CZ293918B6 - Method and device for identification of persons and technical equipment - Google Patents

Method and device for identification of persons and technical equipment Download PDF

Info

Publication number
CZ293918B6
CZ293918B6 CZ20021155A CZ20021155A CZ293918B6 CZ 293918 B6 CZ293918 B6 CZ 293918B6 CZ 20021155 A CZ20021155 A CZ 20021155A CZ 20021155 A CZ20021155 A CZ 20021155A CZ 293918 B6 CZ293918 B6 CZ 293918B6
Authority
CZ
Czechia
Prior art keywords
block
identification data
information
identification
bidirectional
Prior art date
Application number
CZ20021155A
Other languages
Czech (cs)
Other versions
CZ20021155A3 (en
Inventor
Šimberaápetráing
Original Assignee
Šimberaápetráing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Šimberaápetráing filed Critical Šimberaápetráing
Priority to CZ20021155A priority Critical patent/CZ293918B6/en
Publication of CZ20021155A3 publication Critical patent/CZ20021155A3/en
Publication of CZ293918B6 publication Critical patent/CZ293918B6/en

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

Identification of persons or technical equipment using a computer program and corresponding hardware is carried out in such a manner that first secondary identification data of a person or technical equipment is loaded from an information carrier. Further identification data of a reading device and identification data of a target system are added thereto to thereby creating an information file. The information file is then encoded and transmitted to a verification center where it is decoded and checked for authenticity. Subsequently the information file is converted back to individual identification data. Based on the secondary identification data, there is carried out within the framework of the processing, a definition of primary identification data and subsequently a definition of secondary identification data for the given target system. The resulting secondary identification data of a person or technical equipment is then encoded and transmitted back to an identification request source. The information file is then decoded and the resulting secondary identification data is handed over to the identification applicant in a defined range. A device for making the above-described method is made of known block with a new circuit arrangement.

Description

Oblast technikyTechnical field

Vynález se týká způsobu a zařízení pro identifikaci a autorizaci osob a technických zařízení, za současné autorizace a autentizace informací v elektronické podobě, ve vazbě na provedenou identifikaci.The invention relates to a method and apparatus for identifying and authorizing persons and technical devices, while simultaneously authorizing and authenticating information in electronic form, in connection with the identification made.

Současny stav technikyCurrent state of the art

Známé způsoby a zařízení identifikují osoby a technická zařízení pomocí určitého identifikátoru, případně další informace. Umožňují poskytnout osobě vlastnící identifikátor, prokázat jiné osobě, technickému zařízení, nebo automatizovaným systémům, že je osobou, za kterou se vydává. K tomu slouží primární i sekundární identifikátory. Primární identifikátoiy jsou např. rodný list, občanský průkaz, řidičský průkaz či cestovní pas a vydávají je orgány státní správy či policie. Tyto listinné doklady obsahují základní identifikační údaje držitele včetně čísel dokladů a slouží k identifikaci občanů vůči orgánům státní správy nebo organizacím. Sekundární identifikátory jsou závislé na primárních identifikátorech, nebo na jiných sekundárních identifikátorech. Mohou to být rovněž listinné doklady, například zaměstnanecké a zákaznické průkazy, či karty, doplněné elektronickými prvky s různou úrovní ochranných prvků proti možnému zneužití. Jsou to též magnetické, čipové a inteligentní karty (smart card), které umožňují prostřednictvím technického zařízení případně další přesně specifikované informace automatizovaně identifikovat majitele karty bez zásahu další osoby. US patent č. 6317832 popisuje systém multiplikačního použití inteligentní karty pro více aplikací. Umožňuje na kartu ukládat informace od více zdrojů jako je banka, letecké společnosti, zdravotní informace a podobně. Informace jsou uloženy v šifrované podobě v paměti karty. Při uložení dat na kartě je nebezpečí jejich zneužití, pokud dojde k prolomení ochranného šifrování. Organizačně je systém náročný, každý zdroj si může do karty nahrát definovaný objem informací. Rozsah použití je limitován velikostí paměti na kartě. US patent č. 6317830 popisuje způsob a zařízení pro autorizaci uživatelů navzájem a pro navázání bezpečné digitální komunikace mezi uživateli v podobě technických zařízení. Pro vzájemnou autorizaci technických zařízení využívá šifrování. Způsob i zařízení je oborově zaměřeno jen na telekomunikace. US patent č. 6317829 popisuje systém založený na asymetrické kryptografii s veřejným klíčem. Umožňuje centrální správu klíčů včetně historie dvojic klíčů. V případě potřeby umožňuje dekódovat informaci zašifrovanou klíčem, u kterého již vypršela lhůta platnosti. Uživatel se spojí s centrálním systémem, provede autorizaci a vyžádá si historický klíč, který mu centrální systém odešle zabezpečeným komunikačním kanálem. Řešení je jednoduché a koncepce je zajímavá. US patent č. 6307956 popisuje systém identifikace uživatelů s využitím biometrických dat, který je do značné míry obecný. US patent č. 6205437 popisuje platební systém umožňující provádět platební transakce přes Internet. Pro autorizaci uživatelů a autentizaci informací využívá digitální podpis. Jde o uzavřené řešení pro obecné použití včetně softwaru. Platební systém poskytuje podobnou funkčnost jako některé platební portály.Known methods and devices identify persons and technical devices using a particular identifier or other information. They allow you to provide the person possessing the identifier, to prove to another person, technical equipment, or automated systems that they are the person they impersonate. Primary and secondary identifiers are used for this purpose. Primary identifiers are eg birth certificate, identity card, driving license or passport and are issued by state administration or police authorities. These paper documents contain the basic identification data of the holder, including the document numbers, and serve to identify citizens towards state administration bodies or organizations. Secondary identifiers are dependent on primary identifiers, or other secondary identifiers. They may also be paper documents, such as employee and customer cards, or cards, accompanied by electronic elements with different levels of security against possible abuse. They are also magnetic, chip and smart cards, which enable technical equipment or other precisely specified information to automatically identify the card owner without the intervention of another person. US Patent No. 6,317,832 discloses a multi-application smart card multiplier application system. Allows the card to store information from multiple sources such as bank, airlines, health information, and the like. The information is stored in an encrypted form in the memory of the card. When you save data on the card, there is a risk of misuse if the encryption is broken. The system is demanding in terms of organization, each resource can load a defined amount of information into the card. The usage range is limited by the amount of memory on the card. US Patent No. 6,317,830 discloses a method and apparatus for authorizing users to each other and for establishing secure digital communication between users in the form of technical devices. It uses encryption to mutually authorize technical devices. The method and equipment are focused on telecommunications only. US Patent No. 6,317,829 discloses a system based on asymmetric public key cryptography. Allows central key management, including key pair history. If necessary, it allows you to decode the information encrypted with a key that has expired. The user connects to the central system, authorizes and requests a historical key, which the central system sends to him through a secure communication channel. The solution is simple and the concept is interesting. US Patent No. 6307956 discloses a user identification system using biometric data, which is largely general. US Patent No. 6205437 discloses a payment system allowing to make payment transactions over the Internet. It uses a digital signature to authorize users and authenticate information. It is a closed solution for general use including software. The payment system provides similar functionality to some payment portals.

Nevýhodou známých způsobů identifikace je množství informací a prostředků sloužících k identifikaci. Po každou oblast použití se vydává jiný identifikátor. Úroveň zabezpečení před zneužitím informací v okamžiku krádeže nebo ztráty identifikátorů je relativně nízká. Každý vlastník identifikačního systému pro identifikaci osob představuje pro své zákazníky potenciální nebezpečí, že u něj dojde k úniku důvěrných informací. Celkové náklady na provoz současných identifikačních systémů jsou vysoké. Rychlost reakce v případě ztráty, resp. krádeže je u současných identifikačních systémů minimální, čímž přetrvává dlouhodobé riziko zneužití těchto identifikátorů k páchání trestné činnosti. Ztráta nebo krádež omezuje postiženou osobu v jejích aktivitách do doby vydání nového identifikátoru.A disadvantage of known methods of identification is the amount of information and means of identification. A different identifier is issued for each field of application. The level of security against misuse of information at the time of theft or loss of identifiers is relatively low. Every owner of a personal identification system presents a potential risk to his / her customers that they will leak confidential information. The overall cost of running current identification systems is high. Reaction rate in case of loss, resp. Theft is minimal in the current identification systems, which persists in the long-term risk of abuse of these identifiers for committing crime. Loss or theft restricts the affected person in their activities until a new identifier is issued.

- 1 I- 1 I

Podstata vynálezuSUMMARY OF THE INVENTION

Tyto nedostatky odstraňuje do značné míry způsob identifikace osob a technických zařízení, s využitím sekundárních identifikačních dat uložených v elektronickém nosiči informací elektronickém identifikátoru a soustavy primárních identifikačních dat a sekundárních identifikačních dat uložených v ověřovacím centru, u kterého se prostřednictvím počítačového programu vyžaduje identifikace osoby nebo technického zařízení, při kterém se načítají z nosiče 10 informací sekundární identifikační data osoby nebo technického zařízení. Podstata vynálezu spočívá v tom, že se k sekundárním identifikačním datům držitele elektronického identifikátoru připojují identifikační data čtecího zařízení, identifikační data cílového systému, čímž se vytváří soubor informací, který se zakóduje a odesílá k ověření do ověřovacího centra. V ověřovacím centru se přijatý soubor informací dekóduje a kontroluje se autentičnost přeneseného souboru 15 informací. Dekódovaný a zkontrolovaný soubor informací se převádí zpět na jednotlivá identifikační data. Sekundární identifikační data držitele elektronického identifikátoru se převádějí na primární identifikační data a následně v kombinaci s identifikačními daty cílového systému určují výsledná sekundární identifikační data držitele identifikátoru nebo technického zařízení pro daný cílový systém. Tato výsledná sekundární identifikační data se po zakódování odesílají 20 počítačovému programu, který je prostřednictvím nosiče informací elektronického identifikátoru dekóduje, a poskytuje ke zpracování cílovému systému, který tímto způsobem získává odpovídající identifikační data držitele identifikátoru nebo technického zařízení. K souboru informací, který se přenáší do ověřovacího centra, je možné připojovat i identifikační data operátora cílového systému, pro kterého se v ověřovacím centru kontroluje oprávnění k provádění identi25 fikace ve vazbě na cílový systém.These deficiencies are largely overcome by the means of identifying persons and technical devices, using secondary identification data stored in the electronic data carrier of the electronic identifier and a system of primary identification data and secondary identification data stored in an authentication center that requires a person or technical identification through a computer program. a device in which the secondary identification data of a person or technical device is read from the information carrier 10. SUMMARY OF THE INVENTION The subject matter of the invention is that the identification data of the reader device, the identification data of the target system, are attached to the secondary identification data of the holder of the electronic identifier, thereby creating a set of information which is encoded and sent for verification to the authentication center. At the authentication center, the received information set is decoded and the authenticity of the transmitted information set 15 is checked. The decoded and checked set of information is converted back to individual identification data. The secondary identifier of the electronic identifier holder is converted to the primary identification data and then, in combination with the target system identification data, determines the resulting secondary identifier data of the identifier holder or the technical equipment for the target system. The resulting secondary identification data, after encoding, is sent to a computer program which decodes it by means of the electronic identifier information carrier and provides it for processing to the target system, which in this way obtains the corresponding identification data of the holder of the identifier or technical equipment. The identification data of the target system operator for which the authorization to perform identification in relation to the target system is checked in the authentication center may be appended to the set of information that is transmitted to the authentication center.

