BE1019683A3 - Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten. - Google Patents

Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten. Download PDF

Info

Publication number
BE1019683A3
BE1019683A3 BE2012/0231A BE201200231A BE1019683A3 BE 1019683 A3 BE1019683 A3 BE 1019683A3 BE 2012/0231 A BE2012/0231 A BE 2012/0231A BE 201200231 A BE201200231 A BE 201200231A BE 1019683 A3 BE1019683 A3 BE 1019683A3
Authority
BE
Belgium
Prior art keywords
code
string
pki
user
received
Prior art date
Application number
BE2012/0231A
Other languages
English (en)
Inventor
Luc Buntinx
Original Assignee
Buntinx
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buntinx filed Critical Buntinx
Application granted granted Critical
Publication of BE1019683A3 publication Critical patent/BE1019683A3/nl

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

Methode en systeem voor het authentificeren van entiteiten. Gebruikers (A,B) worden voorzien van een set van authenticatie codes (3-5), elke set bestaande uit ten minste één geheim (3), een private-sleutel QR-code (4) en een bijhorende publieke-sleutel QR-code (5), waarbij de private- en publieke-sleutel QR-codes gegenereerd worden uit respectievelijk een eerste string (1) bestaande uit een URL van een authenticatie-server-system (10) en een PKI private sleutel en een tweede string (2) bestaande uit dezelfde URL en bijhorende PKI publieke sleutel. Als het authenticatie-server-system (10) een eerste sting (1) ontvangt, ten gevolge van een eerste gebruiker die de respectievelijke private sleutel QR-code (4) scant, zal een procedure met gedefinieerde acties uitgevoerd worden waarin de eerste gebruiker gevraagd wordt het geheim (3) in te geven dat hoort bij de set van authenticatie codes (3-5). Als de evaluatie een positief resultaat terug geeft, kan de eerste gebruiker een set van acties definiëren, die uitgevoerd worden als het authenticatie-server-system (10) een tweede string (2) ontvangt die behoort tot dezelfde set van authenticatie codes.

