefdo al menos un primer atributo de la primera ficha de ID a traves de la primera conexion.
5
10
15
20
25
30
35
40
45
50
55
60
Ademas es establecida una segunda conexion entre una segunda ficha de ID y el primer sistema informatico a traves del segundo sistema informatico, para leer por lo menos un segundo atributo de la segunda ficha de ID. Para ello, el segundo sistema informatico puede recibir del primer sistema informatico una orden, segun la cual debe ser establecida una conexion, respectivamente, para la primera y segunda fichas de ID, esto es, debe tener lugar una llamada sesion multiple. De esta forma se evita que el segundo sistema informatico interrumpa la primera conexion, despues de que hayan sido lefdos los primeros atributos de la primera ficha de ID.
Los primeros y segundos atributos son enviados por el primer sistema informatico a un tercer sistema informatico. En cuanto al tercer sistema informatico puede tratarse de un sistema informatico servidor, que esta conectado al primer y/o al segundo sistema informatico a traves de la red. En cuanto al tercer sistema informatico puede tratarse de un sistema informatico servidor de un proveedor de servicios, que en lo sucesivo es denominado tambien sistema informatico de servicio. Preferentemente, los primeros y segundos atributos del primer sistema informatico son firmados digitalmente antes del reenvm al tercer sistema informatico, de modo que el tercer sistema informatico puede comprobar la fiabilidad de los primeros y segundos atributos.
Preferentemente, los primeros atributos del primer sistema informatico son reenviados al tercer sistema informatico inmediatamente despues de la lectura de la primera ficha de ID, de manera que el primer atributo no tiene que ser almacenado de forma permanente por el primer sistema informatico. Es suficiente, por el contrario, almacenar el primer atributo en el primer sistema informatico solo durante el tiempo que sea necesario para reenviar el primer atributo al tercer sistema informatico, despues de que ha sido lefdo de la primera ficha de ID. Del mismo modo se procede preferentemente en relacion con el segundo atributo, que igualmente es reenviado por el primer sistema informatico al tercer sistema informatico inmediatamente despues de la lectura de la segunda ficha de ID. Una copia temporal de los primeros o segundos atributos eventualmente necesaria para el proposito del reenvm de los atributos desde el primer sistema informatico al tercer sistema informatico es borrada del primer sistema informatico inmediatamente despues del envm. Esto tiene la ventaja de que el primer sistema informatico puede ser configurado sin estado, y que los datos que necesitan proteccion, que pueden incluir los primeros y segundos atributos, no son almacenados por el primer sistema informatico.
El tercer sistema informatico utiliza los primeros y segundos atributos recibidos por el primer sistema informatico para la determinacion de datos. Esto puede realizarse de manera que el tercer sistema informatico calcula los datos a partir de los primeros y segundos atributos o mediante el acceso a una base de datos, con ayuda de los primeros y segundos atributos, consulta los datos de una base de datos. El primer sistema informatico recibe entonces los datos del tercer sistema informatico, por ejemplo a traves de la red. La transferencia de los datos desde el tercer sistema informatico al primer sistema informatico se lleva a cabo preferiblemente a traves de una conexion segura.
El primer sistema informatico escribe despues los datos en la segunda ficha de ID a traves de la segunda conexion para almacenar los datos en la segunda ficha de ID. Un prerrequisito para ello es que tambien siga existiendo la primera conexion a la primera ficha de ID, y concretamente durante todo el penodo del proceso de escritura. Para ello se asegura que entretanto el usuario ha revocado su autorizacion para la escritura de la primera ficha de ID por parte del primer sistema informatico, habiendo retirado su primera ficha de ID de un aparato de lectura del primer sistema informatico, con lo que interrumpina la primera conexion. Puesto que la escritura de los datos se realiza a traves de la segunda conexion, se asegura ademas que la segunda conexion entretanto no ha sido interrumpida, de modo que la segunda ficha de ID haya sido sustituida por una ficha de ID por ejemplo manipulada, es decir, falseada o falsificada.
Esto es debido al hecho de que la primera y segunda conexiones son establecidas y mantenidas, respectivamente, con ayuda de un protocolo orientado a la conexion. Tal protocolo orientado a la conexion registra cuando uno de los dos participates en la conexion es eliminado. De este modo, durante todo el periodo entre el establecimiento de la primera conexion y el establecimiento de la segunda conexion hasta la escritura de los datos es comprobada la condicion necesaria de que tanto la primera como la segunda conexion no hayan sido interrumpidas hasta la finalizacion del proceso de escritura. Para el caso de que se interrumpa la primera o la segunda conexion antes de la terminacion del proceso de escritura, los datos no son almacenados en la segunda ficha de ID.
Las formas de realizacion de la invencion son particularmente ventajosas, ya que la invencion permite describir de forma segura las segundas fichas de ID con datos individuales del documento, sirviendo la primera ficha de ID como "ancla de confianza". El propietario de la primera ficha de ID sera puesto en situacion de poder describir por primera vez su segunda ficha de ID con datos individuales del documento o actualizar tales datos individuales del documento y concretamente en lmea, sin que el propietario de la primera ficha de ID deba por ejemplo buscar personalmente una autoridad.
Por ejemplo, la primera ficha de ID es asignada al usuario autorizado, es decir, al propietario de la ficha de identificacion. Por ejemplo, en cuanto a la primera ficha de ID se trata de una tarjeta de identidad electronica. Sin embargo, la segunda ficha de ID puede estar asociada a un objeto, por ejemplo a un automovil. En cuanto a la segunda ficha de ID se trata, por ejemplo, de un permiso de circulacion de automovil electronico o de un certificado de registro de automovil electronico. La invencion permite actualizar el permiso de circulacion de automovil o certificado de registro de automovil electronico en lmea, por ejemplo cuando cambia el titular del automovil y/o la matncula del vehmulo.
5
10
15
20
25
30
35
40
45
50
55
Por un "documento" se entienden segun la invencion documentos basados en papel y/o basados en plastico, como por ejemplo documentos de identidad, en particular pasaportes, tarjetas de identidad, visados, as^ como permisos de conducir, permisos de circulacion, certificados de registro de vehuculos, tarjetas de identificacion de empresa, tarjetas de salud u otros documentos de ID, asf como tarjetas inteligentes, medios de pago, en particular tarjetas bancarias y tarjetas de credito, cartas de porte u otras credenciales, en las que esta integrada una memoria de datos para el almacenamiento de al menos un atributo.
De acuerdo con una forma de realizacion de la invencion, en cuanto al protocolo orientado a la conexion de la primera y/o segunda conexiones se trata de un protocolo de transporte que transmite paquetes para el establecimiento de una conexion de extremo a extremo en modo duplex completo, como por ejemplo el Protocolo de Control de Transmision (TCP).
Las formas de realizacion de la invencion son, pues, particularmente ventajosas, ya que es lefdo el al menos un atributo de un documento especialmente digno de confianza, por ejemplo un documento oficial. Especialmente ventajoso es ademas que no es necesario un almacenamiento central de los atributos. Por tanto, la invencion permite un grado particularmente elevado de fiabilidad con respecto a la comunicacion de los atributos pertenecientes a una identidad digital, unido a una optima proteccion de los datos con un manejo extremadamente comodo.
De acuerdo con una forma de realizacion de la invencion, el primer sistema informatico tiene al menos un certificado, que es utilizado para la autenticacion del primer sistema informatico con respecto a la primera y/o segunda ficha de ID. El certificado contiene una indicacion de aquellos atributos para los que el primer sistema informatico tiene una autorizacion de lectura. La ficha de ID en cuestion comprueba en base a este certificado si el primer sistema informatico tiene la autorizacion de lectura necesaria para el acceso a la lectura del primer o segundo atributo, antes de que tal acceso de lectura pueda ser realizado por el primer sistema informatico.
De acuerdo con una forma de realizacion de la invencion, el primer sistema informatico envfa directamente al tercer sistema informatico el al menos un primer o segundo atributo lefdo de la ficha de ID. En cuanto al tercer sistema informatico puede tratarse, por ejemplo, de un servidor de una administracion, por ejemplo de una oficina de registro de automoviles.
De acuerdo con una forma de realizacion de la invencion, la transferencia de los atributos lefdos de la ficha de ID del primer sistema informatico es realizada en primer lugar al segundo sistema informatico del usuario. Por ejemplo, el segundo sistema informatico tiene un navegador estandar de Internet, con el que el usuario puede abrir una pagina web del tercer sistema informatico. El usuario puede introducir en la pagina web una demanda para un servicio, por ejemplo la actualizacion de su certificado de registro de automovil electronico.
El tercer sistema informatico a continuacion especifica aquellos atributos, por ejemplo del usuario y/o de su primera y/o segunda ficha de ID, que son necesarios para la prestacion del servicio o la aceptacion del pedido. La especificacion de atributo correspondiente, que incluye la especificacion de estos atributos, es enviada entonces por el tercer sistema informatico al primer sistema informatico. Esto se puede realizar con o sin la interposicion del segundo sistema informatico. En este ultimo caso, el usuario puede especificar el primer sistema informatico deseado con respecto al tercer sistema informatico, por ejemplo mediante la introduccion de la URL del primer sistema informatico en una pagina web del tercer sistema informatico por el segundo sistema informatico.
De acuerdo con una forma de realizacion de la invencion, la demanda de servicio del usuario al tercer sistema informatico incluye la indicacion de un identificador, de modo que el identificador identifica al primer sistema informatico. Por ejemplo, en cuanto al identificador se trata de un enlace, por ejemplo una URL del primer sistema informatico.
De acuerdo con una forma de realizacion de la invencion, la especificacion de atributo no es enviada directamente por el tercer sistema informatico al primer sistema informatico, sino que en primer lugar es enviada por el tercer sistema informatico al segundo sistema informatico.
De acuerdo con una forma de realizacion de la invencion, los atributos lefdos de la primera o segunda ficha de ID son firmados por el primer sistema informatico y transmitidos a continuacion al segundo sistema informatico. El usuario del segundo sistema informatico puede por tanto leer los atributos, pero sin poder cambiarlos. Solo despues del desbloqueo por el usuario los atributos son reenviados por el segundo sistema informatico al tercer sistema informatico.
De acuerdo con una forma de realizacion de la invencion, el usuario puede completar los primeros y/o segundos atributos con otros datos antes de su reenvfo.
De acuerdo con una forma de realizacion de la invencion, el primer sistema informatico tiene varios certificados con diferentes derechos de lectura. En base a la recepcion de la especificacion de atributo, el primer sistema informatico selecciona uno o varios de estos certificados para leer los atributos correspondientes de las fichas de ID.
