CH717898A1 - Server for processing financial transactions. - Google Patents
Server for processing financial transactions. Download PDFInfo
- Publication number
- CH717898A1 CH717898A1 CH01213/20A CH12132020A CH717898A1 CH 717898 A1 CH717898 A1 CH 717898A1 CH 01213/20 A CH01213/20 A CH 01213/20A CH 12132020 A CH12132020 A CH 12132020A CH 717898 A1 CH717898 A1 CH 717898A1
- Authority
- CH
- Switzerland
- Prior art keywords
- identity
- transaction
- distributed ledger
- requesting
- server
- Prior art date
Links
- 238000012545 processing Methods 0.000 title claims abstract description 22
- 238000013475 authorization Methods 0.000 claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 19
- 230000001360 synchronised effect Effects 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 24
- 238000012546 transfer Methods 0.000 claims description 10
- 230000001419 dependent effect Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/06—Asset management; Financial planning or analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3224—Transactions dependent on location of M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4015—Transaction verification using location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
Ein Server (101) zur Abwicklung von Transaktionen ist zur Verbindung mit einem Computernetzwerk ausgebildet, das einen Distributed Ledger (150) speichert, welcher eine Mehrzahl von Datenblöcken umfasst, die zwischen mehreren Rechnern des Computernetzwerks repliziert, geteilt und synchronisiert sind. Der Server (101) umfasst ein Verknüpfungsmodul (102), das eingerichtet ist zum Empfangen eines öffentlichen Schlüssels einer Zertifizierungsstelle (200) und zum Generieren und Speichern von Fingerprintdaten, die den öffentlichen Schlüssel repräsentieren, in einem der Datenblöcke des Distributed Ledger (150). Der Server (101) umfasst weiter ein Berechtigungsmodul (103), das eingerichtet ist zum Speichern von Zugriffsberechtigungen, die mit von der Zertifizierungsstelle (200) ausgegebenen Identitätszertifikaten verknüpft sind, in einem der Datenblöcke des Distributed Ledger (150). Er umfasst weiter ein Eingangsmodul (104), das eingerichtet ist zum Empfangen einer Transaktionsanforderung von einer anfordernden Stelle (10), wobei die Anforderung mit dem privaten Schlüssel der anfordernden Stelle (10) signiert ist, der mit einem öffentlichen Schlüssel eines von der Zertifizierungsstelle (200) ausgegebenen Identitätszertifikats der anfordernden Stelle (10) verknüpft ist. Der Server (10) umfasst weiter ein Überprüfungsmodul (105), das eingerichtet ist zum Überprüfen einer Identität der anfordernden Stelle (10), gestützt auf die Anforderung der anfordernden Stelle (10), den gespeicherten Fingerprintdaten und den gespeicherten Zugriffsberechtigungen, und ein Aufzeichnungsmodul (106), das eingerichtet ist zum Aufzeichnen einer Transaktion, die der Transaktionsanforderung entspricht, in einem Datenblock des Distributed Ledger (150), sofern die Identität erfolgreich durch das Überprüfungsmodul (105) verifiziert wurde.A transaction processing server (101) is adapted for connection to a computer network storing a distributed ledger (150) comprising a plurality of data blocks which are replicated, shared and synchronized between multiple computers of the computer network. The server (101) includes a linking module (102) that is set up to receive a public key from a certification authority (200) and to generate and store fingerprint data representing the public key in one of the data blocks of the distributed ledger (150). The server (101) further comprises an authorization module (103) which is set up to store access authorizations linked to identity certificates issued by the certification authority (200) in one of the data blocks of the distributed ledger (150). It further comprises an input module (104) which is set up to receive a transaction request from a requesting body (10), the request being signed with the private key of the requesting body (10), which is signed with a public key from one of the certification bodies ( 200) issued identity certificate of the requesting body (10) is linked. The server (10) further comprises a verification module (105) that is set up to verify an identity of the requesting body (10), based on the request of the requesting body (10), the stored fingerprint data and the stored access authorizations, and a recording module ( 106) that is set up to record a transaction that corresponds to the transaction request in a data block of the distributed ledger (150), provided that the identity has been successfully verified by the verification module (105).
Description
Technisches Gebiettechnical field
[0001] Die Erfindung betrifft einen Server zur Abwicklung von Transaktionen, wobei der Server zur Verbindung mit einem Computernetzwerk ausgebildet ist, das einen Distributed Ledger speichert, welcher eine Mehrzahl von Datenblöcken umfasst, die zwischen mehreren Rechnern des Computernetzwerks repliziert, geteilt und synchronisiert sind. Die Erfindung betrifft weiter ein entsprechendes computergestütztes System und ein Verfahren zur Abwicklung von Transaktionen. The invention relates to a server for processing transactions, the server being designed for connection to a computer network which stores a distributed ledger which comprises a plurality of data blocks which are replicated, shared and synchronized between a number of computers in the computer network. The invention further relates to a corresponding computer-aided system and a method for processing transactions.
Stand der TechnikState of the art
[0002] Herkömmlich wurden Transaktionen mit Wertpapieren, z. B. solche in Bezug auf Wechsel, gestützt auf physische Dokumente, abgewickelt. Dies ist aber gerade im internationalen Verkehr oder bei kurzfristigen Geschäften sehr umständlich. Es besteht entsprechend ein Bedürfnis, solche Transaktionen rein elektronisch durchzuführen. Dabei sind strenge finanzrechtliche Vorschriften zu beachten - zudem kommt es bei solchen Transaktionen oft entscheidend darauf an, dass sich die beteiligten Parteien einander gegenüber verlässlich identifizieren. Traditionally, securities transactions such. B. those related to bills of exchange based on physical documents settled. However, this is very cumbersome, especially in international traffic or in short-term transactions. Accordingly, there is a need to carry out such transactions purely electronically. In doing so, strict financial regulations must be observed - in addition, in such transactions it is often crucial that the parties involved reliably identify themselves to each other.
[0003] Es sind zahlreiche Verfahren zur elektronischen Abwicklung von Finanztransaktionen bekannt. Sie lassen sich üblicherweise in zwei Gruppen unterteilen: Verfahren der ersten Gruppe bedienen sich eines Dienstleisters (Trusted Third Party), der von allen beteiligten Parteien als vertrauenswürdig eingestuft wird und die Transaktion im Auftrag der Parteien abwickelt. Verfahren der zweiten Gruppe basieren auf der so genannten Distributed-Ledger-Technologie (DLT), bei der die Daten in einem Computernetzwerk abgelegt sind, und zwar in einer Mehrzahl von Datenblöcken, die zwischen mehreren Rechnern des Computernetzwerks repliziert, geteilt und synchronisiert sind. Die Datenblöcke sind untereinander so verknüpft, dass neue Transaktionen innerhalb des Netzwerks stets nachgeführt werden und bei divergierenden Dateninhalten Konsens geschaffen wird, welche Daten als korrekt anzusehen sind. Sicherheit wird zudem durch den Einsatz von kryptografischen Verfahren und elektronischen Signaturen geschaffen. Ein Beispiel einer DLT bildet die Blockchain-Technologie. [0003] Numerous methods for the electronic processing of financial transactions are known. They can usually be divided into two groups: Procedures in the first group use a service provider (trusted third party) who is classified as trustworthy by all parties involved and who handles the transaction on behalf of the parties. Methods from the second group are based on what is known as distributed ledger technology (DLT), in which the data is stored in a computer network, specifically in a plurality of data blocks which are replicated, shared and synchronized between a number of computers in the computer network. The data blocks are linked to each other in such a way that new transactions within the network are always tracked and, in the case of divergent data content, a consensus is reached as to which data is to be regarded as correct. Security is also created through the use of cryptographic processes and electronic signatures. Blockchain technology is an example of DLT.