Description

Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten.
Technisch gebied
Deze uitvinding heeft betrekking op een methode en een systeem voor het authentificeren van entiteiten door middel van mobiele toestellen.
Stand van de techniek QR-codes zijn reeds langer gekend. Een QR-code (Quick Response code), of ook vermeld als QR-code, is een specifieke matrix barcode (of tweedimensionale code), dewelke gelezen kan worden door elke telefoon die uitgerust is met een camera en een QR barcode lezer. Een QR-code is opgebouwd uit gekleurde blokjes (meestal zwarte) in een vierkant patroon en op een witte achtergrond. Deze gecodeerde informatie kan een URL bevatten.
Er bestaan veel verschillende QR-code lezer toepassingen die kunnen geïnstalleerd worden op een smartphone waarmee een gebruiker een QR-code kan scannen en waardoor hij automatisch doorverwezen wordt naar de webpagina achter de · URL die gecodeerd zit in de gescande QR-code. Dit voorkomt dat de gebruiker de URL dient in te typen op zijn smartphone om toegang te krijgen tot de aangeboden diensten op de webpagina. Alle informatie die zich in de QR-code bevindt, wordt doorgestuurd naar de bijhorende webpagina. Dit maakt het mogelijk dat men een ingewikkelde alfanumerische string (bvb. een code) aan een service kan koppelen zonder deze string handmatig in te geven.
Een Public Key Infrastucture (PKI) (of Publieke-Sleutel Infrastructuur) is een combinatie van hardware en software die gebruikt worden om digitale certificaten uit te geven en te controleren, in het bijzonder publieke- en private-sleutel paren, voor diverse doeleinden als veiligheid en authenticatie zoals bijvoorbeeld het versleutelen van informatie of het authentificeren van gebruikers. De PKI bestaat meestal uit een Certification Authority (CA) dié een PKI publieke- en private-sleutel-set genereert voor de gebruiker, een Registration Authority (RA) waar de gebruiker zijn PKI publieke- en private-sleutel-set kan registreren en een Validation Authorithy (VA) die het PKI publieke- en private-sleutel-set kan valideren.
Daar de PKI publieke- en private-sleutel kan bestaan uit een vrij lange string van karakters, is het niet eenvoudig voor een gebruiker om deze string in te typen op een smartphone. Wanneer deze sleutels worden bewaard op het toestel, kunnen de sleutels in geval van diefstal, misbruikt worden of de informatie kan gekopieerd worden. Hierdoor is een op PKI-gebaseerde-veiligheidsoplossing niet geschikt voor gebruik op een smartphone.
Uiteenzetting van de uitvinding
Deze uitvinding heeft tot doel om een meer gebruiksvriendelijk authenticatie systeem en methode aan te reiken, geschikt voor gebruik met mobiele toestellen.
Dit doel wordt bereikt volgens de uitvinding door een methode/systeem dat de verschillende stappen/functies van de onafhankelijke conclusies omvat. ,
De uitvinding maakt gebruik van een set van authenticatie codes om een welbepaalde entiteit te authentificeren. Deze authenticatie codes worden in het systeem uniek gekoppeld als onderdeel van deze welbepaalde entiteit. Een set authenticatie codes bestaat volgens de uitvinding uit de combinatie van een private-sleutel-QR-code, een overeenstemmende publieke-sleutel-QR-code en één of meerdere 'geheimen', zoals bijvoorbeeld een alfanumerisch paswoord of een pincode. De private-sleutel-QR-code is een QR-code die gegenereerd wordt uit een eerste string die bestaat uit een URL/domeinnaam van een authenticatie-server-systeem, een PKI private-sleutel en waarschijnlijk een of meerdere parameters of identificatie labels. De publieke-sleutel-QR-code is een QR-code die gegenereerd wordt uit een tweede string die bestaat uit . een URL/domeinnaam van een authenticatie-server-systeem (d.w.z. dezelfde URL/domeinnaam als in de eerste string), de overeenstemmende PKI publieke-sleutel en waarschijnlijk één of meerdere parameters of identificatie labels.
Een veilige transactie wordt als veilig beschouwd indien ze bestaat uit 'iets' wat je bezit en ‘iets’ wat je weet (bvb. een bankkaart en een pincode om geld van je rekening te halen, een e-mail adres en een paswoord om informatie te downloaden van een website, een alarmsysteem en een pincode om de bewaking te deactiveren). Daarom combineert deze uitvinding de PKI sleutels onder de vorm van een QR-code met één of meerdere geheimen (bvb. een paswoord). Met deze uitvinding kan vermeden worden dat de PKI sleutels en de geheimen tegelijk bewaard worden op het mobiele toestel. Met als gevolg dat het authenticatie-systeem en de methode onafhankelijk zijn van het mobiele toestel en zo een hoge veiligheidsgraad kan garanderen.
De uitvinding omschrijft een actie definitie procedure waarbij een eerste gebruiker kan definiëren welke reeks van acties moeten uitgevoerd worden zodra het authenticatie-server-systeem de tweede string ontvangt (gecodeerd in de publieke-sleutel-QR-code) uit een set van authenticatie codes die verstrekt werden aan de eerste gebruiker. Om de actie definitie procedure te activeren, scant de eerste gebruiker de private-sleutel-QR-code uit de set van authenticatie codes met zijn mobiele toestel. Als gevolg van het scannen, ontvangt het authenticatie-server-systeem de eerste string die gecodeerd is in de private-sleutel-QR-code. De eerste gebruiker wordt vervolgens door de actie definitie procedure geloodst. Hij wordt eerst gevraagd om het geheim in te geven. Het authenticatie-server-systeem controleert vervolgens of het geheim en de eerder ontvangen eerste string tot dezelfde set van authenticatie codes behoort en of ze voldoen aan de vooraf gedefinieerde voorwaarden (bvb werden ze ontvangen binnen voorgedefinieerde tijdsvenster t.o.v. elkaar komen ze van hetzelfde mobiele toestel, bvb door controle van het IP-adres, sessie identificatie, enz.). Indien deze controle een positief resultaat geeft, wordt aan de eerste gebruiker gevraagd een reeks van acties te definiëren die moeten uitgevoerd worden bij ontvangst van de tweede string (gecodeerd in de publieke-sleutel-QR-code) die behoren tot dezelfde set van authenticatie codes op het authenticatie-server-systeem.
De voordelen van de uitvinding zijn als volgt. Het gebruik van QR-codes is eenvoudig daar de huidige smartphones uitgerust zijn met een camera en zodoende in de mogelijkheid zijn om QR-codes te lezen. De software om QR-codes te lezen is gratis verkrijgbaar waardoor een gebruiker zijn eigen smartphone kan gebruiken om een website te bezoeken, enkel door een QR-code te scannen. Er zijn dus geen andere specifieke toestellen vereist om de uitvinding te gebruiken. De uitvinding gebruikt QR-codes die een PKI publieke- en een private-sleutel bevatten, maar is desalniettemin toch . veilig daar de set van authenticatie codes ook nog bestaat uit één of meerdere geheimen die enkel gekend zijn door de gebruiker. De uitvinding wordt verder beveiligd door middel van de vooraf gedefinieerde voorwaarden zoals bvb een vooraf gedefinieerd tijdsvenster waarin opeenvolgende handelingen moeten voorkomen en/of de opeenvolgende handelingen van hetzelfde mobiele toestel moeten komen. Desgewenst kan de veiligheid vervolgens vergroot worden door het gebruik van https verbindingen om informatie over het internet te verzenden naar het authenticatie-server-systeem.
In een voordelige uitvoeringsvorm van de uitvinding, worden meerdere opeenvolgende scans gecombineerd, op hetzelfde mobiele toestel, binnen een vooraf gedefinieerd tijdsvenster, van een publieke-sleutel-QR-code en/of een private-sleutel-QR-code in combinatie met het overeenstemmende geheim en dit vanuit sleutels die behoren aan verschillende entiteiten. Door zulke combinaties te creëren, wordt een grote verscheidenheid aan actie schema’s gecreëerd en/of uitgevoerd.
In een voordelige uitvoeringsvorm van de uitvinding, bevat elke set van authenticatie codes, bijkomende, door de gebruiker te definiëren geheimen, en de actie definitie procedure omvat de stappen om, aan elk door de gebruiker gedefinieerd geheim, de nodige voorgedefinieerde procedures te koppelen. Zodra een van deze bijkomende, door de gebruiker gedefinieerde geheimen toekomt op het authenticatie- server-systeem, (1U), wordt de overeenstemmende voorat gedetinieerae^roceoüre, uitgevoerd. Dit kan bvb gebruikt worden om een paswoord aan te maken dat de gebruiker ingeeft wanneer hij onder bedreiging staat zodat de overeenstemmende procedure wordt uitgevoerd zoals bvb het verwittigen van een nooddienst. ,
In een voordelige uitvoeringsvorm van de uitvinding bestaat de actie definitie procedure er verder uit dat een tijdelijke sleutel als QR-code wordt aangemaakt voor de eerste gebruiker, voormelde tijdelijke sleutel heeft een vooraf bepaalde geldigheidsperiode geldig is, en waaraan een reeks van acties wordt toegekend die moeten uitgevoerd worden zodra de tijdelijke sleutel ontvangen wordt door het authenticatie-server-systeem. Deze QR-code kan bvb gegenereerd worden uit een string die een URL/domeinnaam bevat van het authenticatie-server-systeem en een string met alfanumerische karakters die al dan niet met scheidingstekens ertussen.
In een voordelige uitvoeringsvorm van de uitvinding, wordt een set van authenticatie codes voor een entiteit toegekend aan een eerste gebruiker, deze voormelde entiteiten set, zijnde een set van authenticatie codes waarbij de publieke-sleutel-QR-code wordt toegekend aan de entiteit van de eerste gebruiker. Deze set van een entiteit, kan bvb gebruikt worden voor het authentificeren van gevonden verloren voorwerpen: door het bevestigen van de publieke-sleutel-QR-code aan het voorwerp, kan eender wie die het voorwerp vindt de publieke-sleutel-QR-code scannen waarbij reeks van acties worden geactiveerd zoals bvb het verwittigen van de eigenaar, de .. vinder wordt geïnformeerd wie de eigenaar is of waar het voorwerp naartoe moet worden gebracht, enz. Deze set van een entiteit kan ook toegepast worden om een locatie te beveiligen, zoals bvb indien een (veiligheids)agent op een locatie toekomt, hij de publieke-sleutel-QR-code van de locatie scant en een authenticatie procedure moet doorlopen vooraleer hij toegang krijgt tot de beveiligde ruimten.
In een voordelige uitvoeringsvorm van de uitvinding bevat de definitie van de acties de volgende stappen: de eerste gebruiker wordt gevraagd een reeks van logische voorwaarden te definiëren welke geëvalueerd worden zodra de tweede string ontvangen wordt op het authenticatie-server-systeem en een eerste reeks van acties te definiëren die moeten uitgevoerd worden indien de evaluatie van de logische voorwaarde “waar” geeft, en een tweede reeks van acties die moeten uitgevoerd worden indien de evaluatie van de logische voorwaarde “onwaar” geeft. Deze logische voorwaarden kunnen opgebouwd zijn uit definieerbare attributen (variabelen) die men een waarde kan geven bij de definitie of door evaluatie, en vooraf gedefinieerde functies oproepen uit het authenticatie-server-systeem.
Korte omschrijving van de tekeninqen/fiquren
De uitvinding wordt eveneens toegelicht met volgende omschrijvingen en bijgevoegde tekeningen/figuren.
Figuur 1 geeft een overzicht van een voordelige uitvoeringsvorm van een authenticatie systeem volgens de Uitvinding.
Figuur 2 toont een voordelige uitvoeringsvorm van een set van authenticatie codes volgens de uitvinding.
Figuur 3 geeft een voorbeeld van een procedure volgens de uitvinding voor het aanmaken van een eerste set van authenticatie codes voor de gebruiker.
Figuur 4 geeft een voorbeeld van een procedure volgens de uitvinding voor het wijzigen van de attributen van de authenticatie codes en/of het definiëren van acties voor de authenticatie codes.
Figuur 5 geeft een voorbeeld van een procedure volgens de uitvinding voor het aanmaken/toekennen van een set van authenticatie codes voor een entiteit van een gebruiker.
Figuur 6 geeft een voorbeeld van een procedure volgens de uitvinding voor het aanmaken/toekennen van een tijdelijke QR-code voor een gebruiker. ,,
Figuur 7 geeft een voorbeeld van een procedure volgens de uitvinding voor het authentificeren van een tweede gebruiker door het scannen van een publieke-sleutel- · QR-code.
Figuur 8 geeft een voorbeeld van een procedure waarbij een eerste gebruiker een geëncrypteerd en ondertekend document verzendt naar een tweede gebruiker, waarbij de beide gebruikers geauthentificeerd worden volgens de uitvinding.
Figuur 9 toont de toepassing van de uitvinding in een eerste case.
Figuur 10 toont de toepassing van de uitvinding in een tweede case.
Figuur 11 toont de toepassing van de uitvinding in een derde case.
Figuur 12 toont de toepassing van de uitvinding in een vierde case.
Figuur 13 toont de toepassing van de uitvinding in een vijfde case.
Figuur 14 toont de toepassing van de uitvinding in een zesde case.
Figuur 15 toont de toepassing van de uitvinding in een zevende case.
Figuur 16 toont de toepassing van de uitvinding in een achtste case.
Modi om de uitvinding uit te voeren
De onderhavige uitvinding zal worden beschreven ten aanzien van bijzondere uitvoeringsvormen en met verwijzing naar bepaalde tekeningen, maar de uitvinding is niet hiertoe beperkt maar alleen door de conclusies. De omschreven tekeningen zijn schematische voorstellingen en zijn niet-limitatief. De afmetingen in de tekening van sommige onderdelen kunnen afwijken van de realiteit en zijn niet op schaal getekend, ze dienen enkel voor illustratieve doeleinden. De afmetingen en de relatieve afmetingen komen niet noodzakelijk overeen met een werkelijke verschaling voor een goede werking van de uitvinding.
Verder worden de begrippen “eerste, tweede, derde en dergelijke” gebruikt in de omschrijvingen en in de conclusies om onderscheid te maken tussen gelijkaardige elementen en niet noodzakelijk voor het omschrijven van een sequentiële of chronologische volgorde. De termen zijn onderling verwisselbaar onder de juiste omstandigheden en de werking van de uitvinding kan uitgevoerd worden in een andere volgorde dan hier wordt omschreven of geïllustreerd.
Bovendien worden de begrippen “boven, beneden, op, onder en dergelijke" gebruikt in de omschrijvingen en in de conclusies, enkel gebruikt als omschrijving en om de onderlinge positie aan te duiden. De begrippen zijn onderling verwisselbaar onder de juiste omstandigheden en de werking van de uitvinding kan uitgevoerd worden in andere onderlinge posities dan hier wordt omschreven of geïllustreerd.
Het begrip “bestaande uit” gebruikt in conclusies, dient niet beperkt te zijn tot de daaropvolgende lijst; het sluit het gebruik van andere elementen of stappen niet uit. Het moet worden geïnterpreteerd als het opgeven van de aanwezigheid van de genoemde functies, gehele getallen, stappen of componenten, zoals bedoeld, maar sluit niet uit dat de aanwezigheid of toevoeging van een of meer andere functies, gehele getallen, stappen of componenten, of groepen daarvan. Dus, het toepassen van de uitdrukking “een toestel bestaande uit A en B” wordt niet beperkt tot toestellen die enkel bestaan uit de componenten A en B. Het wil zeggen dat, met betrekking tot onderhavige uitvinding, de enige relevante componenten van het toestel, A en B zijn.
De uitvinding betreft een methode en een systeem om een entiteit te authentificeren met behulp van een mobiel toestel. Een eerste persoon A bewaart onweerlegbare “event” informatie over een entiteit (bvb een voorwerp, persoon, dier, plant, locatie, taak, dienst, toestand,...) welke kan opgevraagd worden door een tweede persoon B die dan kan reageren op de ontvangen informatie. De eerste persoon A kan verwittigd worden zodra een opvraging wordt uitgevoerd door een tweede persoon B. De verstuurde parameters kunnen bvb zijn tijd, locatie, persoon, IP-adres, toestel, enz. Bvb indien je absoluut zekér wil zijn dat dë politie die thuis aan je deur belt, weldegelijk een legitieme agent is.
De uitvinding maakt gebruik van QR-codes om een sleutel van het PKI-systeem voor te stellen, en aldus “QR-PKI-codes” te genereren. Er kan gebruik gemaakt worden van bestaande PKI schema’s, bestaande Certification Authority (CA), die vertaald zitten in een' QR-code. De uitvinding gebruikt verder, eenvoudige, gangbare mobiele toestellen, zoals bvb smartphones met een ingebouwde camera, een QR-lezer applicatie en een mobiele internetverbinding om QR-PKI-codes te interpreteren en om te verbinden in het systeem. Een “gebeurtenis” wordt gecreëerd door combinatie van diverse QR-PKI scans binnen een vooraf gedefinieerd tijdsvenster. Deze “gebeurtenis" kan later opgevraagd worden door het scannen van een QR-PKI-code die dan evalueert of een actie, welke gedefinieerd werd in de “gebeurtenis” moet uitgevoerd worden.
In deze tekst wordt het begrip entiteit gebruikt in de ruimste zin van het woord zoals bvb voor een voorwerp, persoon, taak, locatie, gebeurtenis, transactie of status, m:a.w. alles wat door de gebruiker gedefinieerd en/of vertegenwoordigd wordt. In het systeem wordt een entiteit gedefinieerd d.m.v. een of meerdere alfanumerische strings - die gebruikt worden als encryptie sleutels en gevisualiseerd worden als een QR-code daar dit makkelijker werkt in het dagdagelijks gebruik ervan - en een of meer geheimen, ook bestaande uit een alfanumerische string en enkel gekend door de gebruiker die de entiteit definieert. Het basisprincipe is om een private en publieke sleutel van de PKI (Public Key Infrastructure) te gebruiken, vandaar QR-PKI methode en systeem, maar eveneens kunnen andere codes (alfanumerische strings) gebruikt worden (bvb voor tijdelijke sleutels). Wanneer een andere technologie doordringt en algemeen gebruikt wordt, kan de QR-code vervangen worden, zoals bvb een RFID-code die de sleutel vertegenwoordigt.