5
10
15
20
25
30
35
40
45
50
55
En otro aspecto, la invencion se refiere a un producto de programa informatico, en particular un medio de almacenamiento digital, con instrucciones de programa ejecutables para la realizacion de un procedimiento segun la invencion.
En otro aspecto, la invencion se refiere a una ficha de ID con un area de memoria protegida para el almacenamiento de al menos un atributo, y para el almacenamiento de datos, medios para la autenticacion de un primer sistema informatico con respecto a la ficha de ID, medios para el establecimiento de una conexion con el primer sistema informatico de acuerdo con un protocolo orientado a la conexion, mediante el cual el primer sistema informatico puede leer el al menos un atributo, siendo un prerrequisito necesario para la lectura del al menos un atributo de la ficha de ID por el primer sistema informatico, la autenticacion con exito del primer sistema informatico con respecto a ficha de ID y en el que los datos pueden ser escritos en el area de memoria a traves de la conexion.
Por ejemplo, en cuanto a la ficha de ID se trata de un permiso de circulacion de vehuculo electronico, que esta asignado fijamente solo a un automovil, pero no a un usuario. Una autenticacion del usuario con respecto a la ficha de ID puede entonces suprimirse.
Ademas de la autenticacion del primer sistema informatico con respecto a la ficha de ID, como es conocido en sf, por ejemplo por el denominado control de acceso ampliado para documentos de viaje legibles por maquina (documentos de viaje de lectura mecanica - MRTD) y esta especificado por la Autoridad de Aviacion Civil Internacional, ICAO, segun la forma de realizacion puede ser necesario que tambien el usuario sea autenticado con respecto a la ficha de ID. Por ejemplo, por una autenticacion con exito del usuario con respecto a la ficha de ID se produce un desbloqueo, de modo que pueden desarrollarse las siguientes etapas, concretamente, la autenticacion del primer sistema informatico con respecto a la ficha de ID y/o el establecimiento de una conexion protegida para la lectura de los atributos.
De acuerdo con una forma de realizacion de la invencion, la ficha de ID tiene medios para un cifrado de extremo a extremo. Esto hace que sea posible establecer la conexion entre la ficha de ID y el primer sistema informatico a traves de un tercer sistema informatico del usuario, ya que el usuario no puede acometer cambios de los datos transmitidos a traves de la conexion debido al cifrado de extremo a extremo.
En otro aspecto, la invencion se refiere a un primer sistema informatico con un sistema informatico con medios para el establecimiento de una primera conexion entre una primera ficha de ID y un primer sistema informatico a traves de un segundo sistema informatico para la lectura de al menos un primer atributo de la primera ficha de ID, medios para el establecimiento de una segunda conexion entre una segunda ficha de ID y el primer sistema informatico a traves del segundo sistema informatico para la lectura de al menos un segundo atributo de la segunda ficha de ID, medios para el envfo de los primeros y segundos atributos del primer sistema informatico a un tercer sistema informatico, medios para la recepcion de los datos del tercer sistema informatico por el primer sistema informatico, medios para la escritura de los datos del primer sistema informatico en la segunda ficha de ID a traves de la segunda conexion para almacenar los datos en la segunda ficha de ID, siendo un prerrequisito para la escritura de los datos que tambien siga existiendo la primera conexion, de modo que en cuanto a la primera y segunda conexiones se trata, respectivamente, de conexiones con cifrado de extremo a extremo y con un protocolo orientado a la conexion.
De acuerdo con formas de realizacion de la invencion, el primer sistema informatico tiene medios para la recepcion de una especificacion de atributo a traves de una red, en el que la especificacion de atributo especifica al menos un atributo, medios para la autenticacion con respecto a una ficha de ID, medios para la lectura de al menos un atributo de la ficha de ID a traves de una conexion segura, en el que la lectura del al menos un atributo presupone que un usuario asignado a la ficha de ID ha sido autenticado con respecto a la ficha de ID.
De acuerdo con una forma de realizacion de la invencion, el primer sistema informatico puede incluir medios para la generacion de un requerimiento al usuario. Despues de que el primer sistema informatico ha recibido la especificacion de atributo, por ejemplo del tercer sistema informatico, este envfa a continuacion un requerimiento al segundo sistema informatico del usuario, de manera que al usuario se le requiere que se autentifique con respecto a la primera y/o segunda ficha de ID. Despues de que haya sido realizada con exito la autenticacion del usuario con respecto a la primera y/o segunda ficha de ID, el primer sistema informatico recibe del segundo sistema informatico una confirmacion. Acto seguido, el primer sistema informatico se autentica con respecto a la ficha de ID en cuestion y se establece la primera o segunda conexion segura entre la ficha de ID y el primer sistema informatico con un cifrado de extremo a extremo.
De acuerdo con una forma de realizacion de la invencion, el primer sistema informatico tiene varios certificados que especifican, respectivamente, diferentes derechos de lectura y/o derechos de escritura. Tras la recepcion de la especificacion de atributo, el primer sistema informatico selecciona al menos uno de estos certificados con los derechos de lectura suficientes para la lectura de los atributos especificados. Ademas, el primer sistema informatico selecciona aquel certificado que especifica los derechos necesarios para la escritura de los datos en la segunda ficha de ID para comprobar su autorizacion correspondiente con respecto a la segunda ficha de ID.
Las formas de realizacion del primer sistema informatico segun la invencion son particularmente ventajosas, ya que en combinacion con la necesidad de la autenticacion del usuario con respecto a la ficha de ID constituyen un ancla
5
10
15
20
25
30
35
40
45
50
de confianza para la identidad digital no falsificada del usuario. Aqu es particularmente ventajoso que esto no requiere registro previo del usuario con respecto al primer sistema informatico, asf como tampoco un almacenamiento central de los atributos del usuario que constituyen las identidades digitales.
De acuerdo con una forma de realizacion de la invencion, en cuanto al primer sistema informatico se trata de un centro de confianza certificado por una autoridad, en particular un centro de confianza conforme a la ley de firma electronica.
A continuacion se explicaran en detalle formas de realizacion de la invencion con referencia a los dibujos. Muestran:
- Figura 1,
- un diagrama la invencion,
- Figura 2,
- un diagrama
- Figura 3,
- un diagrama la invencion,
- Figura 4,
- un diagrama
- Figura 5,
- un diagrama
- Figura 6,
- un diagrama la invencion.
un diagrama de flujo de una forma de realizacion de un procedimiento segun la invencion,
Los elementos de las siguientes formas de realizacion que se corresponden entre sf estan caracterizados por los mismos sfmbolos de referencia.
La figura 1 muestra un diagrama de bloques de una forma de realizacion de un sistema de procesamiento de datos segun la invencion. El sistema de procesamiento de datos tiene un sistema informatico de usuario 100. En cuanto al sistema informatico de usuario 100 puede tratarse de un PC, un ordenador transportable, por ejemplo un ordenador portatil o un ordenador de bolsillo, un asistente digital personal (PDA), un aparato de telecomunicacion movil, en particular un telefono inteligente, o similares.
El sistema informatico de usuario 100 sirve para la comunicacion con la ficha de ID A 106 y la ficha de ID B 107. La comunicacion entre las fichas de ID A y B, por un lado, y el sistema informatico de usuario 100, por otro lado, puede realizarse con contacto o sin contacto, en particular, de acuerdo con un procedimiento RFID. En cuanto a la ficha de ID A puede tratarse de una tarjeta de identidad electronica, es decir, una tarjeta de identidad que incluye un chip de RFID, en el que estan almacenados los atributos del usuario.
La ficha de ID B puede en principio estar formada como la ficha de ID A, de modo que la ficha de ID B no esta asignada al usuario, sino a un objeto, por ejemplo a un automovil. Por ejemplo, en cuanto a la ficha de ID B se trata de un permiso de circulacion de automovil electronico o de un certificado de registro de automovil electronico, en el que estan almacenados atributos del automovil.
Un aparato lector adecuado (no representado en la figura 1) esta conectado al sistema informatico de usuario 100 o integrado en el sistema informatico de usuario 100, de modo que el sistema informatico de usuario 100 puede comunicarse con las fichas de ID A y B. El aparato lector esta disenado en este caso para que pueda existir al mismo tiempo una primera conexion A 101 entre la ficha de ID A y el sistema informatico de usuario 100, asf como una segunda conexion B 103 entre la ficha de ID B y el sistema informatico de usuario 100.
En la ficha de ID B esta almacenado al menos un atributo que establece la asignacion de la ficha de ID B al objeto, por ejemplo al automovil. En cuanto a este atributo puede tratarse de un llamado identificador unico del objeto, como por ejemplo el numero de bastidor del vehfculo o similar.
El sistema informatico de usuario 100 esta unido a una red 116, por ejemplo Internet, con un sistema informatico de servicio 150. En cuanto al sistema informatico de servicio 150 puede tratarse de un sistema informatico servidor de una institucion, por ejemplo una oficina de registro de vehfculos.
Ademas, el sistema informatico de usuario 100 esta unido al sistema informatico proveedor de ID 136 a traves de la red 116. El sistema informatico proveedor de ID 136 sirve para la lectura de los atributos de las fichas de ID A y B, para el reenvfo de estos atributos al sistema informatico de servicio 150, para la recepcion de datos desde el sistema informatico de servicio 150 y para un acceso de escritura sobre la base de estos datos a la ficha de ID B para actualizar la ficha de ID B. En cuanto a los datos puede tratarse, por ejemplo, de valores de atributo actualizados.
Si, por ejemplo, debido a un cambio del usuario, cambia la matncula de su automovil, entonces la ficha de ID B puede ser actualizada con la nueva matncula de la siguiente manera, sin que el usuario tenga que buscar una autoridad para este proposito.
5
10
15
20
25
30
35
40
45
50
55
Entre la ficha de ID A y el sistema informatico proveedor de ID 136 es establecida una primera conexion A 101. En cuanto a la conexion 101 se trata de una conexion con cifrado de extremo a extremo, de modo que los datos sustituidos a traves de la conexion 101 no son desencriptados ni por el sistema informatico de usuario 100 ni por otros miembros de la red 116. La conexion 101 es establecida y mantenida con ayuda de un protocolo orientado a la conexion.
Se procede de forma similar con respecto a la ficha de ID B. Entre la ficha de ID B y el sistema informatico proveedor de ID 136 es establecida una segunda conexion B 103, y concretamente de igual modo a traves del sistema informatico de usuario 100 y la red 116 con cifrado de extremo a extremo e igualmente con el protocolo orientado a la conexion.
El sistema informatico proveedor de ID 136 a traves de la conexion 101 lee al menos un primer atributo A de la ficha de ID A o varios de tales atributos A, por medio de los cuales es identificado el usuario de forma unica. Por ejemplo, puede tratarse en este caso del nombre, la fecha de nacimiento y el lugar de residencia del usuario.
