本发明专利技术涉及用于对要提供的服务的服务用户进行认证的方法和设备。所述方法具有以下步骤:a)为构建通过应用安全协议所确保的、用于在所述服务使用装置(N)和服务装置(D)之间的数据传输的连接提供由所述服务用户的服务使用装置(N)所建立的匿名的并且自签名的证书,b)借助于被分配给组的组签名来对所提供的匿名的并且自签名的证书进行验证,以便确定通过自己的服务使用装置来提供所述证书的服务用户是否是所述组的成员,其中所述组签名用于证明所述对于服务用户使用所述服务的授权。
【技术实现步骤摘要】
【国外来华专利技术】用于对要提供的服务的服务用户进行认证的方法和设备
本专利技术涉及一种用于对要提供的服务的服务用户进行认证的方法和设备,所述服务可以由服务装置(Dienstleistungsmittel)提供并由服务使用装置接受,其中所述服务使用装置由服务用户使用。
技术介绍
日常使用的大多物品(食物、衣物、期刊和书籍、燃料等)以及许多服务(利用ÖPNV、DB或计程车进行的行驶、对饭店和美发店的访问等)都可以用现金来支付,并且因此在一定程度上以匿名的方式来被利用。也可以以匿名的方式来在英特网中利用许多免费的服务,因为对于提供服务来说通常不需要对服务用户的身份i.d.R.的了解。相反,在借助于EC卡片(也称作借记卡)或信用卡来进行无现金支付时,对于销售者来说顾客或服务用户的身份则是已知的。在例如储蓄卡或用智能电话进行的支付的方法情况下,对于销售者来说至少假名(Pseudonym)也是已知的,销售者能够利用所述假名再次识别出顾客。在使用服务用户的假名情况下,通过对假名和公民姓名的分配的了解能够确定出个人的真实身份,然而所述真实身份通常却仅对于个人的非常有限的圈子来说是已知的。假名的示例:“用户_77”、电话号码、家庭IP连接处的IP地址、Email地址等。假名可以被揭露,例如通过询问电话/IP服务提供者。当假名与结算账户关联时,能够利用假名来对服务进行结算。当一个人多次使用相同假名时,不同动作就可以被分配给这个人。这可能导致:由服务提供者来建立行为分布图(Verhaltensprofil)(例如移动分布图),或者在特定应用情况下,例如当服务用户借助于智能电话使用与用于其他应用相同的假名(例如利用同一假名来使用英特网服务/浏览)来支付回家的计程车行程时,甚至导致不期望地揭露假名。在维护个人的匿名性情况下,不存在假名。个人的真实身份不能够被揭露或者仅能够以过度大的耗费来被揭露。不能够容易地确定出:不同动作是否由相同的个人来执行。为了也在以电子方式预定和使用服务的情况下来实现对于简单的支付过程和其他服务的匿名性,借助于组签名进行的对服务用户的认证会是可能的。组签名、如其例如已经由DE102012221288A1结合用于电动汽车的充电桩或汽车共享服务的使用所已知的那样:对于组的每个成员来说能够将消息作为组的成员来签名。所述组的每个成员具有自己的私人密钥(privatkey(私钥))并且可以因此生成组签名。在此,相应的成员相对所签名的消息的接收者来说保持匿名。验证器拥有相应公开的组密钥,借助于所述公开的组密钥,验证器能够检验由组成员所产生的消息的签名。然而,所述验证器却不获得任何有关如下内容的信息:组的哪个成员已经建立了所述签名并且因此已经建立了所述消息。如果验证器获得两个经签名的消息,那么所述验证器也不能确定:所述两个经签名的消息是否已经由组的两个不同成员签名或者所述两个消息是否已经由组的相同成员签名。组签名方法优选地包括至少以下步骤:1.函数“GKg”生成三个密钥:keyOpen、keyIssue和keyVerify。2.所述密钥keyIssue被转交给权威者(Autorität)。所述权威者拥有函数“Join(合并)”,所述函数“Join”从keyIssue中动态地创建用于组(keySSi)的成员的私人密钥。新的成员可以以组的名称来对任意消息“m”进行签名:sig(m)g。3.函数“GVrfy”借助于keyVerify、m、sig(m)g来检查签名建立者i的组所属性(Gruppenzugehörigkeit)。如果所属性被确认,则可以对于签名建立者i释放资源。4.如果存在争议,那么与在第二点中所提到的权威者不同的其他权威者可以经由函数“open”来将签名sig()g分配给成员i。为此,keyOpen、sig(m)g和m被使用。在此,不同的加密方法提供不同的功能,例如:-由接收者对服务用户的不可标识性。唯独能够检查组所属性。-由独立机构的事后标识性,例如用于调查可能的滥用。-各个服务用户的组所属性的撤销。如果用户相对于服务提供者借助于匿名的组签名来认证,并且只有独立的结算机构打开组签名以便事后为了结算来标识用户,那么利用组签名能够实现容易地对服务的匿名付费。在此,组尤其包括被授权的服务用户的集合。组例如可以是服务提供者或结算企业的客户、国家的公民、企业的员工、协会的成员等的集合。组可以被划分并且也可以与其他组组合成新的组。已知不同的加密方法,例如不对称加密和签名。所述不同的加密方法基于对同属的密钥对的使用,其中公开密钥被用于加密和检验签名,并且私人密钥被用于解密和建立签名。在用于安全协议、诸如TLS(TransportLayerSecurity(传输层安全))和IPsec(InternetProtocolSecurity(英特网协议安全))的认证方法中,利用证书进行的客户端和服务器端的双方认证(mutualauthentification(相互认证))例如是可能的。