[0004] DLT-Anwendungen haben in der Regel u. a. zum Ziel, dass sich der Einsatz einer TTP erübrigt. Zur Abwicklung anonymer Transaktionen sind DLT-Anwendungen denn auch sehr gut geeignet. Anforderungen zur Identifizierung kann in deren Rahmen aber oft nicht auf einfache Weise Genüge getan werden. DLT applications typically have i.a. with the aim of making the use of a TTP unnecessary. DLT applications are also very well suited for processing anonymous transactions. However, it is often not easy to meet identification requirements within this framework.
Darstellung der ErfindungPresentation of the invention
[0005] Aufgabe der Erfindung ist es, einen dem eingangs genannten technischen Gebiet zugehörenden Server zu schaffen, der eine effiziente Abwicklung von Transaktionen bei sicherer Identifikation der Transaktionspartner ermöglicht. The object of the invention is to create a server belonging to the technical field mentioned at the outset, which enables transactions to be processed efficiently with reliable identification of the transaction partners.
[0006] Die Lösung der Aufgabe ist durch die Merkmale des Anspruchs 1 definiert. Gemäss der Erfindung umfasst der Server zur Abwicklung von Transaktionen folgendes: a) ein Verknüpfungsmodul, das eingerichtet ist zum Empfangen eines öffentlichen Schlüssels einer Zertifizierungsstelle und zum Generieren und Speichern von Fingerprintdaten, die den öffentlichen Schlüssel repräsentieren, in einem der Datenblöcke des Distributed Ledger; b) ein Berechtigungsmodul, das eingerichtet ist zum Speichern von Zugriffsberechtigungen, die mit von der Zertifizierungsstelle ausgegebenen Identitätszertifikaten verknüpft sind, in einem der Datenblöcke des Distributed Ledger; c) ein Eingangsmodul, das eingerichtet ist zum Empfangen einer Transaktionsanforderung von einer anfordernden Stelle, wobei die Anforderung mit dem privaten Schlüssel der anfordernden Stelle signiert ist, der mit einem öffentlichen Schlüssel eines von der Zertifizierungsstelle ausgegebenen Identitätszertifikats der anfordernden Stelle verknüpft ist; d) ein Überprüfungsmodul, das eingerichtet ist zum Überprüfen einer Identität der anfordernden Stelle, gestützt auf die Anforderung der anfordernden Stelle, den gespeicherten Fingerprintdaten und den gespeicherten Zugriffsberechtigungen; e) ein Aufzeichnungsmodul, das eingerichtet ist zum Aufzeichnen einer Transaktion, die der Transaktionsanforderung entspricht, in einem Datenblock des Distributed Ledger, sofern die Identität erfolgreich durch das Überprüfungsmodul verifiziert wurde.The solution to the problem is defined by the features of claim 1. According to the invention, the server for processing transactions comprises the following: a) a linking module that is set up to receive a public key from a certification authority and to generate and store fingerprint data that represent the public key in one of the data blocks of the distributed ledger; b) an authorization module configured to store access authorizations associated with identity certificates issued by the certification authority in one of the data blocks of the distributed ledger; c) an ingress module configured to receive a transaction request from a requesting authority, the request being signed with the requesting authority's private key linked to a public key of an identity certificate of the requesting authority issued by the certification authority; d) a verification module configured to verify an identity of the requesting entity based on the requesting entity's request, the stored fingerprint data and the stored access authorizations; e) a recording module that is set up to record a transaction that corresponds to the transaction request in a data block of the distributed ledger, provided that the identity has been successfully verified by the verification module.
[0007] Ein erfindungsgemässes computergestütztes System für die Abwicklung von Transaktionen umfasst entsprechend: a) eine Zertifizierungsstelle zur Ausgabe von Identitätszertifikaten, wobei die Identitätszertifikate einen öffentlichen Schlüssel und eine Identität umfassen und von der Zertifizierungsstelle signiert sind; b) ein Computernetzwerk, das einen Distributed Ledger speichert, welcher eine Mehrzahl von Datenblöcken umfasst, die zwischen mehreren Rechnern des Computernetzwerks repliziert, geteilt und synchronisiert sind; c) einen erfindungsgemässen Server zur Abwicklung von Transaktionen wie vorstehend beschrieben.A computer-assisted system according to the invention for processing transactions accordingly comprises: a) a certification authority for issuing identity certificates, the identity certificates comprising a public key and an identity and being signed by the certification authority; b) a computer network storing a distributed ledger comprising a plurality of data blocks replicated, shared and synchronized between multiple computers of the computer network; c) a server according to the invention for processing transactions as described above.
[0008] Ein erfindungsgemässes Verfahren zur Abwicklung von Transaktionen, umfasst zudem entsprechend die folgenden Schritte: a) Speichern von Fingerprintdaten, die den öffentlichen Schlüssel einer Zertifizierungsstelle repräsentieren, in einem einer Mehrzahl von Datenblöcken eines Distributed Ledger, wobei die Mehrzahl von Datenblöcken zwischen mehreren Rechnern eines Computernetzwerks repliziert, geteilt und synchronisiert sind; b) Speichern von Zugriffsberechtigungen, die mit von der Zertifizierungsstelle ausgegebenen Identitätszertifikaten verknüpft sind, in einem der Mehrzahl von Datenblöcken des Distributed Ledger; c) Empfangen einer Transaktionsanforderung einer anfordernden Stelle, wobei die Anforderung mit dem privaten Schlüssel der anfordernden Stelle signiert ist, der mit einem öffentlichen Schlüssel eines von der Zertifizierungsstelle ausgegebenen Identitätszertifikats der anfordernden Stelle verknüpft ist; d) Überprüfung einer Identität der anfordernden Stelle, gestützt auf die Anfrage der anfordernden Stelle, den gespeicherten Fingerprintdaten und den gespeicherten Zugriffsberechtigungen; e) Aufzeichnen einer Transaktion, die der Transaktionsanforderung entspricht, in einem Datenblock des Distributed Ledger, sofern die Identität erfolgreich durch das Überprüfungsmodul verifiziert wurde.An inventive method for processing transactions also includes the following steps: a) storage of fingerprint data representing the public key of a certification authority in one of a plurality of data blocks of a distributed ledger, the plurality of data blocks between multiple computers replicated, shared and synchronized over a computer network; b) storing access credentials associated with identity certificates issued by the certification authority in one of the plurality of data blocks of the distributed ledger; c) receiving a transaction request from a requester, the request being signed with the requester's private key linked to a public key of a requester's identity certificate issued by the certification authority; d) verification of an identity of the requesting body, based on the request of the requesting body, the stored fingerprint data and the stored access authorizations; e) Recording a transaction corresponding to the transaction request in a data block of the distributed ledger, provided that the identity has been successfully verified by the verification module.
[0009] „Server“ ist im Rahmen der vorliegenden Anmeldung breit zu verstehen. Es handelt sich um Rechnermittel, die Daten empfangen, verarbeiten und ausgeben können. Ein Server im Sinn der vorliegenden Anmeldung kann durch einen einzelnen Rechner oder mehrere Rechner gebildet und ganz oder teilweise virtualisiert sein. In the context of the present application, “server” is to be understood broadly. These are computing resources that can receive, process and output data. A server within the meaning of the present application can be formed by a single computer or multiple computers and can be fully or partially virtualized.
[0010] Beim Distributed Ledger handelt es sich insbesondere um eine private Blockchain. Die Zertifizierungsstelle ist ein vertrauenswürdiger Dritter (Trusted Third Party, TTP). [0010] The distributed ledger is in particular a private blockchain. The certificate authority is a trusted third party (TTP).
[0011] Bei den Fingerprintdaten kann es sich um den öffentlichen Schlüssel selbst handeln oder um ein Verarbeitungsergebnis (digest), das aus dem öffentlichen Schlüssel bzw. dem Zertifikat gewonnen wird. Entsprechend können die Fingerprintdaten nebst dem öffentlichen Schlüssel weitere Informationen umfassen bzw. aus weiteren Informationen gewonnen werden. The fingerprint data can be the public key itself or a processing result (digest) that is obtained from the public key or the certificate. Accordingly, in addition to the public key, the fingerprint data can include further information or can be obtained from further information.
