CZ2009281A3 - Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky - Google Patents

Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky Download PDF

Info

Publication number
CZ2009281A3
CZ2009281A3 CZ20090281A CZ2009281A CZ2009281A3 CZ 2009281 A3 CZ2009281 A3 CZ 2009281A3 CZ 20090281 A CZ20090281 A CZ 20090281A CZ 2009281 A CZ2009281 A CZ 2009281A CZ 2009281 A3 CZ2009281 A3 CZ 2009281A3
Authority
CZ
Czechia
Prior art keywords
electronic
identity
automated
user
local
Prior art date
Application number
CZ20090281A
Other languages
English (en)
Inventor
Neumann@Libor
Original Assignee
Anect A. S.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anect A. S. filed Critical Anect A. S.
Priority to CZ20090281A priority Critical patent/CZ2009281A3/cs
Priority to PCT/CZ2010/000055 priority patent/WO2010127643A2/en
Publication of CZ2009281A3 publication Critical patent/CZ2009281A3/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/081Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky, zejména mezi elektronickými prostredky poskytovatelu elektronických služeb a elektronickými prostredky uživatelu elektronických služeb a/nebo automatizovaných predmetu a/nebo mezi lokálními elektronickými prostredky a elektronickými prostredky uživatelu elektronických služeb a/nebo automatizovaných predmetu, spocívá v tom, že se uživatelé elektronických služeb a/nebo automatizované predmety nejprve vybaví osobním nosicem elektronické identity bez informací o identite uživatele elektronických služeb a/nebo automatizovaného predmetu, podporujícím více bezpecnostních úrovní a umožnujícím používat více ruzných zpusobu overování elektronické identity pomocí více ruzných algoritmu, které mohou být parametrizovány ruznými hodnotami parametru, pricemž i elektronické prostredky libovolného poskytovatele elektronických služeb a/nebo lokální elektronické prostredky podporují více bezpecnostních úrovní a umožnují používat více ruzných zpusobu overování elektronické identity uživatele elektronických služeb a/nebo automatizovaného predmetu pomocí více ruzných algoritmu, které mohou být parametrizovány ruznými hodnotami parametru, nacež až pri prvním pripojení prázdného osobního nosice uživatele elektronických služeb a/nebo automatizovaného predmetu na elektronické prostredky libovolného poskytovatele elektronických služeb a/nebo na lokální elektronické prostredky nebo pri zmene elektronické identity uživatele elektronických služeb a/nebo automatizovaného predmetu si osobní nosic elektronické identity uživatele elektronických služeb a/nebo a