Een dienst kan bestaan uit één dienst of een combinatie van diensten zoals een melding voor een entiteit of combinatie van entiteiten, een beveiligde authenticatie van een entiteit of combinatie van entiteiten, een actie afgeleid uit een entiteit of combinatie van entiteiten. Een melding kan gedefinieerd worden als het verzenden of het weergeven van een boodschap (bvb een e-mail, een SMS). Een authenticatie kan gedefinieerd worden het verzekeren dat de entiteit authentiek is volgens de regels/voorwaarden waarmee de gebruiker de entiteit heeft gedefinieerd (bvb dat een document authentiek van deze afzender komt). Een actie kan gedefinieerd worden als elke wijziging in de status van een toestel, voorwerp of situatie dat kan gedefinieerd worden in het systeem en via een elektronische boodschap wordt uitgevoerd vanuit het systeem (bvb SMS, verbinding met een CPU, het doorgeven van een IP-adres, enz). Diensten en acties worden geselecteerd als een vooraf gedefinieerde Functie van de entiteit in het systeem. Een Attribuut (variabele) kan worden aangemaakt en hieraan wordt een Waarde toegekend, een logische Vergelijking kan opgesteld worden door gebruik te maken van deze Attributen en Functies. Zodra een entiteit wordt geactiveerd - via doorlinken van een QR-PKI-sleutel naar het systeem - worden de voorwaarden van de Vergelijking geëvalueerd en afhankelijk van de logische uitkomst, de bijhorende diensten en acties uitgevoerd.
De methode bestaat uit het achtereenvolgens lezen, binnen een welbepaald tijdsvenster, van één of meerdere QR-codes en, indien nodig, het ingeven van één of meerdere geheimen op het communicatie toestel, om een service te activeren of te definiëren, afhankelijk van welk type van sleutel eerst werd gelezen. De twee mogelijkheden zijn: 1) indien een private-sleutel als eerste wordt gelezen, wordt het overeenstemmende paswoord gevraagd. Blijkt het paswoord na controle correct te zijn, kan de entiteit ge(her)definieerd worden, dus attributen, kenmerken, diensten, acties, variabelen en/of vergelijkingen kunnen gewijzigd worden.
2) Indien een publieke- of tijdelijke sleutel als eerst wordt gelezen, kan als volgende handeling het lezen van een andere QR-code vereist zijn om het starten van een gedefinieerde actie te activeren of om een tijdelijke sleutel te activeren.
Een QR-code is meestal opgebouwd uit de naam van de dienstverlener (een URL/domein naam, bvb https://QRPKI.com). optionele parameters (afgebakend me,t bvb kunnen eveneens doorgegeven worden indien deze informatie mee is toegevoegd aan de URL, gecodeerd in de QR-code. Een deel van deze informatie wordt gebruikt om parameters te identificeren zoals het IP-adres, de sessie id, tijd/datum, waarbij wordt geëvalueerd of de opeenvolgende scans komen van hetzelfde communicatie toestel. Naast de evaluatie en een mogelijke uitvoering van een vooraf gedefinieerde actie en dienst, kan de gebruiker op de hoogte gesteld worden op hoger genoemd communicatie toestel en de eigenaar/maker van de QR-code kan eveneens op de hoogte gebracht worden van de uitvoering.
De veiligheidsschema’s die gebruikt worden om de publieke- en private-sleutels van het QR-PKI-systeem te verdelen, zijn sleutels volgens een publieke-sleutel infrastructuur of PKI. Andere sleutels kunnen bestaan uit eender welke geheime code, opgebouwd uit een string van alfanumerische karakters. Een geheim kan bestaan uit een eenvoudig alfanumerisch paswoord dat wordt ingegeven op het communicatie toestel of eerst gegenereerd en dan ingegeven via andere mogelijkheden zoals een “smartcard”, een sleutel of ander toestel. Eigenlijk is een QR-PKI-code een onderdeel van een standaard QR-code, bestaande uit een dienst URL (bvb https://grpki.com of https://qr-pki.com. maar eveneens uit de http tegenhanger), een scheidingsteken (bvb “/"), de sleutel in alfanumerische vorm en waarschijnlijk enkele extra scheidingstekens en parameters, kunnen gebruikt worden in de QR-PKI-code.
Een communicatie toestel zoals bedoeld in de uitvinding, kan een mobiel apparaat zijn zoals een smartphone, een laptop met draadloze connectie en dergelijke, maar eender welk ander toestel voldoet indien dit communicatie toestel kan verbonaen worden met het internet, uitgerust is met een camera, een QR-code kan decoderen en het resultaat kan verzenden naar een browser (bvb een op het internet verbonden PC met een webcam, een smartphone, een GSM met de mogelijkheid om op het internet te kunnen en uitgerust met een camera, een tablet PC met ingebouwde camera en internet connectie,...)· Het communicatie toestel zelf is onderling verwisselbaar aangezien het zelf geen geheimen, codes of andere informatie of data bevat dat gelinkt kan worden aan het systeem of de methode. Het communicatie toestel wordt enkel gebruikt door de eigenaar van het toestel om de QR-code te decoderen, als bi-directionele communicatie tussen de eigenaar van het communicatie toestel (of persoon die het toestel vasthoudt) en de voornoemde service, bedoeld voor deze bepaalde entiteit. Wanneer een figuur of een QR-code verstuurd wordt naar het scherm van een communicatie toestel, kan dit scherm ook gelezen worden door een ander communicatie toestel, die dan de QR-code interpreteert en bijgevolg informatie van het ene toestel naar het andere toestel kan doorgegeven worden, zonder rechtstreeks met elkaar in contact te staan. Op deze manier kan een opeenvolging van Gebeurtenissen geactiveerd worden tussen meerdere deelnemers die communicatie toestellen gebruiken om informatie uit te wisselen via QR-codes door gebruik te maken van het scherm en de camera van het communicatie . toestel.
Door het ingeven/lezen/scannen van één of meerdere vooraf gedefinieerde QR-codes en het bijhorende geheim binnen een vooraf gedefinieerd tijdsvenster op hetzelfde communicatie toestel, wordt de overeenstemmende vooraf gedefinieerde dienst uitgevoerd. Het resultaat wordt getoond op het scherm van het gebruikte communicatie toestel, waarbij de eigenaar wordt geïnformeerd, of waarbij de toestel eigenaar wordt verzocht meer informatie te verschaffen (bvb door het scannen van nog een andere QR-code, door het ingeven van een paswoord, door het ingeven van andere data).
De methode en systeem QR-PKI is een praktische oplossing om codes en sleutels zoals. PKI te gebruiken op (mobiele) communicatie toestellen, het is een eenvoudige manier om veilig een dienst te laten uitvoeren terwijl je mobiel bent, zonder het moeten opslaan van geheimen op het gebruikte (mobiele) communicatie toestel.
De uitvoeringsvorm in Fig. 1 toont een “QR-PKI” systeem bestaande uit een Certification Authority (CA) om PKI-sleutel-koppels te genereren, een Registration Authority (RA) om PKI-sleutel-koppels te registreren, een Validation Authority (VA) om PKI-sleutels te valideren en een nieuwe QR-PKI dienst 10 om PKI-sleutels om te transformeren in een QR-code en pm bijkomende data bij te houden (bvb kenmerken, paswoorden, acties,...). Afhankelijk van de opstelling, kan de CA, RA, VA en de QR- PKI-dienst bestaan uit een of meerdere entiteiten, Trusted Third Parties (= TTP) genoemd. Een TTP kan een dienst en functies uitvoeren (zie onderstaande vb): • Aanmaken van een QR-PKI set : PKI-sleutel-koppel + paswoord + attributen (zie Fig. 3) • Omvormen van een PKI-sleutel in een QR-code en omgekeerd • Aanmaken van een gebeurtenis door het scannen van een QR-PKI of het aan elkaar koppelen van twee of meer QR-PKI-sleutels • Updaten, vergelijken, verzekeren en bijhouden van een database van QR-PKI sets • Logische combinaties maken van QR-PKI sets (expert systeem) • Vergelijkingen evalueren, opgebouwd uit Waarden en Attributen • Geven van een “bevestigende” of “negatieve" uitslag van het gevraagde • Communicatie met mobiele terminals via het mobiel internet • Loggen van alle transacties en verzenden van e-mails met een status update • “Aanrekenen” van een kleine bijdrage voor deze QR-PKI dienst vanaf een rekening die daartoe opgezet is ’
De CA, RA, VA en QR-PKI vormen samen “een authenticatie-server-systeem” volgens de uitvinding, waarbij de CA, RA, VA en QR-PKI kunnen geïmplementeerd worden op dezelfde server of op twee of meer verschillende servers. In de voordelige uitvoeringsvorm, is de QR-PKI 10 geïmplementeerd op een aparte server, zodat er kan gebruik gemaakt worden van elke bestaande PKI in combinatie met de QR-PKI-server 10.
Iedereen die bvb een Entiteit (voorwerp) bezit dat hij wil labelen, maakt aan/ontvangt een QR-PKI-sleutel-koppel en paswoord voor deze Entiteit (zie Fig. 5), registreert dit QR-PKI-sleutel-koppel en paswoord voor deze Entiteit en bevestigt de publieke-QR-PKI-sleutel van het sleutel-koppel aan deze Entiteit. Nu kan een tweede persoon actie ondernemen voor deze Entiteit door het scannen van de publieke-QR-PKI-sleutel (zie Fig. 7), indien nodig dient hij eerst zichzelf te authentificeren met het private deel van zijn eigen QR-PKI-sleutel-koppel en paswoord. Eventueel kunnen andere personen deelnemen; waarbij iedereen in het bezit is van een eigen QR-PKI-sleutel-koppel en paswoord.
De PKI-sleutels worden gecombineerd met een URL-dienstverlener om strings uit karakters te vormen dewelke dan worden vertaald in een QR-code. Het omvormingsproces van PKI-sleutel naar QR-PKI-sleutel gebeurt bij de dienstverlener, het proces kan omgekeerd worden door dezelfde dienstverlener. Meer in het bijzonder, de QR-PKI-sleutel kan bestaan uit een URL-Dienst (bvb . http://grpki.com of, https://qrpki.com, de URL van de dienstverlener), waarbij alle daarop volgende informatie gescheiden wordt met een scheidingsteken 7”, een identificator, een of meerder PKI-Sleutels, en bijkomend informatie zoals enkele parameters.
De combinatie van een private-sleutel-QR-code, een bijhorende publieke-sleutel-QR-code en één of meerdere paswoorden wordt hier benoemd als een set authenticatie codes. Fig. 2 toont een uitvoeringsvorm van een mogelijke set van authenticatie codes. Een set bestaat tenminste uit een paswoord 3, een private-sleutel-QR-code 4 (hier ook benoemd als “private-QR-PKI-sleutel) en een overeenstemmende publieke-sleutel-QR-code 5 (hier ook benoemd als “publieke-QR-PKI-sleutel). De private-sleutel-QR-code 4 is een QR-code die gegenereerd wordt uit een eerste string 1 bestaande uit de URL/domeinnaam van de QR-PKI-authenticatie-server 10, een identificator om de efficiëntie te verhogen, een PKI private-sleutel en waarschijnlijk enkele parameters. De publieke-sleutel-QR-code 5 is een QR-code die gegenereerd wordt uit een tweede string 2 bestaande uit de URL/domeinnaam van de QR-PKI-authenticatie-server 10, een identificator om de efficiëntie te verhogen, een overeenkomende PKI publieke sleutel en waarschijnlijk enkele parameters.
De QR-PKI-dienst kan gebruikt worden zoals in onderstaande voorbeelden om een actie te definieren, en dit door middel van een standaard smartphone: 1 ) Scan een private-QR-PKI-sleutel als eerste scan en geef het paswoord in = de instellingen van een entiteit : • Wijzigen/Toevoegen van één of meerdere paswoord(en).
• Wijzigen/Toevoegen van attributen, die een waarde kan gegeven worden.
• Aanvragen van een nieuwe set van PKI-QR-codes om te bevestigen aan een entiteit (voorwerp, document, container,...). Deze entiteiten zijn dan het eigendom van de eerste gebruiker.
• Aanvragen van een tijdelijke PKI-QR-code (Fig. 6).
• Volgende scan van een publieke QR-PKI-sleutel of van een andere entiteit en het linken aan de huidige entiteit.
• Afhankelijk van de dienst: geld toevoegen op je rekening.
• Iets versleutelen/ontsleutelen.
• 2) Scan een publieke-QR-PKI-sleutel (of tijdelijke sleutel) als eerste scan = een bewijs vragen, informatie krijgen,...: • Een publieke-sleutel scan dient om te informeren over de entiteit,...of om te reageren op een gebeurtenis, gedefinieerd door de eigenaar van de overeenstemmende private-QR-PKI-sleutel (eerste persoon).
• Wanneer een tijdelijke PKI-QR-sleutel voor de eerste keer wordt gescand? wordt hij meteen geactiveerd.
• Vervolgens scant men (in de gebeurtenis gedefinieerde overeenstemmende) private-QR-PKI-sleutel ter identificatie van de tweede persoon zodat deze persoon gekwalificeerd is de informatie te behandelen of te bekijken.
• Vervolgens wordt het QR-PKI-Paswoord ingegeven ter verificatie dat de tweede persoon inderdaad degene is die hij beweert te zijn.
• Iets versleutelen/ontsleutelen/verifiëren/authentificeren •
Om veiligheidsredenen kan het opgelegd worden dat opeenvolgende scans of het ingeven van-paswoorden als volgt dient te gebeuren : 1) binnen een tijdsvenster van bvb 60_seconden, 2) uitgevoerd moeten worden vanaf hetzelfde communicatie toestel en 3) dat de gebruiker ondertussen niet wisselt van netwerk of zijn communicatie toestel herstart tussen opeenvolgende handelingen.
Een eerste mogelijke toepassing die gebruik maakt van het authenticatie systeem zoals hierboven omschreven, is het verzenden van een geëncrypteerde e-yBrief met verwijzing naar Fig. 8. Volgende stappen worden uitgevoerd: • Opstelling • A wil een e-Brief verzenden naar B (ontvanger) • A en B bezitten elk een QR-PKI-code-set van de QR-PKI dienst (zie Fig. 3)
• A bezit een private A-PR-QR-PKI en een publieke A-PU-QR-PKI
• B bezit een private B-PR-QR-PKI en een publieke B-PU-QR-PKI
• A bezit een QR-Temp als QR-code/URL (zie Fig. 6) • Definitie • A scant/geeft voor de eerste maal de QR-Temp in ter activatie • A scant de private A-PR-QR-PKI, geeft het A-Paswoord in (A = Authentiek) • A uploadt een e-Brief en connecteert deze aan een QR-Temp
• A encrypteert de e-Brief with A-PR-QR-PKI
• A scant de publieke B-PU-QR-PKI van de ontvanger B
• A encrypteert opnieuw de e-Brief met B-PU-QR-PKI
• A sluit de QR-Temp gebeurtenis af • A verzendt de QR-Temp aan B (mail, post, SMS, ...) • Uitvoering • B ontvangt QR-Temp van A (mail, post, SMS,...) • B scant/geeft de QR-Temp in (= link naar de e-Brief) • B scant de private B-PR-QR-PKI, geeft het B-Paswoord in (B = Authentiek) • B decrypteert de e-Brief met B-PR-QR-PKI (de e-Brief was enkël en âlleen bestemd voor B) • B scant de publieke A-PU-QR-PKI van A (A = verzender) • B decrypteert de e-Brief met A-PU-QR-PKI (A = de enige mogelijke verzender) • B haalt de (locatie van ) e-Brief binnen
• B kan de e-Brief lezen en hij is verzekerd dat deze komt van A
• Kennisgeving • A is geïnformeerd dat B de e-Brief heeft ontvangen • A is er zeker van dat enkel B de e-Brief kan lezen
Hoewel dit op het eerste zicht ingewikkeld lijkt, hebben de beide personen enkel drie maal de QR-PKI-sleutel gescand en een paswoord ingegeven om de geëncrypteerde en ondertekende elektronische-Brief te verzenden en te ontvangen. Uiteindelijk kan met een hoge graad van waarschijnlijkheid, B weten dat de E-Brief enkel kon verzonden zijn door A en weet A dat enkel B de e-Brief heeft kunnen lezen. Indien er^geen ondertekening noch encryptie vereist is, kan het aantal scans bij de verzender gereduceerd worden tot twee en gereduceerd tot één scan door de ontvanger.
De uitvinding zal nader worden toegelicht in volgende voorbeelden. Het gebruik van de uitvinding beperkt zich niet tot enkel deze gevallen maar dienen ter illustratie hoe de uitvinding kan gebruikt worden. Door verschillende werkwijzen met elkaar te combineren/mixen, kan een nieuwe werkwijze ontstaan waarbij alle ontstane werkwijzen vallen onder de reikwijdte van deze uitvinding.
VOORBEELD 1 (zie Fig. 9 (a-c)): Toegang verlenen tot een gebouw van op afstand. Geef een unieke definitie van de bezoeker, een tijdsvenster en een datum voor de toegestane toegang. Verwittig de eigenaar zodra de bezoeker het gebouw betreedt en/of verlaat.
OPSTELLING : De eigenaar van een gebouw (Own) wil toegang tot een gebouw (Fac) verlenen aan een bezoeker (Vi) binnen een bepaald tijdsvenster, gebruik makend van de werkwijze zoals vermeld in de uitvinding via een Trusted Third Party (TTP).
DEFINIEREN VAN DE PERSONEN “OWN” EN “VI" : Zowel Own en Vi registreren zich via de website van TTP (bvb https://qr-pki.com) en maken een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
Persoon Own bezit nu : een private QR-code "Own-PR-QR-code”; een publieke QR-code Own-PU-QR-PKI” en een geheim master-paswoord “Own-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
Persoon Vi bezit nu : een private QR-code “Vi-PR-QR-code”; een publieke QR-code “Vi-PU-QR-PKI” en een geheim master-paswoord “Vi-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). '
Persoon Own vraagt een nieuwe QR-code aan voor het gebouw “Fac”. Persoon Own logt in op de TTP met zijn Own-PR-QR-PKI en certificeert zich met zijn Own-PW. Own vraagt een nieuwe QR-code aan voor een voorwerp, en maakt dus een private QR-code “Fac-PR-QR-ΡΚΓ; een publieke QR-code “Fac-PU-QR-PKI” en een geheim . master-paswoord “Fac-PW”. Beide QR-codes worden vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). De TTP heeft nu geregistreerd dat Own een entiteit Fac bezit.
VERZOEK voor toegang : indien persoon Own toegang wil verlenen aan persoon Vi; of indien Vi toestemming vraagt om het gebouw Fac binnen te komen. Own vraagt de publieke QR-code op van persoon Vi (Vi-PU-QR-PKI). Indien van toepassing ook tijd, datum, tijdspanne van toegang kan onderhandeld en/of toegezegd worden.