Zařízení k provádění způsobu identifikace osob a technických zařízení je vybaveno elektronickým identifikátorem, jehož obousměrný vývod je spojen s identifikačním obousměrným vývodem čtecího zařízení. Podstata vynálezu spočívá v tom, že komunikační obousměrný vývod 30 čtecího zařízení je spojen s komunikačním obousměrným vývodem programového bloku. Přenosový obousměrný vývod programového bloku je spojen s obousměrným vývodem přenosového bloku. Přenosový výstup přenosového bloku je spojen se vstupem dekódovacího bloku, jehož obousměrný vývod je spojen s prvním obousměrným vývodem ověřovacího bloku. Druhý obousměrný vývod ověřovacího bloku je spojen s obousměrným vývodem kódovacího bloku. 35 Výstup dekódovacího bloku je spojen se vstupem vyhodnocovacího bloku, jehož první obousměrný vývod je spojen s obousměrným vývodem identifikačního bloku. Druhý obousměrný vývod vyhodnocovacího bloku je spojen s obousměrným vývodem autorizačního bloku. Třetí obousměrný vývod vyhodnocovacího bloku je spojen s obousměrným vývodem anonymizačního bloku. Výstup vyhodnocovacího bloku je spojen se vstupem kódovacího bloku. Výstup kódova40 čího blokuje spojen s přenosovým vstupem přenosového bloku.The device for performing the method of identifying persons and technical devices is equipped with an electronic identifier, whose bi-directional terminal is connected with the bi-directional identification terminal of the reading device. The essence of the invention is that the communication bidirectional terminal 30 of the reading device is connected to the communication bidirectional terminal of the program block. The bi-directional terminal of the program block is connected to the bi-directional terminal of the transmission block. The transport output of the transport block is coupled to an input of a decoding block whose bi-directional terminal is connected to the first bi-directional terminal of the authentication block. The second bidirectional pin of the verification block is connected to the bidirectional pin of the coding block. 35 The output of the decoding block is connected to an input of the evaluation block, the first bi-directional terminal of which is connected to the bi-directional terminal of the identification block. The second bidirectional terminal of the evaluation block is connected to the bidirectional terminal of the authorization block. The third bidirectional terminal of the evaluation block is connected to the bidirectional terminal of the anonymization block. The output of the evaluation block is connected to the input of the coding block. The output of the coding block is coupled to the transport input of the transport block.

Výhodou vynálezu je, že vytváří identifikační a autorizační systém s vícevrstvou bezpečnostní architekturou, s centrálním ověřením pro vyšší bezpečnostní úrovně. Pro identifikaci jedince využívá elektronický identifikátor v kombinaci s dalšími prvky zabezpečení. Důsledně odděluje 45 identifikaci resp. autorizaci a autentizaci informací od systémů využívajících získaná identifikační data. Odstraňuje tak vazby mezi cílovými systémy a informacemi obsaženými v identifikátoru, protože informace na identifikátoru nemají žádnou přímou vazbu na cílový systém. Umožňuje identifikaci osob a poskytování komplexních služeb identifikace v mnoha oblastech každodenního života. Toto řešení odstraňuje základní nedostatek současných řešení a to velmi 50 úzkou vazbu mezi informacemi na identifikátoru a cílovým systémem. Z tohoto důvodu umožňuje komplexní využití jednoho identifikátoru pro velký počet cílových systémů bez bezpečnostních rizik, které se vyskytují v případě integrace současných identifikačních systémů. Identifikace se provádí použitím jednoho elektronického identifikátoru, případně elektronického identifikátoru v kombinaci s dalším prvkem identifikace, kterým je například přístupový kód, proAn advantage of the invention is that it creates an identification and authorization system with a multilayered security architecture, with central authentication for higher security levels. It uses an electronic identifier in combination with other security features to identify the individual. It consistently separates 45 identifications respectively. authorization and authentication of information from systems using the acquired identification data. This removes the links between the target systems and the information contained in the identifier because the information on the identifier has no direct link to the target system. It enables the identification of persons and the provision of comprehensive identification services in many areas of everyday life. This solution eliminates the basic drawback of current solutions, namely the very close link between the information on the identifier and the target system. For this reason, it allows a comprehensive use of a single identifier for a large number of target systems without the security risks that occur when integrating existing identification systems. The identification is performed by using one electronic identifier, or an electronic identifier, in combination with another identification element, such as an access code, for

-2CZ 293918 B6 dosažení vyšší úrovně zabezpečení důvěryhodnosti procesu identifikace, resp. autorizace. Popisovaný způsob zajišťuje vysokou míru bezpečnosti a zabezpečení s ohledem na proces identifikace, přenos informací, jejich dočasného i trvalého uchování, a současně eliminuje možnosti jejich zneužití. Oproti současným identifikačním systémům přináší podstatné zvýšení 5 ochrany důvěrných dat jedince a možnosti jeho ochrany v případě ztráty elektronického identifikátoru. Vytváří víceúrovňovou architekturu, ve které jsou jednotlivé úrovně na sobě funkčně nezávislé. Plošné nasazení tohoto systému sníží řádově investiční i provozní náklady ve srovnání se zaváděním jednotlivých účelových řešení. Aplikace tohoto způsobu identifikace umožňuje vytvoření nových služeb se specifickým využitím, jako například nový model elektronického 10 platebního styku, přímých elektronických plateb, provozu a správy základních registrů pro státní správu, centrální elektronickou evidenci zdravotní dokumentace a mnoho dalších.-2GB 293918 B6 To achieve a higher level of trust in the identification process, respectively. authorization. The described method ensures a high level of security and security with respect to the process of identification, transmission of information, its temporary and permanent storage, while eliminating the possibility of its misuse. Compared to current identification systems, it brings a significant increase in the protection of an individual's confidential data and the possibility of its protection in case of loss of an electronic identifier. It creates a multi-level architecture in which the individual levels are functionally independent of each other. The overall deployment of this system will reduce the investment and operating costs in the order of magnitude compared to the implementation of individual special-purpose solutions. Application of this method of identification enables the creation of new services with specific use, such as a new model of electronic payment system, direct electronic payments, operation and administration of basic registers for state administration, central electronic records of medical records and many others.

Přehled obrázku na výkreseOverview of the figure in the drawing

Zařízení k provádění způsobu podle vynálezu bude blíže objasněno pomocí výkresu, na kterém je znázorněno propojení jednotlivých bloků, v nichž se identifikace zákazníků a technických zařízení zajišťuje.The apparatus for carrying out the method according to the invention will be explained in more detail by means of a drawing which shows the interconnection of individual blocks in which the identification of customers and technical equipment is provided.

Příklady provedení vynálezuDETAILED DESCRIPTION OF THE INVENTION

Způsob identifikace osob nebo technických zařízení využívá sekundární identifikační data, která jsou uložena na nosiči informací, to je na elektronickém identifikátoru v elektronické podobě 25 s možností selektivního přístupu k těmto informacím. Primární identifikační data jsou důvěrná data držitele identifikátoru společně se souborem celosvětově unikátních číselných identifikátorů sloužících pro konverze mezi sekundárními identifikačními daty uloženými na nosiči, sekundárními identifikačními daty pro cílové systémy a primárními identifikačními daty, která jsou bezpečně uložena v ověřovacím centru za zvláštních bezpečnostních podmínek. Pod pojmem 30 cílový systém se rozumí soubor programového a technického vybavení, které prostřednictvím aplikačních rozhraní využívá jednotlivé funkce uvedeného způsobu identifikace. Pod pojmem ověřovací centrum se rozumí seskupení všech bloků mezi dekódovacím blokem 5 a kódovacím blokem 11 v definovaném zapojení. Sekundární identifikační data pro cílové systémy představují skupinu číselných identifikátorů a informací spjatých s cílovým systémem. U bank jsou to čísla 35 účtů a kreditní limity, ve zdravotnictví to jsou zdravotní informace držitele identifikátoru a podobně.The method of identifying persons or technical devices utilizes secondary identification data which is stored on an information carrier, i.e., on an electronic identifier in electronic form 25 with the possibility of selective access to this information. Primary identification data is the ID holder's confidential data together with a set of globally unique numeric identifiers used for conversions between the secondary identification data stored on the carrier, the secondary identification data for the target systems and the primary identification data that are securely stored in the authentication center under special security conditions. The term "target system" is understood to mean a set of software and hardware which, through application interfaces, utilizes the individual functions of said method of identification. By the verification center is meant the grouping of all the blocks between the decoding block 5 and the coding block 11 in a defined circuit. The secondary identification data for the target systems is a group of numeric identifiers and information associated with the target system. For banks, these are 35 account numbers and credit limits;

