HINTERGRUND DER ERFINDUNGBACKGROUND OF THE INVENTION
Gebiet der ErfindungField of the invention
Ausführungsformen
der Erfindung betreffen allgemein das digitale Identitätsmanagement.
Insbesondere betrifft die Offenbarung ein Verfahren und eine Anordnung
zur Annahme einer digitalen Nutzer-Identität auf Grund eines transitiven
Vertrauens zwischen Beteiligten.embodiments
The invention relates generally to digital identity management.
In particular, the disclosure relates to a method and an arrangement
to accept a digital user identity due to a transitive
Trust between stakeholders.
Beschreibung verwandter TechnikDescription of related art
In
einem Computernetz wie dem Internet versenden die Nutzer auf Anforderung
einer bestimmte Anwendung bzw. eines bestimmten Dienstes typischerweise
persönliche
und vertrauliche Informationen. In einigen Fällen werden solche vertrauliche
Informationen von einer abgesetzten Host-Instanz für den späteren Zugriff
durch den Nutzer abgespeichert. Typischerweise authentisieren die
Anwendungen die Nutzer, bevor sie die vertraulichen Informationen
annehmen oder einen Zugriff auf sie zulassen. In einem bekannten
Authentisierungsszenario werden ein Nutzername und ein Passwort über das
Netz an eine Anwendung (bspw. eine Web-Seite im Internet) geschickt.
Ein anderer – neuerer
und sichererer – Authentisierungsmechanismus
arbeitet mit einer digitalen Identität. Beim Übermitteln über ein Netz wird eine digitale
Identität
als Sicherungs-Bitfolge (auch als "Token" bezeichnet) wiedergegeben. Das Token weist
ein oder mehrere Attribute ("claims") auf, die jeweils
einen Teil der mit der digitalen Identität insgesamt übermittelten
Information enthalten. Bspw. kann ein Token Attribute für einen
Nutzernamen, ein Passwort, eine Kreditkartennummer und/oder vielfältige andersartige
Informationen enthalten.In
On a computer network such as the Internet, the users send on request
a particular application or service typically
personal
and confidential information. In some cases, such confidential
Information from a remote host instance for later access
saved by the user. Typically, they authenticate
Applications the users before giving the confidential information
accept or allow access to it. In a known
Authentication scenario will be a username and password via the
Network to an application (for example, a web page on the Internet) sent.
Another - later
and more secure - authentication mechanism
works with a digital identity. When transmitting over a network becomes a digital
identity
as a backup bit sequence (also referred to as "token") reproduced. The token points
one or more attributes ("claims"), respectively
a part of the overall digital identity transmitted
Information included. For example. can have a token attribute for one
Username, password, credit card number and / or various other types
Information included.
Einige
Managementsysteme für
digitale Identitäten
sehen zwei Arten digitaler Identitäten vor: selbstbehauptete ("self-asserted") und verwaltete ("managed") Identitäten. Zur
Unterscheidung zwischen diese beiden Identitätsarten ist es nützlich,
drei klar getrennte Rollen zu definieren. Dabei ist ein Nutzer die
Instanz, der die digitale Identität zugeordnet ist. Ein Identitätsanbieter
ist eine Instanz, die einem Nutzer eine digitale Identität bereit
stellt. Eine vertrauende (bzw. Vertrauens-)Instanz ist eine solche, die
sich auf irgendeine Weise auf die digitale Identität verlässt. Bspw.
kann die Vertrauensinstanz die digitale Identität benutzen, um den Nutzer zu
authentisieren. Bei einer selbstbehaupteten Identität sind der Nutzer
und der Identitätsanbieter
identisch. Wird bspw. bei einem Online-Anbieter wie AMAZON.COM ein
Konto eröffnet,
erzeugt der Nutzer seine eigene Identität (bspw. einen Nutzernamen
und ein Nutzer-Passwort). Eine verwaltete Identität ist eine
stärkere
Identitätsform,
da die Informationen von dritter Seite gestützt bzw. gedeckt werden und
daher als vertrauenswürdiger
gelten. M. a. W.: die digitale Identität wird von einem Identitätsanbieter
bereit gestellt, der sich vom Nutzer unterscheidet.Some
Management systems for
digital identities
provide two types of digital identities: self-asserted and managed identities. to
Distinction between these two identities it is useful
to define three clearly separated roles. Here is a user who
Instance associated with the digital identity. An identity provider
is an instance that provides a digital identity to a user
provides. A trusting (or trusted) instance is one that does
in some way relies on the digital identity. For example.
the trusted entity can use the digital identity to the user
authenticate. In a self-asserted identity are the user
and the identity provider
identical. For example, in an online provider such as AMAZON.COM
Account opened,
the user generates his own identity (eg a username
and a user password). A managed identity is one
more
Identity form
since the information is supported or covered by third parties and
therefore more trustworthy
be valid. M. a. W .: the digital identity becomes an identity provider
provided that differs from the user.
Bei
einer selbstbehaupteten Identität
muss eine Vertrauensinstanz zum Validieren des Nutzers und seiner
selbstbehaupteten Attribute eigene Prozesse einsetzen; sie trägt folglich
die Kosten der Validierung. Bei einer verwalteten Identität muss der Nutzer
typischerweise direkte oder indirekte Gebühren zahlen, um vom Identitätsanbieter
die Identität
zu erhalten. Zusätzlich
muss die Vertrauensinstanz den Identitätsanbieter sowie dessen Entscheidungsgrundsätze bzw.
-strategien kennen, bevor er eine einem Nutzer erteilte verwaltete
Identität
akzeptiert. Wenn nicht der Nutzer, muss typischerweise die Vertrauensinstanz
den Identitätsanbieter
für die
Benutzung der von ihm ausgegebenen Identitäten bezahlen. Folglich besteht
Bedarf an einem Mechanismus der Identitätsverwaltung, der die aus der
Erzeugung und der Benutzung von Identitäten bei Nutzern, Vertrauensinstanzen
und Identitätsanbietern
anfallenden Kosten verringert oder beseitigt.at
a self-asserted identity
must have a trusted instance to validate the user and his
self-asserted attributes use own processes; she therefore wears
the cost of validation. For a managed identity, the user must
typically pay direct or indirect fees to the identity provider
the identity
to obtain. additionally
the trusted entity must use the identity provider and its decision-making principles or
strategies before administering a managed user granted to a user
identity
accepted. If not the user, typically must be the body of trust
the identity provider
for the
Pay for using the identities issued by him. Consequently, there is
Need for a mechanism of identity management that derives from the
Creation and use of identities in users, trust instances
and identity providers
reduced or eliminated costs incurred.