DEFINIEREN van de gebeurtenis : toegang tot het gebouw Fac door Vi. Own scant of verzendt de Fac-PR-QR-PKI van het gebouw naar de TTP, en identificeert Own als de eigenaar. Om dit te bevestigen, wordt Own verzocht de Fac-PW in te geven. Nu kan Own parameters definiëren, attributen, variabelen en waarden bepalen (bvb de code om de toegangsdeur van het gebouw te openen, het tijdsvenster waarbinnen de toegang toegestaan is, een manier om de eigenaar te verwittigen wanneer de toegang gebruikt wordt, een manier om de bezoeker te informeren hoe zich toegang te verschaffen). Om de Vi te identificeren, wordt de QR-code Vi-PU-QR-PKI verzonden of gescand. Al de opeenvolgende scans, verzendingen dienen te gebeuren binnen het gedefinieerd tijdsvenster en vanaf hetzelfde communicatie toestel. Van al deze informatie, wordt de gebeurtenis gecreëerd in de database opgeslagen en een willekeurige-sessie-sleutel (SK) aangemaakt en opgeslagen. Daarna wordfxle geheime sleutel geëncrypteerd met de Vi-PU-QR-PKI en opgeslagen (ESK). Afhankelijk van de functie, wordt de geëncrypteerde geheime sleutel ESK, opnieuw geëncrypteerd door de sleutel Fac-PR-QR-PKI en opgeslagen (CESK). De eigenaar bevestigt de Fac-PU-QR-PKI aan de toegangsdeur van het gebouw. Afhankelijk van de functionaliteit, kan deze Fac-PU-QR-PKI gefixeerd worden (bvb geprint op een blad papier), of kan het verschijnen op een scherm op aanvraag van de bezoeker (zodra de deurbel wordt geactiveerd). In het laatste geval, kan Fac-PU-QR-PKI uitgebreid worden met extra informatie (D) (bvb een string met referentie naar de datum en tijd, een geheim). Die extra informatie kan op elk ogenblik wijzigen, wat voorkomt dat Fac-PU-QR-PKI gekopieerd en gescand wordt op een andere plaats in het gebouw. De Fac eigenaar kan een “tijd code functie” activeren - een dienst van de TTP - die regelmatig een uitgebreide vorm van de Fac-PU-QR-PKI verzendt, dat is een QR-code met de URL dienst of de TTP, de publieke sleutel en een extra parameter D bevat die gerelateerd is aan een datum en tijd van zijn creatie.
UITVOERING van de gebeurtenis : de toegang tot een gebouw verlenen of weigeren. Voor het gebruiksgemak worden mobiele communicatie toestellen gebruikt. Vi nadert het gebouw en scant de Fac-PU-QR-PKI (of de met het geheim D uitgebreide . Fac-PU-QR-PKI) aan de toegang van het gebouw. Indien Vi zijn Vi-PR-QR-PKI scant en het paswoord Vi-PW ingeeft, binnen het gedefinieerde tijdsvenster en vanaf het zelfde mobiele toestel, is deze gebeurtenis geldig. Indien het ingegeven paswoord overeenstemt met de Vi-PR-QR-PKI, wordt de gedefinieerde gebeurtenis uitgevoerd. Indien de extra informatie D aanwezig is in de gescande Fac-PU-QR-PKI, wordt dit gecontroleerd in de opgeslagen data. Indien beide overeenstemmen, wordt de inhoud van CESK ontsleuteld met Fac-PU-QR-PKI en daarna opnieuw ontsleuteld met Vi-Pr-QR-PKI. Indien de uitkomst overeenkomt met de geheime sleutel SK, is deze gebeurtenis positief, en de gedefinieerde actie(s) kan/kunnen uitgevoerd worden (bvb het versturen van een code om de toegangsdeur te openen). Optioneel kan deze Vi scan herhaald worden in een gelijkaardige procedure om het gebouw te verlaten. Indien Vi dezelfde procedure tracht uit te voeren buiten het gedefinieerde tijdsvenster, is de uitkomst negatief, in dat geval zal de toegangsdeur niet openen. Indien nodig, kan een gelijkaardige procedure aangemaakt worden voor wanneer de bezoeker het gebouw verlaat.
VERWITTIGEN : Afhankelijk van de instellingen, kan de eigenaar, de bezoeker, een derde partij verwittigd worden via mail, SMS (afhankelijk van wat er in de instelling is gedefinieerd) met de boodschap of de toegang tot het gebouw werd verleend of geweigerd, inclusief informatie over de bezoeker. Alle redenen voor het niet beëindigen van een gebeurtenis, kunnen vermeld worden afhankelijk van de instellingen van de gebeurtenis.
GEBRUIK : Deze specifieke instelling van de QR-PKI methode en systeem verzekert - door gebruik van eenvoudig aan te maken QR-codes - dat een grote flexibiliteit en veiligheid is verkregen, waarbij het leestoestel, het voornoemd communicatie toestel is, of een gewone smartphone. Dit voorbeeld kan uitgebreid worden voor niet enkel het openen van deuren, maar ook voor het aan- of uitschakelen van alles wat van op afstand kan bediend worden met commando’s die verzonden worden vanuit een computer. Het kan gebruikt worden om de inspectieronde van een veiligheidsagent te beheren met een automatisch verslag naar het agentschap over elke QR-code die gescand werd. Ondertussen houdt het systeem een log bij van de geïnspecteerde plaatsen waardoor verzekerd wordt dat de agent werkelijk op die locaties is geweest. Deze logs kunnen dan gelezen worden door een expertise systeem en zodoende alarmeren indien er onregelmatigheden voorkomen. Aan de eigenaar van het gebouw dat geïnspecteerd wordt, kan een log bezorgd worden van deze inspectierondes bvb voor facturatie doeleinden. Om te voorkomen dat een “slimrperik” een QR-code fotografeert en deze de volgende dag gebruikt, kan de eigenaar van het gebouw - op elk ogenblik - extra informatie/parameters toevoegen aan de QR-code, . deze informatie wordt dan verzonden naar de eigenaar van het gebouw ter controle dat de inspectieronde weldegelijk plaatsvond op de juiste locaties. Aangezien dit een bi-directionele communicatie is tussen de bezoeker/agent die de QR-code scant op bepaalde plaatsen, is het eenvoudig om deze persoon een instructie video/audio fragment te sturen. En aangezien de bezoeker/agent gekend is, de locatie, datum en tijdstip van de dag gekend is, kan deze verzonden informatie aangepast worden naar specifieke noden (bvb juiste taal, video/informatie met instructies,...) zonder vooraf de bezoeker/agent te moeten inlichten/informeren.
VOORBEELD 2 (zie Fig. 10 (a-d)) : het identificeren van een vertrouwenswaardige agent bij een residentiële woning. Definieer op een unieke wijze de agent, het tijdsvenster en de datum van de mogelijke toegang, de aard van het bezoek. Verwittig het agentschap wanneer de agent de woning betreedt en optioneel wanneer hij de woning verlaat.
OPSTELLING : De eigenaar (Own) van een woning of van een residentiële woning (Lo = Location Owner) wil de identiteit van de bezoekende agent (Va) authentificeren alvorens de deur voor hem te openen, gebruik makend van de uitvinding via een Trusted Third Party (TTP). De agent (Va) werd gestuurd door een agentschap of door een dienst die toegang vraagt (Acces Requesting Company of ARQ) dat gebruik maakt van de uitvinding om te bevestigen dat het aan Va inderdaad toegestaan is om toegang te vragen namens ARQ. De agent Va dient zijn dag te beginnen door zich te authentificeren aan het personeel van ARQ (Aacp).
DEFINIEREN VAN DE PERSONEN EN VOORWERPEN : Alle betrokken personen hebben toegang tot de website van TTP (bvb https://ar-pki.com) en registreren zich, ze maken een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
Persoon Own bezit nu : een private QR-code “Own-PR-QR-code”; een publieke QR-code 'Own-PU-QR-ΡΚΓ en een geheim master-paswoord “Own-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string , (die elektronisch kan verzonden worden).
Persoon Va bezit nu : een private QR-code “Va-PR-QR-code”; een publieke QR- . code “Va-PU-QR-PKI” en een geheim master-paswoord “Va-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
Het personeel van ARQ bezit nu : een private QR-code “ARQ-PR-QR-code"; een publieke QR-code “ARQ -PU-QR-PKI” en een geheim master-paswoord “ARQ -PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
Persoon Own vraagt een nieuwe QR-code aan voor de residentieel woning “Lo". Persoon Own logt in op de TTP met zijn Own-PR-QR-PKI en certificeert zich met zijn Own-PW. Own vraagt een nieuwe QR-code aan voor een voorwerp, en maakt dus een private QR-code “Lo-PR-QR-PKI”; een publieke QR-code “Lo-PU-QR-PKI” en een geheim master-paswoord “Lo-PW”. Beide QR-codes worden vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). De TTP heeft nu geregistreerd dat Own een entiteit Lo bezit. Own plaatst de QR-code zo dat ze zichtbaar is aan de buitenzijde van de residentiële woning (bvb achter een venster). Voor het gebruiksgemak worden mobiele communicatie toestellen gebruikt
Op verzoek, kan de TTP een tijdelijke, eenmalige en unieke sleutel verstrekken in de vorm van een QR-code (bvb ARQ-QR-Temp).
IDENTIFICEREN : de agent start zijn werkdag door zich te registreren als een geldige agent (Va). Hij scant de ARQ-PU-QR-PKI aan de receptie van zijn kantoor/agentschap waar hij werkzaam is. Als toegevoegde veiligheid, kan de ARQ-PU-QR-PKI uitgebreid worden met een dagelijks wijzigende, niet door anderen gekende, informatie. De Va krijgt een welkom scherm op zijn mobiele toestel waarbij hij verzocht wordt zich te identificeren. Vervolgens scant de agent zijn persoonlijke Va-PR-QR-PKI waarbij hij verzocht wordt om details van de dagtaak in de geven en het paswoord (Va-PW). Indien het paswoord overeenstemt met de VA-PR-QR-PKI, en alle handelingen zijn gebeurd vanaf hetzelfde mobiele toestel en binnen het gedefinieerd tijdsvenster, wordt de gebeurtenis verder uitgevoerd en maakt dan een sessie sleutel SK aan en een ARQ-PU-QR-PKI geëncrypteerde versie van SK (= ESK). De TTP verzendt een tijdelijke gebeurtenis code in de vorm van ARQ-QR-Temp1-code naar het scherm van de agent Va. De Aacp scant deze ARQ-QR-Temp1-code vanaf het scherm van de agent. De Aacp ontvangt hierop details van Va zijn dagtaak en wordt gevraagd om dit tpe te stemmen of te verwerpen. Vervolgens scant Aacp de ARQ-PR-QR-PKI-code en geeft het paswoord ARQ-PW in. Indien het paswoord overeenstemt, wordt de ESK ontsleuteld . met ARQ-PR-QR-PKI en moet overeenkomen met SK om geldig te zijn. Na deze vaststelling, wordt deze agent een geverifieerde agent (Va) voor de komende x uren van het agentschap of kantoor ARQ. Een tijdelijke code in de vorm van ARQ-QR-Lic wordt aangemaakt en verstuurd aan zowel Aacp en Va. Zodra de dagtaak van Va erop zit, kan dezelfde procedure herhaald worden om dit te staven en om de geldigheid van ARQ-AR-Lic in te trekken.
AUTHENTICATIE : Va nadert het de Lo woning en scant ARQ-QR-Lic (= control van de geldigheid van zijn dagtaak), en wordt gevraag om Lo-PÜ-QR-PKI te scannen aan de toegang van de woning. Alle volgende scans of ingaven dienen te gebeuren vanaf hetzelfde mobiele toestel en binnen het gedefinieerde tijdsvenster. Va scant zijn ARQ-PR-QR-PKI en geeft het paswoord ARQ-PW in met details van de dagtaak en reden van het bezoek. Indien het ingegeven paswoord overeenstemt, wordt een sessie sleutel (SK) gemaakt en een met Lo-PU-QR-PKI geencrypteerde versie van SK (= ESK). Vervolgens verstuurt TTP een tijdelijke gebeurtenis code in de vorm van ARQ-QR-Temp3 naar het scherm van het mobiele toestel van de agent Va (= link naar de dagtaak en de geldigheid van de agent). Deze link is nu geldig voor de komende y minuten. Nu word Lo gevraagd om ARQ-QR-Temp3 te scannen vanaf het scherm van het mobiele toestel van de agent (dat kan gebeuren door een gesloten venster). Lo scant dit met zijn eigen mobiele toestel en scant daarna zijn Lo-PR-QR-PKI-code, Lo wordt gevraagd de taak te accepteren of te weigeren en om de Lo-PW^ "Te gSvefT. Zolang de tijd binnen de y minuten is, wordt ESK ontsleuteld met Lo-PR-QR-PKI en indien deze uitkomst overeenstemt met SK, wordt de informatie betreffende de identiteit van Va, het doel van het bezoek..., geauthenticeerd en verzonden naar het mobiele toestel van Lo. Zo kan hij nagaan dat de Va agent een legitiem is en hem toegang verlenen tot de woning. ARQ krijgt een boodschap toegestuurd dat Va de woning heeft betreden. Beide partijen kunnen optioneel instructies ontvangen. Dezelfde procedure kan gevolgd worden zodra Va zijn bezoek heeft beëindigd en de woning verlaat. Op deze manier is Lo veilig in de woning en is ARQ verwittigd dat het bezoek beëindigd is, waardoor het ook mogelijk is om reeds de, tijdens het bezoek, verzamelde informatie over te dragen.
VERWITTIGEN : Afhankelijk van de instellingen van de gebeurtenis, kunnen ARQ, Aacp, Va, Lo op de hoogte gehouden worden van de verschillende stadia van de gebeurtenis. Alle redenen voor het niet beëindigen van een gebeurtenis, kunnen vermeld worden afhankelijk van de instellingen van de gebeurtenis.
DIEFSTAL VAN DE IDENTITEIT : Stel dat de VA-PR-QR-PKI-code werd gestolen of stel dat de VA-PW is afgegeven onder bedreiging. Indien Va in de mogelijkheid was om het gedefinieerde VA-PW-onder-bedreiging af te geven, wordt ARQ hiervan op de hoogte gebracht. Op dat ogenblik wordt Lo geadviseerd om geen toegang te geven aan de (valse) Va. Op elk moment kan de Aacp de geldigheid intrekken van de ARQ-QR-Lic gegevens.
GEBRUIK : Dit specifieke voorbeeld demonstreert de mógelijkheden van het systeem en methode. Een ketting van gebeurtenissen kunnen worden samengevoegd om een complexe gebeurtenis te creëren, gebaseerd op hetzelfde principe. Twee partijen bouwen een vertrouwensrelatie op via het uitwisselen van (geheime) informatie die enkel door de andere partij kan gecontroleerd worden: In bovenstaand geval, kan het agentschap/kantoor een elektriciteitsmaatschappij zijn, de watermaatschappij die de meterstand komt opnemen. Deze bedrijven sturen agenten uit om de meters te controleren op locatie. Maar voor een particulier is het niet altijd evident of ‘de man aan de deur’ effectief een politieagent is, of de juiste persoon die de meterstand komt opnemen, waarvoor hij zich uitgeeft. Door het gebruiken van de procedure volgens de uitvinding, kan niemand zich zomaar uitgeven voor een agent en zich een weg naar binnen praten.
VOORBEELD 3 (zie Fig. 11 (a-b)): lokaliseren, identificeren van (verloren) voorwerpen, personen. Elk voorwerp dat wordt voorzien van een QR-PKI-code, kan worden teruggebracht door eender welke toevallige vinder of een verloren gelopen, (oudere) persoon terugbrengen.
OPSTELLING : De eigenaar (Own) van een voorwerp (of verantwoordelijke voor een andere persoon), wil het verloren voorwerp lokaliseren, gebruik makend van de werkwijze van de Trusted Third Party (TTP), omschreven in de uitvinding.
DEFINIEREN VAN DE EIGENAAR : De Own registreert zich via de website van TTP (bvb https://qr-pki.com) en maakt een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
Persoon Own bezit nu : een private QR-code “Own-PR-QR-code"; een publieke QR-code Own-PU-QR-PKI" en een geheim master-paswoord Own-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen wordep met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
DEFINIEREN VAN EEN VOORWERP : Persoon Own vraagt een nieuwe QR-code aan voor het markeren van voorwerpen of personen. Persoon Own logt in op de TTP met zijn Own-PR-QR-PKI en certificeert zich met zijn Own-PW. Own vraagt een nieuwe QR-code aan voor een voorwerp, en maakt dus een private QR-code "Obj-PR-QR-PKI”; een publieke QR-code 'Obj-PU-QR-ΡΚΓ en een geheim master-paswoord Obj-PW”. Om de authenticiteit van het voorwerp te bewijzen, geeft de eigenaar een alfanumerische waarde A in voor het veld “Authenticatie string" (bvb WD6G 3US9 Q90D HT8X). Beide QR-codes worden vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). De alfanumerische waarde A wordt in duidelijke tekst afgedrukt onder de QR-code-figuur van de publieke QR-code Obj-PU-QR-PKI. Wanneer Own de Obj-PR-QR-PKI scant, en de Obj-PW ingeeft, definieert hij nu welke informatie moet doorgegeven worden wanneer Obj-PU-QR-PKI gescand wordt onder normale omstandigheden (bvb de waarde A, een algemene informatieve video van het voorwerp) en of hij wenst te worden verwittigd van elke keer er gescand wordt. De TTP heeft nu geregistreerd dat Own een voorwerp Obj bezit. Own bevestigt de code goed zichtbaar op het voorwerp of op de kleding van de persoon.
TERUGVINDEN : Zodra de eigenaar het verlies van Obj ontdekt, wijzigt hij de parameters van het Obj door Obj-PR-QR-PKI sleutel te scannen en het correcte paswoord Obj-PW in te geven. Elke willekeurige persoon (IB) die nu de code scant, zal informatie te zien krijgen over hoe het object kan teruggebracht worden naar Own, of zal gevraagd worden naar details over de locatie. Zelfs een SMS kan naar Own verzonden worden indien dat gedefinieerd staat in de te ondernemen acties zodra Obj-PU-QR-PKl gescand wordt. IB kan zien dat de code onvervalst is aangezien hij de alfanumerische waarde A ontvangt dat onder de QR-code staat gedrukt. In dat geval moet IB geen lidmaatschap hebben bij dè TTP.
GEBRUIK : In dit geval is de QR-code enkel gebruikt om een gebeurtenis die aangemaakt is in het systeem, te activeren. Het wordt niet gebruikt zoals in werkwijze 2 waarbij 2 opeenvolgende QR-codes gescand worden binnen een beperkt tijdsvenster. Maar het schema kan op elk ogenblik uitgebreid worden, waarbij het verplicht is om een tweede - persoonlijke private-QR-code - te lezen om een gebeurtenis te activeren, maar in dit geval, kan dit niet het gewenste effect geven, immers wanneer een voorwerp verloren wordt, maakt het niet uit of de vinder al dan niet een geldige private QR-code bezit of niet, maar wel dat elk communicatie toestel moet werken.
VOORBEELD 4 (zie Fig. 12 (a-b)) : beveiligen van elektronische betaling (e-Wallet Payment Activation). Microbetalingen worden steeds populairder. Dit voorbeeld demonstreert de uitvoering van zo een betaling op een mobiele manier met een minimum aan handelingen en een zeer grote veiligheidsgraad. Op deze manier vermijd je een gedoe tussen verschillende betalingsschema’s van verschillende e-wallet diensten en verschillende authenticatie methodes.
OPSTELLING : Een e-Wallet gebruiker (eWu) beschikt over een gewoon contract bij een e-Wallet dienstverlener. De eWu wil betalingen uitvoeren (op een mobiele manier) gebruik makend van de werkwijze van de Trusted Third Party (TTP), omschreven in de uitvinding.