Description

Způsob navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky
Oblast techniky
Vynález se týká způsobu navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů a/nebo mezí lokálními elektronickými prostředky a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů.
Stávající stav techniky
Známé systémy pro elektronickou komunikaci, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb, jsou konstruovány pro zajištění jedné bezpečnostní úrovně a k tomu používají předem určený postup včetně příslušných algoritmů a jejich parametrů. Bezpečnostní úroveň, způsob navazování chráněné elektronické komunikace nebo používané algoritmy nebo jejich parametry nejde v průběhu používání příslušných zařízení měnit. Jednotliví poskytovatelé elektronických služeb zpravidla určují přímo nebo zprostředkovaně používanou bezpečnostní úroveň, používané postupy navazování elektronické komunikace, algoritmy a případně i jejich parametry nezávisle na sobě a tím nepřímo požadují, aby uživatelé služeb používali více různých prostředků zajištění navazování chráněné elektronické komunikace, což je složité, drahé a ohrožuje to i bezpečnost elektronické komunikace.
Existují také známé systémy pro elektronickou komunikaci, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb, které umožňují pracovat s více než jedením algoritmem, případně postupem ověření elektronické identity. To je prováděno takovým způsobem, že součásti komunikace při ověřování elektronické identity je určování způsobu nebo algoritmu ověření elektronické identity a to je buď přímo součásti způsobu ověřování elektronické ·♦ • · · « · · • ···
·· *·»· • ···· « ·· • «· ·· identity, nebo je výběr zajištěn komunikací s uživatelem. To vyžaduje buď předem připravit způsoby ověřování identity tak, aby bylo možné při každém ověřování identity jednoznačně určit, který konkrétní postup či algoritmus je užit v konkrétním případě, nebo požadovat po uživateli, který většinou nebývá odborníkem v oblasti elektronické identity, aby zadával příslušné parametry nebo volby. Společným rysem známých způsobů je to, že k případnému výběru či určení dochází při užití a ověřování elektronické identity, což zároveň komplikuje užití a ověření elektronické identity a zároveň je možné určování zneužít při útoku na elektronickou identitu. Proto jsou nutná další bezpečnostní opatření, která mají takovému zneužití zabránit nebo rizika alespoň zmírnit. Společným nevýhodným rysem je také to, že je velmi komplikované přejít na jinou bezpečnostní úroveň, na nový způsob ověřování identity nebo na nový algoritmus či na novou sadu parametrů.
Zcela obvyklé je, že do systémů, kromě uživatele a poskytovatele služby, vstupují třetí strany a další subjekty zapojené do vytváření, ověřování, používání, zneplatnění či pro jiné manipulace s elektronickou identitou, například čertifikační nebo registrační autority, poskytovatelé služeb elektronické identity - Identity Service Provider apod. nebo přímo poskytovatelé elektronických služeb a ty zapisují do elektronických prostředků uživatele osobní a jiné údaje před tím, než je možné tento prostředek použít. Tyto údaje jsou v praxi pak používány k různým účelům, např. k určení přístupových práv, jako informace o držiteli elektronického prostředku. Takto zaznamenané údaje většinou nejde dodatečně měnit nebo je změna komplikovaná a drahá. Známé elektronické prostředky jsou konstruovány tak, že tyto údaje nejsou chráněny před neoprávněným přístupem a jsou přístupné kterémukoli poskytovateli elektronických služeb i tomu, kdo se za poskytovatele služeb vydává. V důsledku takových vlastností se komplikuje situace v případě snahy o využívání jednoho elektronického prostředku uživatele více poskytovateli elektronických služeb. To je možné, jen pokud všichni poskytovatelé dojdou ke shodě o přesném obsahu informací uložených v elektronickém prostředku uživatele a zároveň zajistí, aby příslušné údaje byly uloženy ještě před prvním použitím elektronického prostředku uživatele. To často vede k v praxi velmi komplikovaným řešením nebo i k nemožnosti sdílení jednoho elektronického prostředku uživatele i v případě několika málo poskytovatelů elektronických služeb. Zároveň dochází ktomu, že osobní a další údaje uložené na elektronickém prostředku uživatele jsou komukoli dostupné i vzdáleně a tím je ohrožováno soukromí uživatele.
···· «•rit ··
* * • · • »
··· • · « · Φ ·
* « · « • · ·
• · ·· «·« • · • «· • « • • l
Existují také známá řešení, která umožňují řídit přístup k informacím uloženým na prostředku elektronické identity, která však nejsou připravena ke sdílení prostředku elektronické identity více poskytovateli elektronických služeb nebo jde o jednoúčelová řešení, která brání možnému použití jednoho prostředku elektronické identity více poskytovateli elektronických služeb.