Los atributos A son firmados digitalmente por el sistema informatico proveedor de ID 136 y reenviados al sistema informatico de servicio 150. Esto se realiza preferiblemente, de manera que el sistema informatico proveedor de ID 136 no conserve copia de los atributos A despues de que los atributos A, con la firma, hayan sido enviados al sistema informatico de servicio 150.
Del mismo modo se procede con respecto al segundo atributo B que esta almacenado en la ficha de ID B. El atributo B, por ejemplo el numero de bastidor del vehfculo, es lefdo por el sistema informatico proveedor de ID 136 a traves de la conexion 103 de la ficha de ID B, es firmado y reenviado al sistema informatico de servicio 150.Tambien preferentemente del atributo B no es almacenada copia en el sistema informatico proveedor de ID 136 despues del envfo al sistema informatico de servicio 150.
El sistema informatico de servicio 150, con ayuda de los atributos A y del atributo B, determina la matncula actualizada del automovil que es identificada por el atributo B. Por ejemplo, el sistema informatico de servicio 150 determina esta nueva matncula por una consulta de base de datos en una base de datos en la que estan almacenadas tales matriculas. Para la consulta de base de datos pueden ser empleados los atributos A y/o el atributo B.
El sistema informatico de servicio 150 envfa al sistema informatico proveedor de ID 136 datos que contienen la nueva matncula. Preferiblemente, el sistema informatico de servicio 150 firma los datos, de manera que el sistema informatico proveedor de ID 136 puede comprobar esta firma, para proporcionar seguridad en cuanto a la autenticidad de estos datos.
Los datos con la nueva matncula son enviados despues por el sistema informatico proveedor de ID 136 a traves de la conexion 103 a la ficha de ID B, de modo que la nueva matncula es almacenada allr Ademas, el sistema informatico proveedor de ID 136 puede escribir la direccion actualizada del usuario de esta manera en la ficha de ID B. Para ello, puede ser necesario que el sistema informatico proveedor de ID 136 acceda de nuevo a traves de la conexion 101 a la ficha de ID A para leer los atributos con la direccion modificada.
Para un acceso de escritura del sistema informatico proveedor de ID 136 a traves de la conexion 103 a la ficha de ID B, es un prerrequisito necesario que siga existiendo la conexion 101 a la ficha de ID A. Con ello se asegura que el "ancla de confianza" esta todavfa presente, cuando los datos, es decir por ejemplo la nueva matncula, son escritos en la ficha de ID B a traves de la conexion 103.
La figura 2 muestra un diagrama de flujo correspondiente.
En la etapa 10 se establece la conexion A entre el proveedor de ID y la ficha de ID A, y concretamente con un protocolo orientado a la conexion, y con cifrado de extremo a extremo. En la etapa 12 son lefdos los atributos A de la ficha de ID A por el proveedor de ID, y concretamente a traves de la conexion A. Los atributos A son entonces reenviados por el proveedor de ID en la etapa 14 al servicio (vease el sistema informatico proveedor de ID 136 y el sistema informatico de servicio 150 en la forma de realizacion de la figura 1).
De forma analoga se procede en las etapas 16, 18 y 20 con respecto a la ficha de ID B y los atributos B almacenados en la ficha de ID B, que son por tanto igualmente recibidos por el servicio.
En la etapa 22, con ayuda de los atributos A y B, el servicio determina los datos que deben ser utilizados para la actualizacion de la ficha de ID B. Estos datos pueden incluir por ejemplo la matncula del automovil que esta asignada a la ficha de ID B.
En la etapa 24 estos datos son enviados por el servicio al proveedor de ID. Si la ficha de ID B debe ser actualizada tambien con los atributos A, entonces estos atributos A son lefdos de nuevo en la etapa 26 por el proveedor de ID a traves de la conexion A. En la etapa 28, el proveedor de ID, a partir de los atributos A y de los datos recibidos por el servicio, genera los datos de escritura, es decir, un conjunto de datos que incluye los datos que se van a escribir en la ficha de ID B.
5
10
15
20
25
30
35
40
45
50
55
En la etapa 30, el proveedor de ID comprueba si sigue existiendo la conexion A. Si este es el caso, en la etapa 32 los datos de escritura son escritos en la ficha de ID B por el proveedor de ID a traves de la conexion B y almacenados allf, de modo que la ficha de ID B esta actualizada. En caso contrario, el proveedor de ID interrumpe el proceso en la etapa 34, ya que no es posible una escritura segura de los datos de escritura en la ficha de ID B debido a la ruptura de la conexion A.
La figura 3 muestra un sistema informatico de usuario 100 de un usuario 102. El sistema informatico de usuario 100 tiene una interfaz 104 para la comunicacion con la ficha de ID 106 A, que presenta una interfaz 108 correspondiente.
El sistema informatico de usuario 100 tiene al menos un procesador 110 para la ejecucion de las instrucciones del programa 112, asf como una interfaz de red 114 para la comunicacion a traves de una red 116. En cuanto a la red puede tratarse de una red informatica, como por ejemplo Internet.
La ficha de ID 106 tiene una memoria electronica 118 con areas de memoria protegida 120, 122 y 124. El area de memoria protegida 120 sirve para el almacenamiento de un valor de referencia que es necesario para la autenticacion del usuario 102 con respecto a la ficha de ID 106. En cuanto a este valor de referencia se trata, por ejemplo, de un identificador, en particular un denominado Numero de Identificacion Personal (PIN), o de datos de referencia para una caractenstica biometrica del usuario 102, que puede ser empleada para la autenticacion del usuario con respecto a la ficha de ID 106.
El area protegida 122 sirve para el almacenamiento de una clave privada y el area de almacenamiento protegida 124 sirve para el almacenamiento de atributos, por ejemplo del usuario 102, como por ejemplo su nombre, lugar de residencia, fecha de nacimiento, sexo y/o atributos que se refieren a la propia ficha de ID, como por ejemplo la institucion que ha creado o emitido la ficha de ID, la validez de la ficha de ID, un identificador de la ficha de ID, como por ejemplo un numero de pasaporte o un numero de tarjeta de credito.
La memoria electronica 118 puede presentar ademas un area de memoria 126 para el almacenamiento de un certificado. El certificado contiene una clave publica que ha sido asignada a la clave privada almacenada en el area de memoria protegida 122. El certificado puede haber sido creado de acuerdo con un estandar de infraestructura de clave publica (PKI), por ejemplo, de acuerdo con el estandar X.509.
El certificado no tiene necesariamente que estar almacenado en la memoria electronica 118 de la ficha de ID 106. Alternativa o adicionalmente, el certificado puede tambien estar almacenado en un servidor de directorio publico.
La ficha de ID 106 tiene un procesador 128. El procesador 128 sirve para la ejecucion de instrucciones de programa 130, 132 y 134. Las instrucciones de programa 130 sirven para la autenticacion del usuario, es decir, para la autenticacion del usuario 102 con respecto a la ficha de ID.
En una forma de realizacion con PIN, el usuario introduce su PIN 102 en la ficha de ID 106 para su autenticacion, por ejemplo a traves del sistema informatico de usuario 100. Por la ejecucion de las instrucciones del programa 130 a continuacion se accede al area de memoria protegida 120 para comparar el PIN introducido con el valor de referencia del PIN almacenado allf. En el caso de que el PIN introducido coincida con el valor de referencia del PIN, el usuario 102 es considerado como autenticado.
Alternativamente, es detectada una caractenstica biometrica del usuario 102. Por ejemplo, la ficha de ID 106 tiene para ello un sensor de huella dactilar o un sensor de huella digital esta conectado al sistema informatico de usuario 100. En esta forma de realizacion los datos biometricos detectados del usuario 102 son comparados con los datos de referencia biometricos almacenados en el area de memoria protegida 120 mediante la ejecucion de las instrucciones del programa 130. En caso de suficiente coincidencia de los datos biometricos detectados del usuario 102 con los datos de referencia biometricos, el usuario 102 es considerado autenticado.
Las instrucciones de programa 134 sirven para la ejecucion de las etapas referentes a la ficha de ID 106 de un protocolo criptografico para la autenticacion de un sistema informatico proveedor de ID 136 con respecto a la ficha de ID 106. En cuanto al protocolo criptografico puede tratarse de un protocolo desaffo-respuesta basado en una clave simetrica o un par de claves asimetricas.
Por ejemplo, por el protocolo criptografico es implementado un procedimiento de control de acceso ampliado como esta especificado para documentos de viaje legibles a maquina (documentos de viaje de lectura mecanica - MRTD) por la Autoridad de Aviacion Civil Internacional (ICAO). Por la ejecucion con exito del protocolo criptografico el sistema informatico proveedor de ID 136 se autentica con respecto a la ficha de ID y, por tanto, comprueba su autorizacion de lectura para leer los atributos almacenados en el area de memoria protegida 124. La autenticacion tambien puede ser mutua, es decir, tambien la ficha de ID 106 debe autenticarse con respecto al sistema informatico proveedor de ID 136 de acuerdo con el mismo u otro protocolo criptografico.
Las instrucciones de programa 132 sirven para el cifrado de extremo a extremo de datos transmitidos entre la ficha de ID 106 y el sistema informatico proveedor de ID 136, pero al menos de los atributos lefdos por el sistema informatico proveedor de ID 136 del area de memoria protegida 124. Para el cifrado de extremo a extremo puede ser
5
10
15
20
25
30
35
40
45
50
utilizada una clave simetrica que pueda ser acordada entre la ficha de ID 106 y el sistema informatico proveedor de ID 136, por ejemplo, con ocasion de la ejecucion del protocolo criptografico.
Las instrucciones del programa 131 sirven para la realizacion del protocolo orientado a la conexion por parte de la ficha de ID 106. Por ejemplo, en cuanto al protocolo orientado a la conexion puede tratarse de un TCP. Por "protocolo orientado a la conexion" se entiende cualquier protocolo para la formacion de un canal virtual entre dos puntos finales, aqrn entre una ficha de ID y el sistema informatico proveedor de ID 136. En este canal se puede transmitir en ambas direcciones. Por ejemplo, se utiliza para ello un protocolo propietario o un protocolo estandar, como por ejemplo TCP. TCP esta establecido en la etapa 4d el modelo de referencia OSI y se puede disponer sobre el protocolo de Internet.
Como alternativa a la forma de realizacion representada en la figura 3, el sistema informatico de usuario 100 con su interfaz 104 puede comunicar no directamente con la interfaz 108, sino a traves de un aparato lector para las fichas de ID 106 conectado a la interfaz 104. Mediante este aparato lector, por ejemplo un llamado terminal de tarjetas inteligentes clase 2, puede realizarse tambien la introduccion del PIN.