Technické zařízení, které slouží k provádění tohoto způsobu, je vytvořeno ze známých bloků v novém zapojení. Jednotlivé bloky technického zařízení jsou vybaveny vlastním programovým 40 vybavením a je možno je charakterizovat takto. Elektronický identifikátor 1 je známé zařízení, které obsahuje paměťový blok 1.1, řídicí blok 1.2 a informační blok 1.3 ve známém zapojení. Paměťový blok 1.1 i řídicí blok 1.2 je chráněn znehodnocením uchovávaných informací v případě pokusu o jejich neoprávněné čtení. V oddělených paměťových oblastech elektronického identifikátoru 1 jsou uložena sekundární identifikační data společně s dalšími anonymizovanými 45 informacemi, sloužícími pro rozšíření funkčnosti. Přístup do jednotlivých paměťových oblastí se chrání přístupovými kódy, které zná pouze oprávněný držitel nosiče informací. V paměťovém bloku 1.1 elektronického identifikátoru 1 mohou být uloženy i biometrické informace, např. markanty daktyloskopického otisku, snímek oční zornice, nebo digitálně zpracovaná fotografie držitele, sloužící k zvýšení bezpečnosti některých úrovní identifikace. Typickým představitelem 50 elektronického nosiče je inteligentní karta (smart card, či intelligent card). Slouží nejen jako nosič elektronických informací, ale současně může sloužit i jako výkonný prvek provádějící kódovací a dekódovací operace. Řídicí blok 1.2 elektronického identifikátoru 1 je vytvořen ze souboru firmware dodavatele, z uživatelského programového vybavení a elektronických obvodů. Kromě jiného zabezpečuje komunikaci mezi elektronickým identifikátorem 1 a čtecím zařízenímThe technical device used to carry out this method is made up of known blocks in a new circuit. Individual blocks of technical equipment are equipped with their own software and can be characterized as follows. The electronic identifier 1 is a known device which comprises a memory block 1.1, a control block 1.2 and an information block 1.3 in a known circuit. Both the memory block 1.1 and the control block 1.2 are protected by deterioration of the stored information in the event of an unauthorized reading. In the separate memory areas of the electronic identifier 1, the secondary identification data is stored together with other anonymized 45 information for extending the functionality. Access to individual memory areas is protected by access codes known only to the authorized holder of the information carrier. Biometric information, such as dactyloscopic fingerprint minutiae, eye pupil image, or digitally processed photo of the holder may also be stored in the memory block 1.1 of the electronic identifier 1 to enhance the security of some levels of identification. A typical representative of an electronic carrier 50 is a smart card. It serves not only as a carrier of electronic information, but can also serve as an executive element performing coding and decoding operations. The control identifier 1.2 of the electronic identifier 1 is formed from a vendor firmware file, user software, and electronic circuits. It also provides communication between the electronic identifier 1 and the reader

-3 CZ 293918 B6-3 CZ 293918 B6

2. Informační blok 1.3 identifikátoru 1 je vytvořen na jeho povrchu a obsahuje soubor vizuálních informací. Jsou to informace grafické, písemné a informace uzpůsobené pro strojové čtení. Obsahuje též ochranné prvky proti neoprávněnému použití. Čtecí zařízení 2 je sestaveno ze známých bloků, obsahujících soubor technického a programového vybavení společně s elektro5 nickými obvody. Slouží ke zprostředkování komunikace mezi elektronickým identifikátorem 1 a programovým blokem 3. Současně s využitím identifikačních dat uložených v paměťovém bloku 2.1 plní čtecí zařízení 2 omezující roli v určení sekundárních identifikačních dat a jejich předávaného rozsahu do programového bloku 3. Podle typu prováděných procesů a podle oblasti použití se liší řídicí programové vybavení čtecího zařízení 2, stejně jako objem informací 10 v paměťovém bloku 2.1 čtecího zařízení 2. Paměťový blok 2.1 čtecího zařízení 2 je vytvořen z paměťových obvodů pro trvalé i dočasné uchování informací. Klávesnice 2.2 čtecího zařízení 2 je známá multifunkční klávesnice. Slouží držiteli elektronického identifikátoru 1 k zadávání požadovaných informací, například přístupových kódů, částek a podobně do čtecího zařízení 2. Řídicí blok 2.3 čtecího zařízení 2 řídí ostatní bloky čtecího zařízení 2. Současně komunikuje 15 s řídicím blokem 1.2 elektronického identifikátoru las programovým blokem 3. Displej 2.4 čtecího zařízení 2 je známý multifunkční zobrazovací displej. V součinnosti s klávesnicí 2.2 čtecího zařízení 2 slouží k zadávání informací a zobrazování výsledku prováděných procesů. Bezpečnostní blok 2.5 čtecího zařízení 2 je nově koncipovaný soubor známého elektronického zařízení a mechanických součástí. Zajišťuje znehodnocení informací uložených v elektronických 20 paměťových obvodech v případě pokusu o neoprávněný zásah do konstrukce čtecího zařízení.2. Information block 1.3 of the identifier 1 is formed on its surface and contains a set of visual information. These are graphical, written and machine-readable information. It also contains protective elements against unauthorized use. The reading device 2 is composed of known blocks containing a set of hardware and software together with electronic circuits. It serves to mediate communication between the electronic identifier 1 and the program block 3. At the same time, using the identification data stored in the memory block 2.1, the reader 2 fulfills a limiting role in determining the secondary identification data and its transmitted range to the program block 3. the use of the reader 2 control software as well as the amount of information 10 in the reader 2's memory block 2.1 differs. The reader 2's memory block 2.1 is formed from memory circuits for both permanent and temporary storage of information. The keyboard 2.2 of the reader 2 is a known multifunction keyboard. It serves the holder of the electronic identifier 1 to enter the required information, such as access codes, amounts and the like, into the reader 2. The control block 2.3 of the reader 2 controls the other blocks of the reader 2. At the same time 15 communicates with the control block 1.2 of the electronic identifier and the program block 3. 2.4 of the reading device 2 is a known multifunctional display. In cooperation with the keyboard 2.2 of the reading device 2 it serves for entering information and displaying the results of performed processes. The security block 2.5 of the reading device 2 is a newly conceived set of known electronic devices and mechanical components. It ensures the deterioration of the information stored in the electronic 20 memory circuits in the event of an unauthorized interference with the construction of the reading device.

Čtecí zařízení 2 je spojeno přes programový blok 3 a přes přenosový blok 4 s ověřovacím centrem 100. Ověřovací centrum 100 zahrnuje dekódovací blok 5, ověřovací blok 6, vyhodnocovací blok 7, identifikační blok 8, autorizační blok 9, anonymizátor 10 a kódovací blok Π.· Programový blok 3 je vytvořen z modulů programového vybavení, které je možno dále rozvíjet 25 a které zajišťují komunikaci mezi programovým blokem 3 a elektronickým identifikátorem 1 prostřednictvím čtecího zařízení 2. Zajišťuje též komunikaci mezi programovým blokem 3 a ověřovacím centrem 100 prostřednictvím přenosového bloku 4. Programový blok 3 obsahuje aplikační rozhraní, které umožňuje cílovým systémům využívání poskytovaných služeb. Přenosový blok 4 je známý soubor programového a technického vybavení. Je to komunikační 30 infrastruktura pro zajištění rychlého a bezpečného přenosu informací mezi jednotlivými výpočetními prostředky i mezi těmito výpočetními prostředky a ověřovacím centrem 100. Soustava komunikačních uzlů představovaných přenosovým blokem 4 zajišťuje dostupnost, bezpečnost a požadovanou kapacitu přenosových tras. Jednotlivé bloky ověřovacího centra 100 je možno charakterizovat takto. Dekódovací blok 5 je vytvořen ze známého technického a programového 35 vybavení pro dekódování a dešifrování přijatých souborů informací, resp. požadavků na zpracování ve spolupráci s ověřovacím blokem 6. Ověřovací blok 6 je tvořen souborem známého technického zařízení a specifického programového vybavení. Slouží k bezpečnému uchovávání informací o elektronických identifikátorech, jejich časové validitě a dalších specifických informacích. Vyhodnocovací blok 7 obsahuje aplikační a systémové rozhraní s řídicí logikou. Je 40 základním řídicím prvkem ověřovacího centra 100 a je tvořen známým technickým zařízením a programovým vybavením, současně se speciálním programovým vybavením. Slouží k vyhodnocení požadavku na provedení určité funkce poskytované systémem. Na základě struktury souboru informací resp. požadavku vněm obsaženém předává dílčí informace ke zpracování v dalších blocích, které předávají výsledek zpracování zpět do vyhodnocovacího bloku 7. 45 Identifikační blok 8 je vytvořen ze známého technického zařízení a programového vybavení.The reader 2 is connected via the program block 3 and the transport block 4 to the verification center 100. The verification center 100 comprises a decoding block 5, a verification block 6, an evaluation block 7, an identification block 8, an authorization block 9, an anonymizer 10 and a coding block Π. The program block 3 is formed from software modules that can be further developed 25 and which provide communication between the program block 3 and the electronic identifier 1 via the reader 2. It also provides communication between the program block 3 and the verification center 100 via the transfer block 4. Program block 3 includes an application interface that allows the target systems to use the services provided. The transfer block 4 is a known set of software and hardware. It is a communication infrastructure 30 for providing fast and secure transmission of information between and between computing resources and the authentication center 100. The set of communication nodes represented by the transport block 4 ensures the availability, security and required capacity of the transmission paths. Individual blocks of the verification center 100 may be characterized as follows. The decoding block 5 is made up of known hardware and software 35 for decoding and decrypting the received sets of information, respectively. processing requirements in cooperation with the verification block 6. The verification block 6 consists of a set of known hardware and specific software. It serves to securely store information about electronic identifiers, their time validity and other specific information. The evaluation block 7 comprises an application and system interface with control logic. It is the 40 basic control element of the verification center 100 and is made up of known hardware and software, along with special software. It is used to evaluate the requirement to perform a certain function provided by the system. Based on the structure of the information file respectively. the request contained therein passes the partial information to be processed in the other blocks, which transmit the processing result back to the evaluation block 7. 45 The identification block 8 is made up of known hardware and software.