Zusammenfassung der ErfindungSummary of the invention
Es
werden ein Verfahren und eine Anordnung zur Annahme einer digitalen
Identität
eines Nutzers auf Grund eines transitiven Vertrauens zwischen Beteiligten
beschrieben. Ein Aspekt der Erfindung betrifft die Verwaltung der
digitalen Identität
eines Nutzers. Dabei wird einem ersten Beteiligten eine digitale
Identität
bereit gestellt, die ein selbstbehauptetes Attribut aufweist. Der
erste Beteiligte gibt ein Akzeptanz-Token aus. Das Akzeptanz-Token
verweist auf bzw. behauptet die Authentizität des selbstbehaupteten Attributs
gemäß dem ersten
Beteiligten. Die digitale Identität und das Akzeptanz-Token werden
einem zweiten Beteiligten bereit gestellt, um die Validierung des
selbstbehaupteten Attributs durch den zweiten Beteiligten auf Grund
des Akzeptanz-Tokens anzufordern.It
be a method and an arrangement for adopting a digital
identity
of a user due to a transitive trust between parties
described. One aspect of the invention relates to the management of
digital identity
a user. In the process, a first participant becomes a digital one
identity
provided having a self-asserted attribute. Of the
first participant issues an acceptance token. The acceptance token
refers to or asserts the authenticity of the self-asserted attribute
according to the first
Involved. The digital identity and the acceptance token become
a second party to provide the validation of the
self-asserted attribute by the second party due
to request the acceptance token.
In
einem anderen Beispiel stellt ein Computer einem ersten Beteiligten
eine digitale Identität
bereit, die ein selbstbehautpetes Attribut beinhaltet. Das selbstbehauptete
Attribut wird vom ersten Beteiligten validiert, der das Akzeptanz-Token
an den Computer schickt. Das Akzeptanz-Token deutet auf die Authentizität des selbstbehaupteten
Attributs gemäß dem ersten
Beteiligten hin. Die digitale Identität und das Akzeptanz-Token werden
vom Computer einem zweiten Beteiligten bereit gestellt. Beim zweiten Beteiligten
wird auf Grund des Akzeptanz-Tokens das selbstbehauptete Attribut
validiert und ein transitives Vertrauen zwischen dem ersten und
dem zweiten Beteiligten hergestellt.In
In another example, a computer represents a first party
a digital identity
ready, which includes a self-absorbed attribute. The self-asserted
Attribute is validated by the first party that issued the acceptance token
sends to the computer. The acceptance token indicates the authenticity of the self-assertive
Attribute according to the first
Involved. The digital identity and the acceptance token become
provided by the computer to a second party. At the second party
becomes the self-asserted attribute due to the acceptance token
validated and a transitive trust between the first and
the second party.
Kurzbeschreibung der ZeichnungenBrief description of the drawings
Zum
besseren Verständnis
der genannten Merkmale der vorliegenden, oben kurz zusammengefassten
Erfindung wird diese an Hand von Ausführungsformen beschrieben, von
denen einige in den beigefügten
Zeichnungen dargestellt sind. Es sei jedoch darauf hingewiesen,
dass die beigefüg ten Zeichnungen
nur typische Ausführungsformen
der vorliegenden Erfindung zeigen und daher nicht als den Umfang
der Erfindung einschränkend
aufzufassen sind; vielmehr lässt
die Erfindung andere, gleich wirksame Ausführungsformen zu.To the
better understanding
said features of the present, briefly summarized above
This invention is described with reference to embodiments of
which some in the attached
Drawings are shown. It should be noted, however,
that the attached drawings
only typical embodiments
of the present invention, and therefore not as the scope
limiting the invention
are to be understood; rather lets
the invention to other equally effective embodiments.
1 ist
ein Blockschaltbild einer beispielhaften Ausführungsform eines vernetzten
Computersystem nach einem oder mehr Aspekten der vorliegenden Erfindung. 1 FIG. 3 is a block diagram of an exemplary embodiment of a networked computer system according to one or more aspects of the present invention.
2 zeigt
als Flussdiagramm eine beispielhafte Ausführungsform eines Verfahrens
zum Verwalten einer selbstbehaupteten digitalen Identität für einen
Nutzer nach einem oder mehr Aspekten der Erfindung. 2 "As a flow chart, an exemplary embodiment of a method for managing a self-asserted digital identity for a user according to one or more aspects of the invention is shown.
3 zeigt
als Flussdiagramm eine andere beispielhafte Ausführungsform eines Verfahrens
zum Verwalten einer selbstbehaupteten digitalen Identität für einen
Nutzer nach einem oder mehr Aspekten der Erfindung. 3 "As a flow chart, another illustrative embodiment of a method for managing a self-asserted digital identity for a user is shown in accordance with one or more aspects of the invention.
Ausführliche
BeschreibungFull
description
Die 1 zeigt
als Blockschaltbild eine beispielhafte Ausführungsform eines vernetzten
Computersystems 100 nach einem oder mehr Aspekten der Erfindung.
Das System 100 weist ein Netz 102 auf, das mit
einem Computer 104 verbunden ist. Der Computer 104 enthält beispielhaft
einen Prozessor 108, einen Speicher 114, verschiedene
unterstützende
Schaltungen 110 und eine Eingabe-/Ausgabe-(E/A)-Schnittstelle 106.
Der Prozessor 108 kann einen oder mehr Mikroprozessoren
aufweisen, wie aus dem Stand der Technik bekannt. Die unterstützenden
Schaltungen 110 für
den Prozessor 108 sind u. a. ein herkömmlicher Cache, Stromversorgungen, Taktgeber,
Datenregister, E/A-Schnittstellen
u. dergl. Die E/A-Schnittstelle 106 kann direkt oder über den Prozessor 108 mit
dem Speicher 114 verbunden sein. Die E/A-Schnittstelle 106 kann
auch für Übertragungsverbindungen
mit Ein- und/oder Ausgabe-Einrichtungen 111 bzw. 113 konfiguriert
sein – bspw. Netzwerkkomponenten,
verschiedene Speicher, eine Maus, eine Tastatur, eine Sichteinheit
u. dergl. Desgl. kann die E/A-Schnittstelle 106 an das
Netz 102 angeschlossen sein. Das Netz 102 weist
ein Übertragungssystem
auf, das Computersysteme über
Drahtleitungen, Kabel, Lichtwellenleiter und/oder Funkstrecken sowie
verschiedenartige bekannte Netzelemente wie Hubs, Switches, Router
u. dergl. miteinander verbindet. Zur Informationsübertragung
kann das Netz 102 mit verschiedenen bekannten Protokollen arbeiten.