La interfaz 104 y eventualmente el aparato lector estan disenados de tal manera que pueden mantenerse al mismo tiempo las conexiones 101 y 103 (vease la Fig.1). Por ejemplo, en el aparato lector estan previstas dos ranuras para las fichas de ID A y B o es posible una comunicacion simultanea con las fichas de ID A y B a traves de un canal de RF.
En la forma de realizacion considerada aqrn la ficha de ID B 107 esta formada basicamente de la misma forma o similar a la ficha de ID A 106. Para la descripcion de los componentes individuales de la ficha de ID B107 se remite, por tanto, a la descripcion anterior de los componentes de la ficha de ID A 106. En contraste con la ficha de ID A puede realizarse un acceso de escritura a la zona de memoria protegida 124' a traves de la conexion B para actualizar los valores de atributo allf almacenados con los datos de escritura. Aqrn hay que considerar la excepcion del valor del atributo con el identificador unico, es decir, por ejemplo, el numero de bastidor del vehfculo, que es invariable.
Las instrucciones de programa 130' pueden omitirse en caso de que para la ficha de ID 107 no este prevista la autenticacion del usuario.
El sistema informatico proveedor de ID 136 tiene una interfaz de red 138 para la comunicacion a traves de la red 116. El sistema informatico proveedor de ID 136 tiene ademas una memoria 140, en la que esta almacenada una clave privada 142 del sistema informatico proveedor de ID 136, asf como el certificado 144 correspondiente.
Tambien en cuanto a este certificado puede tratarse, por ejemplo, de un certificado segun un estandar PKI, como por ejemplo X.509.
El sistema informatico proveedor de ID 136 tiene ademas al menos un procesador 145 para la ejecucion de instrucciones de programa 146 y 148. Por la ejecucion de las instrucciones de programa 146 son ejecutadas las etapas del protocolo criptografico relativas al sistema informatico proveedor de ID 136. En conjunto, por tanto, el protocolo criptografico es implementado mediante la ejecucion de las instrucciones de programa 134 por el procesador 128 de la ficha de ID 106 o de la ficha de ID 107, asf como mediante la ejecucion de las instrucciones de programa 146 por el procesador 145 del sistema informatico proveedor de ID 136.
Las instrucciones de programa 148 sirven para la implementacion del cifrado de extremo a extremo en el lado del sistema informatico proveedor de ID 136, por ejemplo basado en la clave simetrica que fue acordada entre la ficha de ID 106 o 107 y el sistema informatico proveedor de ID 136 con ocasion de la ejecucion del protocolo criptografico. En principio, puede ser empleado cualquiera de los procedimientos conocidos en sf para el acuerdo de la clave simetrica para el cifrado de extremo a extremo, como por ejemplo el intercambio de claves Diffie-Hellman.
Las instrucciones de programa 147 sirven para la implementacion del protocolo orientado a la conexion, y concretamente de tal manera que puedan ser mantenidas simultaneamente las dos conexiones 101 y 103.
Las instrucciones del programa 151 sirven para la implementacion de un programa de control para el control de proceso.
El sistema informatico proveedor de ID 136 se encuentra preferiblemente en un entorno especialmente protegido, en particular en un denominado centro de confianza, de modo que el sistema informatico proveedor de ID 136 en combinacion con la necesidad de la autenticacion del usuario 102 con respecto a la ficha de ID 106 constituye el ancla de confianza para la autenticidad de los atributos lefdos de la ficha de Id 106.
El sistema informatico de servicio 150 puede estar realizado para la recepcion de una demanda de servicio para la inicializacion, en particular para la actualizacion de la ficha de ID B.
El sistema informatico de servicio 150 tiene para ello una interfaz de red 152 para la conexion a la red 116. Ademas, el sistema informatico de servicio 150 tiene al menos un procesador 154 para la ejecucion de instrucciones de
5
10
15
20
25
30
35
40
45
50
55
programa 156. Mediante la ejecucion de las instrucciones del programa 156 son generadas, por ejemplo, paginas HTML dinamicas mediante las cuales el usuario 102 puede introducir su demanda de servicio.
Dependiendo del tipo de la demanda de servicio, el sistema informatico de servicio 150 debe recibir uno o varios atributos de la ficha de ID 106 y de la ficha de ID 107 desde el sistema informatico proveedor de ID 136 para poder ejecutar la demanda de servicio.
Para proporcionar el servicio puesto a disposicion por el sistema informatico de servicio 150 se procede, por ejemplo, como sigue:
1. Autenticacion del usuario 102 con respecto a la ficha de ID 106.
El usuario 102 se autentica con respecto a la ficha de ID 106. En el caso de una implementacion con PIN, el usuario 102 introduce para ello su PIN, por ejemplo a traves del sistema informatico de usuario 100 o de un terminal de tarjetas inteligentes conectado al mismo. Mediante la ejecucion de las instrucciones de programa 130 a continuacion, la ficha de ID 106 comprueba la correccion del PIN introducido. Si el PIN introducido coincide con el valor de referencia del PIN almacenado en el area de memoria protegida 120, entonces el usuario 102 es considerado como autenticado. De forma analoga se puede proceder cuando es empleada una caractenstica biometrica del usuario 102 para su autenticacion, como se describio anteriormente.
2. Autenticacion del sistema informatico proveedor de ID 136 con respecto a la ficha de ID 106.
Para ello se establece la conexion 101 entre la ficha de ID 106 y el sistema informatico proveedor de ID 136 a traves del sistema informatico de usuario 100 y la red 116. Por ejemplo, el sistema informatico proveedor de ID 136 transmite su certificado 144 a traves de esta conexion 101 a la ficha de ID 106. Mediante las instrucciones de programa 134 es generado despues un denominado desaffo, es decir, por ejemplo, un numero aleatorio. Este numero aleatorio es encriptado con la clave publica del sistema informatico proveedor de ID 136 contenida en el certificado 144. El texto cifrado resultante es enviado desde la ficha de ID 106 a traves de la conexion al sistema informatico proveedor de ID 136. El sistema informatico proveedor de ID 136 desencripta el texto cifrado con ayuda de su clave privada 142 y obtiene asf el numero aleatorio. El numero aleatorio es enviado de vuelta a la ficha de ID 106 por el sistema informatico proveedor de ID 136 a traves de la conexion. Mediante la ejecucion de las instrucciones de programa 134 se comprueba allf si el numero aleatorio recibido desde el sistema informatico proveedor de ID 136 coincide con el numero aleatorio generado originalmente, es decir, el desaffo. Si este es el caso, el sistema informatico proveedor de ID 136 es considerado autenticado con respecto a la ficha de ID 106. El numero aleatorio puede ser utilizado como clave simetrica para el cifrado de extremo a extremo.
3. Despues de que el usuario 102 se haya autenticado con exito con respecto a la ficha de ID 106, y despues de que el sistema informatico proveedor de ID 136 se haya autenticado con exito con respecto a la ficha de ID 106, el sistema informatico proveedor de ID 136 obtiene una autorizacion de lectura para leer uno, varios o la totalidad de los atributos A almacenados en el area de memoria protegida 124. Debido a una orden de lectura correspondiente, que envfa el sistema informatico proveedor de ID 136 a traves de la conexion a la ficha de ID 106, son lefdos los atributos A requeridos del area de memoria protegida 124 y cifrados mediante la ejecucion de las instrucciones de programa 132. Los atributos A cifrados son transmitidos a traves de la conexion al sistema informatico proveedor de ID 136 y allf son desencriptados mediante la ejecucion de las instrucciones de programa 148. De esta forma el sistema informatico proveedor de ID 136 tiene conocimiento de los atributos lefdos de la ficha de ID 106.
Estos atributos A son firmados por el sistema informatico proveedor de ID con la ayuda de su certificado 144 y transmitidos al sistema informatico de servicio 150 directamente o a traves del sistema informatico de usuario 100. De este modo, el sistema informatico de servicio 150 es informado de los atributos A lefdos de la ficha de ID 106. Por la necesidad de la autenticacion del usuario 102 con respecto a la ficha de ID 106 y la autenticacion del sistema informatico proveedor de ID 136 con respecto a la ficha de ID 106 se consigue el ancla de confianza necesaria, de modo que el sistema informatico de servicio 150 puede estar seguro de que los atributos del usuario 102 comunicados a el por el sistema informatico proveedor de ID 136 son verdaderos y no han sido falsificados.
4. Para la transmision de al menos un atributo B al sistema informatico de servicio 150 se procede de manera analoga, es decir, son ejecutadas las etapas 1 a 3 mencionadas anteriormente con referencia a la ficha de ID 107, estableciendose para ello la conexion 103. Como resultado, el sistema informatico de servicio 150 recibe entonces los atributos A y B de una manera segura y fiable. La autenticacion del usuario con respecto a la ficha de ID B puede omitirse, en contraste con la primera realizacion de las etapas 1-3.
5. Con la ayuda de los atributos A y B, el sistema informatico del servicio determina a continuacion los datos que deben servir en la ficha de ID B por ejemplo para la actualizacion o inicializacion de uno de los valores de atributo almacenados en la zona protegida 124'. Si la ficha de ID B es asignada, por ejemplo, a un
5
10
15
20
25
30
35
40
45
50
55
automovil 172 y en cuanto al sistema informatico de servicio 150 se trata de una oficina de registro de automoviles en lmea, el sistema informatico de servicio puede determinar la matncula actual del automovil 172 accediendo con ayuda de los atributos de A y/o B a una base de datos 174 que esta conectada al sistema informatico de servicio 150. Esto se puede hacer de manera que mediante la ejecucion de las instrucciones del programa 156 con ayuda de los atributos A y/o B es realizada una consulta de base de datos a la base de datos 174 para solicitar la matncula actual del automovil allf almacenada. El sistema informatico de servicio firma entonces con su clave privada los datos que incluyen la matncula actual, y envfa los datos firmados traves de la red 116 al sistema informatico proveedor de ID 136. El sistema informatico proveedor de ID 136, a continuacion, comprueba la validez de la firma. Si la firma es valida, el programa de control 151 comprueba si aun existen las dos conexiones 101 y 103. Si este es el caso, el programa de control 151 escribe entonces los datos recibidos desde el sistema informatico de servicio 150 a traves de la conexion 103 en la ficha de ID B, por ejemplo, para actualizar el valor del atributo de la matncula, que esta almacenado en el area de memoria protegida 124' de la ficha de ID B.