Slouží k uchovávání primárních identifikačních dat a sekundárních identifikačních dat pro cílové systémy za zvláštních bezpečnostních podmínek. Současně provádí jednotlivé konverze mezi sekundárními a primárními daty. Autorizační blok 9 je známý soubor technického zařízení a programového vybavení. Slouží k uchovávání autorizačních informací a definice oprávnění 50 s vazbou na specifická sekundární data cílových systémů. Současně podle požadavku vyhodnocovacího bloku 7 zjišťuje atributy držitele nebo operátora cílového systému v kontextu cílového systému. Výsledný soubor atributů předává zpět do vyhodnocovacího bloku 7. Anonymizátor 10 je vytvořen ze známého technického zařízení a programového vybavení současně se speciálním programovým vybavením. Slouží k sofistikovanému pozměňování zpracovávaných informací,It serves to store primary identification data and secondary identification data for target systems under special security conditions. It also performs individual conversions between secondary and primary data. Authorization block 9 is a known set of hardware and software. It is used to store authorization information and to define authority 50 in relation to specific secondary data of the target systems. At the same time, as requested by the evaluation block 7, it detects the attributes of the holder or operator of the target system in the context of the target system. The resulting set of attributes is passed back to the evaluation block 7. The anonymizer 10 is made of known hardware and software together with the special software. It serves for sophisticated modification of processed information,

-4CZ 293918 B6 které brání přímému zpětnému určení konkrétní vazby na předaný soubor informací, případně na konkrétního držitele elektronického identifikátoru 1. Současně obsahuje známé technické prostředky pro dekódování a kódování uživatelsky šifrovaných informací pro funkce poskytované popisovaným řešením. Kódovací blok 11 je tvořen známým technickým zařízením a programovým vybavením. Zajišťuje kódování a šifrování odesílaných souborů informací, resp. odpovědí na požadavky na zpracování ve spolupráci s ověřovacím blokem 6.It also includes known technical means for decoding and coding user-encrypted information for the functions provided by the disclosed solution. The coding block 11 is formed by known hardware and software. Ensures encoding and encryption of sent information files, respectively. responses to processing requests in collaboration with the verification block 6.

Jednotlivé bloky jsou zapojeny takto. Obousměrný vývod 11 elektronického identifikátoru 1 je spojen s obousměrným identifikačním vývodem 21 čtecího zařízení 2. Obousměrný komunikační vývod 22 čtecího zařízení 2 je spojen s obousměrným komunikačním vývodem 31 programového bloku 3. Obousměrný přenosový vývod 32 programového bloku 3 je spojen s obousměrným vývodem 41 přenosového bloku 4. Přenosový výstup 42 přenosového bloku 4 je spojen se vstupem 52 dekódovacího bloku 5. Obousměrný vývod 54 dekódovacího bloku 5 je spojen s prvním obousměrným vývodem 61 ověřovacího bloku 6. Druhý obousměrný vývod 62 ověřovacího bloku 6 je spojen s obousměrným vývodem 113 kódovacího bloku 11. Výstup 53 dekódovacího bloku 5 je spojen se vstupem 72 vyhodnocovacího bloku 7. První obousměrný vývod 73 vyhodnocovacího bloku 7 je spojen s obousměrným vývodem 81 identifikačního bloku 8. Druhý obousměrný vývod 74 vyhodnocovacího bloku 7 je spojen s obousměrným vývodem 91 autorizačního bloku 9. Třetí obousměrný vývod 75 vyhodnocovacího bloku 7 je spojen s obousměrným vývodem 101 anonymizačního bloku 10. Výstup 71 vyhodnocovacího bloku 7 je spojen se vstupem 112 kódovacího bloku 11. Výstup 111 kódovacího bloku 11 je spojen s přenosovým vstupem 43 přenosového bloku 4.The individual blocks are connected as follows. The bidirectional terminal 11 of the electronic identifier 1 is connected to the bidirectional identification terminal 21 of the reader 2. The bidirectional communication terminal 22 of the reader 2 is connected to the bidirectional communication terminal 31 of the program block 3. 4. The transmission output 42 of the transport block 4 is coupled to the input 52 of the decoding block 5. The bi-directional terminal 54 of the decoding block 5 is connected to the first bi-directional terminal 61 of the verification block 6. The output 53 of the decoding block 5 is connected to the input 72 of the evaluation block 7. The first bidirectional pin 73 of the evaluation block 7 is connected to the bidirectional pin 81 of the identification block 8. The second bidirectional pin 74 of the evaluation block 7 is connected to the bidirectional The third bidirectional terminal 75 of the evaluation block 7 is connected to the bidirectional terminal 101 of the anonymization block 10. The output 71 of the evaluation block 7 is connected to the input 112 of the coding block 11. The output 111 of the coding block 11 is connected to the transmission input 43 4.

Způsob a zařízení kjeho provádění umožňuje provádět tyto základní funkce: identifikaci, autorizaci, autentizaci a přenos. Identifikace zahrnuje obecnou identifikaci, konkrétní identifikaci, jedinečnou identifikaci a jedinečnou identifikaci s centrálním ověřením. Způsoby identifikace se liší použitým postupem provedení identifikace, mírou zabezpečení a možnostmi využití, resp. použití. Obecná identifikace poskytuje z hlediska bezpečnosti nejnižší ochranu. Současně ale zabezpečuje nejvyšší míru anonymity držitele elektronického identifikátoru vůči cílovému systému. Využívá elektronický identifikátor 1, volitelně pak známé snímače čárového kódu. Při obecné identifikaci předloží držitel elektronického identifikátoru 1, po výzvě operátora cílového systému, elektronický identifikátor 1 pro čtení snímačem čárového kódu. Informace ve formě čárového kódu je v informačním bloku 1.3 elektronického identifikátoru J. U specifických systémů může stačit k identifikaci pouze veřejně známé číslo - např. v obchodních řetězcích. Cílový systém tak získává pouze anonymní informaci, a to bez vazby na konkrétní identifikační údaje držitele elektronického identifikátoru 1. To mu umožňuje daného držitele elektronického identifikátoru 1 jednoznačně identifikovat v průběhu času. Tento způsob identifikace nevyžaduje speciální technické vybavení a současně poskytuje pouze nízkou úroveň důvěryhodnosti provedení identifikace, která však plně vyhovuje některým informačním systémům.The method and apparatus for performing it enables the following basic functions to be performed: identification, authorization, authentication and transmission. Identification includes general identification, specific identification, unique identification and unique identification with central authentication. The methods of identification differ in the identification procedure used, the degree of security and the possibilities of use, respectively. use. General identification provides the lowest security protection. At the same time, it ensures the highest degree of anonymity of the electronic identifier holder to the target system. It uses an electronic identifier 1, optionally known barcode scanners. In general identification, the holder of the electronic identifier 1, upon request by the operator of the target system, submits the electronic identifier 1 for reading by the barcode reader. The information in the form of a bar code is in information block 1.3 of the electronic identifier J. For specific systems, only a publicly known number can suffice for identification - for example in retail chains. Thus, the target system obtains only anonymous information, without linking to the specific identification data of the holder of the electronic identifier 1. This allows it to uniquely identify the holder of the electronic identifier 1 over time. This method of identification does not require special technical equipment and at the same time provides only a low level of credibility of identification, but it is fully compatible with some information systems.

Při konkrétní identifikaci držitele identifikátoru může cílový systém získávat základní identifikační data držitele elektronického identifikátoru L Je to např. jméno a příjmení. Operátor cílového systému vyzve držitele elektronického identifikátoru 1 k poskytnutí elektronického identifikátoru 1 ke čtení do čtecího zařízení 2. Cílový systém prostřednictvím aplikačního rozhraní požádá programový blok 3 o provedení konkrétní identifikace držitele elektronického identifikátoru 1 a současně předá programovému bloku 3 identifikační data cílového systému. Programový blok 3 naváže prostřednictvím svého obousměrného komunikačního vývodu 31 komunikaci se čtecím zařízením 2 a předá mu požadavek na konkrétní identifikaci společně s identifikačními daty cílového systému. Řídicí blok 2.3 čtecího zařízení 2 vyhodnotí předanou identifikaci cílového systému a vyhodnotí, zda může daný cílový systém využívat tohoto konkrétního typu čtecího zařízení. Pokud ano, indikuje čtecí zařízení 2 přítomnost elektronického identifikátoru 1 a prostřednictvím svého obousměrného identifikačního vývodu 21 naváže komunikaci s řídicím blokem 1.2 elektronického identifikátoru 1 a předá mu požadavek na provedení konkrétní identifikace společně s identifikačními daty cílového systému a čtecího zařízení 2.For a particular identifier holder identification, the target system may obtain the basic identification data of the electronic identifier holder L This is, for example, the first and last name. The target system operator prompts the electronic identifier 1 holder to provide the electronic identifier 1 for reading to the reader 2. The target system, via the application interface, requests the program block 3 to perform the specific identifier of the electronic identifier 1 holder while transmitting the target system identification data. The program block 3 establishes, via its bidirectional communication terminal 31, a communication with the reader 2 and forwards it a specific identification request together with the identification data of the target system. The reader control block 2.3 evaluates the transmitted target system identification and evaluates whether the target system can use this particular type of reader. If so, the reader 2 indicates the presence of the electronic identifier 1 and, through its bidirectional identification terminal 21, establishes communication with the electronic identifier 1 control block 1.2 and forwards the request for specific identification together with the identification data of the target system and the reader 2.