Nevýhodami známých systémů pro elektronickou komunikaci mezi elektronickými prostředky poskytovatelů elektronických služeb zůstává, že buď podporují možnost kopírování utajovaných informací, které elektronické prostředky uživatele používají k zajištěni bezpečnosti (k ověření pravosti identity - autentizace) s cílem umožnit používat elektronickou identitu i v případě poruchy elektronického prostředku a tím vytvářejí riziko, že buď pořízená kopie utajovaných informací nebo prostředky používané ke kopírování utajované informace budou zneužity k fiktivnímu ověření identity (např. ktzv. krádeži identity či jinému zneužití) nebo jsou konstruovány tak, že není možné jakkoli kopírovat utajované informace s cílem zabránit zneužití těchto informací a v takovém případě znemožňují použití elektronické identity v případě poruchy elektronického prostředku uživatele.
Stav techniky je tvořen rovněž takovým způsobem navazování chráněné elektronické komunikace mezi různými elektronickými prostředky, kdy se uživatelé elektronických služeb nejprve vybaví osobním nosičem elektronické identity bez informací o identitě uživatele, načež až při prvním připojení prázdného osobního nosiče uživatele na elektronické prostředky libovolného poskytovatele služeb a/nebo na lokální elektronické prostředky, si osobní nosič elektronické identity a elektronické prostředky poskytovatele služeb a/nebo lokální elektronické prostředky vzájemně vygenerují ověřitelnou elektronickou identitu, která se v osobním nosiči elektronické identity a v elektronických prostředcích poskytovatele služeb a/nebo v lokálních elektronických prostředcích uloží pro potřeby další vzájemné elektronické komunikace, odděleně od ostatních identit a bez znalostí osobních údajů o uživateli elektronických služeb, přičemž následně se jen vygenerované a uložené informace využijí k ověření identity při každém dalším připojení uživatele elektronických služeb na elektronické prostředky toho kterého poskytovatele služeb a/nebo na lokální elektronické prostředky. Takové řešení však nezahrnuje určení a správu konkrétní bezpečnostní úrovně, ·· tk«· • ·
Μ • ··* « · • ·
způsobu ověřování elektronické identity, algoritmu a dalších parametrů, ani uložení dalších informací na elektronickém prostředku uživatele, ani zálohování elektronické identity.
Podstata vynálezu
Cílem vynálezu je odstranění uvedených nevýhod a to novým způsobem navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů a/nebo mezi lokálními elektronickými prostředky a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů, spočívajícím v tom, že elektronické prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronické prostředky libovolného poskytovatele elektronických služeb a/nebo lokální elektronické prostředky jsou zkonstruovány tak, že podporují více bezpečnostních úrovní, umožňují používat více různých způsobů ověřování elektronické identity pomocí více různých algoritmů, které mohou být parametrizovány různými hodnotami parametrů a při jejich výrobě není předem určeno, jaká možnost bude používána. Teprve v době, kdy elektronické prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronické prostředky poskytovatele elektronických služeb a/nebo lokální elektronické prostředky vzájemně komunikují při vygenerování nebo změně ověřitelné elektronické identity, je na základě vzájemné komunikace určena konkrétní bezpečnostní úroveň, postup ověřování, algoritmus a další parametry, které jsou zapamatovány elektronickými prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronickými prostředky poskytovatele elektronických služeb a/nebo lokálními elektronickými prostředky a dále jsou tyto informace využity při používání a ověřování elektronické identity, aniž by byly přenášeny, přičemž může na základě vzájemné komunikace dojít ke změně konkrétních hodnot i později. Vzájemná komunikace mezi elektronickými prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronickými prostředky poskytovatele elektronických služeb a/nebo lokálními elektronickými prostředky, určující konkrétní bezpečnostní úroveň, postup ověřování, algoritmus a další parametry, může být ovládána bezpečnostním správcem nebo jiným odborníkem, zejména na straně poskytovatele elektronických služeb a/nebo nastavením elektronických prostředků uživatele elektronických služeb a/nebo automatizovaného předmětu.
Podle vynálezu se dále jeví výhodné, že je umožněno uložení dalších informací v elektronických prostředcích uživatele elektronických služeb a/nebo automatizovaného předmětu takovým způsobem, že informace jsou ukládány až po vytvoření elektronické identity odděleně pro jednotlivé poskytovatele elektronických služeb a/nebo lokální elektronické prostředky takovým způsobem, že na základě postupů ověřování elektronické identity, které obsahují také ověření elektronické identity poskytovatele elektronických služeb a/nebo lokálního elektronického prostředku je umožněn přístup jen příslušného poskytovatele elektronických služeb a/nebo lokálního elektronického prostředku kjemu příslušným dalším informacím.