Dependiendo de la forma realizacion, la secuencia de la autenticacion puede ser diferente. Por ejemplo, puede estar previsto que en primer lugar deba autenticarse el usuario 102 con respecto a la ficha de ID 106 y, posteriormente, el sistema informatico proveedor de ID 136. Pero tambien es posible esencialmente que en primer lugar deba autenticarse el sistema informatico proveedor de ID 136 con respecto a la ficha de ID 106 y luego a continuacion el usuario 102. Lo mismo se aplica a la ficha de ID 107.
En el primer caso, la ficha de ID 106 o 107 esta disenada, por ejemplo, de modo que solo sea desbloqueada mediante la introduccion de un PIN correcto o de una caractenstica biometrica correcta por el usuario 102. Solo este desbloqueo permite el inicio de las instrucciones de programa 132 y 134 y, por tanto, la autenticacion del sistema informatico proveedor de ID 136.
En el segundo caso es posible tambien ya un inicio de las instrucciones de programa 132 y 134 cuando el usuario 102 aun no se ha autenticado con respecto a la ficha de ID 106. En este caso, por ejemplo, las instrucciones de programa 134 estan realizadas de manera que el sistema informatico proveedor de ID 136 puede realizar un acceso de lectura al area de memoria protegida 124 para la lectura de uno o varios de los atributos, solo despues de que por las instrucciones de programa 130 haya sido senalada la autenticacion con exito tambien del usuario 102. Lo mismo se aplica a la ficha de ID 107.
De particular ventaja es la utilizacion de las fichas de ID 106 y 107 para, por ejemplo, aplicaciones de e-gobierno, y concretamente sin cambio de medios y legalmente segura debido al ancla de confianza constituida por la necesidad de la autenticacion del usuario 102 y del sistema informatico proveedor de ID 136 con respecto a la ficha de ID 106. De particular ventaja es ademas que no es necesario un almacenamiento central de los atributos de diferentes usuarios 102, por lo que se resuelven asf los problemas de proteccion de datos existentes en el estado de la tecnica. En lo que se refiere a la comodidad de uso del procedimiento, es particularmente ventajoso que no es necesario un registro previo del usuario 102 para la puesta en funcionamiento del sistema informatico proveedor de ID 136.
La figura 4 muestra una forma de realizacion de un procedimiento segun la invencion. En la etapa 200 es enviada una demanda de servicio desde el sistema informatico de usuario al sistema informatico de servicio. Por ejemplo, el usuario inicia para ello un navegador de Internet del sistema informatico de usuario e introduce una URL para llamar a una pagina web del sistema informatico de servicio. En la pagina web invocada, el usuario introduce despues su demanda de servicio, por ejemplo, para la actualizacion de su ficha de ID B.
Para esta actualizacion es necesario por tanto que se establezca, respectivamente, una conexion A o B, tanto entre la ficha de ID A y el proveedor de ID, como entre la ficha de ID B y el proveedor de ID, mediante las cuales el proveedor de ID puede leer atributos de las fichas de ID A y B. En la forma de realizacion considerada aqrn el establecimiento de las conexiones A y B se realiza secuencialmente, estableciendo por ejemplo en primer lugar la conexion A. Para ello, en la etapa 201 la ficha de ID empleada actualmente es igualada a la ficha de ID A.
En la etapa 202, el sistema informatico de servicio 150 especifica entonces uno o varios atributos que necesita para comprobar la autorizacion del usuario para la demanda de servicio. En particular, el sistema informatico de servicio puede especificar aquellos atributos que determinan la identidad digital del usuario 102. Esta especificacion de los atributos por el sistema informatico de servicio 150 puede estar predeterminada fijamente o ser determinada en el caso particular dependiendo de la demanda de servicio por el sistema informatico de servicio 150 en base a reglas predefinidas.
En la etapa 204, la especificacion de atributo, es decir, la especificacion realizada en la etapa 202 de uno o varios de los atributos, es transmitida por el sistema informatico de servicio al sistema informatico proveedor de ID, y concretamente, o bien directamente o bien a traves el sistema informatico de usuario.
Para dar al sistema informatico proveedor de ID la posibilidad de leer los atributos de su ficha de ID, en la etapa 206 el usuario se autentica con respecto a la ficha de ID.
5
10
15
20
25
30
35
40
45
50
55
En la etapa 208 es establecida una conexion entre la ficha de ID y el sistema informatico proveedor de ID. En este caso, preferiblemente, se trata de una conexion segura, por ejemplo, segun un llamado procedimiento de mensajena segura.
En la etapa 210 se realiza al menos una autenticacion del sistema informatico proveedor de ID con respecto a la ficha de ID a traves de la conexion establecida en la etapa 208. Ademas puede estar prevista una autenticacion tambien de la ficha de ID con respecto al sistema informatico proveedor de ID.
Despues de que tanto el usuario como el sistema informatico proveedor de ID se hayan autenticado con exito con respecto a la ficha de ID, el sistema informatico proveedor de ID recibe de la ficha de ID la autorizacion de acceso para la lectura de los atributos. En la etapa 212 el sistema informatico proveedor de ID envfa una o varias ordenes de lectura para la lectura de los atributos necesarios segun la especificacion de atributo de la ficha de ID. Los atributos son despues transmitidos por medio de un cifrado de extremo a extremo a traves de la conexion segura al sistema informatico proveedor de ID y allf son desencriptados.
Los valores de atributo lefdos son firmados en la etapa 214 por el sistema informatico proveedor de ID. En la etapa 216, el sistema informatico proveedor de ID envfa los valores de atributos firmados a traves de la red. Los valores de atributo firmados llegan al sistema informatico de servicio, o bien directamente o bien a traves del sistema informatico de usuario. En este ultimo caso, el usuario puede tener la posibilidad de conocer los valores de atributo firmados y/o completarlos con otros datos. Puede estar previsto que los valores de atributo firmados sean reenviados desde el sistema informatico de usuario al sistema informatico de servicio eventualmente con los datos completados tras el desbloqueo por el usuario. Con esto se produce la mayor transparencia posible para el usuario en cuanto a los atributos enviados desde el sistema informatico proveedor de ID al sistema informatico del servicio.
A continuacion, en la etapa 218 la ficha de ID procesada actualmente se iguala a la ficha de ID B y el control del proceso vuelve a la etapa 202. Alternativamente tambien se retrocede a la etapa 206 cuando el sistema informatico de servicio en la etapa 202 tambien ha especificado los atributos B lefdos de la ficha de ID B y cuando esta especificacion en la etapa 204 ya ha sido transmitida al proveedor de ID y ha sido allf almacenada de forma intermedia. No obstante, preferiblemente, se prescinde de tal almacenamiento intermedio, para poder realizar el proveedor de ID sin estado.
La etapa 206 puede omitirse con respecto a la ficha de ID B.
Despues de la ejecucion repetida de las etapas 202 a 216 con respecto a la ficha de ID B, el sistema informatico de servicio ha recibido, por tanto, los atributos A y B.
En la etapa 220 el sistema informatico de servicio determina entonces en base a los atributos A y/o B, los datos para la actualizacion o inicializacion de la ficha de ID B. Esto se puede realizar de manera que el sistema informatico de servicio genere estos datos, consulte una base de datos o desbloquee la base de datos para el acceso por el sistema informatico proveedor de ID para la lectura de estos datos a traves de la red.
En la etapa 220, el sistema informatico de servicio envfa una senal de desbloqueo para la escritura de los datos en la ficha de ID B al proveedor de ID. A continuacion, en la etapa 224 el proveedor de ID lee los datos determinados por el sistema informatico en la etapa 220, accediendo el sistema informatico proveedor de ID, por ejemplo a traves de la red, al sistema informatico de servicio. A continuacion, el sistema informatico proveedor de ID escribe los datos en la etapa 226 en la ficha de ID B a traves de la conexion B y de hecho con el prerrequisito de que tambien siga existiendo la conexion A.
La figura 5 muestra otra forma de realizacion de un procedimiento de acuerdo con la invencion. Por una entrada de usuario de un usuario 102 en un sistema informatico de usuario 100, el usuario 102 especifica un servicio de un sistema informatico de servicio, que el o ella desea utilizar. Esto se realiza, por ejemplo, llamando a una pagina de internet del sistema informatico de servicio y una seleccion de uno de los servicios que allf se ofrecen. La demanda de servicio del usuario 102 es transmitida desde el sistema informatico de usuario 100 al sistema informatico de servicio 150.
Por ejemplo, el sistema informatico de servicio 150 incluye un servicio web 176, especialmente segun una arquitectura de servicios web especificada W3C. El servicio web 176 sirve como interfaz del sistema informatico de servicio 150 con respecto al sistema informatico de usuario 100 y/o el sistema informatico proveedor de ID 136.
El sistema informatico de servicio 150 responde a la demanda de servicio con una especificacion de atributo de los atributos A, es decir, por ejemplo una lista de nombres de atributo. Tras la recepcion de la especificacion de atributo, el sistema informatico de usuario 100 requiere al usuario 102 una autenticacion con respecto a la ficha de ID 106, por ejemplo, por una peticion de entrada.
El usuario 102 se autentica a continuacion con respecto a la ficha de ID 106, por ejemplo mediante la introduccion de su PIN. Despues de la autenticacion con exito, la especificacion de atributo es reenviada por el sistema informatico de usuario 100 a un sistema informatico proveedor de ID 136. Para ello se establece la conexion A. El
5
10
15
20
25
30
35
40
45
50
sistema informatico proveedor de ID 136 se autentica a continuacion con respecto a la ficha de ID 106 y dirige una demanda de lectura para la lectura de los atributos de acuerdo con la especificacion de atributo a la ficha de ID 106.
Bajo el prerrequisito de la autenticacion con exito previa del usuario 102 y del sistema informatico proveedor de ID 136, la ficha de ID 106 responde a la demanda de lectura con los atributos A deseados. El sistema informatico proveedor de ID 136 firma los atributos A y envfa los atributos firmados al sistema informatico de usuario 100. Despues del desbloqueo por parte del usuario 102, los atributos firmados son transmitidos despues al sistema informatico de servicio 150.
La secuencia parcial 178 caracterizada en la figura 5 con las etapas para la transmision de los atributos A al servicio web 176 es ejecutada otra vez a continuacion y, concretamente con respecto a la ficha de ID B, para transmitir al servicio web 176 tambien los atributos B de acuerdo con la especificacion de atributo. Aqrn, las etapas para la autenticacion del usuario con respecto a la ficha de ID B pueden ser omitidas.
La secuencia parcial 178' prevista para ello puede pues realizarse, por ejemplo, como sigue.