[0012] Die Identitätszertifikate werden insbesondere gestützt auf den Standard X.509 erzeugt. Die Verknüpfung der Zugriffsberechtigungen mit den Identitätszertifikaten erfolgt insbesondere anhand einer eindeutigen Kennung (serial number) der jeweiligen Zertifikate. Die Verknüpfung der Transaktionsanforderungen mit einem öffentlichen Schlüssel eines Identitätszertifikats erfolgt insbesondere durch die Anwendung einer qualifizierten elektronischen Signatur (QES). Entsprechende Zertifikate umfassen jeweils mindestens zwei miteinander verkettete Zertifikate, namentlich das Nutzerzertifikat und eines oder mehrere Herausgeberzertifikate. Mithilfe der entsprechenden Zertifikatskette kann verifiziert werden, dass das QES-Identitätszertifikat vom entsprechenden Herausgeber, namentlich der entsprechenden Zertifizierungsstelle (TTP), stammt. The identity certificates are generated in particular based on the X.509 standard. The access authorizations are linked to the identity certificates in particular using a unique identifier (serial number) of the respective certificates. The transaction requirements are linked to a public key of an identity certificate in particular by using a qualified electronic signature (QES). Corresponding certificates each comprise at least two linked certificates, namely the user certificate and one or more publisher certificates. The appropriate certificate chain can be used to verify that the QES identity certificate comes from the appropriate issuer, namely the appropriate Certificate Authority (TTP).
[0013] Die Transaktionsanforderung wird unabhängig vom Distributed Ledger („off-chain“) von der anfordernden Stelle (oder im Auftrag der anfordernden Stelle) erzeugt und umfasst bereits die zur Überprüfung der Identität der anfordernden Stelle notwendigen Informationen. Die Überprüfung selbst erfolgt dann anhand von Daten, die im Distributed Ledger abgelegt sind („on-chain“). The transaction request is generated independently of the distributed ledger (“off-chain”) by the requesting body (or on behalf of the requesting body) and already includes the information necessary to verify the identity of the requesting body. The verification itself is then carried out using data stored in the distributed ledger (“on-chain”).
[0014] Die Aufzeichnung der Transaktion kann von weiteren Bedingungen abhängig sein, z. B. in Bezug auf die Möglichkeit oder Gültigkeit der Transaktion selbst. The recording of the transaction may be subject to additional conditions, e.g. B. in relation to the possibility or validity of the transaction itself.
[0015] Der erfindungsgemässe Server und das erfindungsgemässe Verfahren zeichnen sich dadurch aus, dass Zertifikate, die von TTP ausgestellt werden, mit Distributed-Ledger-Technologie (DLT) verknüpft werden. Transaktionsdaten lassen sich somit zuverlässig und sicher in einem Distributed Ledger ablegen, was z. B. auch die Nutzung von Smart Contracts ermöglicht. Gleichzeitig kann Anforderungen Genüge getan werden, die eine Identifizierung der involvierten Parteien verlangen. Solche Anforderungen ergeben sich z. B. aus rechtlichen Bestimmungen zur Regulierung von Finanztransaktionen, die Identifizierbarkeit kann aber natürlich auch von den beteiligten Parteien selbst gewünscht sein. The server according to the invention and the method according to the invention are characterized in that certificates issued by TTP are linked with distributed ledger technology (DLT). Transaction data can thus be stored reliably and securely in a distributed ledger, which e.g. B. also enables the use of smart contracts. At the same time, requirements can be met that require identification of the parties involved. Such requirements arise e.g. B. from legal provisions on the regulation of financial transactions, but the identifiability can of course also be desired by the parties involved.
[0016] Die DLT (zur Abwicklung der eigentlichen Transaktionen) wird also mit der Nutzung einer TTP oder mehrerer TTPs (zur Sicherstellung der Identifikation) in einer neuartigen Weise verknüpft, um die Vorteile beider Ansätze miteinander zu verbinden. The DLT (for processing the actual transactions) is thus linked to the use of a TTP or multiple TTPs (to ensure identification) in a new way in order to combine the advantages of both approaches.
[0017] Die Transaktionsanfrage kann insbesondere die Ausgabe, die Übertragung oder die Verrechnung von Finanzinstrumenten, insbesondere von Wechseln (promissory notes), betreffen. Das erfindungsgemässe System dient somit zur Verwaltung von digitalen Sicherheitszertifikaten (digital security certificates). In diesem Zusammenhang ist es für die beteiligten Parteien essenziell, Sicherheit über die Identität der Transaktionspartner zu haben. Eine Identifizierung ist auch aufgrund regulatorischer Anforderungen oft zwingend. [0017] The transaction request can relate in particular to the issue, transfer or offsetting of financial instruments, in particular bills of exchange (promissory notes). The system according to the invention thus serves to manage digital security certificates. In this context, it is essential for the parties involved to have certainty about the identity of the transaction partner. Identification is also often mandatory due to regulatory requirements.
[0018] Die Erfindung lässt sich auch im Zusammenhang mit anderen Transaktionen, z. B. im Finanz- und Immobilienbereich, einsetzen, insbesondere dort, wo eine sichere Identifikation von den Parteien und/oder aufgrund rechtlicher Vorschriften gefordert ist. The invention can also be used in connection with other transactions, e.g. B. in the financial and real estate sector, especially where secure identification is required by the parties and/or due to legal regulations.
[0019] Mit Vorteil ist das Berechtigungsmodul eingerichtet zum Speichern von Zuordnungen zu Identitätszertifikaten von Administratoren, das Eingangsmodul ist eingerichtet zum Empfangen von Transaktionsanforderungen, die ein Zugriffszertifikat mit einer Signatur eines Administrators umfassen, und das Überprüfungsmodul ist eingerichtet zur Prüfung, ob die Signatur des Administrators mit einem der Identitätszertifikate der gespeicherten Zugriffsberechtigungen verknüpft ist. Advantageously, the authorization module is set up to store assignments to administrators' identity certificates, the input module is set up to receive transaction requests that include an access certificate with an administrator's signature, and the verification module is set up to check whether the administrator's signature linked to one of the identity certificates of the stored access permissions.
[0020] Somit sind im Rahmen des erfindungsgemässen Verfahrens den Zugriffsberechtigungen Identitätszertifikate von Administratoren zugeordnet, die Transaktionsanforderung der anfordernden Stelle umfasst ein Zugriffszertifikat mit einer Signatur eines Administrators, und eine erfolgreiche Überprüfung der Identität setzt voraus, dass die Signatur des Administrators mit einem der Identitätszertifikate der gespeicherten Zugriffsberechtigungen verknüpft ist. Thus, within the scope of the method according to the invention, identity certificates from administrators are assigned to the access authorizations, the transaction request from the requesting body includes an access certificate with an administrator's signature, and a successful verification of the identity presupposes that the administrator's signature corresponds to one of the identity certificates of the stored access permissions.
[0021] Die Zuordnung zu den Identitätszertifikaten erfolgt insbesondere mit Hilfe einer eindeutigen Kennung (serial number) der Zertifikate. Daneben ist mit Vorteil der Herausgeber (Zertifizierungsstelle) vermerkt, so dass bei Bedarf Identitätszertifikate verschiedener Herausgeber ohne Weiteres genutzt werden können, vorausgesetzt entsprechende Fingerprintdaten dieser Herausgeber sind wie oben erläutert im Distributed Ledger abgelegt. [0021] The assignment to the identity certificates takes place in particular with the aid of a unique identifier (serial number) of the certificates. In addition, the publisher (certification authority) is noted with advantage, so that identity certificates from different publishers can be used without further ado if necessary, provided that the corresponding fingerprint data of these publishers are stored in the distributed ledger as explained above.
