Processing

Please wait...

Settings

Settings

Goto Application

1. WO2016146726 - METHOD FOR GENERATING A CERTIFICATE FOR A SECURITY TOKEN

Publication Number WO/2016/146726
Publication Date 22.09.2016
International Application No. PCT/EP2016/055762
International Filing Date 17.03.2016
IPC
G06F 21/33 2013.01
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
30Authentication, i.e. establishing the identity or authorisation of security principals
31User authentication
33using certificates
CPC
G06F 21/33
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
30Authentication, i.e. establishing the identity or authorisation of security principals
31User authentication
33using certificates
Applicants
  • BUNDESDRUCKEREI GMBH [DE]/[DE]
Inventors
  • WIRTH, Klaus-Dieter
  • SCHOLZE, Steffen
  • SCHWAN, Matthias
  • FILZHUTH, Elke
  • MÜLLER, Frank
Agents
  • RICHARDT PATENTANWÄLTE PARTG MBB
Priority Data
10 2015 204 828.417.03.2015DE
Publication Language German (DE)
Filing Language German (DE)
Designated States
Title
(DE) VERFAHREN ZUR ERZEUGUNG EINES ZERTIFIKATS FÜR EINEN SICHERHEITSTOKEN
(EN) METHOD FOR GENERATING A CERTIFICATE FOR A SECURITY TOKEN
(FR) PROCÉDÉ DE GÉNÉRATION D'UN CERTIFICAT POUR UN JETON DE SÉCURITÉ
Abstract
(DE)
Die Erfindung betrifft ein Verfahren zur Erzeugung eines Zertifikats (167) für einen Sicherheitstoken (156) eines Nutzers (102) durch einen ID-Token (106) desselben Nutzers, wobei in dem ID-Token ein Zertifikat (103) einer Dokumenten-PKI (300) gespeichert ist und der ID-Token einen geschützten Speicherbereich aufweist, in dem ein privater Schlüssel (105; 187) des Zertifikats der Dokumenten-PKI, ein oder mehrere Attribute (124, 198) und eine über eine Kommunikationsschnittstelle (108) des ID-Tokens empfangene Zeitinformation (107, TA') gespeichert sind, wobei in dem Sicherheitstoken ein Zertifikat (160) einer Berechtigungs-PKI (302) gespeichert ist, wobei in dem Zertifikat der Berechtigungs-PKI eine Schreibberechtigung für einen Schreibzugriff des Sicherheitstokens auf den geschützten Speicherbereich des ID-Tokens festgelegt ist, mit folgenden Schritten: - Authentifizierung des Nutzers gegenüber dem ID-Token und gegenüber dem Sicherheitstoken, - gegenseitige Authentifizierung des ID-Tokens und des Sicherheitstokens unter Verwendung des Zertifikats (103) der Dokumenten-PKI und des Zertifikats (160) der Berechtigungs-PKI, - Erzeugung eines kryptografischen Schlüsselpaars (166) bestehend aus einem privaten Schlüssel (189) und einem öffentlichen Schlüssel (173) durch den Sicherheitstoken, - Durchführung des Schreibzugriffs des Sicherheitstokens auf den geschützten Speicherbereich des ID-Tokens zur Speicherung des öffentlichen Schlüssels des erzeugten Schlüsselpaars in dem ID-Token, - Durchführung eines Lesezugriffs des ID-Tokens auf den geschützten Speicherbereich, um den öffentlichen Schlüssel, die Zeitinformation und zumindest das eine Attribut zu lesen, - Erzeugung eines Datensatzes (192), der den öffentlichen Schlüssel, die Zeitinformation und das zumindest eine Attribut beinhaltet durch den ID-Token, - Signierung des Datensatzes mit dem in dem geschützten Speicherbereich gespeicherten privaten Schlüssel (105, 187) durch den ID-Token zur Erzeugung des Zertifikats, Ausgabe des Zertifikats durch den ID-Token.
(EN)
The invention relates to a method for generating a certificate (167) for a security token (156) of a user (102) by means of an ID token (106) of the same user. A certificate (103) of a document PKI (300) is stored in the ID token, and the ID token has a protected storage region in which a private key (105; 187) of the certificate of the document PKI, one or more attributes (124, 198), and time information (107, TA') received via a communication interface (108) of the ID token are stored. A certificate (160) of an authorization PKI (302) is stored in the security token, and a write authorization for write-accessing the protected storage region of the ID token by means of the security token is specified in the certificate of the authorization PKI. The method has the following steps: - authenticating the user with respect to the ID token and with respect to the security token, - mutually authenticating the ID token and the security token using the certificate (103) of the document PKI and of the certificate (160) of the authorization PKI, - generating a cryptographic key pair (166) consisting of a private key (189) and a public key (173) using the security token, - write-accessing the protected storage region of the ID token by means of the security token in order to store the public key of the generated key pair in the ID token, - read-accessing the protected storage region by means of the ID token in order to read the public key, the time information, and the at least one attribute, - generating a data set (192) which contains the public key, the time information, and the at least one attribute by means of the ID token, - signing the data set with the private key (105, 187) stored in the protected storage region by means of the ID token in order to generate the certificate, and - outputting the certificate by means of the ID token.
(FR)
L'invention concerne un procédé de génération d'un certificat (167) pour un jeton de sécurité (156) d'un utilisateur (102) par un jeton d'identification (106) du même utilisateur, un certificat (103) d'une infrastructure de clé publique (ICP) de documents (300) étant stocké dans le jeton d'identification et le jeton d'identification comprenant une zone de mémoire protégée dans laquelle sont stockés une clé privée (105; 187) du certificat de l'ICP de documents, un ou plusieurs attributs (124, 198) et une information temporelle (107, TA') reçue par l'intermédiaire d'une interface de communication (108) du jeton d'identification. Dans le jeton de sécurité est stocké un certificat (160) d'une ICP d'autorisation (302) tandis que dans le certificat de l'ICP d'autorisation est déterminée une autorisation d'écriture pour un accès en écriture du jeton de sécurité à la zone de mémoire protégée du jeton d'identification. Ledit procédé comprend les étapes suivantes : - l'authentification de l'utilisateur par rapport au jeton d'identification et au jeton de sécurité; - l'authentification mutuelle du jeton d'identification et du jeton de sécurité à l'aide du certificat (103) de l'ICP de documents et du certificat (160) de l'ICP d'autorisation; - la génération d'une paire cryptographique de clés (166) composée d'une clé privée (189) et d'une clé publique (173) par le jeton de sécurité; - l'exécution de l'accès en écriture du jeton de sécurité à la zone de mémoire protégé du jeton d'identification pour le stockage de la clé publique de la paire de clés générée dans le jeton d'identification; - l'exécution d'un accès en lecture du jeton d'identification à la zone de mémoire protégée pour lire la clé publique, l'information temporelle et le ou les attributs; - la génération par le jeton d'identification d'un enregistrement de données (192) qui contient la clé publique, l'information temporelle et le ou les attributs; - la signature de l'enregistrement de données avec la clé privée (105, 187) stockée dans la zone de mémoire protégée par le jeton d'identification afin de générer le certificat; la sortie du certificat par le jeton d'identification.
Also published as
Latest bibliographic data on file with the International Bureau