El sistema informatico de servicio 150 responde a la recepcion de los atributos A con una especificacion de atributo de los atributos B, es decir, por ejemplo, una lista de nombres de atributo. La especificacion de atributo es reenviada desde el sistema informatico de usuario 100 a un sistema informatico proveedor de ID 136. Para ello se establece la conexion B. El sistema informatico proveedor de ID 136 se autentica a continuacion con respecto a la ficha de ID 107 y dirige una demanda de lectura para la lectura de los atributos de acuerdo con la especificacion de atributo a la ficha de ID 107.
Bajo el prerrequisito de autenticacion con exito previa del usuario 102 y del sistema informatico proveedor de ID 136, la ficha de ID 107 responde a la demanda de lectura con los atributos B deseados. El sistema informatico proveedor de ID 136 firma los atributos B, y envfa los atributos firmados al sistema informatico de usuario 100. Despues del desbloqueo por parte del usuario 102, los atributos firmados son transmitidos despues al sistema informatico del servicio 150.
El servicio web 176, a continuacion, reenvfa los atributos A y B a un componente 180 del sistema informatico de servicio 150, que sirve como proveedor de atributos, es decir, para la determinacion de los valores de atributo actualizados o iniciales para la escritura en la ficha de ID B.
Esto se puede realizar de modo que el componente 180 con ayuda de los atributos A y/o B realice una consulta de base de datos a la base de datos 174. Las entradas de base de datos identificadas en la base de datos 174 a traves de la consulta de base de datos, que incluyen los datos que se escriben en la ficha de ID B, pueden ser caracterizados por el componente 180 con una denominada bandera. A continuacion, desde la base de datos 174 o desde el componente 180 se informa al servicio web 176 de que los datos estan preparados. Esta senal es reenviada por el servicio web 176 al sistema informatico proveedor de ID 136. El sistema informatico proveedor de ID 136 acto seguido lee los datos a traves del servicio web 176 de la base de datos 174 y luego escribe los datos en la ficha de ID B con el prerrequisito de que sigan existiendo ambas conexiones A y B hasta la finalizacion del proceso de escritura.
Para la seguridad de los datos proporcionados por el componente 180 frente a accesos no autorizados puede procederse de manera que por el componente 180 sea generada una clave, que sea enviada junto con la senal "datos listos" al sistema informatico proveedor de ID 136. La lectura posterior de los datos por el sistema informatico proveedor de ID 136 solo es posible entonces si el sistema informatico proveedor de ID 136 tiene esta clave. Por ejemplo, el sistema informatico proveedor de ID 136 debe en primer lugar autenticarse con respecto al servicio web con esta clave para poder acceder a los datos.
Alternativa o adicionalmente, la facilitacion de datos por el componente 180 puede realizarse solo durante un penodo limitado. Para ello, el componente 180 inicia un temporizador despues de que los datos han sido proporcionados o despues de que ha sido enviada la senal "datos listos" al sistema informatico proveedor de ID 136. La lectura de los datos por el sistema informatico proveedor de ID 136 solo es posible entonces si esta se lleva a cabo antes de que expire el temporizador.
En la forma de realizacion de la figura 6, el sistema informatico de usuario 100 esta disenado como ordenador cliente. En cuanto a la ficha de ID A 106 se trata aqrn de una tarjeta de identidad electronica "ePA". En cuanto a la ficha de ID B 107 se trata de un documento de automovil electronico, por ejemplo un permiso de circulacion electronico o un certificado de registro de vehfculo electronico "eKFZ". El servicio web 176 esta disenado aqrn como servicio de autorizacion, es decir, el servicio web ofrece diferentes servicios para el registro o cambio de registro de automoviles en lmea. El servicio web 176 y el proveedor de atributos 180 pueden estar conectados a una conexion para la lectura y/o escritura de datos.
Para la actualizacion de la ficha de ID 107, por ejemplo con una nueva matncula, se procede como sigue:
5
10
15
20
25
30
35
40
45
50
1. El usuario 102 invoca por su sistema informatico de usuario 100, con ayuda de una demanda de servicio, uno de los servicios disponibles en el servicio web 176.
2. El servicio web 176 responde a esta demanda de servicio con una peticion de autenticacion, es decir, el servicio web 106 especifica con la ayuda de una especificacion de atributo A aquellos atributos que necesita con respecto al usuario 102. Esta peticion de autenticacion es enviada por el servicio web 176 al sistema informatico de usuario 100. Ademas, el servicio web 176 envfa al sistema informatico de usuario 100 una informacion a la que sigue una sesion de multiples documentos, es decir, una sesion en la que deben existir dos conexiones paralelas a las fichas de ID 106 y 107.
3. Desde el sistema informatico de usuario 100 es enviada una peticion de confirmacion de ID de usuario al proveedor de ID 136. Esta peticion incluye la especificacion de atributo A, es decir, una especificacion de los atributos A que deben ser lefdos de la ficha de ID 106. Ademas, desde el sistema informatico de usuario 100 es enviado al sistema informatico proveedor de ID 136 la informacion segun la cual debe ser mantenida la conexion A que se establece con la ficha de ID 106, tras la peticion de los atributos A de la ficha de ID 106.
4. Entre el sistema informatico proveedor de ID 136 y la ficha de ID 106 es establecida a continuacion la conexion Ay el sistema informatico proveedor de ID 136 lee los atributos A de la ficha de ID A. Despues de la lectura de los atributos A persiste la conexion A, es decir, la sesion.
5. El sistema informatico proveedor de ID 136 envfa los atributos A al sistema informatico de usuario 100 en respuesta a la peticion de la etapa 3.
6. El sistema informatico de usuario 100 envfa los atributos A al servicio web 176 en respuesta a la peticion de autenticacion de la etapa 2.
7. El servicio web 176 envfa una peticion de autenticacion relativa a los atributos B al sistema informatico de usuario 100, es decir, relativa a aquellos atributos B que estan almacenados en la ficha de ID 107. La peticion de autenticacion incluye pues una especificacion de atributo de los atributos B. Ademas es transmitida una informacion de que la sesion de multiples documentos debe ser ampliada, es decir que debe establecerse otra conexion B.
8. El sistema informatico de usuario 100 envfa una peticion de confirmacion de ID del automovil al sistema informatico proveedor de ID 136, es decir, una peticion para la entrega de los atributos B, asf como estan especificados en la especificacion de atributo B recibida con la peticion de autenticacion de la etapa 7. Ademas, es enviada una informacion segun la cual la conexion B que se va a establecer para ello con la ficha de ID 107 debe permanecer despues de la lectura de los atributos B.
9. El sistema informatico proveedor de ID 136 establece la conexion B con la ficha de ID 107 y lee de ella los atributos B. Despues de la lectura de los atributos B persiste la conexion B. Por ejemplo, es realizada una llamada sesion de union de las conexiones A y B.
10. En respuesta a la peticion de la etapa 8, el sistema informatico proveedor de ID 136 envfa los atributos B al sistema informatico de usuario 100.
11. En respuesta a la peticion de autenticacion de la etapa 7, el sistema informatico de usuario 100 envfa los atributos B al servicio web 176.
12a. El servicio web 176 envfa una senal de desbloqueo para la escritura de datos, como por ejemplo la nueva matncula, en la ficha de ID 107 al sistema informatico de usuario 100.
12b. El servicio web 176 envfa una senal de desbloqueo para la lectura de los datos que se van a escribir en la ficha de ID 107 por el proveedor de atributos 180.
13. El sistema informatico de usuario 100 envfa al sistema informatico proveedor de ID 136 una demanda para describir la ficha de ID 107 en base a la senal de desbloqueo recibida en la etapa 12a.
14. El sistema informatico proveedor de ID 136 lee de nuevo los atributos A de la ficha de ID 106 a traves de la conexion A, ya que estos han sido almacenados de forma intermedia en el sistema informatico proveedor de ID 136 despues del primer proceso de lectura.
15. El sistema informatico proveedor de ID 136 lee del proveedor de atributos 180 los datos para la descripcion de la ficha de ID 107, lo que es posible ya que el proveedor de atributos 180 habfa recibido la senal de desbloqueo para la lectura en la etapa 12b.
5
10
15
20
25
30
35
16. El sistema informatico proveedor de ID 136 genera a partir de los atributos A y los datos lefdos desde el proveedor de atributos 180 un conjunto de datos para la escritura en la ficha de ID 107 y escribe este conjunto de datos despues a traves de la conexion B en la ficha de ID 107.
17. El sistema informatico proveedor de ID 136 envfa una confirmacion al sistema informatico de usuario 100, y concretamente como confirmacion para la demanda recibida en la etapa 13.
18. El sistema informatico de usuario 100 envfa al servicio web 176 una confirmacion relativa a la senal de desbloqueo de la etapa 12a.
19. El servicio web 176 envfa al sistema informatico de usuario 100 una confirmacion relativa a la demanda de servicio de la etapa 1 para confirmar que la ficha de ID 107 ha sido actualizada con exito.
De particular ventaja aqrn es que el sistema informatico proveedor de ID 136 actua como intermediario entre las diferentes fuentes de datos que estan sujetas a diferentes estamentos. Ademas, es especialmente ventajoso que el sistema informatico proveedor de ID 136 constituye el punto de confianza para la union de las diferentes sesiones.
Lista de simbolos de referencia
100 sistema informatico de usuario
101 conexion A
102 usuario
103 conexion B
104 interfaz
106 ficha de ID
107 ficha de ID
108 interfaz
110 procesador
112 instrucciones de programa
114 interfaz de red
116 red
118 memoria electronica
120 area de memoria protegida
122 area de memoria protegida
124 area de memoria protegida
126 area de memoria
128 procesador
130 instrucciones de programa
131 instrucciones de programa
132 instrucciones de programa
134 instrucciones de programa
136 sistema informatico proveedor de ID
138 interfaz de red
140 memoria
142 clave privada
144
145
146
147
148
149
150
151
152
154
156
158
160
161
162
166
168
170
172
174
176
178
180
certificado
procesador
instrucciones de programa instrucciones de programa instrucciones de programa instrucciones de programa sistema informatico de servicio instrucciones del programa interfaz de red procesador
instrucciones de programa
conjunto de datos de configuracion
conjunto de datos de configuracion
conjunto de datos de configuracion
entrada de usuario
especificacion de atributo
demanda
respuesta
automovil
base de datos
servicio web
secuencia parcial
componente
Claims (15)
- 51015202530354045REIVINDICACIONES1. Procedimiento para el almacenamiento de datos con las siguientes etapas:- establecimiento de una primera conexion (101) entre una primera ficha de ID (106) y un primer sistema informatico (136) a traves de un segundo sistema informatico (100) para la lectura de al menos un primer atributo de la primera ficha de ID,- establecimiento de una segunda conexion (103) entre una segunda ficha de ID (107) y el primer sistema informatico a traves del segundo sistema informatico para la lectura de al menos un segundo atributo de la segunda ficha de ID,- envfo de los primeros y segundos atributos por el primer sistema informatico a un tercer sistema informatico (150),- recepcion de los datos del tercer sistema informatico por el primer sistema informatico,- escritura de los datos del primer sistema informatico en la segunda ficha de ID a traves de la segunda conexion para almacenar los datos en la segunda ficha de ID, siendo un prerrequisito para la escritura de los datos que tambien siga existiendo la primera conexion,en el que en cuanto a la primera y segunda conexiones se trata, respectivamente, de conexiones con cifrado de extremo a extremo y con un protocolo orientado a la conexion.
