[发明专利]生成软令牌的方法

说明书

技术领域

本发明涉及一种生成软令牌(Soft-Token)的方法、一种计算机程序产品、一种ID-令牌以及一种计算机系统。

背景技术

现有技术已经公开了不同的管理用户数字身份的方法：

Microsoft Windows CardSpace是一种以客户端为基础的数字认证系统，该系统实现了针对在线服务对因特网用户进行数字认证。其缺点在于，用户可以操作数字认证。

与之相反的是，OPENID是一种以服务器为基础的系统。这种认证服务器中存储了一数据库，其中存有注册用户的数字认证数据。其缺点在于，数据保护存在缺陷，因为集中存储用户的数字认证数据，所以可以记录用户行为。

US 2007/0294431A1公开了另一种用于管理数据认证的方法，其同样也需要用户注册。

本发明申请人在申请时尚未公开的、其它的以令牌为基础的认证方法的专利申请还有：DE 10 2008 000 067.1-31、DE 10 2008 040 416.0-31、DE 10 2008 042 262.2-31以及DE 10 2009 026 953.3。

发明内容

因此，本发明的目的是提供一种改进的生成软令牌的方法、相关的计算机程序产品、ID-令牌和计算机系统。

上述本发明的目的可由各独立权利中所记载的技术方案来实现；而从属权利要求中则给出了本发明的优选实施方式。

根据本发明的具体实施方式，本发明提供了一种可以读取至少一个存储在分配给用户之ID-令牌中属性(特性，Attribut)的方法。该方法包含下列步骤：针对ID-令牌对用户进行认证；针对ID-令牌对第一计算机系统进行认证；在针对ID-令牌成功认证了用户及第一计算机系统后，将存储在ID-令牌中的至少一个属性发送给第一计算机系统，通过对从ID-令牌中读取的至少一个属性进行签字(Signierung)而由第一计算机系统生成第一软令牌，将第一软令牌发送给设备。这样，就可以形成一个“认证链(Vertrauensanker)”。

根据本发明一具体实施方式，第一计算机系统通过网络特别是因特网，与ID-令牌建立了连接，可以读取存储在ID-令牌中的一个或者多个属性。至少一个属性可以是验证分配给用户之ID-令牌的报告(信息)，特别是所谓的数字标识符。例如，通过第一计算机系统读取的属性如姓、名、地址等，以此而生成第一软令牌。

但是，也可以只读取一个不用于确认用户身份的属性，而是验证用户的使用特定在线服务的权限。例如有些在线服务适用特定的年龄组，此时就只需要用户的年龄作为属性，或者是其它属性，以证明用户属于一个特定的组群，有权使用在线服务。

ID-令牌可以是可携带的电子设备，例如USB存储器，或者是一个文件，特别是有价文件或者安全文件。

本发明中，“文件”可以理解为根据本发明所制作的纸质和/或塑胶质文件，例如：证明文件，特别是护照、身份证、签证以及驾照、机动车执照、机动车车证、公司证明、健康卡或者其它ID文件以及芯片卡、支付工具，特别是银行卡和信用卡或者其它整合了用于存储至少一个属性值的数据存储器的权利证明。

本发明中，“软令牌”特别理解为由可信赖的机构签发的数据记录，其包含一个或者多个属性。从软令牌中读取一个属性的前提条件是针对软令牌成功完成之前所提到的认证。为此，软令牌可以如此设置，在开始读取软令牌前必须输入至少一个识别码，例如密码、PIN或者TAN。这种软令牌也可以称为虚拟令牌。

本发明中，“设备”可以理解为电子设备，特别是台式电脑或者移动电脑，特别是移动终端设备，特别是带有通讯接口的设备，该通讯接口用于接收第一软令牌和/或与服务器计算机系统进行通讯。设备特别可以安装因特网浏览器，通过它可以向服务器计算机系统发送服务要求。例如，设备可以是具有一个无线电接口的移动设备，例如手机、笔记本电脑、智能手机或者个人数码助理(PDA)。

本发明的具体实施方式的特别优势在于，从特别可信赖的文件，例如官方文件中读取至少一个属性标志。其最大的优势在于，不需要集中存储属性。本发明的具体实施方式实现了数字身份所属的属性的高可信赖度，通过外部简便的手动操作可以实现最佳的数据保护。

根据本发明一具体实施方式，第一计算机系统至少具有一个证书，用来针对ID-令牌认证第一计算机系统。证书包括属性的资料，第一计算机系统具有阅读权。通过这个证书，ID-令牌在第一计算机系统执行读取程序前检测第一计算机系统是否具有读取属性的权利。