DEFINIEREN VAN EEN E-WALLET GEBRUIKER : De eWu registreert zich via de website van TTP (bvb https://qr-pki.com) en maakt een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
Persoon eWu bezit nu : een private QR-code “eWu-PR-QR-code”; een publieke QR-code “eWu-PU-QR-PKI” en een geheim master:paswoord “eWu-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). eWu kan een bijkomende paswoord definieren voor de eWu-QR-code bvb een paswoord dat zal certificeren dat hij effectief eWu is, maar dat hij de QR-code ook kan gebruiken als hij onder bedreiging staat. Het ingeven van dit paswoord-onder-bedreiging, zal niet enkel de gewone gebeurtenis uitvoeren, maar ook een boodschap sturen naar bvb de hulpdiensten. eWu kan ook een bijkomend paswoord definiëren waarbij de gebeurtenis NIET wordt uitgevoerd maar enkel een boodschap wordt verzonden naar bvb de hulpdiensten. Nog meer paswoorden kunnen aangemaakt worden, “positieve” paswoorden die de gebeurtenis activeren die standaard wordt uitgevoerd, maar met een bijhorende informatie verstrekking, of “negatieve" paswoorden waarbij de uitvoering van de gebeurtenis NIET verder wordt gezet, maar een vooraf gedefinieerde instantie wordt verwittigd via bvb SMS, mail.
DEFINIEREN VAN DE TE BETALEN REKENING : Persoon eWu vraagt een nieuwe QR-code aan voor elke rekening die dient betaald te worden via de e-Wallet dienstverlener. Persoon eWu logt in op de TTP met zijn eWu-PR-QR-PKI en certificeert zich met zijn eWu-PW. eWu vraagt een nieuwe QR-code aan voor elke rekening (Ace), en maakt dus een private QR-code “Acc-PR-QR-PKI”; een publieke QR-code “Acc-PU-QR-PKI” en een geheim master-paswoord “Acc-PW”. Beide QR-codes worden . vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). De eWu definieert de informatie die nodig is voor een elektronische betaling, bvb zijn eigen rekeningnummer, gebruikersnaam en paswoord om het geld over te schrijven via de e-Wallet dienstverlener, en het rekeningnummer waarnaar het geld moet overgeschreven worden. Alle informatie die niet onmiddellijk is voorzien, kan later gevraagd worden wanneer de overschrijving gebeurt. De gebeurtenis bevat ook de API of de URL die moet aangeroepen of uitgevoerd worden wanneer de overschrijving gebeurt en het bijhorende protocol öf parameterlijst. Zodra de gebeurtenis is gedefinieerd, wordt een sessie sleutel SK aangemaakt en opgeslagen. Deze SK is geëncrypteerd met eWu-PU-QR-PKI en opgeslagen (ESK). eWu neemt elke Acc-PU-QR-PKI mee en zijn eWu-PR-QR-PKI. De eWu onthoudt zijn eWu-PW en de door hemzelf aangemaakte alternatieve paswoord (bvb het paswoord-onder-bedreiging, het negatieve paswoord met enkel wat informatie).
OVERSCHRIJVING : wanneer eWu een dienst wil betalen, haalt hij de juiste Acc-PU-QR-PKI uit en scant deze QR-code. Vervolgens wordt hem gevraagd zijn eWu-PR-QR-PKI te tonen en zijn eWu-PW te geven om te certificeren dat hij weldegelijk eWu is. Dit dient te gebeuren binnen het gedefinieerd tijdsvenster en vanaf hetzelfde communicatie toestel. De opgeslagen ESK wordt ontsleuteld met eWu-PR-QR-PKI en vergeleken met de opgeslagen SK. Indien beide overeenstemmen, woraf ae gebeurtenis uitgevoerd, de Acc is authentiek. Afhankelijk van het ingegeven paswoord, wordt de standaard gebeurtenis uitgevoerd (het juiste eWu-PW werd ingegeven) of een andere gebeurtenis zoals gedefinieerd indien een alternatief paswoord wordt ingegeven. Wanneer de overschrijving gebeurt (bij een positieve eWu-PW werd ingegeven), wordt eerst de informatie van Acc opgevraagd die nog niet werd ingegeven (bvb het bedrag). Zodra alle gegevens zijn ingevuld, zal de TTP een API uitvoeren en alle stappen doorlopen die nodig zijn om de betaling uit te voeren.
VERWITTIGEN : de eWu wordt verwittigd over de positieve of negatieve uitkomst van de API die de eigenlijke overschrijving uitvoert. Een e-mail wordt verstuurd naar eWu als bewijsje, eventueel (indien gedefinieerd) kan de begunstigde van de overschrijving een boodschap ontvangen met de status van de betaling.
GEBRUIK : door het gebruiken van het systeem en methode van de uitvinding, kan een betaling veilig uitgevoerd worden, met een hoge veiligheidsgraad en met behulp van een standaard smartphone waarop geen geheimen zijn opgeslagen. Door een alternatief paswoord te gebruiken, zelfs onder bedreiging kan de bedreigde persoon een vooraf gedefinieerde instantie verwittigen zonder dat de agressor dit weet aangezien de transactie gewoon verder loopt. Indien een Acc-PU-QR-PKI-code wordt . gestolen of gekopieerd, kan de eigenaar (die de Acc-PR-QR-PKI en Acc-PW bezit), de gebeurtenis wijzigen en een heel andere invulling geven, bvb vragen naar de identiteit van de persoon die Acc-PU-QR-PKI scant, of zijn IP-adres verzenden, gegevens van zijn mobiele toestel om aan de overheid te geven als referentie voor eventuele bewijsvoering.
VOORBEELD 5 (zie Fig. 13 (a-b)) : Certificeren van Authenticiteit. Tegenwoordig worden in diverse landen veel namaakgoederen geproduceerd, vervalsingen van de originele producten. Dit voorbeeld demonstreert het gebruik van QR-codes in de strijd tegen vervalsingen en namaakproducten en kan van iedereen een mogelijke “detector” maken. Als neveneffect, kan de fabrikant van de originele goederen een “relatie” beginnen met iedereen tussen de fabrikant tot aan de eindgebruiker van het product.
OPSTELLING : Een fabrikant wil zijn product, goederen en pakketten authentificeren en opsporen, gebruik makend van de werkwijze van de Trusted Third Party (TTP), omschreven in de uitvinding. De authenticatie kan op een zeer snelle manier gebeuren (één scan, een opsporing opstarten, duplicaten vinden) of op een uitgebreide manier (dubbele scan, certificatie van de originaliteit van het product).
DEFINIEREN VAN DE FABRIKANT/PRODUCENT : De fabrikant, producent (Prod) registreert zich via de website van TTP (bvb https://qr-pki.com) en maakt een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), / meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb speciale tijdcodes en intervallen die verzonden wroden naar Prod, bijkomende informatie).
Producent Prod bezit nu : een private QR-code “Prod-PR-QR-code”; een publieke QR-code “Prod-PU-QR-PKI” en een geheim master-paswoord “Prod-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). Producer kan de Prod-PU-QR-PKI openbaar maken, uitgebreid met extra, in de tijd wisselende informatie, die enkel door Producent gekend is en hij daardoor weet wanneer (een vervalsing) Prod-PU-QR-PKI gescand wordt en dit zodoende kan controleren met de eigen gegevens die verzonden werden volgens de opstelling van de gebeurtenis wanneer Prod-PU-QR-PKI gescand wordt.
DEFINIEREN VAN DE GOEDEREN, PAKKETTEN : Producent Prod vraag) een nieuwe set van QR-PKI-codes voor elk product (Good) en voor elk pakket (Pack) dat gemarkeerd, opgespoord of geauthentificeerd moet worden. Producent Prod logt in op . de TTP met zijn Prod-PR-QR-PKI en certificeert zich met zijn Prod-PW. Prod vraagt een nieuwe set van QR-PKI-codes aan voor elke Good en elke container met goederen, Pack genaamd (bvb door het verschaffen van een overzichtslijst met details over de QR-PKI-codes die aangemaakt moeten worden). Elke QR-PKI-code bezit minstens één van volgende Attributen : 1) een publiek deel van de QR-PKI-code voor elke Good of Pack, (verder A genoemd), die als verwijzing dient voor het gedefinieerde product. 2) een willekeurige alfanumerische string, (verder B genoemd), in een eenvoudig leesbare vorm (bvb WD6G 3US9 Q90D HT8X”), die in duidelijke tekst wordt afgedrukt onder de QR-code-figuur. 3) een willekeurige, unieke, geheime code, met hierin een verwijzing naar datum en tijd (verder T genoemd). 4) bijkomende informatie zoals serienummer, model, productiegegevens,... Dus het aanmaken van QR-PKI-codes Good-PR-QR-PKI en Good-PU-QR-PKI, zonder paswoord voor de goederen, Pack-PR-QR-PKI en Pack-PU-QR-PKI, zonder paswoord voor de pakketten. Het feit dat hier geen paswoorden worden verstrekt, betekent dat de informatie niet gewijzigd kan worden zodra de gebeurtenissen zijn aangemaakt. Voor de beide types van QR-PKI-codes, wordt de private sleutel niet vertegenwoordigd door een figuur, maar enkel als een alfanumerische string daar deze string niet beschikbaar wordt gemaakt om te scannen. Voor de beide types van QR-PKI-codes, wordt de publieke sleutel wel vertegenwoordigd door een figuur (die kan gelezen worden door voornoemde elektronische toestellen) en door een alfanumerische string, beide opgebouwd met de UFaf-^enst; een 1 identificatiecode (verder i genoemd), een waarde A (= publieke sleutel van de QR-PKI-code), een geëncrypteerde versie van T (waarbij T geëncrypteerd werd met Prod-PR-QR-PKI en daarna geëncrypteerd met A, verder U genoemd) (bvb qrpki.com/i/A/U). De alfanumerische waarde B wordt in duidelijke tekst afgedrukt onder de QR-PKI-code. Afhankelijk van de opstelling, kan ook andere informatie in deze tekst afgedrukt worden (bvb serienummer). De Prod bevestigt deze Good-PU-QR-PKI en Pack-PU-QR-PKI aan de juiste goederen en pakketten. De Prod definieert bij de aanmaak van de QR-PKI-codes welke informatie wordt verstuurd wanneer een Good-PU-QR-PKI of Pack-PU-QR-PKI gescand wordt (bvb informatie, de string B, een video met gebruiksaanwijzing,...).
AUTHENTICATIE/OPSPORING : wanneer Good-PU-QR-PKI of Pack-PU-QR-PKI QR-codes gescand worden, worden deze gebeurtenissen gelogd voor latere verwijzing of voor data-verwerking door de Prod. Als datum, tijd en locatie (IP-adres) worden gelogd, heeft Prod een overzicht waar elk product of goed zich bevindt. Bij elke scan van Good-PU-QR-PKI of Pack-PU-QR-PKI, wordt A van de QR-PKI-code gebruikt om de gegevens op te zoeken en de willekeurige string B verstuurd naar het mobiele toestel van de persoon die de QR-PKI-code scant. Dit is een eerste visuele controle of het product/goed authentiek kan zijn. Indien de teruggestuurde string B overeenstemt met de afgedrukte string onder de QR-PKI-code, is de kans groot dat het product/goed authentiek is, waarschijnlijk is de gescande QR-PKI-code authentiek, maar kan nog steeds een perfect duplicaat zijn van een bestaande QR-PKI-code, of fraudeurs hebben een eigen “gelijkaardige” code aangemaakt bij een andere dienstverlener om de gebruiker te misleiden door de juiste afgedrukte waarde B te versturen. Indien steeds dezelfde Good-PU-QR-PKI of Pack-PU-QR-PKI QR-codes blijven opduiken op verschillende tijdstippen en verschillende locaties (afgeleid uit het IP-adres), kan het zijn dat een frauderende organisatie dat product heeft gedupliceerd, samen met de QR-code. Dit is een eerste - eenrichtings - eenvoudige manier om te starten met authentjficeren en opsporen. Dat zal de frauderende organisaties niet weerhouden om exacte kopies te produceren, maar indien enkele gekopieerde QR-codes opduiken, is het duidelijk dat er gefraudeerd wordt en kunnen de autoriteiten gestuurd worden om deze namaakproducten te controleren, te beginnen met de eerste scan van een bepaalde QR-code (en IP-adres).
Om een grondigere controle mogelijk te maken, kan de bovenstaande procedure uitgebreid worden. Na het scannen van Good-PU-QR-PKI of Pack-PU-QR-PKI, wordt de persoon verzocht om achtereenvolgens en binnen een gedefinieerd tijdsvenster de op de bedrijfswebsite gepubliceerde (uitgebreide) Prod-PU-QR-PKI te scannen. Van de scan van de (uitgebreide) Prod-PU-QR-PKI, wordt het U deel van de Good-PU-QR-PKI
of Pack-PU-QR-PKI QR-code ontsleuteld met de private sleutel die worden door het opzoeken in de data gegevens die gedefinieerd zijn in het A deel van de QR-code. Vervolgens wordt het resultaat ontsleuteld met de Prod-PU-QR-PKI-sleutel en vergeleken met T. Indien beiden overeenstemmen, is de QR-code op het product zeker origineel en de data is vergeleken met de database van de Producent, of met een up-to-date versie indien de uitgebreide versie van Prod-PU-QR-PKI werd gebruikt. Indien in het verleden geen duplicaten werden gedetecteerd (meerdere scans van dezelfde Good-PU-QR-PKI of Pack-PU-QR-PKI QR-code), dan is het aannemelijk dat er geen namaakproducten uitgerust zijn met Good-PU-QR-PKI of Pack-PU-QR-PKI QR-codes.
GEBRUIK : doorheen de hele transportketting vertrekkende van de fabriek naar de handelaar naar de eindgebruiker, kunnen de scans de Producent inzicht geven in de gebruikte weg dat het product heeft afgelegd en waar de producten worden gebruikt, en kan de Producent interactief reageren met de personen die de codes scannen of bruikbare informatie verschaffen zoals een gebruiksaanwijzing, handleiding of bijkomende (merk) informatie. Wanneer een beloning wordt uitgereikt om de eindgebruiker te stimuleren om de Good-PU-QR-PKI QR-code te scannen, kan'deze informatie gebruikt worden voor het beheren van de levenscyclus, voor het einde van de levensduur en zelfs bij recyclage achteraf.
VOORBEELD 6 (zie Fig. 14 (a-d)) : hoe (beveiligde) goederen en voorwerpen controleren zonder het opzoeken van documenten of gegevens van de afzender of de ontvanger (bvb douane).
OPSTELLING : de afzender (Se) wil een scheepscontainer (Con) met goederen versturen naar een ontvanger (Re). Onderweg controleren entiteiten (CE), zoals de douane die de inhoud controleert, de vergezelde documenten, gebruik makend van de werkwijze van de Trusted Third Party (TTP), omschreven in de uitvinding.
DENINIEER DE AFZENDER. ONTVANGER EN CONTROLE VAN DE ENTITEITEN : Alle partijen registreren zich via de website van TTP (bvb https://gr-pki.com) en maken een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
De afzender (Se) bezit nu : een private QR-code “Se-PR-QR-code^ een pußliefTe QR-code “Se-PU-QR-PKI” en een geheim master-paswoord “Se-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
De ontvanger Re bezit nu : een private QR-code “Re-PR-QR-code”; een publieke QR-code “Re-PU-QR-PKI” en een geheim master-paswoord “Re-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
De entiteit (CE) welke gecontroleerd wordt, bezit nu : een private QR-code “CE-PR-QR-PKI”; een publieke QR-code “Ce-PU-QR-PKI” en een geheim master-paswoord “CE-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). In dit specifieke voorbeeld wordt de CE-PU-QR-PKI publiek gemaakt.
DEFINIEER DE CONTAINER : Afzender (Se) vraagt een nieuwe QR-code aan voor de container die hij wil verzenden naar de ontvanger (Re). Afzender logt in op de . TTP met zijn Se-PR-QR-PKI en certificeert zich met zijn Se-PW. Afzender vraagt een nieuwe QR-code aan voor de container, en maakt dus een private QR-code “Con-PR-QR-PKI”; een publieke QR-code "Con-PU-QR-PKI” en een geheim master-paswoord “Con-PW”. Beide QR-codes worden vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
Door het scannen van Con-PR-QR-PKI en het ingeven van Con-Pw, kan de afzender definiëren welke informatie wordt verstrekt zodra Con-PU-QR-PKI wordt gescand (bvb de manier waarop de container moet gehanteerd worden, informatie betreffende de inhoud) en indien gewenst, een verwittiging telkens de code gescand wordt. Verzendingsdocumenten, douanedocumenten, een video met de inhoud van de container op kunnen aangemaakt worden of een URL link kan aangemaakt waar deze informatie te vinden is, alle mogelijke informatie die elektronisch aan de Con kan toegewezen worden, is verzameld onder de naam Con#. De TTP heeft nu geregistreerd dat Verzender Se een container Con bezit. Afzender bevestigt de code Con-PU-QR-PKI goed zichtbaar aan de buitenzijde van de container.
IDENTIFICEER DE ONTVANGER RE : Afzender Se scant de Con-PR-QR-PKI èn geeft de Con-PW in. Vervolgens wordt de Re-PU-QR-PKI van de ontvanger gescand en de attributen ingesteld (bvb verwittig Re per e-mail iedere keer Con-PU-QR-PKI
gescand wordt zodat de afzender ook de afgelegde weg kan opvolgend Door hit creëren van deze gebeurtenis worden een SK en een met Re-PU-QR-PKI geëncrypteerde sleutel (= ESK) aangemaakt, om later te gebruiken voor authenticatie van de Re.
IDENTITEITSCONTROLE VAN DE ENTITEIT CE : Afzender Se scant de Con-PR-QR-PKI en geeft de Con-PW in. Vervolgens wordt de CE-PU-QR-PKI van de te controleren entiteit CE gescand (bvb door de douane) en de attributen ingesteld (bvb (doorverwijzing naar) de douanedocumenten Con#). Een procedure om legitieme mensen te authentificeren die vertrouwelijke handelingen mogen uitvoeren met CE-PR-QR-PKI; kan u vinden in een vorig voorbeeld. Door het creëren van deze gebeurtenis worden een SK en een met CE-PU-QR-PKI geëncrypteerde sleutel (= ESK) aangemaakt, om later te gebruiken voor authenticatie van de CE.
VERIFICATIE VAN DE CONTAINER : Zodra CE aan de container komt, scant hij de Con-PU-QR-PKI die zich aan de buitenzijde bevindt, vervolgens wordt hij verzocht zich te identificeren door zijn CE-PR-QR-PKI te scannen en de CE-PW in te geven, deze scans dienen te gebeuren vanaf hetzelfde mobiele toestel en binnen, het gedefinieerde tijdsvenster. Indien het CE-PW en CE-PR-QR-PKI geldig worden bevonden (CE is in actieve dienst), wordt de ESK ontsleuteld met CE-PR-QR-PKI, en . indien dit overeenstemt met SK, is de aanvraag authentiek en goedgekeurd door Se. CE kan nu de documenten Con# nazien en autonoom beslissen of de container al dan niet te betreden voor controle. Dit voorbeeld laat zien dat de CE de documenten niet noodzakelijk op voorhand in zijn bezit moet krijgen. Op deze manier kunnen inspecties van de goederen ook onderweg gebeuren. Afhankelijk van de instellingen wordt de afzender en/of ontvanger verwittigd van de acties, ondernomen door CE. Indien nodig, kan Se een extra CE toevoegen aan de lijst van gemachtigde CE’s, extra informatie, aangezien enkel Se de Con-PR-QR-PKI bezit.