- 2. Procedimiento segun la reivindicacion 1, en el que en cuanto a la primera y/o segunda ficha de ID se trata de un documento, en particular un documento de valor o de seguridad.
- 3. Procedimiento segun la reivindicacion 1 o 2, en el que en cuanto al protocolo orientado a la conexion se trata de un TCP.
- 4. Procedimiento segun la reivindicacion 1, 2 o 3, en el que para el establecimiento de cada una de las primera y segunda conexiones son realizadas, respectivamente, las siguientes etapas:- autenticacion de un usuario (102) con respecto a la ficha de ID en cuestion,- autenticacion del primer sistema informatico con respecto a la ficha de ID en cuestion, en el que tras laautenticacion con exito del usuario y del primer sistema informatico con respecto a la ficha de ID en cuestion se realiza un acceso de lectura del primer sistema informatico hacia el al menos primer o segundo atributos almacenados en la ficha de ID en cuestion para la transmision, despues de su firma, al tercer sistema informatico.
- 5. Procedimiento segun la reivindicacion 4, en el que la autenticacion del primer sistema informatico con respecto a la ficha de ID en cuestion es realizada con ayuda de un certificado (144) de primer sistema informatico, en el que el certificado contiene una indicacion de aquellos atributos almacenados en la ficha de ID en cuestion para los que el primer sistema informatico esta autorizado para el acceso de lectura,- en el que en particular la ficha de ID en cuestion comprueba la autorizacion de lectura del primer sistema informatico para el acceso de lectura hacia el al menos el primer o segundo atributo con ayuda del certificado y/o- en el que en particular el certificado contiene una especificacion de los derechos de escritura del primer sistema informatico para la escritura de los datos en la segunda ficha de ID, en el que la segunda ficha de ID comprueba la autorizacion de escritura del primer sistema informatico para acceso de escritura para la escritura de los datos con ayuda del certificado.
- 6. Procedimiento segun una de las reivindicaciones anteriores, con las siguientes etapas adicionales:- firma del al menos primer y segundo atributos lefdos de la ficha de ID en cuestion por el primer sistema informatico,- transmision del sistema informatico firmado del primer sistema informatico al tercer sistema informatico.
- 7. Procedimiento segun una de las reivindicaciones anteriores, con las siguientes etapas adicionales:- envfo de una demanda de servicio del segundo sistema informatico al tercer sistema informatico,- especificacion de uno o varios atributos por el tercer sistema informatico,5101520253035404550- envfo de una especificacion de atributo del tercer sistema informatico al primer sistema informatico, en el que se realiza el acceso de lectura del primer sistema informatico a la primera o la segunda ficha de ID para leer el uno o varios atributos especificados en la especificacion de atributo, en el que en particular la demanda de servicio contiene un identificador para la identificacion del primer sistema informatico para seleccionar el primer sistema informatico para el establecimiento de la primera y segunda conexiones y la escritura de los datos.
- 8. Procedimiento segun una de las reivindicaciones anteriores, en el que el al menos primer o segundo atributos lefdos por el primer sistema informatico de la ficha de ID en cuestion es enviado al segundo sistema informatico, desde donde es reenviado al tercer sistema informatico despues del desbloqueo por el usuario, en el que en particular el usuario puede completar con otros datos el al menos primer o segundo atributo antes del reenvfo al tercer sistema informatico.
- 9. Procedimiento segun una de las reivindicaciones anteriores, en el que el primer sistema informatico antes de escribir los datos accede de nuevo a la primera ficha de ID a traves de la primera conexion para leer de nuevo el primer atributo, y en el que el primer sistema informatico a partir del primer atributo y de los datos recibidos por el tercer sistema informatico genera los datos de escritura, que despues son escritos por el primer sistema informatico en la segunda ficha de ID.
- 10. Procedimiento segun una de las reivindicaciones anteriores, en el que la primera ficha de ID es asignada a un usuario y en el que la segunda ficha de ID es asignada a un objeto, en particular a un automovil, en el que segundo atributo identifica al objeto de forma unica.
- 11. Producto de programa informatico con instrucciones ejecutables por un sistema informatico para la realizacion de un procedimiento segun una de las reivindicaciones anteriores.
- 12. Ficha de ID con:- un area de memoria protegida (124') para el almacenamiento de al menos un atributo y para el almacenamiento de datos de un sistema informatico de servicio (150), en el que para el almacenamiento de los datos debe existir una primera conexion entre un primer sistema informatico (136) y una primera ficha de ID (106) y un primer atributo ha sido lefdo de la primera ficha de ID;- medios (134) para la autenticacion del primer sistema informatico (136) con respecto a la ficha de ID, medios (131') para el establecimiento de una segunda conexion (103) entre la ficha de ID y el primer sistema informatico segun un protocolo orientado a la conexion, a traves del cual el primer sistema informatico puede leer al menos un segundo atributo, en el que un prerrequisito necesario para la lectura del al menos un atributo de la ficha de ID por el primer sistema informatico es la autenticacion con exito del primer sistema informatico con respecto a la ficha de ID, y en el que los datos pueden ser escritos en el area de memoria a traves de la segunda conexion, en el que el prerrequisito para la escritura de los datos es que siga existiendo la primera conexion, y en el que en particular en cuanto al protocolo orientado a la conexion se trata de un TCP, y en el que en cuanto a la ficha de ID se trata en particular de un documento, en particular un documento de valor o de seguridad.
- 13. Sistema informatico con:- medios (138, 147) para el establecimiento de una primera conexion (101) entre una primera ficha de ID(106) para la lectura de al menos un primer atributo de la primera ficha de ID a traves de un segundo sistema informatico (100),- medios (138, 147) para el establecimiento de una segunda conexion (103) entre una segunda ficha de ID(107) para la lectura de al menos un segundo atributo de la segunda ficha de ID a traves del segundo sistema informatico,- medios (138, 147) para el envfo de los primeros y segundos atributos del primer sistema informatico a un tercer sistema informatico (150),- medios (138) para la recepcion de los datos del tercer sistema informatico,- medios (138, 147, 151) para la escritura de los datos del primer sistema informatico en la segunda ficha deID a traves de la segunda conexion, para almacenar los datos en la segunda ficha de ID, en el que unprerrequisito para la escritura de los datos es que tambien siga existiendo la primera conexion, en el que encuanto a la primera y segunda conexiones se trata, respectivamente, de conexiones con cifrado de extremo a extremo y con un protocolo orientado a la conexion.
- 14. Sistema informatico segun la reivindicacion 13 con:- medios (138) para la recepcion de una especificacion de atributo a traves de una red (116), en el que la especificacion de atributo especifica al menos un primer y/o segundo atributos,- medios (142, 144, 146) para la autenticacion con respecto a la primera y segunda ficha de ID, en el que la lectura del primer o segundo atributos presupone que un usuario ha sido autenticado al menos con respecto5 a la primera ficha de ID y el sistema informatico ha sido autenticado con respecto a la primera y segundaficha de ID.