Bspw. kann es sich beim Netz 102 um einen Teil des Internets
handeln.The 1 shows a block diagram of an exemplary embodiment of a networked computer system 100 according to one or more aspects of the invention. The system 100 has a network 102 on that with a computer 104 connected is. The computer 104 contains a processor by way of example 108 , a store 114 , various supporting circuits 110 and an input / output (I / O) interface 106 , The processor 108 may include one or more microprocessors as known in the art. The supporting circuits 110 for the processor 108 include a common cache, power supplies, clocks, data registers, I / O interfaces, and more. the like. The I / O interface 106 can be directly or through the processor 108 with the memory 114 be connected. The I / O interface 106 Can also be used for transmission connections with input and / or output devices 111 respectively. 113 be configured - for example, network components, various memory, a mouse, a keyboard, a viewing unit u. Like. Desgl. can be the I / O interface 106 to the network 102 be connected. The network 102 has a transmission system that includes computer systems via wireline, cable, fiber optic and / or radio links, as well as various known network elements such as hubs, switches, routers, and the like. dergl. connects together. For information transmission, the network 102 work with different known protocols. For example. it can be in the network 102 to act as part of the internet.
Der
Speicher 114 nimmt vom Prozessor ausführbare Befehle und/oder Daten
auf, die vom Prozessor 108 ausgeführt und/oder benutzt werden
können.
Bei den vom Prozessor ausführbaren
Befehlen kann es sich um Hardware, Firmware, Software u. dergl.
jeweils einzeln oder in Kombination handeln. Die Module mit vom
Prozessor ausführbaren,
im Speicher 114 abgelegten Befehlen können u. a. einen Indentitätsmanager 116 enthalten.
Der Computer 104 kann mit einem Betriebssystem 124 wie – unter
anderen Plattformen – OS/2,
Java Virtual Machine, Linux, Solaris, Unix, HPUX, AIX, Windows,
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows
XP, Windows Server programmiert sein. Mindestens ein Teil des Betriebssystems 124 kann
sich im Speicher 114 befinden. Der Speicher 114 kann
ein oder mehr der folgenden Speicherarten aufweisen: RAM, ROM, magnetoresistiven Schreib-/Lese-Speicher,
optischen Schreib-/Lese-Speicher, Cache-Speicher, magnetischen Schreib-/Lese-Speicher
u. dergl. sowie ein signalführendes
Medium, wie unten beschrieben.The memory 114 takes from the processor executable instructions and / or data received from the processor 108 executed and / or can be used. The processor-executable instructions may be hardware, firmware, software, and the like. dergl. act individually or in combination. The modules with processor executable, in memory 114 Stored commands can include an identity manager 116 contain. The computer 104 can with an operating system 124 how to program - among other platforms - OS / 2, Java Virtual Machine, Linux, Solaris, Unix, HPUX, AIX, Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server. At least part of the operating system 124 can be in memory 114 are located. The memory 114 may include one or more of the following memory types: RAM, ROM, magnetoresistive read / write memory, optical random access memory, cache, magnetic random access memory, and the like. Like. And a signal-carrying medium, as described below.
Der
Identitätsmanager 116 ist
konfiguriert, digitale Identitäten
für einen
oder mehr Nutzer des Computers 104 zu verwalten. Allgemein
wird eine digitale Identität
als Sicherungs-Token (Token) mit einem oder mehr Attributen dargestellt,
die jeweils einen Teil der von der digitalen Identität mitgeteilten Gesamtinformation
aufweisen. Eine digitale Identität kann
so einfach wie eine Email-Adresse sein oder mehr Informationen aufweisen – bspw.
einen Nutzernamen, ein Passwort, Kreditkartennummern, Sozialversicherungsnummer
und/oder zahlreiche andere Informationsarten. Token können in
zahlreichen be kannten Formaten vorliegen – bspw. als X.509-Zertifikate,
Kerberos-Tickets u. dergl. Desgl. lassen sich Token unter Benutzung
einer Standardsprache erzeugen – bspw.
der Security Assertion Markup Language (SAML). Ein Beispiel eines
Tokens ist eine Karte ("card") in MICROSOFT CARDSPACE;
andere Beispiele sind Token nach dem OpenID-Protokoll, dem Lightweight
Identity Protocol (LID), dem Secure Extensible Identity Protocol
(SXIP) u. dergl.The identity manager 116 is configured to provide digital identities to one or more users of the computer 104 manage. Generally, a digital identity is represented as backup tokens (tokens) having one or more attributes, each having a portion of the overall information communicated by the digital identity. A digital identity can be as simple as an e-mail address or have more information - such as a username, password, credit card numbers, social security number, and / or many other types of information. Tokens can be in many well-known formats - such as X.509 certificates, Kerberos tickets, and more. Like. Desgl. can generate tokens using a default language - such as the Security Assertion Markup Language (SAML). An example of a token is a card in MICROSOFT CARDSPACE; other examples include OpenID protocol tokens, Lightweight Identity Protocol (LID), Secure Extensible Identity Protocol (SXIP), and others. like.
In
einer Ausführungsform
verwaltet der Identitätsmanager 116 selbstbehauptete
Identitäten 150, die
jeweils ein oder mehr selbstbehauptete Attribute aufweisen. Bspw.
kann ein Nutzer eine selbstbehauptete Identität mit einem Attribut für seine Email-Adresse
festlegen. Nicht alle Geschäftsmodelle
erfordern jedoch die Anwendung verwalteter Identitäten. Einige
Vertrauensinstanzen wollen u. U. lediglich wissen, dass ein Nutzer
eindeutig ist, was nur eine Nutzer-Email-Adresse od. dergl. erfordert.
Für derartige
Vertrauensinstanzen kann ein Nutzer sich mittels selbstbehaupteter
Identitäten
identifizieren, die die geforderten Identifikations-Zeichen aufweisen – bspw.
eine Email-Adresse. Nach einem Aspekt der vorliegenden Erfindung
weist eine selbstbehauptete Identität Informationen auf, die zeigen,
dass andere Beteiligte die Identität akzeptiert (und daher validiert) haben.
Betrachtet eine gegebene beteiligte Instanz diese anderen Beteiligten
als vertrauenswürdig,
kann sie sich entscheiden, die selbstbehauptete Identität nur auf
Grund der Akzeptanz durch die anderen Beteiligten zu akzeptieren.
Eine Gruppe von Vertrauensinstanzen kann also in sich ein "transitives Vertrauen" herstellen derart,
dass ein selbstbehauptetes Attribut eines Nutzers, das eine der
beteiligten Instanzen akzeptiert, auch von allen anderen Beteiligten
der Gruppe akzeptiert wird. Ist also das Vertrauen einmal hergestellt,
vermeiden die anderen Beteiligten die Kosten einer Validierung der
selbstbehaupteten Identität.In one embodiment, the identity manager manages 116 self-asserted identities 150 each having one or more self-asserted attributes. For example. For example, a user may specify a self-asserted identity with an attribute for his email address. However, not all business models require the use of managed identities. Some instances of trust want u. U. only know that a user is unique, which only od a user email address. Like. Requires. For Such instances of trust can be identified by a user by means of self-asserted identities having the required identification signs - for example an email address. According to one aspect of the present invention, a self-asserted identity has information indicating that other parties have accepted (and therefore validated) the identity. If a given involved entity considers these other parties to be trustworthy, it may decide to accept the self-asserted identity only on the basis of acceptance by the other parties involved. Thus, a group of entities of trust can establish in themselves a "transitive trust" such that a self-asserted attribute of a user that accepts one of the instances involved is also accepted by all other participants of the group. Once trust has been established, the other parties avoid the costs of validating the self-assertive identity.