Podle vynálezu se zvláště jeví výhodné, že zálohování elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu je prováděno bez kopírování utajovaných informací tak, že je vytvořena jiná elektronická identita uživatele elektronických služeb a/nebo automatizovaného předmětu v jiném (záložním) elektronickém prostředku uživatele elektronických služeb a/nebo automatizovaného předmětu a ta je bezpečně propojena s původní (zálohovanou) elektronickou identitou uživatele elektronických služeb a/nebo automatizovaného předmětu pomocí vzájemné komunikace mezi oběma elektronickými prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a příslušnými elektronickými prostředky poskytovatele elektronických služeb a/nebo lokálními elektronickými prostředky, přičemž k bezpečnému propojení obou elektronických identit uživatele elektronických služeb a/nebo automatizovaného předmětu může být použita další jednorázová elektronická identita uživatele elektronických služeb a/nebo automatizovaného předmětu, která je platná jen pro účel vytváření bezpečného propojení.
Přehled obrázků na výkresech .
Další výhody a účinky vynálezu jsou patrné z přiložených obrázků, kde značí:
obr.1 zobrazení procesu navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů a/nebo mezi lokálními elektronickými prostředky a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů prostřednictvím logických komunikačních kanálů a osobního nosiče elektronické identity PEIG (Personál Electronic Identity Gadget) a využití PEIG k chráněnému uložení dalších informací, obr.2 demonstrování příkladu zálohování elektronické identity bez kopírování utajovaných informací z PEIG.
Příklad provedení vynálezu
Způsob navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky podle vynálezu, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů a/nebo mezi lokálními elektronickými prostředky a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů, je založen na automatizovaném speciálním elektronickém zařízení PEIG 1 (Personál Electronic Identity Gadget - osobní nosič elektronické identity). Jedná se o automatizované speciální elektronické zařízení nebo část zařízení univerzálně využívané svým vlastníkem-uživatelem pro všechny činnosti spojené s elektronickou identitou, které je zkonstruováno a vyrobeno tak, že podporuje více bezpečnostních úrovní, umožňuje používat více různých způsobů či postupů ověřování elektronické identity pomocí více různých algoritmů, které mohou být parametrizovány různými hodnotami parametrů a při jejich výrobě není předem určeno, jaká možnost bude používána.
Zařízení PEIG 1 je určeno k osobnímu používání jednou osobou. Kromě uchování a obsluhy elektronické identity svého vlastníka-uživatele a zajištění veškerých dalších *· **·Φ činností spojených se vznikem, užíváním, údržbou a zrušením elektronické identity nebo identit jediného uživatele je zkonstruováno a vyrobeno tak, že umožňuje uložení dalších informací s odděleným řízením přístupu využívajícího způsobu navazování parametrizovatelné chráněné elektronické komunikace.
Tyto další informace mohou být uloženy buď přímo v elektronickém zařízení, vykonávajícím funkce PEIG1, nebo v nosiči PEIG 2.
Zařízení PEIG 1 může být přímo propojeno s jiným (záložním) zařízením PEIG 1 a tím umožnit uživateli vytvořit záložní nosič své elektronické identity bez kopírování utajovaných informací. Zařízeni PEIG 1 může být zkonstruováno a vyrobeno tak, že neumožní žádným způsobem kopírování utajovaných informací.
Nosič PEIG 2 může obsahovat i Lokální data 22, tedy data, která uživatel nosí s sebou spolu s PEIG 1. Lokální data 22 nebo jiné úložiště dat na nosiči PEIG 2 je pro účely uložení dalších informací s odděleným řízením přístupu uspořádáno tak, že informace příslušné každému jednotlivému Poskytovateli služeb 5 jsou uloženy samostatně a přístup k nim je umožněn pouze po ověření elektronické identity Poskytovatele služeb 5 jen tomu Poskytovateli služeb 5, kterému příslušná samostatná data přísluší.
PEIG 1 komunikuje s Poskytovatelem služby 5. Jedná se o zařízení určená k poskytování elektronických služeb. Tato zařízení zpravidla obsahují řadu modulů sloužících k různým účelům více či méně těsně spojeným s poskytovanou službou a s elektronickou identitou uživatele elektronické služby. Jedná se např. o Obslužný program služby 6 nebo Obslužný program terminálu 19 a o úložiště osobních a jiných údajů o uživatelích služby Osobní data 7.
Modul PEIG-P 8 u Poskytovatele služby 5, respektive PEIG-P terminálu 20 v terminálu 9, zajišťuje veškeré činnosti spojené se vznikem, užíváním, údržbou a zrušením parametizovatelné elektronické identity či identit uživatelů elektronické služby Či souboru služeb. Je zkonstruován a vyroben tak, že podporuje více bezpečnostních úrovní, umožňuje používat více různých způsobů ověřování elektronické identity pomocí více různých algoritmů, které mohou být parametrizovány různými hodnotami parametrů, a to tak, že při výrobě není předem určeno, jaká možnost bude používána.