[0022] Administratoren können nun - gestützt auf deren Identitätszertifikate - weiteren Personen die Berechtigung zur Anforderung von Transaktionen erteilen, indem sie diesen ein Zugriffszertifikat zur Verfügung stellen. Dabei handelt es sich im Wesentlichen um eine Datenportion, die vom Administrator signiert ist, insbesondere mit einer QES. Die Erteilung solcher Berechtigungen erfolgt auf diese Weise ausserhalb des Distributed Ledger (off-chain). Die Prüfung der Berechtigung erfolgt anhand der on-chain gespeicherten Zugriffsberechtigung des Administrators, des Zugriffszertifikats, also der Datenportion mit der Signatur des Administrators, und des Identitätszertifikats der anfordernden Stelle. Based on their identity certificates, administrators can now authorize other people to request transactions by providing them with an access certificate. This is essentially a piece of data signed by the administrator, specifically with a QES. In this way, such authorizations are granted outside of the distributed ledger (off-chain). Authorization is checked using the administrator's access authorization stored on-chain, the access certificate, i.e. the data portion with the administrator's signature, and the identity certificate of the requesting authority.
[0023] Daneben werden natürlich alle involvierten Identitätszertifikate auf ihre Gültigkeit hin geprüft, wie oben erläutert wiederum mit Hilfe von Daten, die on-chain gespeichert sind (Fingerprintdaten). [0023] In addition, of course, all identity certificates involved are checked for their validity, as explained above, again with the aid of data that are stored on-chain (fingerprint data).
[0024] Bevorzugt umfasst das Zugriffszertifikat eine eindeutige Kennung der anfordernden Stelle (z. B. eine eindeutige Kennung des Identitätszertifikats) und eine Zuordnung zu einer Entität. Dadurch wird sichergestellt, dass das Zugriffszertifikat nur von einer designierten, eindeutig identifizierten Person, zur Anforderung von Transaktionen genutzt werden kann, sie also nicht an andere Personen übertragbar ist. Zudem lassen sich jeweils mehrere Administratoren und/oder berechtigte anfordernde Stellen einer gemeinsamen Entität zuordnen. Bei den Administratoren und berechtigen Stellen handelt es sich insbesondere um natürliche Personen (für welche gängigerweise Identitätszertifikate ausgegeben werden können), bei der Entität handelt es sich insbesondere um eine juristische Person, z. B. ein Unternehmen. Die Zuordnung zur Entität erfolgt beispielsweise über standardisierte, staatlich verwaltete Nummern (z. B. Unternehmensnummern bzw. - Kennziffern, ergänzt mit einer Angabe zur jeweiligen Jurisdiktion). [0024] The access certificate preferably comprises a unique identifier for the requesting authority (e.g. a unique identifier for the identity certificate) and an association with an entity. This ensures that the access certificate can only be used by a designated, clearly identified person to request transactions, i.e. it cannot be transferred to other persons. In addition, several administrators and/or authorized requesting bodies can be assigned to a common entity. The administrators and authorized bodies are in particular natural persons (for whom identity certificates can usually be issued), the entity is in particular a legal person, e.g. B. a company. The assignment to the entity takes place, for example, via standardized, state-administered numbers (e.g. company numbers or codes, supplemented with information on the respective jurisdiction).
[0025] Im Rahmen der Erfindung können somit auch grosse und komplex organisierte Unternehmen auf einfache Weise abgebildet werden, indem im Distributed Ledger letztlich nur die Administratoren verwaltet werden müssen, während die Verwaltung der spezifischen Berechtigungen unternehmensintern durch das Ausstellen der Zugriffszertifikate erfolgt. Within the scope of the invention, large and complexly organized companies can also be mapped in a simple manner by ultimately only having to manage the administrators in the distributed ledger, while the management of the specific authorizations takes place within the company by issuing the access certificates.
[0026] Die Datenportion des Zugriffszertifikats kann weitere Informationen umfassen, z. B. in Bezug auf die Zeichnungsrechte (signing rights) der berechtigten Person. So kann z. B. vermerkt sein, dass die Person nur zusammen mit einer weiteren (spezifizierten oder nicht spezifizierten) berechtigten Person der Entität gemeinsam wirksam signieren kann. The data portion of the access certificate may include other information, e.g. B. in relation to the signing rights of the authorized person. So e.g. B. it can be noted that the person can only validly sign together with another (specified or unspecified) authorized person of the entity.
[0027] Die Zugriffszertifikate haben mit Vorteil eine beschränkte zeitliche Gültigkeit, so dass Berechtigungen regelmässig überprüft werden müssen. The access certificates advantageously have a limited period of validity, so that authorizations have to be checked regularly.
[0028] In einer einfacheren, alternativen Ausführungsform der Erfindung werden direkt die Zugriffsberechtigungen der berechtigten Nutzer on-chain gespeichert. Es ist auch möglich, beide Varianten in demselben System zu ermöglichen, d. h. es können sowohl direkt berechtigte als auch delegiert, berechtigte Stellen Transaktionsanforderungen stellen. In a simpler, alternative embodiment of the invention, the access authorizations of the authorized users are stored directly on-chain. It is also possible to enable both variants in the same system, i. H. both directly authorized and delegated authorized bodies can make transaction requests.
[0029] Mit Vorteil umfasst die Überprüfung der Identität der anfordernden Stelle eine Überprüfung, ob die anfordernde Stelle nicht in einer Widerrufsliste aufgeführt ist, die in einem Datenblock des Distributed Ledgers gespeichert ist. Advantageously, verifying the identity of the requesting entity includes verifying that the requesting entity is not listed in a revocation list stored in a data block of the distributed ledger.
[0030] Dadurch kann sichergestellt werden, dass nicht mehr berechtigte Stellen keine gültigen Transaktionsanforderungen mehr stellen können, denn Nutzer mit gültigem Identitätszertifikat können weiterhin Daten qualifiziert elektronisch signieren und on-chain ist nicht bekannt, welche Stellen von den verzeichneten Administratoren durch Ausstellung entsprechender Zugriffszertifikate berechtigt wurden. This can ensure that no longer authorized bodies can no longer make valid transaction requests, because users with a valid identity certificate can continue to sign data in a qualified manner and on-chain it is not known which bodies are authorized by the listed administrators by issuing corresponding access certificates became.
[0031] Bevorzugt sind die folgenden Elemente on-chain gespeichert: die Transaktionsdaten (ggf. einschliesslich der Finanzinstrumente in virtueller Form); Daten zur Identifikation der Echtheit der Zertifikate zugelassener Zertifikationsdienste; die berechtigten Administratoren mit Zuordnung zur jeweiligen juristischen Person; die Widerrufsliste.The following elements are preferably stored on-chain: the transaction data (possibly including the financial instruments in virtual form); data to identify the authenticity of the certificates of approved certification services; the authorized administrators with assignment to the respective legal entity; the revocation list.
[0032] Die Zugriffszertifikate sind dagegen mit Vorteil off-chain gespeichert, indem diese mittels Zertifikaten von den Administratoren erteilt und bei Transaktionen jeweils im Rahmen der Transaktionsanforderung übermittelt werden. Auch die Erteilung der Identitätszertifikate erfolgt off-chain, insbesondere durch eine vom System unabhängige Zertifizierungsstelle. The access certificates, on the other hand, are advantageously stored off-chain in that they are issued by the administrators by means of certificates and are transmitted in transactions as part of the transaction request. The identity certificates are also issued off-chain, in particular by a certification authority that is independent of the system.
[0033] Die Transaktion kann vor der Aufzeichnung unter Verwendung einer symmetrischen Verschlüsselung verschlüsselt werden, so dass Transaktionen durch Löschen eines Ver-/Entschlüsselungsschlüssels verworfen werden können. The transaction can be encrypted before recording using symmetric encryption, so transactions can be discarded by deleting an encryption/decryption key.