Die 2 zeigt
als Flussdiagramm eine beispielhafte Ausführungsform eines Verfahrens 200 zum
Verwalten einer selbstbehaupteten digitalen Identität für einen
Nutzer nach einem oder mehr Aspekten der Erfindung. Das Verfahren 200 weist
ein vom Computer 104 ausgeführtes Verfahren 201, ein von
einer Vertrauensinstanz 128 ausgeführtes Verfahren 202 sowie
ein von einer Vertrauensinstanz 130 ausgeführtes Verfahren 203 auf.
In der vorliegenden Ausführungsform
stellt der Nutzer der Vertrauensinstanz 128 anfänglich eine
selbstbehauptete Identität
bereit, die ein oder mehr Attribuite derselben Validiert. Die Vertrauensinstanzen 128 und 130 haben
zwischen sich ein transitives Vertrauen hergestellt. Gibt der Nutzer
die selbstbehauptete Identität an
die Vertrauensinstanz 130, betrachtet diese sie als gültig, und
zwar auf Grund des Umstands, dass die Vertrauensinstanz 128 die
Identität
als gültig
akzeptiert hat.The 2 shows as a flowchart an exemplary embodiment of a method 200 for managing a self-asserted digital identity for a user according to one or more aspects of the invention. The procedure 200 indicates one from the computer 104 executed method 201 , one from a trust 128 executed method 202 and one of a trusted instance 130 executed method 203 on. In the present embodiment, the user represents the trusted entity 128 initially providing a self-asserted identity that validates one or more attributes thereof. The instances of trust 128 and 130 have established a transitive trust between themselves. Does the user give the self-asserted identity to the trusted entity 130 It considers this to be valid because of the fact that the body of trust 128 has accepted the identity as valid.
Insbesondere
beginnt das Verfahren 201 mit dem Schritt 204,
wo ein Nutzer des Computers 104 der Vertrauensinstanz 128 eine
selbstbehauptete digitale Identität präsentiert, und zwar typischerweise ansprechend
auf Anforderung durch die Vertrauensinstanz 128. Dabei
fordert die Vertrauensinstanz 128 eine digitale Identität des Nutzers
typischerweise in einem bestimmten Format und mit einem oder mehr bestimmten
Attributen an. Bspw. kann der Nutzer bei der Vertrauensinstanz 128 ein
Konto anlegen oder versuchen, auf ein angelegtes Konto zuzugreifen.In particular, the method begins 201 with the step 204 where a user of the computer 104 the trust instance 128 presents a self-asserted digital identity, typically in response to request by the trusted entity 128 , The trust instance demands 128 a digital identity of the user typically in a particular format and with one or more particular attributes. For example. can the user at the trust instance 128 create an account or try to access an account created.
Das
Verfahren 202 beginnt dann mit dem Schritt 206,
wo die Vertrauensinstanz 128 die selbstbehauptete digitale
Identität
empfängt.
Im Schritt 208 validiert die Vertrauensinstanz 128 mindestens
ein Attribut der selbstbehaupteten Identität. Die Vertrauensinstanz 128 kann
eine solche Validierung unter Benutzung eines beliebigen von verschiedenen
aus dem Stand der Technik bekannter Mechanismen ausführen. Im
Schritt 210 gibt die Vertrauensinstanz 128 ein
Akzeptanz-Token an den Nutzer. Das Akzeptanz-Token weist Informationen
auf, die gem. der Vertrauensinstanz 128 auf die Authentizität des bzw.
der selbstbehaupteten Attribute hinweisen (d. h. das Akzeptanz-Token
zeigt, dass die Vertrauensinstanz 128 das bzw. die Attribute
validiert hat oder ihm/ihnen sonstwie als authentisch vertraut).
In einer Ausführungsform
beweist die Vertrauensinstanz 128 dieses Vertrauen unter
Anwendung eines Systems mit asymmetrischer Verschlüsselung
(PKI, "public key
infrastructure").
Die Vertrauensinstanz 128 signiert die selbstbehaupteten
Attribute oder eine digi tale Darstellung derselben (bspw. einen
Hash-Wert der Attribute). Die digitale Signatur kann eine Verschlüsselung
des/der Attribute (oder deren Darstellung) unter Verwendung eines
asymmetrischen Verschlüsselungsalgorithmus
und eines privaten Schussels aufweisen. Ein anderer Beteiligter
kann verifizieren, dass die Vertrauensinstanz 128 die Attribute
unter Verwendung eines öffentlichen
Schlüssels
letzterer digital signiert hat. Andere Beteiligte können eine
derartige digitale Signatur als Beweis behandeln, dass die Vertrauensinstanz 128 den
Attributen als authentisch vertraut.The procedure 202 then starts with the step 206 where the trust instance 128 receives the self-asserted digital identity. In step 208 validates the trust instance 128 at least one attribute of the self-asserted identity. The trust instance 128 may perform such validation using any of various mechanisms known in the art. In step 210 gives the trust instance 128 an acceptance token to the user. The acceptance token has information that gem. the trust instance 128 indicate the authenticity of the self-asserted attributes (ie the acceptance token indicates that the trust instance 128 the attribute (s) has been validated or otherwise trusted by them as authentic). In one embodiment, the trust instance proves 128 this trust using a system with asymmetric encryption (PKI, "public key infrastructure"). The trust instance 128 Signs the self-asserted attributes or a digital representation of the same (for example, a hash value of the attributes). The digital signature may include encryption of the attribute (s) (or representation thereof) using an asymmetric encryption algorithm and a private key. Another party can verify that the body of trust 128 has digitally signed the attributes using a public key. Other parties may treat such a digital signature as evidence that the entity of trust 128 trust the attributes as authentic.
In
einer Ausführungsform
weist das Akzeptanz-Token andere Arten von Attributen auf, die dem Zusammenhang
zwischen dem Nutzer und der Vertrauensinstanz zugeordnet sind – bspw.
Informationen zu dem Zeitraum, während
dessen die Authentizität
der selbstbehaupteten Attribute aufrecht erhalten wurde. Hat bspw.
die Vertrauensinstanz 128 die Authentizität der Email-Adresse eines Nutzers
verifiziert, kann sie angeben, wie lange die Email-Adresse Teil
der Beziehung zum Nutzer war (bspw. dass die Email-Adresse X Monate/Jahre
benutzt worden ist).In one embodiment, the acceptance token has other types of attributes associated with the relationship between the user and the trusted entity-for example, information about the period during which the authenticity of the self-asserted attributes was maintained. Has, for example, the trust instance 128 verifying the authenticity of a user's email address, they can indicate how long the email address was part of the relationship with the user (for example, that the email address was used X months / years).