U modulu PEIG-P 8, respektive PEIG-P terminálu 20, je teprve v době, kdy elektronické prostředky uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronické prostředky poskytovatele elektronických služeb a/nebo lokální elektronické prostředky vzájemně komunikují při vygenerování nebo změně ověřitelné elektronické identity, na základě vzájemné komunikace určena konkrétní bezpečnostní úroveň, postup ověřování, algoritmus a další parametry, které jsou zapamatovány a dále používány při používání a ověřování elektronické identity. K určení konkrétní bezpečnostní úrovně, postupu ověřování, algoritmu a dalších parametrů může modul PE1G-P 8 využít nastavení zadané při instalaci modulu PEIG-P 8j nebo zadané pomocí správcovského rozhraní modulu PEIG-P 8. Takové nastavení může být v průběhu používání měněno a změněné nastavení může být využito ke změně drive vzájemně vykomunikované konkrétní bezpečnostní úrovně, postupu ověřováni, algoritmu a dalších parametrů.
Modul PEIG-P 8 na straně Poskytovatele služeb 5 zprostředkovává pro Poskytovatele služeb 5 přístup k příslušným dalším informacím uloženým v nosiči PE1G 2. Modul PEIG-P 8 zajišťuje součinnost s oběma moduly PEIG-M 3 umístěnými na dvou různých PEIG 1 při vytváření záložní elektronické identity tak, že po ověření bezpečnostních podmínek propojí původní identitu užívanou primárním PEIG 1 s nově vytvořenou identitou sekundárního (záložního) PEIG 1. K ověřeni bezpečnostních podmínek a k propojení původní a záložní identity může být vytvořen a použit jednorázový identifikátor.
Jednotlivé moduly PEIG-M 3 a PEIG-P 8 budou podporovat současně více bezpečnostních úrovní pomocí více metod resp. postupů a více algoritmů s různými parametry a to i pro každou bezpečnostní úroveň. Jednoznačná volba konkrétní bezpečnostní úrovně, konkrétní metody, konkrétních algoritmů a parametrů bude prováděna automaticky pomocí komunikace mezi PEIG-M 3 a PEIG-P 8 prostřednictvím Logického komunikačního kanálu 17 v době vzniku nebo změny elektronické identity. Způsob komunikace umožní zvolit takovou bezpečnostní úroveň, takovou metodu, algoritmy a parametry, které vyhoví minimálním bezpečnostním požadavkům Poskytovatele služeb 5 a minimálním bezpečnostním parametrům nastavených výrobcem PEIG 1 nebo jeho uživatelem a zároveň budou implementovány pomocí PEIG-M 3 a PEIG-P 8. Jednotlivé bezpečnostní úrovně, metody, algoritmy a parametry používané PEIG-M 3 mohou být různé pro různé Poskytovatele služeb 5, podobně jako jednotlivé bezpečnostní úrovně, metody, algoritmy a parametry používané PEIG-P 8 mohou být různé pro různé PEIG 1. V okamžiku užití a ověření elektronické identity bude užita jediná drive určená a uložená bezpečnostní úroveň a identita ověřována jedinou, drive určenou metodou, užívající jedinou sadu algoritmů a jejich parametrů. Při užití a ověření elektronické identity nejsou mezi PEIG-P 8 a PEIG 1 přenášeny žádné informace o používané bezpečnostní úrovni, metodě, algoritmu a jejich parametry. Bezpečnostní úroveň, metoda nebo/a algoritmus a jeho parametry je možné změnit při změně identity a to bez ztráty vazby mezi PE1G1 a Poskytovatelem služeb 5.
Příklady dalšího využití systému navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky
Oddělené uložení dalších informací s řízením přístupu využívající způsob navazovaní parametrizovatelné chráněné elektronické komunikace - jednotlivé moduly PEIG-M 3 a PEIG-P 8 obsahují další funkce, které umožní oddělené uložení a správu dalších informací v modulu Lokální data 22 nebo jinde na nosiči PEIG 2 a to takovým způsobem, že pouze ten Poskytovatel služby 5, který data uložil, bude mít právo k nim přistupovat a s nimi manipulovat. Součástí uložení dat nebo manipulace s daty může být také záznam práva třetí strany provádět uložení nebo/a manipulace s daty, čímž Poskytovatel služby 5 umožní třetí straně provádět činnosti sdaty v rozsahu jím zaznamenaných oprávnění.
Vytváření zálohy elektronické identity bez kopírováni informací o elektronické identitě - dva moduly PEIG-M 3 a jeden modul PEIG-P 8 umožňují takovou komunikaci, kdy dříve vytvořená elektronická identita známá jednomu modulu PEIG-M 3 a modulu PEIG-P 8 je propojena uvnitř modulu PEIG-P 8 s nově vytvořenou identitou druhého modulu PEIG-M 3 tak, že jde o záložní identitu původní identity a to s využitím tomu účelu vygenerovaného jednorázového identifikátoru, předaného mezi oběma moduly PEIG-M 3 a modulem PEIG-P 8 takovým způsobem, aby bylo jisté, že oba moduly PEIG-M 3 má k dispozici tatáž fyzická osoba, kde například bude jednorázový identifikátor předán mezi oběma moduly PEIG-M 3 prostřednictvím Lokálního přímého logického komunikačního kanálu 24 realizovaného pomocí společného Lokálního komunikačního kanálu 16.
Průmyslová využitelnost
V rámci rozšiřitelné funkčnosti jsou jednotlivé moduly elektronické identity PEIG-M 3 a PEIG-P 8 konstruovány jako virtuální specializované počítače s rozšiřitelnou instrukční sadou. To umožní budoucí rozšiřování o nově potřebné činnosti spojené snovými požadavky nebo dalšími elektronických plateb.
oblastmi použití, například nové funkčnosti pro podporu

