Wortmarke der Ruhr-Universität Bochum

Projekt II: Implementierung

Ausgangslage

Ein NFC-Studierendenausweis ist aus Nutzersicht wünschenswert und technisch umsetzbar – zu diesem Ergebnis kam Projekt I: Der Prototyp (2013-2014). Die Idee „NFC-Ausweis“ wird daher in diesem Folgeprojekt weiter entwickelt. Projekt II: Implementierung (2015-2016) entwickelt die Grundlagen für die Einführung des neuen Ausweises in insgesamt vier Arbeitspaketen:

  • Was ist bei der Erstausstellung der Karten zu beachten?
  • Was ist für die nachträgliche Bearbeitung der Karten nötig?
  • Wie kann die Sicherheit des Gesamtsystems gewährleistet werden?
  • Wie kann sich der Benutzer mit dem NFC-Ausweis am PC authentifizieren?

Es gilt, die Voraussetzungen für eine Implementierung des NFC-Ausweises in die vorhandenen Strukturen und Systeme an der Hochschule zu erarbeiten und damit die Einführung (Roll-out) vorzubereiten.

Erstausstellung von NFC-Karten

Massenproduktion

Im Vorgängerprojekt wurde das Layout des NFC-Studierendenausweises entwickelt und Testkarten manuell produziert. Für das Roll-out des Ausweises wird nun ausgearbeitet, auf welchem Weg große Stückzahlen für den Alltagsbetrieb und insbesondere während der Einschreibephasen produziert werden können.

Applikationen

Bei der Erstausgabe des Ausweises ist erstes Ziel, dass sich ein Student/ eine Studentin per NFC oder über visuelle Prüfung ausweisen kann. Daher soll die Karte standardmäßig mit der Applikation zur Authentifizierung ausgegeben und über Name und Foto optisch personalisiert werden.
Produktion
Der Ausweis wird so konzipiert, dass die Möglichkeit besteht, weitere Applikationen (z.B. Drucken, Kopieren über das Druckzentrum, Bibliotheksdienste) direkt bei der Erstausstellung auf den NFC-Ausweis aufzubringen. Der Benutzer hat damit alle wichtigen Applikationen direkt auf seinem neuen Ausweis und müsste diese nicht erst nachträglich aufbringen lassen.

Schlüsselmanagement

Kommunikation mit dem Backend

Das technische Gesamtsystem zeichnet sich unter anderem durch die Backend-Karten-Kommunikation aus: Server im Backend verfügen in einem speziell gesicherten Bereich über kryptografische Schlüssel, mit deren Hilfe sich der jeweilige kartenspezifische Schlüssel berechnen lässt. Somit wird die Kommunikation zwischen Server und Karte ermöglicht.
kryptografische Schlüssel

Sicherheit der kryptographischen Schlüssel

Den im Backend hinterlegten Schlüssel kommt damit eine besondere Bedeutung zu. Zur Wahrung der Eigenständigkeit der Applikationen wird jede Applikation mit eigenen Schlüsseln angelegt, die dem Drittanbieter (z.B. dem Druckzentrum) übergeben werden können, damit dieser seine Applikation selbst verwalten kann. Dazu muss jedoch ein geeignetes Schlüsselmanagement inklusive genauer Handlungsanleitungen vorliegen, das in diesem Projekt erarbeitet wird.

Dazu gehört:

  • Zufällige Generierung der kartenspezifischen Schlüssel mithilfe eines Applikationsmasterschlüssels
  • Sichere Aufbewahrung des Applikationsschlüssels
  • Definition, wann Lese-/Schreib- und Editierschlüssel in welchen Servern zu welchen Einsatzszenarien hinterlegt werden
  • Maßnahmen bei einer Schlüsselkompromittierung festlegen
  • Maßnahmen bei der Einstellung des Betriebs definieren.

Nur bei Erfüllung bestimmter Kriterien dürfen die Drittanbieter die Karten nutzen und ihre Applikationen aufbringen.

Nachkonfektionierung

Individualisierte Karten

Die verschiedenen Applikationen werden nicht unbedingt alle bei der Erstausstellung des NFC-Studierendenausweises aufgebracht werden oder ändern sich im Laufe der Zeit, z.B. wenn der Student eine Applikation nicht mehr nutzen möchte. Daher muss es nachträglich möglich sein, Applikationen auf die Karte zu bringen oder sie zu entfernen. Dazu wird in einem ersten Schritt ein Konzept entwickelt, in dem eine sichere und gleichzeitig praktikable Aufbringung neuer und die Aktualisierung bestehender Applikationen erarbeitet wird.
Konfektionierung

Verschiedene Applikationsanbieter

Da Inhaber und Betreiber der jeweiligen Applikationen neben der Hochschule, als Kartenausgeber, auch Drittanbieter (z.B. Bibliothek, Druckzentrum) sein können, muss die Nachkonfektionierung der Karte so konzipiert sein, dass diese bei Bedarf auch von den jeweiligen Anbietern der Applikationen durchgeführt werden kann. Dafür müssen spezifische Sicherheitskonzepte (vgl. Schlüsselmanagement) erarbeitet werden.

Self Service für Studierende

Im Projekt wird geprüft, ob ein Self Service für Studierende technisch umsetzbar ist, um die Benutzerfreundlichkeit des Ausweises zu erhöhen. Studenten und Studentinnen könnten an

  • Selbstbedienungs-Terminals
  • direkt an ihrem PC oder
  • ihrem Mobilgerät

selbständig Applikationen aufbringen oder diese verlängern.

Verwendung am PC

Die Authentifizierung mit der NFC-Karte und einem mobilen Endgerät wurde im Vorgänger-Projekt erfolgreich umgesetzt. Derzeit gibt es jedoch noch keine Lösung für den Einsatz der Karte an einem herkömmlichen PC. Ein Konzept für diesen Bereich ist Voraussetzung für einen universalen Einsatz der NFC-Karte und die Ablösung der bisherigen Kryptokarte. Das Projekt evaluiert eine passende Middleware, d.h. eine Software, die als Vermittler zwischen Betriebssystem und Applikationen fungiert, und erarbeitet prototypisch die passenden Client-Softwarekomponenten.
Die Middleware soll die drei großen Betriebssysteme Windows, Linux und Mac OSX unterstützen. Der Nutzer soll durch die Middleware in der Lage sein, sich ebenso wie mit der App gegenüber dem NFC-Backend mit der NFC-Karte zu authentifizieren, um im Anschluss seine Online-Dienste wie gewohnt mit dem eigenen Browser nutzen zu können. Das Projekt evaluiert, welche technischen Möglichkeiten für eine Umsetzung existieren und aus organisatorischer Sicht sinnvoll sind.

Feedback