Wie
wiederum das Verfahren 201 zeigt, wird im Schritt 212 das
Akzeptanz-Token empfangen und im Schritt 214 als Attribut
in die selbstbehauptete Identität
aufgenommen. Stellt also der Nutzer die selbstbehauptete Identität einem
Beteiligten bereit, kann das Akzeptanz-Token wahlweise – je nach
Präferenz
des Nutzers – präsentiert
werden. Im Schritt 218 präsentiert der Nutzer die selbstbehauptete Identität und das
Akzeptanz-Token der Vertrauensinstanz 130. Der Nutzer präsentiert
die selbstbehauptete Identität
typischerweise auf Anforderung der Vertrauensinstanz 130.
Die Vertrauensinstanz 130 fordert eine digitale Identität des Nutzers
typischerweise in einem bestimmten Format und mit einem oder mehr
bestimmten Attributen an. Bspw. kann der Nutzer bei der Vertrauensinstanz 130 ein
Konto anlegen oder versuchen, auf ein angelegtes Konto zuzugreifen.Again, the procedure 201 shows is in step 212 receive the acceptance token and in the step 214 added as an attribute in the self-asserted identity. Thus, if the user provides the self-asserted identity to a party, the acceptance token can optionally be presented - depending on the preference of the user. In step 218 the user presents the self-asserted identity and the acceptance token of the trusted entity 130 , The user typically presents the self-asserted identity at the request of the trusted entity 130 , The trust instance 130 typically requests a digital identity of the user in a particular format and with one or more particular attributes. For example. can the user at the trust instance 130 create an account or try to access an account created.
Das
Verfahren 203 beginnt dann mit dem Schritt 218,
mit dem die Vertrauensinstanz 130 die selbstbehauptete
Identität
und das Akzeptanz-Token empfängt.
Im Schritt 220 validiert die Vertrauensinstanz 130 die
selbstbehaupteten Attribute auf Grund des Akzeptanz-Tokens. M. a.
W.: Die Vertrauensinstanz 130 benutzt das Akzeptanz-Token
als Beweis, dass die Vertrauensinstanz 128 die selbstbehaupteten
Attribute als gültig
akzeptiert hat. Betrachtet die Vertrauensinstanz 130 die
Vertrauensinstanz 128 als vertrauenswürdig, kann erstere die selbstbehaupteten
Attribute auf Grund nur des Akzeptanz-Tokens validieren. M. a. W.:
betrachtet die Vertrauensinstanz 130 die Vertrauensinstanz 128 als
vertrauenswürdig, sind
die selbstbehaupteten Attribute zuverlässiger als andere, die nicht
durch ein Akzeptanz-Token gestützt
sind. Die Vertrauensinstanz 130 braucht daher nicht die
Kosten zu übernehmen,
die bei der Validierung selbstbehaupteter Attribute auftreten, da
diese Attribute bereits von einem anderen und vertrauenswürdigen Beteiligten
validiert worden sind.The procedure 203 then starts with the step 218 with which the trust instance 130 the self-asserted identity and the acceptance token. In step 220 validates the trust instance 130 the self-asserted attributes based on the acceptance token. M. a. W .: The trust instance 130 use the acceptance token as proof that the trust instance 128 has accepted the self-asserted attributes as valid. Look at the trust instance 130 the trust instance 128 trusted, the former can validate the self-asserted attributes based on only the acceptance token. M. a. W .: looks at the place of trust 130 the trust instance 128 as trusted, the self-asserted attributes are more reliable than others that are not supported by an acceptance token. The trust instance 130 therefore, it does not need to take into account the costs involved in validating self-asserted attributes, since these attributes have already been validated by another and trusted party.
Wie
oben beschrieben, nimmt in einer Ausführungsform die Vertrauensinstanz 128 eine
digitale Signatur in das Akzeptanz-Token auf. Beim Validieren im
Schritt 220 kann die Vertrauensinstanz 130 sich
den öffentlichen
Schlüssel
der Vertrauensinstanz 128 beschaffen, um die digitale Signatur
im Akzeptanz-Token zu authentisieren. Die Vertrauensinstanz 130 kann
also sicher sein, dass die Vertrauensinstanz 128 die selbstbehaupteten
Attribute akzeptiert hat. In einer Ausführungsform kann die Vertrauensinstanz 130 den öffentlichen
Schlüssel
direkt von der Vertrauensinstanz 128 erhalten oder ihn
einer Liste öffentlicher
Schlüssel
entnehmen. Alternativ kann die Vertrauensinstanz 130 sich
den öffentlichen Schlüssel für die Vertrauensinstanz 128 vom
Nutzer beschaffen. Im optionalen Schritt 217 stellt also
der Nutzer der Vertrauensinstanz 130 einen öffentlichen Schlüssel für die Vertrauensinstanz 128 bereit.
Auch kann der von der Vertrauensinstanz erhaltene öffentliche
Schlüssel 130 Teil
eines digitalen Zertifikats sein, den eine Zertifizierungsinstanz
signiert hat. Die Vertrauensinstanz 130 weiß dann,
dass der öffentliche
Schlüssel
echt ist.As described above, in one embodiment, the trust instance 128 a digital signature in the acceptance token. When validating in the step 220 can the trust instance 130 get the public key of the trust instance 128 to authenticate the digital signature in the acceptance token. The trust instance 130 So, be sure that the trust instance 128 accepted the self-asserted attributes. In one embodiment, the trust instance 130 the public key directly from the trusted body 128 or take it from a list of public keys. Alternatively, the trust instance 130 get the public key for the trust instance 128 procured by the user. In the optional step 217 thus represents the user of the trust instance 130 a public key for the trust instance 128 ready. Also, the public key obtained from the trust instance 130 Part of a digital certificate that a CA has signed. The trust instance 130 then knows that the public key is real.
Der
Fachmann sieht ein, dass, obgleich oben eine einzige selbstbehauptete
Identität
beschrieben ist, das Verfahren 200 sich auch für mehrere
selbstbehauptete Identitäten
mit jeweils einem oder mehr selbstbehaupteten Attributen einsetzen
lässt.
Obgleich weiterhin nur zwei Vertrauensinstanzen erwähnt sind,
kann die Gruppe der Beteiligten, die transitives Vertrauen erteilen,
mehr als zwei Beteiligte aufweisen.It will be understood by those skilled in the art that while a single self-asserted identity is described above, the method 200 can also be used for multiple self-asserted identities, each with one or more self-asserted attributes. Although only two more instances of trust are mentioned, the group of participants giving transitive trust may have more than two participants.
In
einer Ausführungsform
ist der Identitätsmanager 116 zum
Verwalten von verwalteten Identitäten 152 konfiguriert.