-5I t-5I t

Řídicí blok 1.2 elektronického identifikátoru 1 načte definovaný objem informací znejnižší bezpečnostní úrovně a tyto informace odešle přes obousměrný vývod 11 elektronického identifikátoru 1 řídicímu bloku 2,2 čtecího zařízení 2. To je přes svůj obousměrný komunikační vývod 22 předá obousměrným komunikačním vývodem 31 programovému bloku 3. Programový blok 3 5 prostřednictvím svého aplikačního rozhraní odešle obdržená sekundární identifikační data držitele elektronického identifikátoru cílovému systému. Cílový systém takto získává definovaný objem sekundárních identifikačních dat držitele elektronického identifikátoru. Objem předávaných sekundárních identifikačních dat je limitován identifikací cílového systému a typem použitého čtecího zařízení 2. Typicky se jedná o jméno a příjmení držitele identifikátoru, společně io s veřejným unikátním identifikačním číslem držitele elektronického identifikátoru 1. Garantem těchto informací je vydavatel elektronického identifikátoru 1. Jedinečná identifikace poskytuje z hlediska bezpečnosti nejvyšší míru důvěryhodnosti bez využití ověřovacího identifikačního centra. Pro zajištění vysokého stupně důvěry se držitel elektronického identifikátoru 1 identifikuje nejen jeho předložením, ale i znalostí přístupového kódu PIN 1, u kterého se předpokládá, 15 že je znám pouze oprávněnému držiteli elektronického identifikátoru 1. Cílový systém na žádost operátora, v případě plně automatizovaného cílového systému v časové smyčce, komunikuje prostřednictvím aplikačního rozhraní programového bloku 3 s řídicím blokem 3.2 čtecího zařízení 2 prostřednictvím svého obousměrného komunikačního vývodu 31, s cílem zjistit přítomnost elektronického identifikátoru 1. Současně touto cestou předává cílový systém do 20 paměťového bloku 2.1 čtecího zařízení 2 identifikační data cílového systému. Držitel poskytne svůj elektronický identifikátor 1 pro čtení takovému typu čtecího zařízení 2, které umožňuje provádění jedinečné identifikace. Řídicí blok 2.3 čtecího zařízení 2 indikuje přítomnost elektronického identifikátoru 1 a prostřednictvím svého obousměrného komunikačního vývodu 2.1 naváže komunikaci s řídicím blokem 1,2 elektronického identifikátoru 1. Po navázání komu25 nikace předá řídicí blok 1.2 elektronického identifikátoru 1 přes obousměrný vývod 11 elektronického identifikátoru 1 řídicímu bloku 2.2 čtecího zařízení 2 žádost o zadání prvního PIN 1. Požadavek na poskytnutí elektronického identifikátoru 1 se indikuje prostřednictvím indikátorového výstupu 24 a textem na displeji 2.4 čtecího zařízení 2. Držitel elektronického identifikátoru 1 prostřednictvím klávesnice 2.2 čtecího zařízení 2 zadá první PIN 1, případně i další 30 specifické informace. Klávesnice 2.2 čtecího zařízení 2 předá zadané informace řídicímu blokuThe electronic identifier control block 1.2 reads a defined amount of information from the lowest security level and sends this information via the bi-directional terminal 11 of the electronic identifier 1 to the control unit 2.2 of the reader 2. This is via the bi-directional communication terminal 22. The program block 35, via its application interface, sends the received secondary identification data of the electronic identifier holder to the target system. The target system thus obtains a defined amount of secondary identification data of the electronic identifier holder. The volume of transmitted secondary identification data is limited by the identification of the target system and the type of reading device used 2. Typically, this is the name and surname of the identifier holder, together with the public unique ID number of the electronic ID holder. provides the highest level of trust in terms of security without using a validation identification center. To ensure a high degree of trust, the holder of the electronic identifier 1 is identified not only by submitting it, but also by knowing the PIN 1 access code, which is assumed to be known only to the authorized holder of the electronic identifier 1. system in the time loop, communicates via the application interface of the program block 3 with the control block 3.2 of the reader 2 via its bidirectional communication terminal 31 to detect the presence of the electronic identifier 1. At the same time target system. The Holder shall provide its electronic reader identifier 1 with a type of reader 2 which allows unique identification to be performed. Control block 2.3 of the reader 2 indicates the presence of the electronic identifier 1 and establishes communication with the electronic identifier control block 1.2 via its bidirectional communication terminal 2.1. After establishing communication 25, the electronic identifier control block 1.2 passes the electronic identifier 1 through the bi-directional terminal 11 to the control block. 2.2 The reader 2 requests the first PIN 1. The request to provide the electronic identifier 1 is indicated by means of the indicator output 24 and the text on the display 2.4 of the reader 2. The electronic identifier 1 holder enters the first PIN 1 and possibly another 30 specific information. The keypad 2.2 of the reader 2 transmits the entered information to the control block

2.3 čtecího zařízení 2, který načte identifikační data čtecího zařízení 2 z paměťového bloku 2.1 čtecího zařízení 2 a vytvoří soubor informací obsahujících identifikační data cílového systému, identifikační data čtecího zařízení a první PIN 1 zadaný držitelem. Tento soubor informací řídicí blok 2.3 čtecího zařízení 2 zakóduje a odešle ke zpracování do řídicího bloku 1.3 elektronického 35 identifikátoru 1 přes obousměrný identifikační vývod 21 čtecího zařízení 2. Řídicí blok 1,3 elektronického identifikátoru 1 dekóduje předané informace, a zkontroluje zadaný první PIN 1. V případě zadání špatného prvního PIN 1 zašle tuto informaci přes obousměrný vývod 11 elektronického identifikátoru 1 do řídicího bloku 2.3 čtecího zařízení 2. Ten zobrazí na svém displeji 2.4 žádost o opětovné zadání prvního PIN 1 a současně zadání špatného prvního PIN 1 40 indikuje na indikátorovém výstupu 24 čtecího zařízení 2. V případě úspěšně provedené kontroly načte řídicí blok 1,2 identifikátoru 1 na základě identifikačních dat cílového systému, identifikačních dat čtecího zařízení 2 a správně zadaného prvního PIN 1 sekundární identifikační data v definovaném objemu. Tato sekundární identifikační data zakóduje a přes obousměrný vývod 11 elektronického identifikátoru 1 je odešle do řídicí bloku 2.3 čtecího zařízení 2. Řídicí blok 2.3 45 čtecího zařízení 2 odešle zakódovaná sekundární identifikační data přes obousměrný komunikační vývod 22 čtecího zařízení 2 do programového bloku 3. Programový blok 3 soubor informací dekóduje a předá do cílového systému.2.3 of the reader 2, which reads the reader identification data 2 from the reader 2 memory block 2.1 and creates a set of information containing the target system identification data, the reader identification data and the first PIN 1 entered by the holder. This set of information reads the control block 2.3 of the reader 2 and sends it for processing to the control block 1.3 of the electronic identifier 1 via the bidirectional identification terminal 21 of the reader 2. The control block 1.3 of the electronic identifier 1 decodes the transmitted information and checks the entered first PIN 1. If the wrong first PIN 1 is entered, it sends this information via the bi-directional pin 11 of the electronic identifier 1 to control block 2.3 of the reader 2. This displays 2.4 on its display 2.4 requesting to re-enter the first PIN 1. 24 of the reader 2. In the case of a successful check, the control block 1,2 reads the identifier 1 based on the target system identification data, the reader 2 identification data and the correctly entered first PIN 1 of the secondary identification data vd. effective volume. This secondary identification data is encoded and sent via the bi-directional terminal 11 of the electronic identifier 1 to the reader control block 2.3. The reader control block 2.3 45 sends the encoded secondary identification data via the bi-directional communication terminal 22 of the reader 2 to the program block 3. 3 decodes the information file and passes it to the target system.

Jedinečná identifikace s centrálním ověřením umožňuje provádět identifikaci s nejvyšší mírou 50 důvěryhodnosti. Tento způsob identifikace mohou provádět pouze organizace, kterým provozovatel systému výslovně vydá certifikát pro použití této identifikační služby. Jsou to organizace, které disponují specifickým technickým zařízením, resp. odpovídajícím typem čtecího zařízení. Principiálně se odlišují dva základní způsoby jedinečné identifikace s centrálním ověřením. Je to samostatný způsob a operátorský způsob. Při samostatném způsobu jedinečné identifikaceUnique identification with central authentication allows identification with the highest degree of trust. This method of identification can only be performed by organizations to which the system operator explicitly issues a certificate for use of this identification service. These are organizations that have specific technical equipment, respectively. corresponding reading device type. In principle, two basic methods of unique identification with central authentication differ. It is a stand-alone way and an operator way. In a unique way of unique identification