[0034] Nach Erhalt und erfolgreicher Prüfung einer Transaktionsaufforderung wird der Inhalt der Transaktion somit mit Hilfe des symmetrischen Verschlüsselungsverfahrens (z. B. AES 256 bit) verschlüsselt und im Distributed Ledger abgelegt. Wenn der Ver-/Entschlüsselungsschlüssel gelöscht wird, kann auf die entsprechende Information nicht mehr zugegriffen werden. Die Transaktion ist somit nicht mehr ersichtlich und so auch nicht mehr wirksam. After receipt and successful verification of a transaction request, the content of the transaction is thus encrypted using the symmetric encryption method (z. B. AES 256 bit) and stored in the distributed ledger. If the encryption/decryption key is deleted, the corresponding information can no longer be accessed. The transaction is therefore no longer visible and therefore no longer effective.
[0035] Mit Vorteil können Transaktionsanforderungen von mehreren (zwei oder mehr) Parteien unterzeichnet werden. Eine entsprechende Transaktionsanforderung ist also von zusätzlichen Parteien unterzeichnet, die an der aufzuzeichnenden Transaktion beteiligt sind, und die Identität der zusätzlichen Parteien wird auf der Grundlage der jeweiligen gespeicherten Fingerprintdaten und gespeicherten Zugriffsberechtigungen überprüft. Advantageously, transaction requests can be signed by multiple (two or more) parties. A corresponding transaction request is thus signed by additional parties involved in the transaction to be recorded, and the identity of the additional parties is verified on the basis of the respective stored fingerprint data and stored access authorizations.
[0036] Solche Transaktionen beinhalten beispielsweise die Übertragung oder Begleichung eines Wechsels, wo der alte und der neue Inhaber bzw. der Herausgeber und der (aktuelle) Inhaber unterzeichnen müssen, damit die Transaktion gültig ist. Such transactions include, for example, the transfer or settlement of a bill of exchange where the old and new holders or the issuer and the (current) holder must sign for the transaction to be valid.
[0037] In Anwendungen, wo die Identität der beteiligten Parteien durch einen gesonderten Prozess überprüft werden muss, z. B. im Rahmen von „Know Your Customer“-Anforderungen im Finanzbereich, kann das Speichern der Zugriffsberechtigungen in einem Datenblock zusätzlich von einer Identitätsprüfung abhängig gemacht werden, die unabhängig ist vom Identitätszertifikat. In applications where the identity of the parties involved has to be verified by a separate process, e.g. B. in the context of "Know Your Customer" requirements in the financial sector, the storage of access authorizations in a data block can also be made dependent on an identity check that is independent of the identity certificate.
[0038] Eine solche Prüfung beinhaltet beispielsweise ein reales oder virtuelles Interview, die Prüfung von Ausweisdokumenten usw. [0038] Such an examination includes, for example, a real or virtual interview, the examination of identity documents, etc.
[0039] Aus der nachfolgenden Detailbeschreibung und der Gesamtheit der Patentansprüche ergeben sich weitere vorteilhafte Ausführungsformen und Merkmalskombinationen der Erfindung. Further advantageous embodiments and combinations of features of the invention result from the following detailed description and the entirety of the patent claims.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
[0040] Die zur Erläuterung des Ausführungsbeispiels verwendeten Zeichnungen zeigen: Fig. 1 ein Blockdiagramm der Mitwirkenden in Transaktionen gemäss dem erfindungsgemässen System; und Fig. 2 ein Flussdiagramm eines erfindungsgemässen Verfahrens zum Abwickeln von Transaktionen.The drawings used to explain the exemplary embodiment show: FIG. 1 a block diagram of those involved in transactions according to the system according to the invention; and FIG. 2 shows a flow chart of a method according to the invention for processing transactions.
[0041] Grundsätzlich sind in den Figuren gleiche Elemente mit gleichen Bezugszeichen versehen. In principle, the same elements are provided with the same reference symbols in the figures.
Wege zur Ausführung der ErfindungWays to carry out the invention
[0042] Das hier beschriebene Ausführungsbeispiel betrifft Transaktionen im Zusammenhang mit Wechseln bzw. Schuldscheindarlehen (Promissory Notes), namentlich Transaktionen zwischen Unternehmen (juristischen Personen). In einem solchen Wechsel verspricht eine Partei (der Aussteller), einer anderen Partei (dem Bezogenen) zu einem Fälligkeitszeitpunkt eine bestimmte Summe an diese andere Partei oder einen Dritten (Zahlungsempfänger) zu bezahlen. The exemplary embodiment described here relates to transactions in connection with bills of exchange or promissory notes (promissory notes), namely transactions between companies (legal entities). In such a bill of exchange, one party (the issuer) promises to pay another party (the drawee) a specified sum to that other party or a third party (payee) at a time due.
[0043] Im Rahmen des beschriebenen Systems sind jeder der beteiligten Parteien (juristischen Personen) bestimmte Nutzer (natürliche Personen) zugeordnet, die im Namen der Parteien handeln können, d. h. bindend (virtuelle) Unterschriften im Rahmen der Transaktionen leisten können. Within the framework of the system described, each of the parties (legal entities) involved are associated with certain users (natural persons) who can act on behalf of the parties, i.e. H. can provide binding (virtual) signatures in the context of the transactions.
[0044] Die Figur 1 zeigt ein Blockdiagramm, in dem auf vereinfachte Weise die Mitwirkenden in solchen Transaktionen dargestellt sind. Dargestellt ist ein Nutzerunternehmen 10 mit einer natürlichen Person als Administrator 11 und mehreren natürlichen Personen als Nutzer 15.1, 15.2, 15.3. FIG. 1 shows a block diagram in which the participants in such transactions are shown in a simplified manner. A user company 10 is shown with a natural person as administrator 11 and several natural persons as users 15.1, 15.2, 15.3.
[0045] Das Nutzerunternehmen 10 dient nur als Beispiel. In Transaktionen sind in der Regel mehrere solche Nutzerunternehmen involviert, die jeweils auch unterschiedliche Rollen wahrnehmen können. Alle Nutzerunternehmen sind auf dieselbe Art und Weise in das System eingebunden. The user company 10 is for example only. Transactions usually involve several such user companies, each of which can also assume different roles. All user companies are integrated into the system in the same way.
[0046] Weiter dargestellt ist das computergestützte System 100 des Dienstleisters, das u.a. einen Server 101 mit Kommunikationsschnittstellen und Rechnermitteln umfasst und eine private Blockchain 150, die vom Dienstleister selbst oder im Auftrag des Dienstleisters von einem weiteren Dienstleister verwaltet wird. In der Blockchain sind in an sich bekannter Weise Daten in Datenblöcken gespeichert, wobei die Datenblöcke zwischen mehreren Rechnern eines Computernetzwerks repliziert, geteilt und synchronisiert sind. Also shown is the computer-aided system 100 of the service provider, which includes a server 101 with communication interfaces and computing resources and a private blockchain 150, which is managed by the service provider itself or by another service provider on behalf of the service provider. In the blockchain, data is stored in data blocks in a manner known per se, with the data blocks being replicated, shared and synchronized between a number of computers in a computer network.
[0047] Der Server 101 umfasst ein Verknüpfungsmodul 102, ein Berechtigungsmodul 103, ein Eingangsmodul 104, ein Überprüfungsmodul 105 und ein Aufzeichnungsmodul 106. The server 101 comprises a linking module 102, an authorization module 103, an inbound module 104, a verification module 105 and a recording module 106.
[0048] Weiter involviert ist eine Zertifizierungsstelle 200 zur Ausgabe von Identitätszertifikaten. Dabei handelt es sich im dargestellten Beispiel um Zertifikate für qualifizierte elektronische Signaturen (QES). Jedes der Zertifikate umfasst zwei oder mehr Zertifikate, welche miteinander verkettet sind, namentlich das Nutzerzertifikat der jeweiligen natürlichen Person, deren Identität bestätigt werden soll und eines oder mehrere damit verkettete Herausgeberzertifikate. Es können mehrere Zertifizierungsstellen vorgesehen sein, deren Zertifikate vom Dienstleister akzeptiert werden. A certification authority 200 for issuing identity certificates is also involved. In the example shown, these are certificates for qualified electronic signatures (QES). Each of the certificates comprises two or more certificates that are chained together, namely the user certificate of the respective natural person whose identity is to be confirmed and one or more publisher certificates chained to it. Several certification authorities can be provided, whose certificates are accepted by the service provider.