Jede verwaltete Identität
weist ein oder mehr Attribute auf, die von einem Identitätsanbieter
gedeckt sind. Bspw. kann eine verwaltete Identität die Email-Adresse eines Nutzers
enthalten, die von einem Identitätsanbeiter
validiert worden ist. Nach einem Aspekt der Erfindung gibt ein Identitätsanbieter
eine verwaltete Identität
aus, der eine vom Nutzer bereit gestellte selbstbehauptete Identität zu Grunde
liegt, wobei die selbstbehaupete Identität Informationen enthält, die
ausweisen, dass andere Beteiligte die Identität akzeptiert (und daher validiert) haben.
Betrachtet der Identitätsanbieter
diese anderen Beteiligten als vertrauenswürdig, kann er auf Grund ausschließlich der
Akzeptanz durch die anderen Beteiligten die verwaltete Identität ausgeben.In one embodiment, the identity manager is 116 to manage managed identities 152 configured. Each managed identity has one or more attributes that are covered by an identity provider. For example. For example, a managed identity may include the email address of a user that has been validated by an identity provider. In one aspect of the invention, an identity provider issues a managed identity based on a user-provided self-asserted identity, the self-contained identity containing information indicating that other parties have accepted (and therefore validated) the identity. If the identity provider considers these other parties to be trustworthy, they can issue the managed identity based solely on acceptance by the other parties.
Die 3 zeigt
als Flussdiagramm eine andere beispielhafte Ausführungsform eines Verfahrens 300 zum
Verwalten einer selbstbehaupteten digitalen Identität für einen
Nutzer nach einem oder mehr Aspekten der Erfindung. Das Verfahren 300 weist
ein vom Computer 104 ausgeführtes Verfahren 301,
ein von der Vertrauensinstanz 128 ausgeführtes Verfahren 302 sowie
ein von einem Identitätsanbieter 132 ausgeführtes Verfahren 303 auf.
In der vorliegenden Ausführungsform
teilt der Nutzer anfänglich
der Vertrauensinstanz 128 eine selbstbehauptete Identität mit; letztere
validiert eines oder mehr der Attribute in ihr. Die Vertrauensinstanz 128 und
der Identitätsanbieter 132 haben
zwischen sich ein transitives Vertrauen hergestellt. Der Identitätsanbieter 132 stellt zwei
Arten verwalteter Identität
aus: Die eine Art weist ein oder mehr Attri bute auf, die vom Identitätsanbieter 132 selbst
validiert worden sind. Die andere Art einer verwalteten Identität weist
ein oder mehr Attribute auf, die von einem oder mehr Beteiligten
validiert worden sind, denen der Identitätsanbieter 132 vertraut
(bspw. der Vertrauensinstanz 128). Die zweite Art der verwalteten
Identität
gibt eher an, dass andere Beteiligte, denen der Identitätsanbieter 132 vertraut,
die Attribute validiert haben. Die Identität dieser anderen Beteiligten
ist nicht in der verwalteten Identität enthalten. Der Nutzer kann
diese verwaltete Identität
anderen Vertrauensinstanzen bereit stellen, die ein Vertrauensverhältnis zum
Identitätsanbieter 132 aufgebaut
haben.The 3 shows as a flowchart another exemplary embodiment of a method 300 for managing a self-asserted digital identity for a user according to one or more aspects of the invention. The procedure 300 indicates one from the computer 104 executed method 301 , one from the trust 128 executed method 302 and one from an identity provider 132 executed method 303 on. In the present embodiment, the user initially shares the trust instance 128 a self-asserted identity with; the latter validates one or more of the attributes in it. The trust instance 128 and the identity provider 132 have established a transitive trust between themselves. The identity provider 132 exposes two types of managed identity: one type has one or more attributes, that of the identity provider 132 have themselves been validated. The other type of managed identity has one or more attributes that have been validated by one or more parties to whom the identity provider 132 trusts (eg the trust instance 128 ). The second type of managed identity is more likely to indicate that other parties are the identity providers 132 trust that attributes have validated. The identity of these other parties is not included in the managed identity. The user can provide this managed identity to other trusted entities that have a trusted relationship with the identity provider 132 have built up.
Insbesondere
beginnt das Verfahren 301 mit dem Schritt 304,
wo ein Nutzer des Computers 104 der Vertrauensinstanz 128 – typischerweise
auf Anforderung – eine
selbstbehauptete digitale Identität präsentiert. Die Vertrauensinstanz 128 fordert
typischerweise eine digitale Identität des Nutzers in einem bestimmten
Format und mit einem oder mehr bestimmten Attributen an. Bspw. kann
der Nutzer bei der Vertrauensinstanz 128 ein Konto anlegen
oder versuchen, auf ein bereits angelegtes Konto zuzugreifen.In particular, the method begins 301 with the step 304 where a user of the computer 104 the trust instance 128 Typically on demand, presents a self-asserted digital identity. The trust instance 128 typically requests a digital identity of the user in a particular format and with one or more particular attributes. For example. can the user at the trust instance 128 create an account or try to access an account already created.
Das
Verfahren 302 beginnt mit dem Schritt 306, wo
die Vertrauensinstanz 128 die selbstbehaupete digitale
Identität
empfängt.
Im Schritt 308 validiert die Vertrauensinstanz 128 mindestens
ein Attribut der selbstbehaupteten Identität. Die Vertrauensinstanz 128 kann
dabei eine solche Validierung unter Benutzung verschiedener Mechanismen
ausführen, die
aus dem Stand der Technik bekannt sind. Im Schritt 310 stellt
die Vertrauensinstanz 128 dem Nutzer ein Akzeptanz-Token
bereit. Das Akzeptanz-Token enthält
Informationen, die die Authenzität
der selbstbehaupteten Attribute gem. der Vertrauensinstanz 128 behaupten
(d. h. das Akzeptanz-Token zeigt, dass die Vertrauensinstanz 128 die
Attribute validiert hat oder ihnen sonstwie als authentisch vertraut).
In einer Ausführungsform
beweist die Vertrauensinstanz 128 dieses Vertrauen unter
Benutzung eines PKI-Systems, wie beschrieben. M. a. W.: das Akzeptanz-Token
kann eine digitale Signatur der Vertrauensinstanz 128 enthalten.
In einer Ausführungsform
enthält
das Akzeptanz-Token andere Arten von Attributen zu der Beziehung
zwischen dem Nutzer und der Vertrauensinstanz 128 – bspw.