-6CZ 293918 B6 s centrálním ověřením držitel elektronického identifikátoru 1 samostatně komunikuje s cílovým systémem. Sám vystupuje v roli operátora systému. Operátorský způsob předpokládá existenci operátora, to je jiné osoby, která pracuje s cílovým systémem. Operátor musí být v cílovém systému autorizován prostřednictvím autorizační a autentizační funkce, v průběhu které se prová5 dí kontrola oprávnění operátora k provádění funkce jedinečné identifikace s centrálním ověřením v rámci cílového systému. Soubor informací o provedené identifikaci operátora a jeho pověření pro cílový systém se uchovává v programovém bloku 3. Cílový systém na základě podnětu držitele elektronického identifikátoru J, resp. operátora v případě operátorského způsobu, požádá prostřednictvím aplikačního rozhraní o provedení jedinečné identifikace s centrálním ověřením 10 a předá programovému bloku 3 identifikační data cílového systému. Programový blok 3 naváže přes svůj komunikační obousměrný vývod 31 komunikaci se čtecím zařízením 2 a předá mu požadavek na jedinečné identifikace s centrálním ověřením, společně s identifikačními daty cílového systému. V případě operátorského systému předá i identifikační data operátora. Řídicí blok 2.3 čtecího zařízení 2 vyhodnotí předaná identifikační data cílového systému s cílem určit, 15 zda může daný cílový systém využívat tohoto konkrétního typu čtecího zařízení. Pokud je výsledek vyhodnocení kladný, řídicí blok 2,3 čtecího zařízení 2 zobrazí na displeji 2.4 čtecího zařízení 2 a indikátorovém výstupu 24 čtecího zařízení 2 výzvu držiteli identifikátoru, aby zadal druhý PIN 2, v závislosti na identifikačních datech cílového systému i další informace. Držitel elektronického identifikátoru 1 zadá na klávesnici 2.2 čtecího zařízení 2 druhý PIN 2, případně další 20 požadované informace. Řídicí blok 2.3 čtecího zařízení 2 načte identifikační data čtecího zařízení 2 z paměťového bloku 2.1 čtecího zařízení 2 a vytvoří soubor informací. Soubor informací obsahuje identifikační data cílového systému, identifikační data čtecího zařízení 2, zadaný druhý PIN 2, případně další informace. V případě operátorského způsobu obsahuje i identifikační data operátora. Tento soubor informací zakóduje a odešle přes obousměrný identifikační 25 vývod 21 čtecího zařízení 2 do řídicího bloku 1.2 elektronického identifikátoru L Řídicí blok 1.2 elektronického identifikátoru 1 dekóduje soubor informací a zkontroluje zadaný druhý PIN 2. V případě zadání špatného druhého PIN 2 zašle řídicí blok 1.2 elektronického identifikátoru 1 tuto informaci přes obousměrný vývod 11 elektronického identifikátoru 1 do řídicího bloku 2.3 čtecího zařízení 2. Ten zobrazí na displeji 2.4 čtecího zařízení 2 žádost o opětovné zadání 30 druhého PIN 2 a současně zadání špatného druhého PIN 2 indikuje na indikátorovém výstupu 2.4 čtecího zařízení 2. V případě úspěšně provedené kontroly načte řídicí blok 1.2 identifikátoru 1, na základě vyhodnocení identifikačních dat cílového systému a čtecího zařízení 2, identifikační data držitele elektronického identifikátoru 1 z paměťového bloku 1,1 elektronického identifikátoru 1. Řídicí blok 1.1 elektronického identifikátoru 1 vytvoří soubor informací obsahující 35 načtená sekundární identifikační data, případně další jeho specifická data, identifikační data cílového systému, identifikační data čtecího zařízení 2. U operátorského způsobu též identifikační data operátora. Tento soubor informací řídicí blok 1.1 elektronického identifikátoru 1 zakóduje a odešle přes obousměrný vývod 11 elektronického identifikátoru 1 do řídicího blokuThe holder of the electronic identifier 1 communicates independently with the target system. He is the system operator himself. The operator mode assumes the existence of an operator, that is, another person working with the target system. The operator must be authorized in the target system through an authorization and authentication function, during which the operator's authority to perform a unique identification function with central authentication within the target system is checked. The set of information about the performed identification of the operator and its credentials for the target system is stored in program block 3. The target system is initiated by the holder of the electronic identifier J, resp. The operator, in the case of an operator method, requests via the application interface to perform a unique identification with the central authentication 10 and forwards to the program block 3 the identification data of the target system. The program block 3 establishes via its communication bidirectional terminal 31 communication with the reader 2 and forwards it a unique identification request with central authentication, together with the identification data of the target system. In the case of an operator system, it also transmits operator identification data. The reader control block 2.3 evaluates the transmitted identification data of the target system to determine whether the target system can use this particular type of reader. If the result of the evaluation is positive, the reader control block 2,3 displays reader 2 display 2.4 and reader 2 indicator output 24 prompting the identifier holder to enter a second PIN 2, depending on the target system identification data, as well as additional information. The holder of the electronic identifier 1 enters on the keyboard 2.2 of the reader 2 a second PIN 2 or further 20 required information. The reader control block 2.3 reads the reader 2 identification data from the reader 2 memory block 2.1 and creates a set of information. The information set contains identification data of the target system, identification data of the reader 2, the second PIN 2 entered, and possibly other information. In the case of an operator method, it also contains operator identification data. This set of information encodes and sends, via the bi-directional identification 25, the reader 2 terminal 21 to the electronic identifier control block 1.2. The electronic identifier control block 1.2 decodes the information set and checks the entered second PIN 2. identifier 1 via bi-directional terminal 11 of electronic identifier 1 to control block 2.3 of reader 2. This displays on reader 2.4 display 2.4 a request to re-enter 30 second PIN 2 and at the same time indicates wrong second PIN 2 on reader output 2.4 In the case of a successful check, the control block 1.2 of the identifier 1, based on the evaluation of the identification data of the target system and the reader 2, reads the identification data of the holder of the electronic identifier 1 from the memory. 1.1 ťového block identifier the first electronic control unit 1.1 an electronic identifier 1 creates a file containing the information 35 retrieved secondary identification data or the other specific data, the identification data of the target system, the identification data reader 2. For operator identification data also process operator. This information set encodes the electronic identifier 1 control block 1.1 and sends it via the bidirectional terminal 11 of the electronic identifier 1 to the control block.

2.3 čtecího zařízení 2. Řídicí blok 2.3 čtecího zařízení 2 odešle data přes obousměrný komuni40 kační vývod 22 čtecího zařízení 2 do programového bloku 3. Programový blok 3 naváže bezpečnou kódovanou komunikaci s ověřovacím centrem přes svůj obousměrný přenosový vývod 32, přes přenosový blok 4 a přes jeho přenosový výstup 42 s dekódovacím blokem 5. Dekódovací blok 5 přenesený soubor informací dekóduje a předá ho přes svůj obousměrný vývod 54 ke zpracování do ověřovacího bloku 6. Ověřovací blok 6 na základě nekódované 45 složky souboru informací zjistí klíč ze zabezpečené databáze, dekóduje a zkontroluje autenticitu souboru a informací. Při úspěchu kontroly předá ověřovací blok 6 přes svůj první obousměrný vývod 61 soubor informací do dekódovacího bloku 5, který je odešle přes svůj výstup 53 k dalšímu zpracování do vyhodnocovacího bloku 7. Vyhodnocovací blok 7 odešle identifikační data držitele elektronického identifikátoru 1 a identifikační data cílového systému přes svůj první 50 obousměrný vývod 73 do identifikačního bloku 8. Identifikační blok 8 ověří časovou platnost identifikačních dat a transformuje identifikační data na primární identifikační data a následně je transformuje i na sekundární identifikační data pro konkrétní cílový systém. Sekundární identifikační data držitele elektronického identifikátoru 1 pro cílový systém a informace o platnosti identifikačních dat odešle identifikační blok 8 přes svůj obousměrný vývod 81 zpět do2.3 of the reader 2. The reader 2 control block 2.3 sends data via the bidirectional communication40 of the reader 2 to the program block 3. The program block 3 establishes secure coded communication with the authentication center via its bidirectional transfer terminal 32, via the transfer block 4 and via its transmission output 42 with the decoding block 5. The decoding block 5 decodes the transmitted information file and passes it over its bi-directional terminal 54 for processing to the verification block 6. The verification block 6 detects the key from the secure database based on the uncoded 45 information file component, decodes and checks the authenticity of the file and information. Upon success of the check, the verification block 6 passes the information set to the decoding block 5 via its first bidirectional terminal 61, which sends it through its output 53 for further processing to the evaluation block 7. The evaluation block 7 sends the identification data of the electronic identifier holder 1 and the identification data of the target system. through its first 50 bidirectional lead 73 to identification block 8. Identification block 8 verifies the validity of identification data and transforms identification data into primary identification data and then transforms it into secondary identification data for a particular target system. The secondary identification data of the holder of the electronic identifier 1 for the target system and the validity data of the identification data are sent by the identification block 8 via its bidirectional terminal 81 back to

-7 CZ 293918 B6-7 GB 293918 B6

I vyhodnocovacího bloku 7. V případě potřeby odešle vyhodnocovací blok 7 přes svůj třetí obousměrný vývod 75 specifická data pro cílový systém do anonymizátoru 10. Anonymizátor 10 transformuje identifikační případně specifická data podle definovaných pravidel procesu anonymizace a deanonymizace. Je to například zkreslení dat, transformace konkrétních čísel účtů na 5 obecná čísla nebo naopak. Výsledná data odešle anonymizátor 10 přes svůj obousměrný vývod 101 do vyhodnocovacího bloku 7.If necessary, the evaluation block 7 sends, via its third bidirectional lead 75, specific data for the target system to the anonymizer 10. The anonymizer 10 transforms the identification or specific data according to defined rules of the anonymization and deanonymization process. For example, data bias, transformation of specific account numbers to 5 general numbers, or vice versa. The resultant data is sent by the anonymizer 10 via its bidirectional lead 101 to the evaluation block 7.

V případě operátorského způsobu odešle vyhodnocovací blok 7 identifikační data operátora a identifikační data cílového systému přes svůj druhý obousměrný vývod 74 do autorizačního 10 bloku 9. Autorizační blok 9 zkontroluje oprávnění operátora k provádění jedinečné identifikace s centrálním ověřením v rámci cílového systému. Výsledek kontroly předá autorizační blok 9 přes svůj obousměrný vývod 91 zpět do vyhodnocovacího bloku 7. V případě, že jde o jedinečnou identifikaci s centrálním ověřením, kdy cílový systém požaduje současně autorizaci držitele identifikátoru, odešle vyhodnocovací blok 7 sekundární identifikační data držitele 15 elektronického identifikátoru 1 a identifikační data cílového systému přes svůj druhý obousměrný vývod 74 do autorizačního bloku 9. Autorizační blok 9 vyhodnotí předané informace, načte soubor atributů daného držitele elektronického identifikátoru 1 pro cílový systém. Jsou to například přístupová práva do výpočetních systémů, informace o organizačním zařazení a podobně. Tento zjištěný soubor atributů odešle autorizační blok 9 přes svůj obousměrný vývod 91 do 20 vyhodnocovacího bloku 7. Vyhodnocovací blok 7 vytvoří soubor informací, u operátorského způsobu pouze v případě úspěšného provedení kontroly oprávnění operátora, obsahující sekundární identifikační data pro cílový systém a informace o platnosti identifikačních dat. Výsledná data předaná anonymizátorem 10 a výsledek kontroly ověření oprávnění operátora odešle vyhodnocovací blok 7 přes svůj výstup 71 do kódovacího bloku 11. Kódovací blok 11 přijatý soubor 25 informací odešle přes svůj obousměrný vývod 113 do ověřovacího bloku 6. Ověřovací blok 6 vyhledá v databázi na základě známého identifikátoru kódovací klíč a soubor informací zakóduje. Zakódovaná data předá ověřovací blok 6 přes svůj druhý obousměrný vývod 62 do kódovacího bloku 11. Kódovací blok 11 naváže zabezpečenou komunikaci s programovým blokem 3. Komunikace probíhá přes výstup 111 kódovacího bloku 11, přes přenosový blok 4 30 a jeho obousměrný vývod 41 na obousměrný přenosový vývod 32 programového bloku 3.In the case of an operator method, the evaluation block 7 sends operator identification data and target system identification data via its second bidirectional terminal 74 to authorization block 10. Authorization block 9 checks the operator's authority to perform unique identification with central authentication within the target system. The result of the check passes the authorization block 9 via its bidirectional terminal 91 back to the evaluation block 7. In the case of a unique identification with central verification, where the target system simultaneously requests authorization of the identifier holder, the evaluation block 7 sends the secondary identification data of the holder 15 of the electronic identifier 1. and the identification system of the target system via its second bidirectional terminal 74 to the authorization block 9. The authorization block 9 evaluates the information transmitted, reads the attribute set of the holder of the electronic identifier 1 for the target system. These include, for example, access rights to computing systems, organizational information, and the like. This detected attribute set sends an authorization block 9 through its bidirectional terminal 91 to 20 of the evaluation block 7. The evaluation block 7 generates a set of information, in the operator method, only when the operator authorization check has been successfully completed containing secondary identification data for the target system and give. The resultant data transmitted by the anonymizer 10 and the result of the operator authentication check are sent by the evaluation block 7 through its output 71 to the coding block 11. The coding block 11 sends the received information file 25 via its bidirectional pin 113 to the verification block 6. of a known identifier encrypts the encryption key and the information set. The encrypted data is transmitted by the authentication block 6 via its second bidirectional terminal 62 to the coding block 11. The coding block 11 establishes secure communication with the program block 3. Communication takes place via the output 111 of the coding block 11, through the transfer block 430 and its bidirectional pin 41 to the bi-directional terminal 32 of program block 3.