[0049] Das Nutzerunternehmen 10 bzw. der Administrator 11 und die Nutzer 15.1...3 interagieren mit der Zertifizierungsstelle 200 zum Erhalt von Identitätszertifikaten, die dem Administrator 11 bzw. den Nutzern 15.1...3 zugeordnet sind. Der Server 101 des Dienstleisters interagiert ebenfalls mit der Zertifizierungsstelle 200, z. B. zum Erhalt von Herausgeberzertifikaten. The user company 10 or the administrator 11 and the users 15.1...3 interact with the certification authority 200 to obtain identity certificates that are associated with the administrator 11 or the users 15.1...3. The service provider's server 101 also interacts with the certification authority 200, e.g. B. to obtain publisher certificates.
[0050] Ein vereinfachtes Flussdiagramm eines erfindungsgemässen Verfahrens zum Abwickeln von Transaktionen ist in der Figur 2 dargestellt. Zunächst erhält das Verknüpfungsmodul 102 des Servers 101 von der Zertifizierungsstelle 200 ein Herausgeberzertifikat und speichert einen aus dessen öffentlichen Schlüssel abgeleiteten Fingerprint in der Blockchain 150 (Schritt 301). A simplified flow chart of a method according to the invention for processing transactions is shown in FIG. First, the linking module 102 of the server 101 receives an issuer's certificate from the certification authority 200 and stores a fingerprint derived from its public key in the blockchain 150 (step 301).
[0051] Der Fingerprint wird aus den Daten des Zertifikats gewonnen, das beispielsweise im pem-Format vorliegt. Er wird beispielsweise durch die Anwendung einer SHA-256-Hashfunktion auf diese Daten gewonnen. Für die Gewinnung des Fingerprints geeignet ist beispielsweise der öffentliche Schlüssel (Public Key) des Zertifikats. Weitere Elemente können herangezogen werden. The fingerprint is obtained from the data of the certificate, which is in pem format, for example. It is obtained, for example, by applying a SHA-256 hash function to this data. The public key of the certificate, for example, is suitable for obtaining the fingerprint. Other elements can be used.
[0052] Fingerprints von Identitätszertifikaten von Administratoren 11, verknüpft mit Angaben zum Nutzerunternehmen 10 (z. B. mit einer eindeutigen Firmenkennung bzw. Unternehmensnummer) werden vom Berechtigungsmodul 103 des Servers 101 in der Blockchain 150 abgelegt (Schritt 302). Der so erfasste Administrator 11 kann dann Nutzern 15.1..3 eine Berechtigung erteilen, um im Namen des Nutzerunternehmens 10 gegenüber dem Dienstleister zu handeln. Dazu signiert er eine Datenportion, die die eindeutige Kennung des zu berechtigenden Nutzers (serial number des entsprechenden Identitätszertifikats) umfasst und die Angabe der juristischen Person, für welche der Administrator und der Nutzer handeln (sollen). Das so erzeugte Berechtigungszertifikat überlässt er dem jeweiligen Nutzer 15.1...3 zu dessen Verwendung (Schritt 303). [0052] Fingerprints of identity certificates from administrators 11 linked to information about the user company 10 (e.g. with a unique company identifier or company number) are stored in the blockchain 150 by the authorization module 103 of the server 101 (step 302). The administrator 11 recorded in this way can then authorize users 15.1..3 to act on behalf of the user company 10 vis-à-vis the service provider. To do this, he signs a data portion that includes the unique identifier of the user to be authorized (serial number of the corresponding identity certificate) and the specification of the legal entity for which the administrator and the user (should) act. He leaves the authorization certificate generated in this way to the respective user 15.1 . . . 3 for use (step 303).
[0053] Die berechtigten Nutzer 15.1...3 können dann mit dem Server 101 des Dienstleisters im Rahmen von Transaktionen zusammenwirken. Dazu übermitteln sie über das Eingangsmodul 104 des Servers 101 eine entsprechende Transaktionsanforderung an den Server 101, die u.a. durch den Nutzer signierte Datenportionen und das vom Administrator 11 erhaltene Berechtigungszertifikat umfasst (Schritt 304). The authorized users 15.1 . . . 3 can then interact with the service provider's server 101 as part of transactions. To do this, they transmit a corresponding transaction request to the server 101 via the input module 104 of the server 101, which includes, among other things, data portions signed by the user and the authorization certificate received from the administrator 11 (step 304).
[0054] Bei sämtlichen Transaktionen wird vom Überprüfungsmodul 105 des Servers 101 nebst den Signaturen der signierenden Nutzer, unter Rückgriff auf den gespeicherten Fingerprint des Herausgeberzertifikats, auch geprüft, ob diese eine Berechtigung für die betroffene juristische Person haben (Schritt 305). Nach erfolgreicher Prüfung werden Daten über die Transaktionen bzw. die davon betroffenen Wechsel vom Aufzeichnungsmodul 106 ebenfalls in der Blockchain 150 gespeichert (Schritt 306). In all transactions, the verification module 105 of the server 101, in addition to the signatures of the signing users, using the stored fingerprint of the issuer's certificate, also checks whether they have authorization for the legal entity concerned (step 305). After a successful check, data about the transactions or the changes affected by them are also stored in the blockchain 150 by the recording module 106 (step 306).
[0055] Unterschriften der Nutzer werden durch eine Signaturstruktur mit folgenden Elementen repräsentiert: 1. Die Signatur des Nutzers, der den Wechsel unterzeichnet. Diese besteht aus einem vom Nutzer signierten Hash folgender Elemente: – dem Hash des Wechsels, – der Bezeichnung der juristischen Person des Nutzers und – einem Hash von allenfalls vorhandenen Bedingungen (Rabatte oder weitere Angaben, die im Wechsel nicht sichtbar sein, während der Unterzeichnung aber dennoch überprüfbar sein sollen); 2. einer Signatur eines Administrators der juristischen Person. Diese besteht aus einem vom Administrator signierten Hash folgender Elemente: – der eindeutigen laufenden Nummer des Nutzers und – der Bezeichnung der juristischen Person des Administrators und des Nutzers; 3. den Namen der juristischen Person.User signatures are represented by a signature structure with the following elements: 1. The signature of the user signing the bill of exchange. This consists of a hash of the following elements signed by the user: – the hash of the bill of exchange, – the designation of the user’s legal entity and – a hash of any conditions that may exist (discounts or other information that is not visible in the bill of exchange, but is visible during the signing process should nevertheless be verifiable); 2. A signature of an administrator of the legal entity. This consists of a hash signed by the administrator of the following elements: - the unique sequence number of the user and - the designation of the legal entity of the administrator and the user; 3. the name of the legal entity.
[0056] Ein Wechsel (Promissory Note PN) wird im Rahmen des beschriebenen Systems durch eine Struktur mit folgenden Elementen repräsentiert: 1. Eine Hauptstruktur, die während der Lebensdauer des Wechsels unverändert bleibt, umfassend folgende Elemente: – die Angabe des Nominalwerts; – die Angabe der Währung; – die Angabe des Fälligkeitsdatums; – die Angabe möglicher Transferempfänger (juristische Personen) (optional); – eine Nonce (zur Verhinderung von Replay-Attacken); – eine Angabe der juristischen Person des Ausstellers; – eine Angabe der juristischen Person des Garantiegebers (optional); – fixe Metadaten; 2. einer Kennung; 3. einem Ausgabedatum; 4. einer Signaturenstruktur (siehe unten) mit den derzeitigen Signaturen; 5. Angaben zur Geschichte der PN (aktualisiert, wenn die PN erledigt, gelöscht oder übertragen wird); 6. eine Statusangabe (offen, fällig, erledigt, gelöscht, evtl. weitere); 7. die Angabe der juristischen Person des Inhabers und 8. veränderliche Metadaten, umfassend einfach und mehrfach veränderliche Daten.A bill of exchange (Promissory Note PN) is represented in the framework of the described system by a structure with the following elements: 1. A main structure that remains unchanged during the lifetime of the bill of exchange, comprising the following elements: - the indication of the nominal value; – indication of the currency; – indication of the due date; – the indication of possible transfer recipients (legal entities) (optional); – a nonce (to prevent replay attacks); – an indication of the legal entity of the issuer; – an indication of the legal entity of the guarantor (optional); – fixed metadata; 2. an identifier; 3. an issue date; 4. a signature structure (see below) with the current signatures; 5. History of the PN (updated when the PN is completed, deleted or transferred); 6. a status (open, due, done, deleted, possibly others); 7. the indication of the legal entity of the owner and 8. variable metadata, including single and multiple variable data.