ONTVANGEN VAN DE CONTAINER : Zodra Re de container ontvangt, scant Re de Con-PU-QR-PKI, vervolgens scant hij zijn Re-PR-QR-PKI en geeft het Re-PW in. Indien alles overeenstemt en binnen het gedefinieerde tijdsvenster en ze gebeuren vanaf hetzelfde mobiele toestel, wordt ESK ontsleuteld met Re-PR-QR-PKI, indien dit overeenstemt met SK, is Re geauthentificeerd, en krijgt Re toegang toegang tot de Con# die door Se werd voorbereid. Se wordt verwittigd dat Re de container heeft ontvangen.
GEBRUIK : naast de douane, die nu overal de documenten van de container kunnen raadplegen, kan deze methode en systeem gebruikt worden door rederijen, koeriersdiensten, post diensten.
VOORBEELD 7 (zie Fig. 15 (a-b)) : verzenden van geënciyf5teefde^ en75r elektronisch ondertekende documenten/boodschappen of een aangetekende brief. Een boodschap (Mes) dient gestuurd te worden van afzender (Se) naar ontvanger (Re). Afhankelijk van de opstelling, moet Mes gecertificeerd zijn van de afzender, of gecertificeerd worden zodat enkel de ontvanger dit kan in ontvangst nemen, of beide.
OPSTELLING : de afzender (Se) wil een document/boodschap (Mes) versturen naar ontvanger (Re), gebruik makend van de werkwijze van de Trusted Third Party (TTP), omschreven in de uitvinding.
DEFINIEER DE AFZENDER EN ONTVANGER : beide partijen registreren zich via de website van TTP (bvb https://gr-pki.com) en maken een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
De afzender (Se) bezit nu : een private QR-code “Se-PR-QR-code”; een publieke QR-code “Se-PU-QR-PKI" en een geheim master-paswoord “Se-PW”. Beide QR-codes . worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
De ontvanger Re bezit nu : een private QR-code “Re-PR-QR-PKI”; een publieke QR-code “Re-PU-QR-PKI” en een geheim master-paswoord “Re-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
DEFINIEER DE BOODSCHAP : Afzender (Se) vraagt een nieuwe QR-code aan voor de boodschap die hij wil verzenden naar de ontvanger (Re). Afzender logt in op de TTP met zijn Se-PR-QR-PKI en certificeert zich met zijn Se-PW. Afzender vraagt een tijdelijke, unieke QR-code aan voor de boodschap, dit is QR-code Mes-QR-PKI. Deze QR-code wordt vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). Afzender heeft nu een elektronisch document voorbereid.
VERSTUREN VAN EEN BOODSCHAP OP PAPIER : om een papieren brief te versturen naar een ontvanger en de ontvanger elektronisch de ontvangst van de brief te laten bevestigen, drukt de afzender de brief af met de Mes-QR-PKI erop. Vervolgens scant afzender de Mes-QR-PKI, en daarna zijn Se-PR-QR-code en geeft zijn Se-PW im deze scans dienen te gebeuren vanaf hetzelfde mobiele toestel en binnen het gedefinieerde tijdsvenster. Nu kan hij de ontvanger definiëren, door Re-PU-QR-PKI te scannen die hij verkregen heeft via het internet of rechtstreeks van de ontvanger. Een sessie sleutel (SK) wordt in de Mes-QR-PKI geëncrypteerd met Re-PU-QR-PKI en opgeslagen in de gebeurtenis (ESK). De afzender stelt ook de attributen zo in, dat zodra de Mes-QR-PKI opnieuw wordt gescand, de ontvanger wordt gevraagd zijn Re-PR-QR-PKI en RE-PW in te geven en dat de afzender wordt verwittigd bij ontvangst. De afzender verzendt nu de brief via mail, fax,... naar de ontvanger. Indien de ontvanger de Mes-QR-PKI scant gevolgd door zijn Re-PR-QR-PKI en paswoord RE-PW, wordt de ESK ontsleuteld met Re-PR-QR-PKI, indien dit ovëreenstemt met de sleutel SK in de Mes-QR-PKI, is de identiteit van Re authentiek en wordt de afzender verwittigd.
ELEKTRONISCH VERZENDEN VAN EEN BOODSCHAP : om een elektronische, geëncrypteerde boodschap te versturen die enkel de ontvanger kan lezen en waarvan de ontvanger weet dat de boodschap enkel van de afzender komt, creëert afzender de boodschap elektronisch. Vervolgens scant afzender de Mes-QR-PI$l, en daarna zijn Se-PR-QR-PKI en geeft zijn Se-PW in, deze scans dienen te gebeuren vanaf hetzelfde mobiele toestel en binnen het gedefinieerde tijdsvenster. Nu kan hij de · ontvanger definiëren, door Re-PU-QR-PKI te scannen die hij verkregen heeft via het internet of rechtstreeks van de ontvanger. Een sessie sleutel (SK) wordt in de Mes-QR-PKI geëncrypteerd met Re-PU-QR-PKI en opgeslagen in de gebeurtenis als ESK. Afzender laadt de elektronische boodschap in of duidt de plaats aan waar de elektronische boodschap kan gevonden worden, nadat het systeem deze boodschap ontvangt, wórdt die een eerste keer geëncrypteerd met zijn Se-PR-QR-PKI sleutel (dit is document A), A wordt opnieuw eëncrypteerd met Re-PU-QR-PKI en opgeslagen (dat is document B). Afzender stelt ook de attributen zo in dat, wanneer de Mes-QR-PKI opnieuw wordt gescand, de ontvanger wordt verzocht zijn Re-PR-QR-PKI en Re-PW in te geven en dat afzender wordt verwittigd van ontvangst. Afzender sluit hiermee deze gebeurtenis af. Afzender verstuurt de Mes-QR-PKI naar ontvanger. Mes-QR-PKI kan zowel worden afgedrukt als gefaxt, verstuurd worden via SMS en mail, of kan verstuurd worden via een mail die afgedrukt wordt op een blad papier. . Indien de ontvanger de Mes-QR-PKI scant gevolgd door zijn Re-PR-QR-PKI en paswoord RE-PW, wordt de ESK ontsleuteld met Re-PR-QR-PKI, indien dit overeenstemt met de sleutel SK in de Mes-QR-PKI, is de boodschap voor deze ontvanger. De dubbel geëncrypteerde, elektronische boodschap B, wordt ontsleuteld met Re-PR-QR-PKI en wordt zodoende opnieuw document A. Nu scant hij de Se-PU-QR-PKI en decrypteert document A opnieuw met Se-PU-QR-PKI, waardoor men terug het originele elektronische document krijgt. De ontvanger is er zeker van dat alleen hij het document (of de In^emaaf7 Katf1 ontvangen en kan decrypteren, en enkel de afzender kon dit verzonden hebben. Afzender wordt nu verwittigd van de ontvangst, de ontvanger kan nu de link naar het elektronische document opvragen, het downloaden en omzetten naar een leesbare vorm.
GEBRUIK : Postdiensten kunnen gebruik maken van deze methode en systeem.
VOORBEELD 8 (zie Fig. 16 (a-b)) : openbaar maken van gevoelige data aan geautoriseerde personen via een eenvoudige QR-code van de betrokkene. Dit voorbeeld of een variante, kan toegepast worden op systemen voor het vrijgeven van medische dossier aan geautoriseerde dokters of medisch personeel, voor het vrijgeven van informatie over boetes of sancties van rijbewijzen, om bijkomende informatie te koppelen aan identiteitsbewijzen of andere vergelijkbare toepassingen. In al deze voorbeelden wordt de informatie niet opgeslagen op het document zelf, noch in de QR-code. Dit maakt deze documenten minder aantrekkelijk voor diefstal of fraude, de gekoppelde informatie kan enkel worden gelezen/aangepast door geautoriseerde personen. Aangezien het om gevoelige informatie gaat, kan het zijn dat een derde partij zijn goedkeuring moet geven aan sommige tussenstappen van deze werkwijze.
OPSTELLING : alle partijen gebruiken de werkwijze volgens de uitvinding via een Trusted Third Party (TTP). Een persoon (Per) bezit een kaart/informatiedrager/document (Con) (bvb een SIS-kaart, een identiteitskaart of document ivm de sociale zekerheid). Een gekwalificeerde persoon (QP) (bvb een dokter) wil medische informatie toevoegen (verder SDat genoemd) die enkel mag gezien worden door andere dokters (verder gekwalificeerde personen genoemd of QPs), en niet door niet-medisch personeel/personen. Persoon Per wil algemene data (GDat) toevoegen (bvb zijn adres, contactgegevens van familie). In dit voorbeeld zijn verschillende databases betrokken. Een tabel met alle gekwalificeerde personen (QPDB) (bvb alle doktoren) beheerd door QPadmin personen, een tabel die de toegangsmechanismen beheert om de SDat informatie op te slaan of op te vragen in of uit de SDat database (SdatDB), een tabel (verder LinkDb genoemd) die de personen Per(x) of meer bepaald de Con(x) van Per(x) linkt aan SDat(x). Aangezien deze toepassing meerdere personen betrekt en meer dan één gekwalificeerde, worden alle formules van een index voorzien : Per(x), Con(y), QP(z), ... TTP kan tijdelijke QR-codes uitgeven, die vertegenwoordigd worden door een figuur (die kunnen gelezen worden met voornoemde communicatie toestellen of afgedrukt worden om een afdruk op papier te hebben) en door een alfanumerische string (die elektronisch kan verzonden worden). Alle databases bevinden zich buiten TTP en worden beheerd door bvb QPadmin of een andere organisatie. In dit voorbeeld nemen we aan dat QPadmin gemachtigd is om alle databases te beheren.
DEFINIEER DE PERSONEN (PERM). GEKWALIFICEERDE PERSONEN (Qp(a)) EN DE QP administratie APadmin : alle partijen registreren zich via de website van TTP (bvb https://ar-pki.com) en maken een set van QR-PKI-codes aan (een private QR-PKI-code en een publieke QR-PKI-code) en bijhorende paswoorden (sleutels en QR-codes kunnen geknipt en geplakt worden uit de browser of verzonden worden via een e-mail). Afhankelijk van de TTP, dient minstens het e-mail adres te worden aangemaakt en geverifieerd (via een e-mail bevestiging), meer informatie kan verschaft worden door middel van attributen die gedefinieerd worden en waarden die ingegeven worden (bvb bijkomende paswoorden, extra e-mail adres).
Persoon Per(x) bezit nu : een private QR-code “Per(x)-PR-QR-PKI”; een publieke QR-code ‘'Per(x)-PU-QR-PKr en een geheim master-paswoord “Per(x)-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
De QPDB (met de lijst QP(a) en hun machtigingen), en de beheerder van QP (QPadmin) die autoriseert of QP(a) al dan niet, een gemachtigd/gekwalificeerd persoon . is, bezit nu : een private QR-code “QPadmin-PR-QR-PKI”; een publieke QR-code “QPadmin-PU-QR-ΡΚΓ’ en een geheim master-paswoord “QPadmin-PW". Beide QR-codes worden ook vertegenwoordigd- door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
De Gekwalificeerde Persoon QP(a) bezit nu : een private QR-code “QP(a)-PR-QR-PKI”; een publieke QR-code “QP(a)-PU-QR-PKI” en een geheim master-paswoord “QP(a)-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden).
DEFINIEER DE KÄART/INFORMATIEDRAGER/DOCUMENT : Persoon Per(x) vraagt een kaart aan of heeft reeds een kaart Con(x) toegewezen gekregen. Per(x) maakt nu aan : een private QR-code “Con(x)-PR-QR-PKI"; een publieke QR-code "Con(x)-PU-QR-PKI” en een geheim master-paswoord “Con(x)-PW”. Beide QR-codes worden ook vertegenwoordigd door een figuur (die kan gelezen worden met voornoemde communicatie toestellen) en door een alfanumerische string (die elektronisch kan verzonden worden). Con(x)-PU-QR-PKI is afgedrukt op of bevestigd aan een kaart/informatiedrager/document. Elke Per(x) kan zijn eigen algemene data GDat(x) wijzigen op de Con(x) door het scannen van Con(x)-PR-QR-PKI en het ingeven van het juiste paswoord Con(x)-PW. Per(x) kan nu de gebeurtenissen definiëren die moeten uitgevoerd worden zodra zijn kaart Con(x)-PU-QR-PKI wordt gescand : bvb een mail versturen met de details van elke scan die gebeurt, de GDat(x) informatie laten zien, of een SMS versturen naar een aantal mensen.
MACHTIGING VERLENEN AAN QP(a) : om een machtiging te verlenen, scant of geeft QP(a) de QPadmin-PU-QR-PKI in, en start zo de machtigingsaanvraag. Dit dient enkel éénmaal per opgegeven periode te gebeuren, afhankelijk van de instellingen die opgemaakt zijn door QPadmin en het tussen de partijen overeengekomen reglement. Vervolgens moet QP(a) geïdentificeerd worden. Hij scant of geeft zijn QR(a)-PR-QR-PKI in en wordt verzocht om enkele gegevens in te vullen samen met de QP(a)-PW, en indien de paswoorden overeenstemmen, is QP(a) geauthentificeerd. Een sessie sleutel SK en een dubbel geëncrypteerde versie van SK (= ESK) worden aangemaakt en opgeslagen. ESK = een met een QPadmin-PU-QR-PKI geëncrypteerde versie van SK waarvan de uitkomst opnieuw werd geëncrypteerd met QR(a)-PR-QR-PKI. Vervolgens maakt de TTP een tijdelijke code aan en verzendt deze in de vorm van Tempi-QR-code (= link naar ESK en het verzoek om toegang te krijgen door QP(a) = licentieaanvraag) naar QPadmin. Afhankelijk van de organisatie, kan QP(a) de Temp1-QR-code mailen met een verzoek of de afgedrukte versie van de Temp1-QR-code posten via een officiële brief aan QPadmin. Voor QP(a) is de licentieaanvraag nu opgestart, moet hij wachten op de beslissing van QPadmin.
QPadmin (de QPDB-beheerder, in een eigen tempo) voert de Temp1-QR link aanvraag uit en geeft zijn eigen QPadmin-PR-QR-PKI en QPadmin-PW in. Om te controleren of de aanvraag legitiem is, wordt de ESK ontsleuteld met QP(a)-PU-QR-PKI en daarna met QPadmin-PR-QR-PKI en gecontroleerd met SK. Indien beide overeenstemmen, is de aanvraag authentiek. QPDB-beheerder zal dan toestemming verlenen/weigeren aan QP(a). Dit resultaat wordt opgeslagen in een tijdelijke QR-code (verder Lic-QR genoemd). Lic-QR wordt verzonden aan de aanvrager QP(a) en opgeslagen in QPDB. QR(a) voert Lic-QR in of scant Lic-QR en wordt verzocht zich te authentificeren met QP(a)-PR-QR-PKI en QP(a)-PW. Deze informatie wordt opgeslagen in het QP(a)-QR-PKI bestand en wordt automatisch uitgevoerd. Indien QP(a) gemachtigd is om deel uit te maken van dé groep van “Gekwalificeerd Personeel", bezit hij nu de toestemming/licentie en bijgevolg ook toegang tot SDatDB. Indien nodig kan QPadmin de licentie aan QP(a) ten alle tijden intrekken. Indien de licentie een bepaalde geldigheidsduur bezit, wordt dit eveneens opgenomen in de Lic-QR.
DATA BEHEREN : de mechanismen om data in de SdatDB toe te voegen/te wijzigen, ligt buiten deze scoop. Veronderstel dat QP(a) data SDat(y) ingeeft betreffende een Per(y) in “een (medische) database” en een link naar deze SDat(y) beschikbaar is.
Deze “link naar Sdat(y)” met toegangsrechten, verder Link(y) genoemd, wordt opgeslagen in SdatDB en wordt beschikbaar gemaakt in de vorm van een QR-code (bevattende een service-URL + Link(y) op het scherm van QP(a), verder Temp3-QR genoemd. Om SDat(y) aan Con(y) van Per(y) te linken, scant QP(a) de Con(y)-PU-QR-PKI van Per(y). QP(a) krijgt de GDat(y) van deze Con(y) te zien, en kan hiermee controleren dat dit de juiste Per(y) en Con(y) is. Vervolgens scant QR(a), binnen een gedefinieerd tijdsvenster en vanaf hetzelfde communicatietoestel, zijn QP(a)-PR-QR-PKI en geeft QP(a)-PW in om zijn identiteit te bevestigen. Daarna wordt, via Lic-QR, de geldigheid en de status gecontroleerd bij QPadmin, is deze nog steeds geldig, krijgt QP(a) nu toegang tot de QPDB’s. Alle Link(y) worden opgehaald uit de LinkDB voor deze Con(y) en deze Link(y)’s worden opgezocht in SDat(y)’s en opgehaald uit SDatDB. Op het scherm van voornoemde communicatietoestel van QP(a) wordt nu de medisch (gevoelige) data getoond. Indien QP(a) enkel informatie wil consulteren, wordt de verdere werking beëindigd zodra het vooraf gedefinieerde tijdsvenster is verstreken (dit betekent dat de links worden afgebroken, maar de info blijft wel op het scherm staan). Indien QP(a) nieuwe informatie wil toevoegen, moet hij dë bovenstaande procedure doorlopen om de historiek op het scherm te krijgen, binnen het gedefinieerde tijdsvenster, de nieuwe toe te voegen informatie scannen of ingeven in de vorm van · Temp3-QR (een figuur of een string, afhankelijk van het gebruikte communicatie toestel). Indien nodig, kan de gebeurtenis Temp3-QR een beperkte geldigheidsduur bezitten, wat betekent dat, indien Temp3-QR voorbij de geldigheidsdatum wordt gebruikt, de “link” niet meer geldig is en verschillende verwittigingen kunnen geactiveerd worden. Indien een QP(z) een bedrieger blijkt te zijn, wordt zijn licentie in de QPDB ingetrokken door QPadmin, waarbij alle andere informatie intact en beschikbaar blijft voor andere licentiehoudende QP’s.
DATA ENKEL LEZEN : zodra iemand Con(z)-PU-QR-PKI scant, krijgt hij de Gdat(z) en zal Per(z) verwittigd worden indien dit zo werd opgesteld. Zodra QP(a) Con(z)-PU-QR-PKI scant, krijgt hij eveneens de Gdat(z).
GEBRUIK : deze werkwijze kan overal toegepast worden waar informatie moet bevestigd worden aan een specifiek voorwerp of informatiedrager. De combinatie van deze werkwijze met de werkwijze die gebruikt wordt in fraudebestrijding, geeft een nieuwe toepassing in het verwerken en beveiligen van informatie. Door gebruik te maken van deze toepassing, wordt gevoelige of externe data gelinkt aan dat voorwerp (het publieke deel van de QR-PKI) en niet opgeslagen in een gebeurtenis die aan het voorwerp is gekoppeld. Dit betekent dat de eigenaar van het voorwerp de gekoppelde informatie niet kan wijzigen, noch kan lezen, enkel gekwalificeerde personen die toegang hebben tot de externe, gelinkte databases. Dezelfde opstelling kan toepassing vinden met verschillende entiteiten (medisch, juridisch, rijbewijzen,...) allen gekoppeld aan hetzelfde voorwerp, maar elk met een verschillend toegangsniveau. De GDat informatie die is opgeslagen in de gebeurtenis van het voorwerp, daarvan kan de eigenaar verwittigd van elke toegang die iemand vraagt tot de informatie.
Betreffende het geïllustreerde bovenstaande voorbeeld, indien Per(x) een ongeval op de straat krijgt, kan elke voorbijganger de Con(x) scannen en hiermee onrechtstreeks bepaalde mensen verwittigen (inclusief een arts die deze patiënt behandelt als hartpatiënt), en indien nodig kan een bi-directionele communicatie opgezet worden tussen de arts (of 911/112 hulpdienst) en de ter plaatse zijnde getuige (de voorbijganger die Per(x) scande). Zodra de hulpdiensten op de locatie aankomen, krijgen ze onmiddellijk toegang tot alle (medische) informatie om deze patient met de juiste zorgen te behandelen. Daarnaast kunnen familieleden of andere bijzondere verwanten, automatisch verwittigd worden zoals gedefinieerd werd in de gebeurtenis.