Claims (3)

  1. PATENTOVÉ NÁROKY
    1. Způsob navazování parametrizovatelné chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů a/nebo mezi lokálními elektronickými prostředky a elektronickými prostředky uživatelů elektronických služeb a/nebo automatizovaných předmětů, vyznačující se tím, že se uživatelé elektronických služeb a/nebo automatizované předměty nejprve vybaví osobním nosičem elektronické identity bez informací o identitě uživatele elektronických služeb a/nebo automatizovaného předmětu, podporujícím více bezpečnostních úrovní a umožňujícím používat více různých způsobů ověřování elektronické identity pomocí více různých algoritmů, které mohou být parametrizovány různými hodnotami parametrů, přičemž i elektronické prostředky libovolného poskytovatele elektronických služeb a/nebo lokální elektronické prostředky podporují více bezpečnostních úrovní a umožňují používat více různých způsobů ověřování elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu pomocí více různých algoritmů, které mohou být parametrizovány různými hodnotami parametrů, načež až při prvním připojení prázdného osobního nosiče uživatele elektronických služeb a/nebo automatizovaného předmětu na elektronické prostředky libovolného poskytovatele elektronických služeb a/nebo na lokální elektronické prostředky nebo při změně elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu si osobní nosič elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronické prostředky poskytovatele elektronických služeb a/nebo lokální elektronické prostředky ve vzájemné komunikaci určí jedinou konkrétní bezpečnostní úroveň, postup ověřování, algoritmus a další parametry, které jsou zapamatovány osobním nosičem elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu a elektronickými prostředky poskytovatele elektronických služeb a/nebo lokálními elektronickými prostředky a dále užívány při používání a ověřování elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu bez přenosu těchto informací při používání a ověřování elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu, přičemž na základě vzájemné komunikace může dojít ke změně konkrétních hodnot í později.
  2. 2. Způsob podle nároku 1, vyznačující se tím, že osobní nosič elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu je použit také k oddělenému uložení dalších informací, které jsou zabezpečeny před neoprávněnou manipulací tím, že je využito ověřené elektronické identity poskytovatele elektronických služeb a/nebo lokálních elektronických prostředků k tomu, aby odděleně uložené informace byly zpřístupněny jen příslušnému poskytovateli elektronických služeb a/nebo lokálním elektronickým prostředkům nebo tomu, komu příslušný poskytovatel elektronických služeb a/nebo lokální elektronické prostředky taková práva přidělily.
  3. 3. Způsob podle nároku 1, vyznačující se tím, že utajované informace o elektronické identitě uživatele elektronických služeb a/nebo automatizovaného předmětu uložené v osobním nosiči elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu jsou z bezpečnostních důvodů uloženy tak, že není možné tyto informace získat a to ani pro vytvoření bezpečnostní zálohy elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu a osobní nosič elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu je zkonstruován tak, že lze vytvořit bezpečnostní zálohu elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu spoluprací dvojice osobních nosičů elektronické identity uživatele elektronických služeb a/nebo automatizovaného předmětu, které spolu přímo lokálně komunikují při součinnosti s elektronickými prostředky poskytovatelů elektronických služeb a/nebo lokálními elektronickými prostředky, k čemuž mohou použít přechodný jednoúčelový identifikátor.
CZ20090281A 2009-05-05 2009-05-05 Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky CZ2009281A3 (cs)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CZ20090281A CZ2009281A3 (cs) 2009-05-05 2009-05-05 Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky
PCT/CZ2010/000055 WO2010127643A2 (en) 2009-05-05 2010-05-03 Method of establishing parameterisable protected electronic communication between various electronic devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ20090281A CZ2009281A3 (cs) 2009-05-05 2009-05-05 Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky

