公开(公告)号：DE112011100182T8

公开(公告)日：2012-12-06

申请号：DE112011100182

申请日：2011-02-16

Applicant: IBM

Inventor： GROSS THOMAS R ,  BICHSEL PATRICK ,  CAMENISCH JAN L

IPC: G06F21/33 ,  G06F21/55 ,  G06F21/62

公开(公告)号：DE112011100182B4

公开(公告)日：2021-01-21

申请号：DE112011100182

申请日：2011-02-16

Applicant: IBM

Inventor： BICHSEL PATRICK ,  CAMENISCH JAN L ,  GROSS THOMAS R

IPC: G06F21/00 ,  G06F21/33 ,  G06F21/34 ,  G06F21/55 ,  G06F21/62

Abstract: Datensicherheitsvorrichtung (5), die Folgendes umfasst:einen Speicher (10), um Benutzerdaten zu speichern,eine Schnittstelle (7) zur Übertragung von Datenmitteilungen zwischen der Sicherheitsvorrichtung (5) und einem Endgerät (2), das mit einem Datenübertragungsnetzwerk (3) verbunden werden kann, undeine Steuereinheit (8) zur Verarbeitung von Anforderungen von dem Endgerät (2) für Informationen über die Benutzerdaten, wobei die Steuereinheit (8) so ausgelegt ist, dass sie die Anforderung verarbeitet, indem sie:eine Nachricht erzeugt, die eine Angabe der über die Benutzerdaten angeforderten Informationen umfasst, wobei die Nachricht erzeugt wird, um unter Verwendung von geheimen Daten eine Überprüfung, ob die Nachricht von der Steuereinheit (8) erzeugt worden ist, zu ermöglichen;die Nachricht an das Endgerät (2) sendet, um sie über das Netzwerk (3) an eine Veröffentlichungsinstanz (4) zu übertragen, damit die Nachricht in dem Netzwerk veröffentlicht wird;eine von der Veröffentlichungsinstanz (4) ausgegebene kryptographische Konstruktion von dem Endgerät (2) empfängt, welche die von der Veröffentlichungsinstanz (4) veröffentlichte Nachricht codiert;die Gültigkeit der kryptographischen Konstruktion für die von der Steuereinheit (8) erzeugte Nachricht prüft; und dem Endgerät (2) die über die Benutzerdaten angeforderten Informationen in Abhängigkeit von der kryptographischen Konstruktion liefert;wobei die Steuereinheit (8) des Weiteren so ausgelegt ist, dass sie einen Prüfprozess durchführt, der Folgendes umfasst:über das Endgerät (2) Empfangen von Nachrichtendaten von Nachrichten, die von der Veröffentlichungsinstanz (4) in dem Netzwerk (3) veröffentlicht werden;aus den Nachrichtendaten Ermitteln einer von der Steuereinheit (8) erzeugten Nachricht unter den veröffentlichten Nachrichten, die den Nachrichtendaten entspricht; undfür jede auf diese Weise ermittelte Nachricht Senden einer Beschreibung der über die Benutzerdaten angeforderten Informationen, die der Angabe in dieser Nachricht entspricht, an das Endgerät (2) zur Ausgabe an einen Benutzer,wobei der Prüfprozess unter Verwendung von Regeln p, einer Kennung einer Zeit t und einer kryptographischen Challenge c erfolgt, wobei das Endgerät (2) eine aktuelle Zeit mitgeteilt bekommt (a), die Nachricht eine kryptographische Challenge umfasst (b), die Challenge zu einem Geheimtext verschlüsselt wird (c), das Endgerät (2) die Antwort an die Veröffentlichungsinstanz (4) weiterleitet (d), wo die Challenge extrahiert wird (e) und eine Signatur erzeugt wird, die an die Sicherheitsvorrichtung (5) zurückgeschickt wird (f), wo die Gültigkeit der Signatur überprüft wird (g), wobei nur wenn die Konstruktion gültig ist, die Steuereinheit (8) die Informationen über ihre Benutzerdaten an das Endgerät (2) liefert (h).

公开(公告)号：DE112011100182T5

公开(公告)日：2012-10-04

申请号：DE112011100182

申请日：2011-02-16

Applicant: IBM

Inventor： GROSS THOMAS R ,  BICHSEL PATRICK ,  CAMENISCH JAN

IPC: G06F21/33 ,  G06F21/55 ,  G06F21/62

Abstract: Datensicherheitsvorrichtungen (5) des Typs, der Benutzerdaten speichern und mit Endgeräten (2) in Dialogverkehr treten kann, um den Endgeräten (2) Informationen über die gespeicherten Benutzerdaten zur Verfügung zu stellen, werden bereitgestellt. Eine solche Datensicherheitsvorrichtung (5) verfügt über einen Speicher (10) zur Speicherung von Benutzerdaten, eine Schnittstelle (7) zur Übertragung von Datenmitteilungen zwischen der Sicherheitsvorrichtung (5) und einem Endgerät (2), das mit einem Datenübertragungsnetzwerk (3) verbunden werden kann, und eine Steuereinheit (8). Die Steuereinheit (8) verarbeitet eine Anforderung von dem Endgerät (2) für Informationen über die Benutzerdaten, indem sie zuerst eine Nachricht erzeugt, die eine Angabe der über die Benutzerdaten angeforderten Informatianen umfasst. Die Nachricht wird erzeugt, um unter Verwendung von geheimen Daten eine Überprufung, ob die Nachricht von der Steuereinheit (8) erzeugt worden ist, zu ermöglichen. Die Steuereinheit sendet die Nachricht an das Endgerät (2), um sie über das Netzwerk (3) an eine Veröffentlichungsinstanz (4) zu übertragen, damit die Nachricht in dem Netzwerk veröffentlicht wird. Die Steuereinheit (8) empfängt dann eine von der Veröffentlichungsinstanz (4) ausgegebene kryptographische Konstruktion von dem Erdgerät (2), welche die von der Veröffentlichungsinstanz (4) veröffentlichte Nachricht codiert. Die Steuereinheit prüft die Gültigkeit der kryptographischen Konstruktion für die von der Steuereinheit (8) erzeugte Nachricht und die nachfolgende Lieferung der über die Benutzerdaten angeforderten Informationen an das Endgerät (2) hängt dann von der kryptographischen Konstruktion ab. Entsprechende Endgeräte (2) und System (1) werden ebenfalls bereitgestellt.