- 15. Sistema informatico segun la reivindicacion 13 o 14, en el que los medios para el establecimiento de la primera y segunda conexiones estan realizados de manera que pueden mantenerse simultaneamente la primera y segunda conexiones.10
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102008042262 | 2008-09-22 | ||
| DE200810042262 DE102008042262B4 (de) | 2008-09-22 | 2008-09-22 | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem |
| DE102008042582A DE102008042582A1 (de) | 2008-10-02 | 2008-10-02 | Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem |
| DE102008042582 | 2008-10-02 | ||
| PCT/EP2009/061471 WO2010031698A2 (de) | 2008-09-22 | 2009-09-04 | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2573692T3 true ES2573692T3 (es) | 2016-06-09 |
Family
ID=42039945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES09782622.6T Active ES2573692T3 (es) | 2008-09-22 | 2009-09-04 | Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8726360B2 (es) |
| EP (2) | EP2338255B1 (es) |
| ES (1) | ES2573692T3 (es) |
| PL (1) | PL2332313T3 (es) |
| WO (2) | WO2010031698A2 (es) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6344745B1 (en) * | 1998-11-25 | 2002-02-05 | Medrad, Inc. | Tapered birdcage resonator for improved homogeneity in MRI |
| DE102008040416A1 (de) * | 2008-07-15 | 2010-01-21 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| WO2010031698A2 (de) * | 2008-09-22 | 2010-03-25 | Bundesdruckerei Gmbh | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem |
| EP2540057A2 (en) * | 2010-02-26 | 2013-01-02 | General instrument Corporation | Dynamic cryptographic subscriber-device identity binding for subscriber mobility |
| DE102010028133A1 (de) * | 2010-04-22 | 2011-10-27 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines Attributs aus einem ID-Token |
| US9106645B1 (en) * | 2011-01-26 | 2015-08-11 | Symantec Corporation | Automatic reset for time-based credentials on a mobile device |
| US8943574B2 (en) * | 2011-05-27 | 2015-01-27 | Vantiv, Llc | Tokenizing sensitive data |
| US20120310837A1 (en) * | 2011-06-03 | 2012-12-06 | Holden Kevin Rigby | Method and System For Providing Authenticated Access to Secure Information |
| US20130018759A1 (en) * | 2011-07-13 | 2013-01-17 | Ebay Inc. | Third party token system for anonymous shipping |
| US10263782B2 (en) * | 2011-10-12 | 2019-04-16 | Goldkey Corporation | Soft-token authentication system |
| DE102012224083A1 (de) * | 2012-12-20 | 2015-08-20 | Bundesdruckerei Gmbh | Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem |
| ES2491491B1 (es) * | 2013-03-05 | 2015-06-16 | Vodafone España, S.A.U. | Método para asociar de manera anónima mediciones de un dispositivo de monitorización sanitaria con un ID de usuario |
| WO2016168304A1 (en) | 2015-04-13 | 2016-10-20 | Research Now Group, Inc. | Questionnaire apparatus |
| DE102016206514A1 (de) * | 2016-04-18 | 2017-10-19 | Volkswagen Aktiengesellschaft | Verfahren zur digitalen Verwaltung von Eigentumsrechten an einem Fahrzeug |
| US10476862B2 (en) | 2017-03-31 | 2019-11-12 | Mastercard International Incorporated | Systems and methods for providing digital identity records to verify identities of users |
| US11122036B2 (en) | 2017-09-18 | 2021-09-14 | Mastercard International Incorporated | Systems and methods for managing digital identities associated with mobile devices |
| US11100503B2 (en) | 2018-02-07 | 2021-08-24 | Mastercard International Incorporated | Systems and methods for use in managing digital identities |
| IT201800002895A1 (it) | 2018-02-21 | 2019-08-21 | Stmicroelectronics Application Gmbh | Sistema di elaborazione, relativo circuito integrato, dispositivo e procedimento |
| US11373457B2 (en) * | 2018-11-06 | 2022-06-28 | Zf Friedrichshafen Ag | System and method for detecting non-approved parts in a vehicle |
| EP3723017A1 (en) | 2019-04-08 | 2020-10-14 | Mastercard International Incorporated | Improvements relating to identity authentication and validation |
| US12531721B2 (en) | 2024-06-06 | 2026-01-20 | Bank Of America Corporation | System and method for homomorphic ancillary document data encryption, data authentication, and data transfer |
Family Cites Families (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2725537B1 (fr) * | 1994-10-11 | 1996-11-22 | Bull Cp8 | Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe |
| US5796832A (en) * | 1995-11-13 | 1998-08-18 | Transaction Technology, Inc. | Wireless transaction and information system |
| WO1997022092A2 (en) * | 1995-12-14 | 1997-06-19 | Venda Security Corporation | Secure personal information card and method of using the same |
| US5918228A (en) * | 1997-01-28 | 1999-06-29 | International Business Machines Corporation | Method and apparatus for enabling a web server to impersonate a user of a distributed file system to obtain secure access to supported web documents |
| US7290288B2 (en) * | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
| US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6173400B1 (en) * | 1998-07-31 | 2001-01-09 | Sun Microsystems, Inc. | Methods and systems for establishing a shared secret using an authentication token |
| FR2794595B1 (fr) * | 1999-06-03 | 2002-03-15 | Gemplus Card Int | Pre-controle d'un programme dans une carte a puce additionnelle d'un terminal |
| EP1269425A2 (en) * | 2000-02-25 | 2003-01-02 | Identix Incorporated | Secure transaction system |
| US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
| US20020097159A1 (en) * | 2001-01-19 | 2002-07-25 | Peter Hooglander | System and method using medical information-containing electronic devices |
| EP1239400A1 (en) | 2001-03-09 | 2002-09-11 | Semiconductor Components Industries, LLC | Dual smartcard controller |
| US20040139028A1 (en) * | 2001-03-23 | 2004-07-15 | Fishman Jayme Matthew | System, process and article for conducting authenticated transactions |
| US20030023858A1 (en) | 2001-07-26 | 2003-01-30 | International Business Machines Corporation | Method for secure e-passports and e-visas |
| US7475250B2 (en) | 2001-12-19 | 2009-01-06 | Northrop Grumman Corporation | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| US7770212B2 (en) * | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
| US7725562B2 (en) * | 2002-12-31 | 2010-05-25 | International Business Machines Corporation | Method and system for user enrollment of user attribute storage in a federated environment |
| US7587491B2 (en) * | 2002-12-31 | 2009-09-08 | International Business Machines Corporation | Method and system for enroll-thru operations and reprioritization operations in a federated environment |
| IL154091A0 (en) * | 2003-01-23 | 2003-07-31 | A method and a system for unauthorized vehicle control | |
| US7366892B2 (en) * | 2003-01-28 | 2008-04-29 | Cellport Systems, Inc. | Secure telematics |
| DE10306338A1 (de) | 2003-02-10 | 2004-08-26 | Gabriele Kappe | Verfahren zum geschützten Zugang |
| US7392534B2 (en) * | 2003-09-29 | 2008-06-24 | Gemalto, Inc | System and method for preventing identity theft using a secure computing device |
| GB2409316B (en) * | 2003-12-17 | 2006-06-21 | Motorola Inc | Method and apparatus for programming electronic security token |
| US20050138421A1 (en) * | 2003-12-23 | 2005-06-23 | Fedronic Dominique L.J. | Server mediated security token access |
| US8504704B2 (en) * | 2004-06-16 | 2013-08-06 | Dormarke Assets Limited Liability Company | Distributed contact information management |
| US20070208940A1 (en) * | 2004-10-29 | 2007-09-06 | The Go Daddy Group, Inc. | Digital identity related reputation tracking and publishing |
| US8904040B2 (en) | 2004-10-29 | 2014-12-02 | Go Daddy Operating Company, LLC | Digital identity validation |
| US20060294583A1 (en) * | 2005-05-11 | 2006-12-28 | Ingenia Holdings (U.K.) Limited | Authenticity Verification |
| US20070008084A1 (en) * | 2005-07-05 | 2007-01-11 | Sen-Jia Wu | Electronic license plate system changing displayed information and method for the same |
| EP1802155A1 (en) * | 2005-12-21 | 2007-06-27 | Cronto Limited | System and method for dynamic multifactor authentication |
| US8069476B2 (en) * | 2006-06-01 | 2011-11-29 | Novell, Inc. | Identity validation |
| US8180741B2 (en) * | 2006-06-06 | 2012-05-15 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
| JP4277229B2 (ja) * | 2006-06-29 | 2009-06-10 | ソニー株式会社 | 携帯端末、決済方法、およびプログラム |
| US20080083827A1 (en) | 2006-10-06 | 2008-04-10 | Taisys Technologies Co., Ltd. | Security method of dual-card assembly |
| US8387108B1 (en) * | 2006-10-31 | 2013-02-26 | Symantec Corporation | Controlling identity disclosures |
| US20080120511A1 (en) * | 2006-11-17 | 2008-05-22 | Electronic Data Systems Corporation | Apparatus, and associated method, for providing secure data entry of confidential information |
| US20080120712A1 (en) | 2006-11-21 | 2008-05-22 | Telos Corporation | Method and system for remote security token extension |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8387124B2 (en) * | 2007-03-15 | 2013-02-26 | Palo Alto Research Center Incorporated | Wormhole devices for usable secure access to remote resource |
| US8074257B2 (en) * | 2007-03-16 | 2011-12-06 | Felsted Patrick R | Framework and technology to enable the portability of information cards |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| DE102008000067C5 (de) | 2008-01-16 | 2012-10-25 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
| DE102008040416A1 (de) * | 2008-07-15 | 2010-01-21 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| US8250366B2 (en) * | 2008-09-09 | 2012-08-21 | International Business Machines Corporation | Method and system for electronic vehicle document display |
| US7876201B2 (en) * | 2008-09-15 | 2011-01-25 | International Business Machines Corporation | Vehicle authorization method and system |
| WO2010031698A2 (de) * | 2008-09-22 | 2010-03-25 | Bundesdruckerei Gmbh | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem |
| DE102008042259A1 (de) * | 2008-09-22 | 2010-04-08 | Bundesdruckerei Gmbh | Kraftfahrzeug-Elektronikgerät, Kraftfahrzeug, Verfahren zur Anzeige von Daten auf einer Kraftfahrzeug-Anzeigevorrichtung und Computerprogrammprodukt |
| DE102009027681A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren und Lesen von Attributen aus einem ID-Token |
| DE102009027682A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens |
-
2009
- 2009-09-04 WO PCT/EP2009/061471 patent/WO2010031698A2/de not_active Ceased
- 2009-09-04 EP EP09782626.7A patent/EP2338255B1/de active Active
- 2009-09-04 US US13/120,983 patent/US8726360B2/en active Active
- 2009-09-04 EP EP09782622.6A patent/EP2332313B1/de active Active
- 2009-09-04 WO PCT/EP2009/061476 patent/WO2010031700A2/de not_active Ceased
- 2009-09-04 US US13/059,500 patent/US8707415B2/en active Active
- 2009-09-04 PL PL09782622T patent/PL2332313T3/pl unknown
- 2009-09-04 ES ES09782622.6T patent/ES2573692T3/es active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010031700A2 (de) | 2010-03-25 |
| WO2010031700A3 (de) | 2010-07-01 |
| US20110191829A1 (en) | 2011-08-04 |
| EP2338255B1 (de) | 2017-04-05 |
| US8707415B2 (en) | 2014-04-22 |
| US20120023559A1 (en) | 2012-01-26 |
| PL2332313T3 (pl) | 2016-08-31 |
| EP2332313B1 (de) | 2016-04-27 |
| EP2332313A2 (de) | 2011-06-15 |
| WO2010031698A3 (de) | 2010-06-17 |
| US8726360B2 (en) | 2014-05-13 |
| WO2010031698A2 (de) | 2010-03-25 |
| EP2338255A2 (de) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2573692T3 (es) | Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático | |
| ES2589050T3 (es) | Procedimiento para leer atributos de un testigo de ID | |
| KR100493885B1 (ko) | 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법 | |
| ES2714177T3 (es) | Procedimiento para leer atributos desde un código de identidad-ID | |
| CN102959559B (zh) | 用于产生证书的方法 | |
| KR101520999B1 (ko) | 아이디 토큰으로부터 속성을 읽기 위한 방법 | |
| US9130931B2 (en) | Method for reading an attribute from an ID token | |
| ES2826599T3 (es) | Procedimiento para la generación de una firma electrónica | |
| ES2753964T3 (es) | Procedimiento para generar un software token, producto de programa informático y sistema informático de servicio | |
| CN102473212B (zh) | 生成软令牌的方法 | |
| ES2984852T3 (es) | Emisión de credencial digital verificable | |
| US20120233705A1 (en) | System and methods for identity attribute validation | |
| ES2773705T3 (es) | Método para proporcionar firmas digitales seguras | |
| CN108141444B (zh) | 经改善的认证方法和认证装置 | |
| US12587520B2 (en) | Personalized, server-specific authentication mechanism | |
| ES2826601T3 (es) | Procedimiento para la generación de una firma electrónica | |
| ES2827949T3 (es) | Procedimiento para la lectura de atributos desde un ID-Token, ID-Token, sistema informático proveedor de atributos y sistema informático | |
| WO2024201734A1 (ja) | 認証システム、端末、認証サーバ、認証方法、及び記録媒体 | |
| JP2008046676A (ja) | Icカードおよび電子バリュー譲渡システム | |
| KR20050097160A (ko) | 공인 인증서를 이용한 인터넷 서비스 제공 시스템 및 그방법 |