Publications (1)

Publication Number Publication Date
CZ2009281A3 true CZ2009281A3 (cs) 2010-11-18

Family

ID=42782309

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ20090281A CZ2009281A3 (cs) 2009-05-05 2009-05-05 Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky

Country Status (2)

Country Link
CZ (1) CZ2009281A3 (cs)
WO (1) WO2010127643A2 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ306210B6 (cs) * 2015-07-07 2016-09-29 Aducid S.R.O. Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ306210B6 (cs) * 2015-07-07 2016-09-29 Aducid S.R.O. Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru

Also Published As

Publication number Publication date
WO2010127643A2 (en) 2010-11-11
WO2010127643A3 (en) 2011-01-06

Similar Documents

Publication Publication Date Title
CA3030129C (en) Electronic credential management system
CN108111473B (zh) 混合云统一管理方法、装置和系统
CN107771383A (zh) 使用认证服务器将至少两个认证设备映射到用户账户的方法
US9722999B2 (en) Secure access to secure access module-enabled machine using personal security device
CN101816140A (zh) 用于pki个性化过程的基于令牌的管理系统
US20150169860A1 (en) Security key using multi-otp, security service apparatus, security system
CN108701094A (zh) 在基于云的应用中安全地存储和分发敏感数据
CN108830070A (zh) 无人参与且安全的设备授权
US11514419B2 (en) Method of configuring or changing a configuration of a POS terminal and/or assignment of the POS terminal to an operator
CN102027480A (zh) 用于提供系统管理命令的系统和方法
EP2332284A2 (de) Freischalten eines dienstes auf einem elektronischen gerät
CN105915338A (zh) 生成密钥的方法和系统
CN113364589A (zh) 用于联邦学习安全审计的密钥管理系统、方法及存储介质
Vasylkovskyi et al. BlockRobot: Increasing privacy in human robot interaction by using blockchain
CZ306790B6 (cs) Způsob navazování chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb
US10805079B2 (en) Method for securing an automated system
CZ2009281A3 (cs) Zpusob navazování parametrizovatelné chránené elektronické komunikace mezi ruznými elektronickými prostredky
WO2017206698A1 (zh) 基于atl的设备管理方法、系统和金融自助设备
CN112070946A (zh) 基于闸机的社交应用程序管控方法、装置、设备及介质
Toth et al. Privacy by design architecture composed of identity agents decentralizing control over digital identity
Bißmeyer Security in ecu production
CN115037450B (zh) 数据保护方法及电子设备
CZ201881A3 (cs) Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů
CN113608933B (zh) 一种面向公有云租户业务敏感数据的分布式备份同步系统
CN106921673A (zh) 网络安全管理方法及服务器