Claims (19)

1. Een methode voor het authentificeren van een entiteit, bestaande uit volgende stappen: - gebruikers (A, B) worden elk voorzien van een set van authenticatie codes (3-5), elke set bestaande uit ten minste één geheim (3), een private-sleutel-QR-code (4) en een bijhorende publieke-sleutel-QR-code (5), waarbij de private- en publieke-sleutel-QR-codes gegenereerd worden vanuit respectievelijk een eerste string (1) bestaande uit een URL van een authenticatie-server-systeem (10) en een PKI private-sleutel en een tweede string (2) bestaande uit dezelfde URL en een bijhorende PKI publieke-sleutel; - het authenticatie-server-systeem (10) ontvangt een eerste string (1) als gevolg van het lezen van de respectievelijke, private-sleutel QR-code (4) door de eerste gebruiker via een mobiel toestel (101) dat is uitgerust met een lees systeem en een QR-code-lezer applicatie, en voert de onderstaande actie definitie procedure uit: a) de eerste gebruiker wordt gevraagd een geheim (3) in te geven, b) het ontvangen van het geheim, ingegeven door de eerste gebruiker, op het authenticatie-server-systeem (10) c) het controleren of het ontvangen geheim (3) en de ontvangen eerste string (1) tot dezelfde set van authenticatie codes (3-5) behoren en of het ontvangen geheim en de · ontvangen eerste string voldoen aan vooraf gedefinieerde randvoorwaarden, d) indien deze controle een positief resultaat oplevert, wordt aan de eerste gebruiker gevraagd om een opeenvolging van acties te definiëren die moeten uitgevoerd worden bij het ontvangen van de tweede string (2), welke behoort tot dezelfde set van authenticatie-codes, op het authenticatie-server-systeem (10).
2. Methode volgens conclusie 1, waarbij de vooraf gedefinieerde randvoorwaarden ten minste bestaan uit één van de volgende voorwaarden: een vooraf gedefinieerd tijdsvenster waarin de ontvangen eerste string en het ontvangen geheim moeten aankomen; dat de ontvangen eerste string en het ontvangen geheim vanuit hetzelfde mobiele toestel (101) ontvangen worden; dat de ontvangen eerste string en het ontvangen geheim verzonden zijn vanaf hetzelfde IP-adres; dat de ontvangen eerste string en het ontvangen geheim werden ingegeven vanuit dezelfde browser-sessie.
3. Methode volgens conclusie 1 of 2, waarbij de eerste of de tweede string, waaruit de private- en publieke-sleutel QR-codes zijn gegenereerd, verder opgebouwd is uit ten minste één parameter en/of identificatiecode.
4. Methode volgens een van voorgaande conclusies 1-3, waarbij elke set van authenticatie codes bestaat uit bijkomende door de gebruiker gedefinieerde geheimen, waarbij de gedefinieerde procedure van te volgen acties bestaat uit het toekennen van een vooraf bepaalde procedure aan elk van de door de gebruiker gedefinieerde bijkomende geheimen, en waarbij de methode bestaat uit: het ontvangen van bijkomende door de gebruiker gedefinieerde geheimen op het authenticatie-server-systeem (10) en waarbij de overeenstemmende en vooraf gedefinieerde procedure wordt uitgevoerd.
5. Methode volgens een van voorgaande conclusies 1-4, waarbij de stap d verder bestaat uit het aanmaken van een tijdelijke sleutel in.de vorm van een QR-code-sleutel voor de eerste gebruiker, met een vooraf bepaalde geldigheidstermijn, en het definiëren van een set van acties die moeten uitgevoerd worden bij het ontvangen van de tijdelijke sleutel op het authenticatie-server-systeem (10).
6. Methode volgens een van voorgaande conclusies 1-5, waarbij de stap d yerder bestaat uit het aan een entiteit toekennen van een set van authenticatie codes door de eerste gebruiker, waarbij deze set van authenticatie codes voor de entiteit, bestaat uit · een set van codes waarbij de publieke-sleutel-QR-code bestemd is om te bevestigen aan deze entiteit van de eerste gebruiker.
7. Methode volgens een van voorgaande conclusies 1-6, waarbij de definities van de acties in stap d verder bestaan uit: de eerste gebruiker verzoeken om een reeks van logische uitdrukkingen met randvoorwaarden te definiëren dewelke worden geëvalueerd bij het ontvangen van de tweede string (2) op het authenticatie-server-systeem (10), en het definiëren van een eerste set van acties die moeten uitgevoerd worden voor elk door de gebruiker gedefinieerd geheim indien de uitkomst van de logische uitdrukking met randvoorwaarden “waar” geeft, en een tweede set van acties die moeten uitgevoerd worden voor elk door de gebruiker gedefinieerd geheim indien de uitkomst van de logische uitdrukking met randvoorwaarden “onwaar” geeft.
8. Methode volgens conclusie 7, waarbij de volgende stap bestaat uit het ontvangen op het authenticatie-server-systeem (10) van de tweede string (2) als gevolg van het lezen van de respectievelijke publieke-sleutel-QR-code (5) door een tweede gebruiker met een mobiel toestel (102), uitgerust met een lees-systeem en een QR-code-lezer applicatie, waarbij de volgende activatie procedure wordt uitgevoerd: a') het ophalen van de reeks van logische uitdrukkingen en handelingen welke werden gedefinieerd voor de ontvangen tweede string (2), en b’) het evalueren van de reeks van logische uitdrukkingen waarbij de eerste of de tweede reeks van acties dienen uitgevoerd te worden afhankelijk van een respectievelijke “waar” of “onwaar” uitkomst.
9. Methode volgens conclusie 7, waarbij de volgende stap bestaat uit het ontvangen op het authenticatie-server-systeem (10) van de tweede string (2) als gevolg van het lezen van de respectievelijke publieke-sleutel-QR-code (5) door een tweede gebruiker met een mobiel toestel (102), uitgerust met een lees-systeem en een QR-code-lezer applicatie, waarbij de volgende authenticatie- en activatie procedure wordt uitgevoerd: a') de tweede gebruiker verzoeken om de private-sleutel-QR-code te lezen en een geheim in te geven, behorende aan de set toegekende authenticatie codes (3-5); b’) het ontvangen van de respectievelijke eerste string (1), als gevolg van het lezen van de gevraagde private-sleutel-QR-code door de tweede gebruiker, en het geheipi (3), door de tweede gebruiker ingegeven, op het authenticatie-server-systeem; c’) controle of het ontvangen geheim (3) en de ontvangen eerste string (1) behoren · tot dezelfde set van authenticatie codes (3-5) van de eerder ontvangen tweede string (2) , en of het ontvangen geheim en de ontvangen eerste string, voldoen aan de opgelegde voorwaarden; d’) afhankelijk van het resultaat wordt de reeks van logische uitdrukkingen en acties die gedefinieerd werden voor het ontvangen geheim, uitgevoerd ; e’) evaluatie van de reeks van logische uitdrukkingen waarbij voor elke uitdrukking, de eerste of de tweede reeks van acties dienen uitgevoerd te worden afhankelijk van de uitkomst.
10. Systeem voor het authentificeren van een entiteit, bestaande uit een authenticatie-server-systeem (10) voorzien van : - een eerste algoritme omvattende software delen om gebruikers (A, B) elk te voorzien van een set van authenticatie codes (3-5), elke set bestaande uit ten minste één geheim (3) , een private-sleutel-QR-code (4) en een bijhorende publieke-sleutel-QR-code (5), waarbij de private- en publieke-sleutel-QR-codes gegenereerd worden uit respectievelijk een eerste string (1 ) bestaande uit een URL van een authenticatie-server-systeem (10) en een PKI private-sleutel en een tweede string (2) bestaande uit dezelfde URL en een bijhorende PKI publieke-sleutel; - een tweede algoritme omvattende software delen om een eerste1^ii^^4)lTe“’-1 ontvangen als gevolg van het lezen van de respectievelijke private-sleutel QR-code (4) door de eerste gebruiker via een mobiel toestel (101) dat is uitgerust met een lees systeem en een QR-code-lezer applicatie, en de onderstaande actie definitie procedure uit te voeren: a) de eerste gebruiker wordt gevraagd een geheim (3) in te geven, b) het ontvangen van het geheim, ingegeven door de eerste gebruiker, op de authenticatie-server-systeem (10) c) het controleren of het ontvangen geheim (3) en de ontvangen eerste string (1) tot dezelfde set van authenticatie codes (3-5) behoren en of het ontvangen geheim en de ontvangen eerste string voldoen aan de vooraf gedefinieerde randvoorwaarden, d) indien dezp controle een positief resultaat oplevert, wordt aan de eerste gebruiker gevraagd om een opeenvolging van acties te definiëren die moeten uitgevoerd worden bij het ontvangen van de tweede string (2), welke behoort tot dezelfde set van authenticatie-codes, op het authenticatie-server-systeem (10).
11. Systeem volgens conclusie 10, waarbij de vooraf gedefinieerde randvoorwaarden ten minste bestaat uit één van de volgende voorwaarden: een vooraf gedefinieerd tijdsvenster waarin de ontvangen eerste string en het ontvangen geheim moeten toekomen; dat de ontvangen eerste string en het ontvangen geheim vanuit hetzelfde mobiele toestel (101) ontvangen worden; dat de ontvangen eerste string en het ontvangen geheim verzonden zijn vanaf hetzelfde IP-adres; dat de ontvangen eerste string en het ontvangen geheim werden ingegeven vanuit dezelfde browser-sessie.
12. Systeem volgens conclusie 10 of 11, waarbij de eerste of de tweede string, waaruit de private- en publieke-sleutel QR-codes zijn gegenereerd, verder opgebouwd is uit ten minste één parameter en/of identificatiecode.
13. Systeem volgens een van voorgaande conclusies 10-12, waarbij elke set van authenticatie codes bestaat uit bijkomende door de gebruiker gedefinieerde geheimen, waarbij de gedefinieerde procedure van te volgen acties bestaat uit het toekennen van een vooraf bepaalde procedure aan elk van de door de gebruiker gedefinieerde bijkomende geheimen, en waarbij het authenticatie-server-systeem (10) is voorzien van een derde algoritme omvattende software delen voor het ontvangen van bijkomende door de gebruiker gedefinieerde geheimen en voor het uitvoeren van de overeenstemmende en vooraf gedefinieerde procedure.
14. Systeem volgens een van voorgaande conclusies 10-13, waarbij de stap d verder bestaat uit het aanmaken van een tijdelijke sleutel in de vorm van een QR-code-sleutel voor de eerste gebruiker, met een vooraf bepaalde geldigheidstermijn, en het definiëren van een set van acties die moeten uitgevoerd worden bij het ontvangen van de tijdelijke sleutel op het authenticatie-server-systeem (10).
15. Systeem volgens een van voorgaande conclusies 10-14, waarbij de stap d verder bestaat uit het aan een entiteit toekennen van een set van authenticatie codes door de eerste gebruiker, waarbij deze set van authenticatie codes voor de entiteit, bestaat uit een set van codes waarbij de publieke-sleutel-QR-code bestemd is om te bevestigen aan deze entiteit van de eerste gebruiker.
16. Systeem volgens een van voorgaande conclusies 10-15, waarbij de definitie van de acties in stap d verder bestaat uit: de eerste gebruiker verzoeken om een reeks van logische uitdrukkingen met randvoorwaarden te definiëren dewelke worden geëvalueerd bij het ontvangen van de tweede string (2) op het authenticatie-server-systeem (10), en het definiëren van een eerste set van acties die moeten uitgevoerd worden voor elk door de gebruiker gedefinieerd geheim indien de uitkomst van de logische uitdrukking met randvoorwaarden “waar" geeft, en een tweede set van acties die moeten uitgevoerd worden voor elk door de gebruiker gedefinieerd geheim indien de uitkomst van de logische uitdrukking met randvoorwaarden “onwaar” geeft.
17. Systeem volgens conclusie 16, waarbij het authenticatie-server-systeem voorzien wordt van een vierde algoritme omvattende software delen voor het ontvangen van de tweede string (2) als gevolg van het lezen van de respectievelijke publieke-sleutel-QR-code (5) door een tweede gebruiker met een mobiel toestel (102), uitgerust met een lees-systeem en een QR-code-lezer applicatie,, waarbij de volgende activatie procedure wordt uitgevoerd: a') het ophalen van de reeks van logische uitdrukkingen en handelingen welke werden gedefinieerd voor de ontvangen tweede string (2), en b’) het evalueren van de reeks van logische uitdrukkingen waarbij de eerste of de tweede reeks van acties dienen uitgevoerd te worden afhankelijk van een respectievelijke '‘waar” of “onwaar” uitkomst.
18. Systeem volgens elk een van de conclusies 10-17, waarbij het authenticatie-server-systeem (10) voorzien wordt van een vijfde algoritme omvattende software delen voor het ontvangen van de tweede string (2) als gevolg van het lezen van de respectievelijke publieke-sleutel-QR-code (5) door een tweede gebruiker met een mobiel toestel (102), uitgerust met een lees-systeem en een QR-code-lezer applicatie, waarbij de volgende authenticatie- en activatie procedure wordt uitgevoerd: a’) de tweede gebruiker verzoeken om de private-sleutel-QR-code te lezen en een geheim in te geven, behorende aan de set toegekende authenticatie codes (3-5); b’) het ontvangen van de respectievelijke eerste string (1), als gevolg van het lezen van de gevraagde private-sleutel-QR-code door de tweede gebruiker, en het geheim (3), door de tweede gebruiker ingegeven, op het authenticatie-server-systeem; c’) controle of het ontvangen geheim (3) en de ontvangen eerste string (1) behoren tot dezelfde set van authenticatie codes (3-5) van de eerder ontvangen tweede string (2), en of het ontvangen geheim en de ontvangen eerste string, voldoen aan de opgelegde voorwaarden; d’) afhankelijk van het resultaat wordt de reeks van logische uitdrukkingen en acties die gedefinieerd werden voor het ontvangen geheim, uitgevoerd ; e’) evaluatie van de reeks van logische uitdrukkingen waarbij voor elke uitdrukking, de eerste of de tweede reeks van acties dienen uitgevoerd te worden afhankelijk van de uitkomst.
19. Gebruik van een methode volgens een van de conclusies 1-9 of van een systeem volgens elk een van de conclusies 10-18 voor de authenticatie van of het beveiligen van ten minste een van de volgende groep van entiteiten: een object, een gebouw, een elektronische betaling, een certificaat van echtheid geassocieerd met een product, een container, een gecodeerde en/of elektronisch ondertekende correspondentie, gevoelige gegevens waarvan de toegang moet worden beperkt tot een beperkt aantal personen, een persoon, een agent of vertegenwoordiger van een bedrijf die een bezoek brengt aan een pand, een douane-expediteur, een politieagent, een persoon met een mandaat waarbij dat mandaat moet worden geverifieerd door een tweede persoon.
BE2012/0231A 2011-04-04 2012-04-04 Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten. BE1019683A3 (nl)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP11161033A EP2509275A1 (en) 2011-04-04 2011-04-04 Method and system for authenticating entities by means of mobile terminals
EP11161033 2011-04-04