[0057] Die Signaturenstruktur des Wechsels umfasst mehrere Signaturstrukturen und weitere Elemente wie folgt: Aussteller Signatur Hash (PN), jur. Person (LE), Hash (Bedingungen) Bedingungen Ausstellung String Hash (Bedingungen Herausgabe) Bedingungen Bürgschaft (Aval) String Hash (Bedingungen Bürgschaft) Bedingungen Transfer String Hash (Bedingungen Transfer) Garantiegeber Signatur Hash (PN), Hash (Bedingungen) Inhaber (Bezogener) Signatur Hash (PN), LE Inhaber, LE neuer Inhaber (optional), Hash (Bedingungen) neuer Inhaber Signatur Hash (PN), LE Inhaber, LE neuer Inhaber, Hash (Bedingungen)The signature structure of the bill of exchange includes several signature structures and other elements as follows: issuer signature hash (PN), jur. Person (LE), Hash (Conditions) Conditions of Issuance String Hash (Conditions of Issuance) Conditions of Guarantee String Hash (Conditions of Guarantee) Conditions of Transfer String Hash (Conditions of Transfer) Guarantor Signature Hash (PN), Hash (Conditions) Holder (Publice ) Signature hash (PN), LE holder, LE new holder (optional), hash (conditions) new holder Signature hash (PN), LE holder, LE new holder, hash (conditions)
[0058] Zur Ausstellung eines neuen Wechsels einigen sich der Aussteller und der (initiale) Inhaber auf den Hash der Angaben gemäss der Hauptstruktur (Punkt 1 oben) und die juristische Person des Inhabers. Dazu kommt allenfalls ein Hash von Daten, die zwischen den Parteien vereinbarte Bedingungen betreffen. Diese zwei bzw. drei Datenportionen werden sodann von Nutzern signiert, die für die beiden Parteien zur Unterzeichnung berechtigt sind. To issue a new bill of exchange, the issuer and the (initial) holder agree on the hash of the information according to the main structure (item 1 above) and the legal entity of the holder. In addition, there is at most a hash of data relating to the conditions agreed between the parties. These two or three portions of data are then signed by users who are authorized to sign for both parties.
[0059] Bei einer kombinierten Ausstellung und Übertragung muss der Aussteller dieselben Daten wie bei der Ausstellung signieren. Beim ursprünglichen und neuen Inhaber kommen zu den zu signierenden Daten jeweils noch die juristische Person des neuen Inhabers dazu und allenfalls Bedingungen für die Übertragung. Im Rahmen der Abwicklung des Transfers wird anhand der Promissory-Note-Struktur geprüft, ob die Übertragung des Wechsels eingeschränkt ist und falls ja, ob die vorgesehene Übertragung im Rahmen der Einschränkungen zulässig ist. In a combined issuance and transmission, the issuer must sign the same data as in the issuance. In the case of the original and new owner, the legal entity of the new owner and any conditions for the transfer are added to the data to be signed. As part of the processing of the transfer, the promissory note structure is used to check whether the transfer of the bill of exchange is restricted and, if so, whether the intended transfer is permissible within the framework of the restrictions.
[0060] Ein Wechsel kann - insbesondere nach Leistung des vereinbarten Betrags durch den Aussteller - durch Antrag des (aktuellen) Inhabers erledigt werden. Dazu signiert der Inhaber eine Datenportion mit der Identifikationsnummer des Wechsels, dem Vermerk, dass der Wechsel erledigt ist und der juristischen Person des Inhabers. Es bedarf zur Erledigung keiner weiteren Unterschriften. A bill of exchange can be dealt with at the request of the (current) owner, particularly after the issuer has paid the agreed amount. To do this, the owner signs a piece of data with the identification number of the bill of exchange, the note that the bill of exchange has been completed and the legal entity of the owner. No further signatures are required for completion.
[0061] Im Rahmen des beschriebenen Systems ist eine Unterschrift gültig, wenn das entsprechende Zertifikat gültig ist, die Berechtigung der Unterzeichnenden nicht zurückgezogen wurde (siehe unten) und der unterzeichnende Nutzer über eine gültige Zugriffsberechtigung mit der handelnden, juristischen Person verknüpft ist. Ergänzend können hinterlegte Zeichnungsberechtigungen (z. B. betreffend kollektiver Zeichnungsberechtigung) geprüft werden. Entsprechend wird die Gültigkeit von Unterschriften im Rahmen des beschriebenen Systems gemäss folgenden Schritten geprüft, jeweils angewandt auf jede Unterschrift einer PN: 1. Die entsprechenden Zertifikatsdaten werden erhalten, sowohl für den unterzeichnenden Nutzer als auch für den zugeordneten Administrator. 2. Die Liste der erfassten Administratoren der der Signatur zugeordneten juristischen Person wird abgerufen. 3. Es wird geprüft, ob das Zertifikat des Nutzers von einem registrierten Herausgeber (Zertifizierungsstelle) stammt. Dazu wird anhand des Herausgeberzertifikats, das mit dem Identitätszertifikat des Nutzers verkettet ist, ein Fingerprint generiert. Dieser wird dann mit den Fingerprints verglichen, die in der Blockchain hinterlegt sind. 4. Es wird geprüft, ob der Nutzer nicht in einer Liste mit zurückgezogenen Zugriffsberechtigungen aufgeführt ist. Solche Listen sind in der Blockchain abgelegt und werden für jede juristische Person separat geführt, weil ein spezifischer Nutzer (natürliche Person) Zugriffsberechtigungen für mehrere juristische Personen haben kann und weil diese unabhängig voneinander verwaltet werden sollen. 5. Es wird geprüft, ob das Zertifikat des Nutzers eine Zugriffsberechtigung eines der erfassten Administratoren der juristischen Person umfasst und ob diese Zugriffsberechtigung gültig vom entsprechenden Administrator signiert wurde.In the context of the system described, a signature is valid if the corresponding certificate is valid, the authorization of the signatory has not been revoked (see below) and the signing user is linked to the acting legal entity via valid access authorization. In addition, stored signing authorizations (e.g. regarding collective signing authorization) can be checked. Accordingly, the validity of signatures within the framework of the described system is checked according to the following steps, each applied to each signature of a PN: 1. The corresponding certificate data are obtained, both for the signing user and for the assigned administrator. 2. The list of recorded administrators of the legal entity associated with the signature is retrieved. 3. It is checked whether the user's certificate comes from a registered publisher (certification authority). To do this, a fingerprint is generated using the issuer's certificate, which is chained to the user's identity certificate. This is then compared with the fingerprints stored in the blockchain. 4. It is checked whether the user is not included in a list with revoked access rights. Such lists are stored in the blockchain and are kept separately for each legal entity, because a specific user (natural person) can have access permissions for several legal entities and because these should be managed independently of each other. 5. It is checked whether the user's certificate contains an access authorization from one of the registered administrators of the legal entity and whether this access authorization was validly signed by the corresponding administrator.
[0062] Weitere Prüfungen sind möglich, z. B. ob alle Unterschriften, die mit einer Partei einer Transaktion verknüpft sind, derselben juristischen Person zugeordnet sind, ob die Anzahl der Unterschriften ausreichend ist usw. Other tests are possible, e.g. For example, whether all signatures associated with a party to a transaction belong to the same legal entity, whether the number of signatures is sufficient, etc.