Informationen zu dem Zeitraum, während
dessen die Authentizität der
selbstbehaupteten Attribute aufrecht erhalten worden ist.The procedure 302 starts with the step 306 where the trust instance 128 the self-contained digital identity receives. In step 308 validates the trust instance 128 at least one attribute of the self-asserted identity. The trust instance 128 can perform such validation using various mechanisms known in the art. In step 310 Represents the trust instance 128 the user an acceptance token ready. The acceptance token contains information that complies with the authenticity of the self-asserted attributes. the trust instance 128 claim (ie the acceptance token shows that the trust instance 128 has validated the attributes or otherwise trusted them to be authentic). In one embodiment, the trust instance proves 128 this trust using a PKI system as described. M. a. W .: the acceptance token can be a digital signature of the trust instance 128 contain. In one embodiment, the acceptance token includes other types of attributes to the relationship between the user and the trusted entity 128 For example, information about the period during which the authenticity of the self-asserted attributes has been maintained.
Im
Verfahren 301 wiederum wird im Schritt 312 das
Akzeptanz-Token
empfangen. und im Schritt 314 als Attribut in die selbstbehauptete
Identität
aufgenommen. In einer Ausführungsform
ist das Akzeptanz-Token ein optionales Attribut. M. a. W.: Präsentiert
der Nutzer die selbstbehauptete Identität einem Beteiligten, kann das
Akzeptanz-Token wahlweise – je
nach Präferenz
des Nutzers – enthalten
sein. Im Schritt 316 präsentiert
der Nutzer dem Identitätsanbieter 132 die
selbstbehauptete Identität
und das Akzeptanz-Token. Der Nutzer kann dem Identitätsanbieter 132 die
selbstbehauptete Identität
anbieten, um eine verwaltete Identität zu erhalten.In the process 301 turn is in the step 312 receive the acceptance token. and in the step 314 added as an attribute in the self-asserted identity. In one embodiment, the acceptance token is an optional attribute. M. a. W .: If the user presents the self-asserted identity to a party, the acceptance token can optionally be contained - depending on the preference of the user. In step 316 the user presents the identity provider 132 the self-asserted identity and the acceptance token. The user can contact the identity provider 132 provide the self-asserted identity to obtain a managed identity.
Das
Verfahren 303 beginnt im Schritt 318, wo der Identitätsanbieter 132 die
selbstbehauptete Identität
und das Akzeptanz-Token übernimmt.
Im Schritt 320 validiert der Identitätsanbieter 132 die
selbstbehaupteten Attribute auf Grund des Akzeptanz-Tokens. M. a.
W.: Dem Identitätsanbieter 132 dient
das Akzeptanz-Token als Beweis, dass die Vertrauensinstanz 128 die
selbstbehaupteten Attribute als gültig akzeptiert hat. Betrachtet
der Identitätsanbieter 132 die
Vertrauensinstanz 128 als vertrauenswürdig, kann er die selbstbehaupteten
Attribute ausschließlich
auf Grund des Akzeptanz-Tokens validieren.The procedure 303 starts in step 318 where the identity provider 132 assumes the self-asserted identity and the acceptance token. In step 320 the identity provider validates 132 the self-asserted attributes based on the acceptance token. M. a. W .: The identity provider 132 The acceptance token serves as proof that the trust instance 128 has accepted the self-asserted attributes as valid. Consider the identity provider 132 the trust instance 128 as trusted, he can validate the self-asserted attributes solely on the basis of the acceptance token.
Wie
oben beschrieben, nimmt in einer Ausführungsform die Vertrauensinstanz 128 in
das Akzeptanz-Token eine digitale Signatur auf. Bei der Validierung
im Schritt 320 kann der Identitätsanbieter 132 sich
den öffentlichen
Schlüssel
direkt von der Vertrauensinstanz 128 beschaffen oder ihn
einer Liste öffentlicher
Schlüssel
entnehmen. Alternativ kann der Identitätsanbieter 132 den öffentlichen
Schlüssel für die Vertrauensinstanz 128 vom
Nutzer übernehmen.
M. a. W.: Im optionalen Schritt 317 stellt der Benutzer
dem Identitätsanbieter 132 einen öffentlichen Schlüssel für die Vertrauensinstanz 128 bereit.
Jedenfalls kann der durch den Identitätsanbieter 132 übernommene öffentliche Schlüssel Teil
eines digitalen Zertifikats sein, das von einer Zertifizierungsinstanz
signiert ist. Der Identitätsanbieter 132 weiß dann,
dass der öffentliche
Schlüssel
echt ist.As described above, in one embodiment, the trust instance 128 into the acceptance token a digital signature. During validation in step 320 can be the identity provider 132 get the public key directly from the trust instance 128 or take it from a list of public keys. Alternatively, the identity provider 132 the public key for the trust instance 128 take over from the user. M. a. W .: In the optional step 317 the user puts the identity provider 132 a public key for the trust instance 128 ready. Anyway, that can be done by the identity provider 132 inherited public keys are part of a digital certificate that is signed by a certification authority. The identity provider 132 then knows that the public key is real.
Im
Schritt 322 erzeugt der Identitätsanbieter 132 eine
verwaltete Identität
mit dem bzw. den selbstbehaupteten Attributen. Die verwaltete Identität enthält Informationen,
die anzeigen, dass der Identitätsanbieter 132 die
in ihr enthaltenen Attribute auf Grund eines transitiven Vertrauens
zu einem oder mehr Vertrauensinstanzen validiert hat. Der Identitätsanbieter 132 signiert
dann die verwaltete Identität digital,
so dass andere Beteiligte verifizieren können, dass die verwaltete Identität vom Identitätsanbieter 132 stammt.
Im Schritt 324 schickt der Identitätsanbieter die verwaltete Identität an den
Nutzer. Im Schritt 326 des Verfahrens 301 empfängt der
Nutzer die verwaltete Identität
vom Identitätsanbieter 132, um
sie im Schritt 328 einer oder mehr Vertrauensinstanzen
bereit zu stellen.In step 322 generates the identity provider 132 a managed identity with the self-claimed attribute (s). The managed identity contains information that indicates that the identity provider 132 has validated the attributes contained in it on the basis of a transitive trust to one or more trusted entities. The identity provider 132 then digitally signs the managed identity so that other parties can verify that the managed identity is from the identity provider 132 comes. In step 324 the identity provider sends the managed identity to the user. In step 326 of the procedure 301 the user receives the managed identity from the identity provider 132 to keep her in step 328 to provide one or more instances of trust.
Der
Fachmann sieht ein, dass zwar oben eine einzige selbstbehauptete
und die entsprechende verwaltete Identität beschrieben sind, das Verfahren 300 sich
aber auch auf mehrere selbstbehauptete Identitäten mit jeweils einem oder
mehr selbstbehaupteten Attributen und jeweils einer zugehörigen verwalteten
Identität
anwenden lässt.It will be understood by those skilled in the art that although a single self-asserted and corresponding managed identity are described above, the method 300 but can also be applied to multiple self-asserted identities, each with one or more self-asserted attributes and each associated managed identity.
Ein
Aspekt der vorliegenden Erfindung ist als Programmprodukt für die Anwendung
mit einem Computersystem implementiert. Ein oder mehr Programme
des Programmprodukts definieren Funktionen von Ausführungsformen
und können
auf verschiedenen Aufzeichnungsträgern abgelegt sein – bspw.