所述证书用于:将特定的公开密钥(publickey(公钥))分配给用户。所述分配由第三方认证机构来公证,其方式为,第三方认证机构以其自己的签名来对其配备。普遍的是按照标准X.509的公钥证书,所述公钥证书确认持有者或用户的身份和公开的加密密钥的其他特性。在图1中示例性地示出标准化的证书X.509版本3的结构。开头所提到的组签名方法不能够以与标准化的协议、例如TLS和IPsec相关联的方式被使用,因为所述标准化的协议仅支持已规定的签名方法(例如RSA、DSA、EllipticCurveDSA(椭圆曲线DSA)等)。从现有技术出发,本专利技术的任务是:能够实现对于要提供的服务的服务用户的经改善的、匿名的认证。
技术实现思路
所述任务通过独立专利权利要求得以解决。有利的改进方案是从属权利要求的主题。本专利技术要求一种用于对要提供的或要承担的服务的服务用户进行认证的方法,所述方法具有以下步骤:a)为构建通过应用安全协议所确保的、用于在服务使用装置和服务装置之间的数据传输的连接提供由服务用户的服务使用装置所建立的、匿名的并且自签名的证书,和b)借助于被分配给组的组签名来对所提供的匿名的并且自签名的证书进行验证,以便确定通过自己的服务使用装置来提供证书的服务用户是否是所述组的成员,其中所述组签名用于证明对于服务用户使用所述服务的授权。在此,通过服务装置来提供服务,所述服务装置可以以服务器等形式由服务提供者来实现。已认证的服务用户可以在服务装置的情况下请求服务。在此情况下,以其他词语来表述,为了经由标准安全协议、诸如TLS和IPSec建立连接,匿名的标准证书可以与匿名的组签名组合,所述匿名的组签名首先仅证明服务用户对于组的所属性,其中所述匿名的标准证书也可以是短期(kurzlebig)的。也可以通过独立的第三机构(例如结算机构)来标识服务用户。在此情况下,根据本专利技术,所使用的证书并不由认证机构而是由服务用户自己来签名。利用根据本专利技术的设置,能够使用迄今的证书标准和安全协议、例如TLS和IPsec的存在的堆栈实现方案,因为可以在应用中执行组签名的建立和检验。因此,服务用户或其所使用的服务使用装置对于服务装置来说并不是已知的,其中所述服务使用装置可以以(移动式)设备或计算器的形式被实现。本文档来自技高网...
【技术保护点】
一种用于对要提供的服务的服务用户进行认证的方法,所述方法具有以下步骤:a)为构建通过应用安全协议所确保的、用于在所述服务使用装置(N)和服务装置(D)之间的数据传输的连接提供由所述服务用户的服务使用装置(N)所建立的、匿名的并且自签名的证书,和b)借助于被分配给组的组签名来对所提供的匿名的并且自签名的证书进行验证,以便确定通过自己的服务使用装置来提供所述证书的服务用户是否是所述组的成员,其中所述组签名用于证明对于服务用户使用所述服务的授权。
【技术特征摘要】
【国外来华专利技术】2015.07.14 DE 102015213180.71.一种用于对要提供的服务的服务用户进行认证的方法,所述方法具有以下步骤:a)为构建通过应用安全协议所确保的、用于在所述服务使用装置(N)和服务装置(D)之间的数据传输的连接提供由所述服务用户的服务使用装置(N)所建立的、匿名的并且自签名的证书,和b)借助于被分配给组的组签名来对所提供的匿名的并且自签名的证书进行验证,以便确定通过自己的服务使用装置来提供所述证书的服务用户是否是所述组的成员,其中所述组签名用于证明对于服务用户使用所述服务的授权。2.根据前述权利要求所述的方法,其特征在于,通过服务装置(D)来提供所述服务。3.根据前述权利要求所述的方法,其特征在于,所述已认证的服务用户在所述服务装置(D)处请求所述服务。4.根据上述权利要求之一所述的方法,其特征在于,借助被分配给所述组的其他组签名来一次或多次地重复权利要求1的步骤b),其中所述其他组签名用于证明对于服务用户使用其他服务的授权。5.根据上述权利要求2、3或4之一所述的方法,其特征在于,所述已认证的服务用户在所述服务装置(D)处请求一个或多个其他服务。6.根据上述权利要求之一所述的方法,其特征在于,所述连接被终止。7.根据上述权利要求之一所述的方法,其特征在于,所述匿名的证书被删除。8.根据上述权利要求之一所述的方法,其特征在于,被分配给所述组的所述一个组签名或所述其他组签名分别针对用于结算所请求的所述一个或多个服务的结算过程被传输到结算机构(A)。9.根据上述权利要求之一所述的方法,其特征在于,TLS或IPsec协议被使用作为安全协议。10.根据上述权利要求之一所述的方法,其特征在于,使用所谓的X.509证书格式用于所述证书。11.根据上述权利要求之一所述的方法,其特征在于,所述证书的至少一部分、尤其所述证书的公钥或所述证书的签名、或者完整的所述证书、或者所述证书的至少一部分的指纹、或所述完整证书的指纹被包含到组签名中。12.根据上述权利要求之一所述的方法,其特征在于,当所述证书的一部分、或者所述证书的至少一部分的指纹、或所述完整证书的所述指纹...
【专利技术属性】
技术研发人员:JU布泽,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。