[0063] Die in der Blockchain gespeicherten Promissory Notes sind mit einem symmetrischen Schlüssel verschlüsselt, beispielsweise mittels AES-Verschlüsselung. Der Schlüssel (und gegebenenfalls auch ein Initialisierungsvektor) wird off-chain erzeugt und abgelegt. Er wird für den Zugriff auf die Promissory Note benötigt; wird er gelöscht, kann auf die Information der entsprechenden Promissory Note weder lesend noch schreibend mehr zugegriffen werden. Entsprechend verliert die Promissory Note jegliche Wirkung, und es ist trotz Speicherung der entsprechenden Daten in der Blockchain auch nicht mehr ersichtlich, was ihr Inhalt gewesen war. The promissory notes stored in the blockchain are encrypted with a symmetric key, for example using AES encryption. The key (and possibly also an initialization vector) is generated and stored off-chain. It is required to access the Promissory Note; if it is deleted, the information in the corresponding Promissory Note can no longer be read or written to. Accordingly, the Promissory Note loses all effect and, despite the storage of the corresponding data in the blockchain, it is no longer clear what its content was.
[0064] Die Erfindung ist nicht auf das dargestellte Ausführungsbeispiel beschränkt. So können spezifische Aspekte des beschriebenen Systems und des beschriebenen Verfahrens anders ausgeführt sein. Die Erfindung lässt sich zudem nicht nur bei der Abwicklung von Transaktionen im Zusammenhang mit Wechseln oder anderen Finanzinstrumenten, sondern auch für andere Transaktionen verwenden. The invention is not limited to the illustrated embodiment. Thus, specific aspects of the described system and method may be implemented differently. In addition, the invention can be used not only for processing transactions in connection with bills of exchange or other financial instruments, but also for other transactions.
[0065] Zusammenfassend ist festzustellen, dass die Erfindung einen Server, ein System und ein Verfahren schafft, die eine effiziente Abwicklung von Transaktionen bei sicherer Identifikation der Transaktionspartner ermöglichen. In summary, it can be stated that the invention creates a server, a system and a method that enable transactions to be processed efficiently with reliable identification of the transaction partners.
Claims (12)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH01213/20A CH717898A1 (en) | 2020-09-24 | 2020-09-24 | Server for processing financial transactions. |
| PCT/EP2021/076110 WO2022063851A1 (en) | 2020-09-24 | 2021-09-22 | Server for handling transactions |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH01213/20A CH717898A1 (en) | 2020-09-24 | 2020-09-24 | Server for processing financial transactions. |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CH717898A1 true CH717898A1 (en) | 2022-03-31 |
Family
ID=75339377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CH01213/20A CH717898A1 (en) | 2020-09-24 | 2020-09-24 | Server for processing financial transactions. |
Country Status (2)
| Country | Link |
|---|---|
| CH (1) | CH717898A1 (en) |
| WO (1) | WO2022063851A1 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170180128A1 (en) * | 2015-12-22 | 2017-06-22 | Gemalto Inc. | Method for managing a trusted identity |
| US20180048461A1 (en) * | 2016-08-10 | 2018-02-15 | Peer Ledger Inc. | Apparatus, system, and methods for a blockchain identity translator |
| US20190347656A1 (en) * | 2018-05-10 | 2019-11-14 | Alibaba Group Holding Limited | Blockchain member management data processing methods, apparatuses, servers, and systems |
| WO2020002009A1 (en) * | 2018-06-28 | 2020-01-02 | International Business Machines Corporation | Delegating credentials with a blockchain member service |
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
-
2020
- 2020-09-24 CH CH01213/20A patent/CH717898A1/en unknown
-
2021
- 2021-09-22 WO PCT/EP2021/076110 patent/WO2022063851A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170180128A1 (en) * | 2015-12-22 | 2017-06-22 | Gemalto Inc. | Method for managing a trusted identity |
| US20180048461A1 (en) * | 2016-08-10 | 2018-02-15 | Peer Ledger Inc. | Apparatus, system, and methods for a blockchain identity translator |
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
| US20190347656A1 (en) * | 2018-05-10 | 2019-11-14 | Alibaba Group Holding Limited | Blockchain member management data processing methods, apparatuses, servers, and systems |
| WO2020002009A1 (en) * | 2018-06-28 | 2020-01-02 | International Business Machines Corporation | Delegating credentials with a blockchain member service |
Non-Patent Citations (1)
| Title |
|---|
| MONEYCAB: "FQX verwendet DCHF-Stable-Coin der Sygnum Bank für sofortige Bezahlung elektronischer Wechsel | Moneycab", 17 September 2020 (2020-09-17), pages 1 - 3, XP055819821, Retrieved from the Internet <URL:https://www.moneycab.com/it/fqx-verwendet-dchf-stable-coin-der-sygnum-bank-fuer-sofortige-bezahlung-elektronischer-wechsel/> [retrieved on 20210630] * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022063851A1 (en) | 2022-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3596653B1 (en) | Issuing virtual documents in a block chain | |
| DE69534490T2 (en) | METHOD FOR THE SAFE APPLICATION OF DIGITAL SIGNATURES IN A COMMERCIAL ENCRYPTION SYSTEM | |
| DE60034159T2 (en) | METHOD FOR THE ELECTRONIC STORAGE AND RECOVERY OF AUTHENTICATED ORIGINAL DOCUMENTS | |
| EP2585963B1 (en) | Method for generating a certificate | |
| DE60119857T2 (en) | Method and device for executing secure transactions | |
| EP1365537B1 (en) | Systems and method for certifying digital signatures | |
| EP3993318B1 (en) | Blockchain-based digital document system | |
| DE102009034436A1 (en) | Method for payment of cash value amount in form of electronic money, involves transmitting signed data set to non-central instance by transmission of signed data set from central instance and receiving of signed data set | |
| EP1209579A1 (en) | System for automatic performing transactions by active identity managment | |
| EP2136528B1 (en) | Method and system for creating a derived electronic identity from an electronic main identity | |
| EP3814970A1 (en) | Tamper-proof issuing and storing of electronic certificates | |
| DE102021122557A1 (en) | COMPLIANCE MECHANISMS IN BLOCKCHAIN NETWORKS | |
| EP3295354A1 (en) | Method and apparatus for authenticating a service user for a service that is to be provided | |
| DE60122349T2 (en) | METHODS FOR PRODUCING PROOF TESTS FOR SENDING AND RECEIVING AN ELECTRONIC WRITING AND ITS CONTENTS THROUGH A NETWORK | |
| EP3422274A1 (en) | Method for configuring or changing a configuration of a payment terminal and/or for allocating a payment terminal to an operator | |
| EP3767513B1 (en) | Method for secure execution of a remote signature, and security system | |
| EP4224786A1 (en) | Method and device for creating electronic signatures | |
| DE102019217738A1 (en) | Computer-implemented method for controlling and monitoring the distribution of verified personal user data of a user on a large number of provider servers | |
| EP1701282A1 (en) | Computer system and method for signing, signature verification and/or archiving | |
| WO2022200035A1 (en) | Method and device for generating, providing, and transferring a trusted electronic dataset or certificate based on an electronic document concerning a user | |
| WO2022063851A1 (en) | Server for handling transactions | |
| DE102021004548A1 (en) | METHOD AND TRANSACTION SYSTEM FOR TRANSFERRING TOKENS IN AN ELECTRONIC TRANSACTION SYSTEM | |
| EP1921556A1 (en) | Signature extension | |
| DE102022000857B3 (en) | Procedure for the secure identification of a person by a verification authority | |
| EP1054364A2 (en) | Method to improve security of systems using digital signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PK | Correction |
Free format text: BERICHTIGUNG |
|
| PK | Correction |
Free format text: REGISTERAENDERUNG SACHPRUEFUNG |