Publications (1)

Publication Number Publication Date
BE1019683A3 true BE1019683A3 (nl) 2012-09-04

Family

ID=44898246

Family Applications (1)

Application Number Title Priority Date Filing Date
BE2012/0231A BE1019683A3 (nl) 2011-04-04 2012-04-04 Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten.

Country Status (13)

Country Link
US (1) US9167428B2 (nl)
EP (2) EP2509275A1 (nl)
JP (1) JP2014515142A (nl)
CN (1) CN103493460A (nl)
AU (1) AU2012239057B2 (nl)
BE (1) BE1019683A3 (nl)
BR (1) BR112013025752A2 (nl)
CA (1) CA2832171A1 (nl)
IL (1) IL228602A0 (nl)
RU (1) RU2013147885A (nl)
SG (1) SG193987A1 (nl)
WO (1) WO2012136366A1 (nl)
ZA (1) ZA201308105B (nl)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014053172A1 (en) * 2012-10-03 2014-04-10 Buntinx Bvba Method and system for securely authenticating entities

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8874935B2 (en) 2011-08-30 2014-10-28 Microsoft Corporation Sector map-based rapid data encryption policy compliance
US11132657B2 (en) * 2012-08-27 2021-09-28 Ncr Corporation Transaction flow
US9412283B2 (en) * 2012-12-31 2016-08-09 Piyush Bhatnagar System, design and process for easy to use credentials management for online accounts using out-of-band authentication
CN103973652A (zh) * 2013-02-01 2014-08-06 深圳市天时通科技有限公司 登录方法和登录系统
US9461898B2 (en) * 2013-02-27 2016-10-04 Google Inc. Determining duration of idleness or abandonment of resources and property
WO2014138187A1 (en) 2013-03-05 2014-09-12 Christmas Coy System and method for cubic graphical user interfaces
US20140282923A1 (en) * 2013-03-14 2014-09-18 Motorola Mobility Llc Device security utilizing continually changing qr codes
US20140344570A1 (en) 2013-05-20 2014-11-20 Microsoft Corporation Data Protection For Organizations On Computing Devices
MX2016000616A (es) 2013-07-18 2017-05-17 Fasetto L L C Sistema y metodo para videos desde multiples angulos.
US11605070B2 (en) 2013-07-29 2023-03-14 The Toronto-Dominion Bank Cloud-based electronic payment processing
FR3009409A1 (fr) * 2013-08-02 2015-02-06 Mobilead Procede de codage d'un acces a une ressource informatique
US8985437B2 (en) 2013-08-07 2015-03-24 International Business Machines Corporation Creation and management of dynamic quick response (QR) codes
DE102013015382A1 (de) * 2013-09-17 2015-03-19 Giesecke & Devrient Gmbh Verfahren zum Anzeigen einer Information
US10095873B2 (en) * 2013-09-30 2018-10-09 Fasetto, Inc. Paperless application
US20150106150A1 (en) * 2013-10-15 2015-04-16 Kastle Systems International Llc System and method for managing event participant authorizations
US9584402B2 (en) 2014-01-27 2017-02-28 Fasetto, Llc Systems and methods for peer to peer communication
JP6373025B2 (ja) * 2014-03-20 2018-08-15 シャープ株式会社 情報処理装置、情報処理システム、情報処理方法、及びコンピュータプログラム
US10615967B2 (en) 2014-03-20 2020-04-07 Microsoft Technology Licensing, Llc Rapid data protection for storage devices
US9619706B2 (en) 2014-03-28 2017-04-11 Enceladus Ip Holdings Llc Security scheme for authenticating object origins
CN104050567B (zh) * 2014-05-30 2017-11-28 深圳天珑无线科技有限公司 离线模式下的数据交互方法、终端以及服务器
US20150358164A1 (en) * 2014-06-10 2015-12-10 Unisys Corporation Systems and methods for qr code validation
KR102537484B1 (ko) 2014-07-10 2023-05-30 파세토, 인크. 메시지 편집을 위한 시스템들 및 방법들
US9825945B2 (en) 2014-09-09 2017-11-21 Microsoft Technology Licensing, Llc Preserving data protection with policy
US9853812B2 (en) 2014-09-17 2017-12-26 Microsoft Technology Licensing, Llc Secure key management for roaming protected content
JP6695868B2 (ja) 2014-10-06 2020-05-20 ファセット・インコーポレーテッド ポータブル・ストレージ・デバイスのためのシステムおよび方法
US10437288B2 (en) 2014-10-06 2019-10-08 Fasetto, Inc. Portable storage device with modular power and housing system
US9900295B2 (en) 2014-11-05 2018-02-20 Microsoft Technology Licensing, Llc Roaming content wipe actions across devices
FR3030814A1 (fr) * 2014-12-19 2016-06-24 Jinnov'or Systeme de tracabilite d'un objet entre un emetteur et un destinataire comprenant des moyens numeriques pour accuser reception
US10230526B2 (en) * 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
WO2016129863A1 (en) 2015-02-12 2016-08-18 Samsung Electronics Co., Ltd. Payment processing method and electronic device supporting the same
KR102460459B1 (ko) 2015-02-27 2022-10-28 삼성전자주식회사 전자 장치를 이용한 카드 서비스 방법 및 장치
US11107047B2 (en) 2015-02-27 2021-08-31 Samsung Electronics Co., Ltd. Electronic device providing electronic payment function and operating method thereof
US10193700B2 (en) 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
EP3269124B1 (en) 2015-03-11 2020-05-06 Fasetto, Inc. Method and device for web api communications
US9853820B2 (en) 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
US10846696B2 (en) 2015-08-24 2020-11-24 Samsung Electronics Co., Ltd. Apparatus and method for trusted execution environment based secure payment transactions
US10699274B2 (en) 2015-08-24 2020-06-30 Samsung Electronics Co., Ltd. Apparatus and method for secure electronic payment
US9900325B2 (en) 2015-10-09 2018-02-20 Microsoft Technology Licensing, Llc Passive encryption of organization data
US10230706B2 (en) * 2015-10-28 2019-03-12 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Using personal RF signature for enhanced authentication metric
US10929071B2 (en) 2015-12-03 2021-02-23 Fasetto, Inc. Systems and methods for memory card emulation
CN108243402B (zh) * 2015-12-09 2021-06-01 Oppo广东移动通信有限公司 一种读写智能卡的方法及装置
CN106997532B (zh) * 2016-01-22 2021-12-14 阿里巴巴集团控股有限公司 电子凭证的核销方法、系统及服务器
US10666642B2 (en) * 2016-02-26 2020-05-26 Ca, Inc. System and method for service assisted mobile pairing of password-less computer login
WO2017176437A1 (en) * 2016-04-05 2017-10-12 Carrier Corporation Credential licensing service
EP4221085A1 (en) 2016-11-23 2023-08-02 Fasetto, Inc. Systems and methods for streaming media
CA3054681A1 (en) 2017-02-03 2018-08-09 Fasetto, Inc. Systems and methods for data storage in keyed devices
CN108737584A (zh) * 2017-04-19 2018-11-02 中国移动通信集团山西有限公司 容器服务的访问方法、网络地址的解析方法、装置和系统
US10027697B1 (en) * 2017-04-28 2018-07-17 The Florida International University Board Of Trustees Detection of counterfeit and compromised devices using system and function call tracing techniques
CN107508789B (zh) * 2017-06-29 2020-04-07 北京北信源软件股份有限公司 一种异常数据的识别方法和装置
US10763630B2 (en) 2017-10-19 2020-09-01 Fasetto, Inc. Portable electronic device connection systems
AU2018374384A1 (en) 2017-12-01 2020-07-23 Fasetto, Inc. Systems and methods for improved data encryption
CN207884641U (zh) * 2017-12-11 2018-09-18 亚萨合莱有限公司 包括加密密钥对的物理凭证
US11238433B2 (en) * 2017-12-29 2022-02-01 Paypal, Inc. Secure matrix barcode based data transfers
US10628599B2 (en) * 2018-02-14 2020-04-21 Fmr Llc Generating and deploying customized software containers
US11475147B2 (en) 2018-02-20 2022-10-18 International Business Machines Corporation Implementing policy-based container-level encryption
US11095652B2 (en) * 2018-02-20 2021-08-17 International Business Machines Corporation Implementing a separation of duties for container security
JP2021522568A (ja) 2018-04-17 2021-08-30 ファセット・インコーポレーテッド リアル・タイム・フィードバックを伴うプレゼンテーションのためのデバイス
US20210119785A1 (en) * 2018-04-18 2021-04-22 2Key New Economics Ltd. Decentralized protocol for maintaining cryptographically proven multi-step referral networks
US20200082326A1 (en) * 2018-09-07 2020-03-12 Zebin Guo Smart reminder system for a storage container
SG10201810001YA (en) 2018-11-09 2020-06-29 Mastercard International Inc Payment methods and systems by scanning qr codes already present in a user device
CN111695896A (zh) * 2019-03-14 2020-09-22 库币科技有限公司 多重密钥授权的数字货币交易方法
US11568160B2 (en) * 2019-09-06 2023-01-31 Sensormatic Electronics, LLC Methods and systems for classifying tag status in a retail environment
US11251980B2 (en) * 2020-01-22 2022-02-15 Motorola Mobility Llc Electronic devices and corresponding methods for verifying device security prior to use
CH718131A1 (de) * 2020-12-04 2022-06-15 Vereign Ag Verfahren und System zur sicheren Weitergabe von Datensätzen mittels Bildzeichen.
EP4138435A1 (de) * 2021-08-18 2023-02-22 GIRA GIERSIEPEN GmbH & Co. KG Verfahren für die erteilung eines zugriffsrechts auf eine steuereinheit in einem gebäudesteuerungssystem

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1534936A (zh) * 2003-03-31 2004-10-06 华为技术有限公司 一种无线局域网中基于公钥证书机制的密钥分发方法
JP2008048135A (ja) * 2006-08-15 2008-02-28 Ntt Software Corp 二次元コード利用システム
JP4791929B2 (ja) * 2006-09-29 2011-10-12 株式会社日立製作所 情報配信システム、情報配信方法、コンテンツ配信管理装置、コンテンツ配信管理方法およびプログラム
US20080244714A1 (en) * 2007-03-27 2008-10-02 Michael Kulakowski Secure RFID authentication system using non-trusted communications agents
CN101707524B (zh) * 2009-01-09 2012-01-18 北京大学 一种具有层次关系的公钥广播加密方法
CN101741843B (zh) * 2009-12-10 2012-12-12 北京握奇数据系统有限公司 利用公钥基础设施实现用户身份验证的方法、设备及系统
US8751794B2 (en) * 2011-12-28 2014-06-10 Pitney Bowes Inc. System and method for secure nework login

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014053172A1 (en) * 2012-10-03 2014-04-10 Buntinx Bvba Method and system for securely authenticating entities

Also Published As

Publication number Publication date
IL228602A0 (en) 2013-12-31
BR112013025752A2 (pt) 2018-05-02
WO2012136366A1 (en) 2012-10-11
EP2695354B1 (en) 2020-07-22
CA2832171A1 (en) 2012-10-11
US20140026204A1 (en) 2014-01-23
SG193987A1 (en) 2013-11-29
AU2012239057A1 (en) 2013-11-14
RU2013147885A (ru) 2015-05-10
EP2695354A1 (en) 2014-02-12
JP2014515142A (ja) 2014-06-26
EP2509275A1 (en) 2012-10-10
US9167428B2 (en) 2015-10-20
ZA201308105B (en) 2014-06-25
CN103493460A (zh) 2014-01-01
AU2012239057B2 (en) 2016-06-09

Similar Documents

Publication Publication Date Title
BE1019683A3 (nl) Methode en systeem om entiteiten te authentificeren met behulp van mobiele apparaten.
US10887098B2 (en) System for digital identity authentication and methods of use
US11044087B2 (en) System for digital identity authentication and methods of use
US10878429B2 (en) Systems and methods for using codes and images within a blockchain
CN109417549B (zh) 使用集中式或分布式分类账来提供信息证明的方法和设备
KR20060123134A (ko) 프라이버시 향상 기술을 사용하여 통신을 설정하는 방법 및시스템
US20140372752A1 (en) Method and database system for secure storage and communication of information
CN103109494A (zh) 用于授权需要服务提供商交易的用户方法
JP2009532792A (ja) 製品認証システム
KR20220113307A (ko) 블록체인과 정품인증 태그 기술을 사용한 제품 진위성 검증 및 소유권 변경이력관리 시스템
US11503026B2 (en) Email address with identity string and methods of use
Dash et al. Artificial intelligence models for blockchain-based intelligent networks systems: Concepts, methodologies, tools, and applications
Teeluck et al. Blockchain technology and emerging communications applications
US20230259899A1 (en) Method, participant unit, transaction register and payment system for managing transaction data sets
KR100449751B1 (ko) 상수도 운영 및 관리 시스템
WO2014053172A1 (en) Method and system for securely authenticating entities
Halpin A Critique of EU Digital COVID-19 Certificates: Do Vaccine Passports Endanger Privacy?
GB2499269A (en) Biometric information generation of a secure keychain
US20230267426A1 (en) Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets
Do et al. Mobile Identity as a tool to develop society
CN117785996A (zh) 基于区块链的业务数据处理方法、装置、设备以及介质
Trcek E-business systems security for intelligent enterprise
Roduner Citizen Controlled Data Protection in a Smart World
Huy et al. Mobile identity as social economic enabler
Trèek E-Business Systems Security for Intelligent Enterprises