(i) permanent auf nicht beschreibbaren Aufzeichnungsträgern (bspw.
Nur-Lese-Speichern in einem Computer wie eine mit einem zugehörigen Laufwerk
lesbaren CD- oder DVD-ROM) gespeicherte Informationen; (ii) auf
einem beschreibbaren Aufzeichnungsträger (bspw. einer Floppy-Disk
in einem Diskettenlaufwerk, einer Festplatte oder einer beschreib-
und lesbaren CD oder DVD) gespeicherte Informationen; (iii) Informationen,
die mit einem Übertragungsme dium
an einen Computer übermittelt werden,
bspw. ein Computer- oder Telefonnetz einschl. Funkstrecken, ohne
auf diese beschränkt
zu sein. Letztere Ausführungsformen
schließt
explizit Informationen ein, die aus dem Internet oder anderen Netzen
herabgeladen werden. Enthalten sie computerlesbare Befehle, die
die Ausführung
von Funktionen der Erfindung bestimmen, stellen derartige signalspeichernde
Medien Ausführungsformen
der Erfindung dar.One
Aspect of the present invention is as a program product for the application
implemented with a computer system. One or more programs
of the program product define functions of embodiments
and can
be stored on different recording media - eg.
(i) permanently on non-recordable record carriers (eg.
Read-only storage in a computer as one with an associated drive
readable CD or DVD-ROM) stored information; (ii) on
a recordable record carrier (eg a floppy disk
in a floppy disk drive, a hard disk, or a descriptor
and readable CD or DVD) stored information; (iii) information,
those with a transmission medium
be sent to a computer,
eg a computer or telephone network including radio links, without
limited to these
to be. The latter embodiments
includes
explicitly include information from the Internet or other networks
be downloaded. Include computer-readable commands that
execution
determine functions of the invention provide such signal storing
Media embodiments
of the invention.
Während die
vorgehende Beschreibung auf Ausführungsformen
der vorliegenden Erfindung gerichtet ist, lassen diese sowie weitere
Ausführungsformen
der Erfindung sich erstellen, ohne deren Grundgedanken zu verlassen.
Der Umfang der Erfindung ist ausschließlich von den folgenden Ansprüchen bestimmt.While the foregoing description relates to embodiments of the present invention is directed, let this and other embodiments of the invention create without departing from the spirit. The scope of the invention is defined solely by the following claims.
ZEICHNUNGSBESCHRIFTUNGENDRAWING DESCRIPTIONS
11
-
102 102
-
Netzwerknetwork
-
104104
-
Computercomputer
-
106106
-
E/A-SchnittstelleI / O interface
-
108108
-
Prozessorprocessor
-
110110
-
Hilfsschaltungenauxiliary circuits
-
111111
-
Eingabe-EinrichtungenInput devices
-
113113
-
Ausgabe-EinrichtungenOutput devices
-
114114
-
SpeicherStorage
-
116116
-
Identitätsmanageridentity Manager
-
128128
-
Vertrauensinstanztrust instance
-
130130
-
Vertrauensinstanztrust instance
-
132132
-
Identitätsanbieteridentity provider
-
150150
-
selbstbehauptete
Identitätenselbstbehauptete
identities
-
152152
-
verwaltete
Identitätenmanaged
identities
22
-
201201
-
Nutzeruser
-
202202
-
Vertrauensinstanztrust instance
-
203203
-
Vertrauensinstanztrust instance
-
204204
-
selbstbehaputete
Identität
an schicken Vertrauensinstanzselbstbehaputete
identity
to send a trust
-
206206
-
selbstbehauptete
Identität
empfangenselbstbehauptete
identity
receive
-
208208
-
Attribute
(in selbstbehaupteter Identitäts)
validierenattributes
(in self-asserted identity)
validate
-
210210
-
Akzeptanz-Token
an Nutzer schickenAcceptance token
to send to users
-
212212
-
Akzeptanz-Token
von Vertrauensinstanz annehmenAcceptance token
from trust instance
-
214214
-
Akzeptanz-Tolken
als Attribut in selbstbehauptete Identität aufnehmenAcceptance Tolken
as an attribute to self-assertive identity
-
216216
-
selbstbehauptete
Identitäts
und Akzeptanz-Token an andere Vertrauensinstanz schickenselbstbehauptete
identity
and send acceptance tokens to other instances of trust
-
218218
-
selbstbehauptete
Identitäts
und Akzeptanz-Token vom Nutzer empfangenselbstbehauptete
identity
and receive acceptance tokens from the user
-
220220
-
Attribut(e)
in selbstbehaupteter Identität
auf Grund des Akzeptanz-Tokens und transitiven Vertrauens zwischen
Vertrauensinstanzen validierenAttribute (s)
in self-asserted identity
due to the acceptance token and transitive trust between
Validate trust instances
33
-
301301
-
Nutzeruser
-
302302
-
Vertrauensinstanztrust instance
-
303303
-
Identitätsanbieteridentity provider
-
304304
-
selbstbehauptete
Identität
an Vertrauensinstanz sendenselbstbehauptete
identity
send to trust instance
-
306306
-
selbstbehauptete
Identität
empfangenselbstbehauptete
identity
receive
-
308308
-
Attribut(e)
in selbstbehaupteter Identität
validierenAttribute (s)
in self-asserted identity
validate
-
310310
-
Akzeptanz-Token
an Nutze schickenAcceptance token
to benefit
-
312312
-
Akzeptanz-Token
vom Vertrauensinstanz empfangenAcceptance token
received from the trust
-
314314
-
Akzeptanz-Token
als Attribut in selbstbehauptete Identität aufnehmenAcceptance token
as an attribute to self-assertive identity
-
316316
-
selbstbehauptete
Identität
und Akzeptanz-Token an Identitätsanbieter
schickenselbstbehauptete
identity
and acceptance tokens to identity providers
send
-
318318
-
selbstbehauptete
Identitäts
und Akzeptanz-Token vom Nutzer empfangenselbstbehauptete
identity
and receive acceptance tokens from the user
-
320320
-
Attribut(e)
in selbstbehaupteter Identität
auf Grund des Akzeptanz-Tokens und transitiven Vertrauens zwischen
Vertrauensinstanzen validierenAttribute (s)
in self-asserted identity
due to the acceptance token and transitive trust between
Validate trust instances
-
322322
-
verwaltete
Identität
mit selbsthaupteten Attributen generierenmanaged
identity
generate with self-capitalized attributes
-
324324
-
verwaltete
Identität
an Nutzer schickenmanaged
identity
to send to users
-
326326
-
verwaltete
Identität
vom Identitätsanbieter ampfangenmanaged
identity
from the identity provider
-
328328
-
verwaltete
Identität
anderen Vertrauensinstanzen bereit stellenmanaged
identity
provide other instances of trust