Kódovací blok 11 odešle tímto zabezpečeným kanálem soubor zakódovaných informací do programového bloku 3. Programový blok 3 předá zakódovaný soubor informací přes svůj obousměrný komunikační vývod 31 do řídicí bloku 2.3 čtecího zařízení 2 a přes jeho obousměrný komunikační vývod 21 do řídicího bloku 1.2 elektronického identifikátoru L Řídicí blok 35 1.2 elektronického identifikátoru 1 dekóduje soubor informací. Následně vytvoří řídicí blok 1.2 elektronického identifikátoru 1 soubor informací, který obsahuje sekundární identifikační data držitele elektronického identifikátoru 1 a informaci o platnosti těchto dat. Tento soubor informací předá přes svůj obousměrný vývod 11, přes řídicí blok 2.3 čtecího zařízení 2 a přes jeho obousměrný komunikační vývod 22 do programového bloku 3. Programový blok 3 s využitím 40 aplikačního rozhraní předá soubor sekundárních dat a informací cílovému systému, který žádal o provedení jedinečné identifikace s centrálním ověřením.The coding block 11 sends the encoded information set to the program block 3 via this secure channel. The program block 3 transmits the encoded information set via its bi-directional communication terminal 31 to the control block 2.3 of the reader 2 and via its bi-directional communication terminal 21 to the electronic identifier control block 1.2. block 35 of the electronic identifier 1 decodes the information set. Subsequently, the control block 1.2 of the electronic identifier 1 creates an information file containing the secondary identification data of the holder of the electronic identifier 1 and information about the validity of the data. It passes this set of information through its bi-directional terminal 11, through the control block 2.3 of the reader 2 and via its bi-directional communication terminal 22 to the program block 3. The program block 3 uses the 40 application interface to transfer the secondary data and information file to the target system that requested unique identification with central verification.

Autentizační a autorizační funkce je úzce provázána s identifikačními funkcemi. Vychází ze známého elektronického podpisu. Certifikát je bezpečně uložen na elektronickém identifikátoru 45 lj kde také probíhá veškeré zpracování. Certifikát se nepředává do programového vybavení, kde může dojít kjeho kompromitaci. Využívá známých certifikátů pro elektronický podpis, který vydá držiteli vydavatel elektronických identifikátorů 1. Těchto certifikátů je na elektronickém identifikátoru 1 několik. Zpravidla jeden pro každou identifikační funkci. Využívá se pro elektronické podepisování dokumentů při elektronickém styku. Držitel elektronického identifikátoru 1 50 má vytvořen libovolný soubor informací, které potřebuje odeslat jiné osobě pomocí elektronické komunikace. Prostřednictvím programového vybavení vyvolá pomocí aplikačního rozhraní programového bloku 3 požadovanou funkci. Současně předá parametiy zpracování a úrovně důvěryhodnosti, s vazbou na následně požadovanou identifikační funkci. Programový blok 3 naváže přes svůj obousměrný komunikační vývod 31 komunikaci s řídicím blokem 2.3 čtecíhoThe authentication and authorization functions are closely linked to the identification functions. It is based on the well-known electronic signature. The certificate is securely stored on the electronic identifier 45 lj where all processing is also in progress. The certificate is not passed on to software where it can be compromised. It uses known certificates for electronic signature issued by the holder of the electronic identifier 1 to the holder. There are several of these certificates on the electronic identifier 1. Usually one for each identification function. It is used for electronic signing of documents in electronic communication. The electronic identifier holder 50 has created any set of information that he needs to send to another person by electronic communication. It invokes the required function via the application block of the program block 3. At the same time, it handles the processing parameters and trust levels, linked to the subsequently required identification function. The program block 3 establishes communication with the read control block 2.3 via its bidirectional communication terminal 31

-8CZ 293918 B6 ι-8GB 293918 B6 ι

zařízení 2. Předá mu informaci o žádosti k provedení autentizační a autorizační funkce společně s parametry zpracování, případně s požadovanou úrovní důvěryhodnosti a se souborem informací určených ke zpracování. V případě velkého objemu informací se předává soubor informací ke zpracování postupně formou datového toku. Řídicí blok 2.3 čtecího zařízení 2 vyhodnotí požadovanou úroveň důvěiyhodnosti a vyzve přes displej 2.4 čtecího zařízení 2 držitele elektronického identifikátoru 1 k poskytnutí elektronického identifikátoru 1 pro čtení a na základě vyhodnocení parametrů zpracování i o případné zadání druhého PIN 2. Držitel poskytne elektronický identifikátor 1 ke čtení a jeho přítomnost indikuje řídicí blok 2.3 čtecího zařízení 2. V případě výzvy k zadání druhého PIN 2, držitel zadá druhý PIN 2 klávesnicí 2,2 čtecího zařízení 2. Řídicí blok2. Provides information about the request to perform the authentication and authorization function together with the processing parameters, optionally the required level of trust, and a set of information to be processed. In the case of a large amount of information, the set of information is transmitted for processing gradually in the form of a data stream. The reader control unit 2.3 evaluates the desired confidence level and prompts the reader 2 to display the electronic identifier 1 to the reader 2 to provide the reader 1 with an electronic identifier 1 and, if necessary, to enter a second PIN 2. its presence is indicated by the reader control block 2.3. In the case of a prompt for a second PIN 2, the holder enters the second PIN 2 with the keypad of the reader 2.

2.3 čtecího zařízení 2 načte z paměťového bloku 2.1 čtecího zařízení 2 soubor identifikačních dat čtecího zařízení 2 a vytvoří soubor informací. Soubor informací obsahuje identifikační data čtecího zařízení 2, parametry zpracování, a v případě zadání druhého PIN 2 i zadaný druhý PIN2.3 of the reader 2 reads from the reader 2 memory block 2.1 a reader identification data set 2 and creates an information file. The information file contains the identification data of the reader 2, the processing parameters and, if a second PIN 2 is entered, the second PIN entered

2. Tento soubor informací odešle řídicí blok 2,3 čtecího zařízení 2 přes obousměrný identifikátorový vývod 21 do řídicího bloku 1.2 elektronického identifikátoru 1. Řídicí blok 1.2 elektronického identifikátoru 1 dekóduje soubor informací a zkontroluje zadaný druhý PIN 2, pokud byl vyžadován. V případě zadání špatného druhého PIN 2 předá tuto informaci přes svůj obousměrný vývod 11 do řídicího bloku 2.3 čtecího zařízení 2, který zobrazí na displeji 2.4 čtecího zařízení 2 žádost o opětovné zadání druhého PIN 2. Špatné zadání druhého PIN 2 se současně indikuje na indikátorovém výstupu 24 čtecího zařízení 2. V případě úspěšné kontroly vyhodnotí řídicí blok2. This set of information is sent by the control block 2,3 of the reader 2 via the bi-directional identifier terminal 21 to the control block 1.2 of the electronic identifier 1. The control block 1.2 of the electronic identifier 1 decodes the information file and checks the entered second PIN 2 if required. If a wrong second PIN 2 is entered, it transmits this information via its bidirectional terminal 11 to reader control unit 2.3, which displays a readout request on the reader 2 display 2.4 to re-enter the second PIN 2. 2. If successful, the control unit evaluates the reader

1.2 identifikátoru 1 parametry zpracování, načte odpovídající privátní klíč, a oznámí přes svůj obousměrný vývod 11 řídicímu bloku 2.3 čtecího zařízení 2, že očekává zdrojový soubor určený k elektronickému podpisu. Řídicí blok 2.3 čtecího zařízení 2 tuto informaci předá přes svůj obousměrný komunikační vývod 22 programovému bloku 3. Programový blok 3 začne přes svůj obousměrný komunikační vývod 31 a přes řídicí blok 2.2 čtecího zařízení 2 a přes jeho obousměrný identifikátorový vývod 21 odesílat soubor k elektronickému podpisu do řídicího bloku1.2, identifies the processing parameters, reads the corresponding private key, and notifies the reader control block 2.3 via its bidirectional terminal 11 that it is expecting a source file to be electronically signed. The reader control block 2.3 passes this information over its bidirectional communication terminal 22 to the program block 3. The program block 3 starts sending the file for electronic signature to its electronic signature via its bidirectional communication terminal 31 and via the reader control unit 2.2 and its bidirectional identifier terminal 21. control block

1.2 elektronického identifikátoru L Řídicí blok 1.2 elektronického identifikátoru 1 zpracovává data a výsledek zpracování odesílá přes svůj obousměrný vývod 11 do řídicího bloku 2.3 čtecího zařízení 2 a přes jeho obousměrný komunikační vývod 22 zpět do programového bloku 3. Po dokončení zpracování odešle řídicí blok 1.2 elektronického identifikátoru 1 vytvořený elektronický podpis, případně jako součást šifrovaného souboru informací, v závislosti na parametrech zpracování, stejnou cestou do programového bloku 3 společně se souborem identifikačních dat čtecích zařízení 2. Programový blok 3 odešle s využitím aplikačního rozhraní výsledek zpracování do programového vybavení zařízení, které o provedení této funkce požádalo. Reverzní funkce této funkce, což je dekódování nebo ověření elektronického podpisu, pracuje podle stejného postupu. Liší se pouze tím, že do řídicího bloku 1.2 elektronického identifikátoru 1 se odesílají elektronicky podepsaná, resp. zakódovaná data a řídicí blok 1.2 elektronického identifikátoru 1 předává výsledná dekódovaná data programovému bloku 3 společně s informací o výsledku kontroly ověření elektronického podpisu a základní identifikační data autora informací.1.2 of the electronic identifier L The electronic identifier control block 1.2 processes the data and sends the processing result via its bidirectional terminal 11 to the reader control block 2.3 and via its bidirectional communication terminal 22 back to the program block 3. After completion of the processing 1, the electronic signature generated, optionally as part of an encrypted set of information, depending on the processing parameters, in the same way to the program block 3 together with the identification data set of the readers 2. The program block 3 sends the processing result to the software of the device. execution of this function requested. The reverse function of this function, which is decoding or verifying an electronic signature, operates according to the same procedure. The only difference is that electronic signature 1 is sent to the control block 1.2 of the electronic identifier 1. the encoded data and the electronic identifier control block 1.2 transmit the resulting decoded data to the program block 3 together with information about the result of the electronic signature verification check and the basic identification data of the author of the information.

Adresná přenosová funkce. Pod pojmem odesílatel se dále rozumí držitel elektronického identifikátoru 1, který odesílá informace pomocí adresné přenosové funkce. Pod pojmem příjemce se rozumí držitel elektronického identifikátoru 1 nebo organizace, která je adresným příjemcem zasílané informace. Odesílatel prostřednictvím libovolného programového vybavení nebo specifického programového vybavení vytvoří soubor, ve smyslu souboru operačního systému, obsahující požadovanou přenášenou informaci. Programové vybavení na základě požadavku odesílatele předá tento soubor ke zpracování programovému bloku 3 prostřednictvím jeho aplikačního rozhraní, společně s identifikačními daty příjemce. To jsou např. unikátní číslo příjemce a další specifické parametry, jako jsou požadované datum odeslání, způsob doručení a podobně. Programový blok 3 naváže přes svůj obousměrný komunikační vývod 31 komunikaci s řídicím blokem 2.3 čtecího zařízení 2 a předá mu informaci o žádosti k provedení adresné přenosové funkce. Současně předá parametry zpracování, resp. identifikaci příjemce informace a soubor informací určených ke zpracování, resp. jeho částí v případě většího objemu. Řídicí blok 2.3 čtecího zařízení 2 vyzve přes displej 2.4 čtecího zařízení 2 držitele elektronickéhoAddress transfer function. The sender is further understood to mean the holder of the electronic identifier 1, which sends the information by means of an address transfer function. Recipient means the holder of the electronic identifier 1 or the organization that is the addressee of the information to be sent. The sender, through any software or specific software, creates a file, in the sense of the operating system file, containing the required information to be transmitted. The software, at the request of the sender, forwards this file to the program block 3 via its application interface, together with the recipient identification data. These are, for example, a unique recipient number and other specific parameters, such as the required shipment date, delivery method and the like. The program block 3 establishes, via its bidirectional communication terminal 31, the communication with the control block 2.3 of the reader 2 and transmits to it the request information to perform an address transfer function. At the same time, it handles the processing parameters, respectively. identification of the recipient of the information and a set of information to be processed, resp. its parts in case of larger volume. The control block 2.3 of the reader 2 prompts the electronic holder via the display 2.4 of the reader 2

-9CZ 293918 B6 identifikátoru 1 k poskytnutí elektronického identifikátoru 1 pro čtení a zadání druhého PIN 2. Odesílatel poskytne elektronický identifikátor £ ke čtení a jeho přítomnost indikuje řídicí blok293918 B6 identifier 1 to provide the electronic identifier 1 for reading and entering the second PIN 2. The sender provides the electronic identifier 6 for reading and its presence is indicated by the control block

2.3 čtecího zařízení 2. Odesílatel zadá druhý PIN 2 na klávesnici 2.2 čtecího zařízení 2. Řídicí blok 2,3 čtecího zařízení 2 načte z paměťového bloku 2.1 čtecího zařízení 2 soubor identifi- kačních dat čtecího zařízení 2 a vytvoří soubor informací. Ten obsahuje identifikační data čtecího zařízení 2, parametry zpracování včetně identifikačních dat příjemce, a zadaný druhý PIN 2. Tento soubor informací zakóduje a odešle přes obousměrný identifikátorový vývod 2.1 čtecího zařízení 2 do řídicího bloku 1.2 elektronického identifikátoru £. Řídicí blok 1.2 elektronického identifikátoru 1 dekóduje soubor informací a zkontroluje zadaný druhý PIN 2, pokud byl vyžadoio ván. V případě špatného zadání druhého PIN 2 předá tuto informaci přes svůj obousměrný vývod do řídicího bloku 2.3 čtecího zařízení 2. Řídicí blok 2.3 čtecího zařízení 2 zobrazí na displeji2.3 reader 2. The sender enters a second PIN 2 on the reader 2 keyboard 2.2. The reader 2 control block 2.3 reads from the reader 2's memory block 2.1 a reader 2 identification data set and creates an information file. This contains the identification data of the reader 2, the processing parameters including the identification data of the receiver, and the second PIN 2 entered. This set of information encodes and sends via the bidirectional identifier terminal 2.1 of the reader 2 to the control block 1.2 of the electronic identifier 6. The electronic identifier 1 control block 1.2 decodes the information set and checks the entered second PIN 2, if requested. If the second PIN 2 is entered incorrectly, it transmits this information via its bidirectional terminal to the reader control block 2.3.

2.4 čtecího zařízení žádost o opětovné zadání druhého PIN 2. Současně indikuje špatné zadání druhého PIN 2 na indikátorovém výstupu 24 čtecího zařízení 2. V případě úspěšné kontroly načte řídicí blok 1.2 identifikátoru 1 na základě vyhodnocení parametrů zpracování odpovídající privátní klíč, který slouží výhradně k provádění této funkce. Současně oznámí přes svůj obousměrný vývod 11 řídicímu bloku 2.3 čtecího zařízení 2, že očekává zdrojový soubor určený ke zpracování. Řídicí blok 2.3 čtecího zařízení 2 tuto informaci předá přes svůj komunikační obousměrný vývod 22 do programového bloku 3. Programový blok 3 začne přes svůj obousměrný komunikační vývod 31, přes řídicí blok 2.3 čtecího zařízení 2 a přes obousměrný 20 identifikátorový vývod 21 odesílat soubor do řídicího bloku 1.2 elektronického identifikátoru 1, který data zpracuje. Výsledek zpracování odesílá přes obousměrný vývod 11, do řídicího bloku2.4 reader request to re-enter the second PIN 2. At the same time, it indicates incorrect entry of the second PIN 2 on the indicator output 24 of the reader 2. If successful, control block 1.2 reads the identifier 1 based on the processing parameters. of this feature. At the same time, via its bidirectional terminal 11, it notifies the reader control unit 2.3 that it is expecting a source file to be processed. The reader control block 2.3 transmits this information via its communication bidirectional terminal 22 to the program block 3. The program block 3 starts sending the file to the control block via its bidirectional communication terminal 31, through the reader control block 2.3 and via the bidirectional identifier terminal 21. 1.2 electronic identifier 1, which processes the data. It sends the processing result via bidirectional terminal 11 to the control block

2.3 čtecího zařízení 2 a přes obousměrný komunikační vývod 22 zpět do programového bloku 3.2.3 of the reading device 2 and via the bidirectional communication terminal 22 back to the program block 3.

Po ukončení zpracování vytvoří řídicí blok 1.2 elektronického identifikátoru 1 soubor informací, který obsahuje identifikační data čtecího zařízení 2, informace o příjemci, výsledek autentizační 25 funkce provedeného zpracování a další specifické informace, jako je požadované datum odeslání, způsob doručení atd. Tento soubor informací zakóduje a odešle přes obousměrný vývod 11 do řídicího bloku 2.3 čtecího zařízení 2 a přes obousměrný komunikační vývod 22 do programového bloku 3. Programový blok 3 naváže bezpečnou kódovanou komunikaci s ověřovacím centrem přes svůj obousměrný přenosový vývod 32, přes přenosový blok 4, a přes jeho přenosový výstup 30 42 do dekódovacího bloku 5. Po přenesení souboru informací a po jeho dekódování předá dekódovací blok 5 soubor informací přes svůj obousměrný vývod 54 ke zpracování do ověřovacího bloku 6. Ověřovací blok 6 na základě nekódované složky souboru informací zjistí klíč ze zabezpečené databáze, soubor informací dekóduje, zkontroluje autenticitu souboru informací od odesílatele. Při úspěchu kontroly ověřovací blok 6 předá přes svůj první obousměrný vývod 61 35 soubor informací do dekódovacího bloku 5, který je přes svůj výstup 53 odešle k dalšímu zpracování do vyhodnocovacího bloku 7. Vyhodnocovací blok 7 odešle identifikační data odesílatele a identifikační data příjemce přes svůj první obousměrný vývod 73 do identifikačního bloku 8. Identifikační blok 8 ověří časovou platnost identifikačních dat a následně vyhledá identifikační data příjemce na základě, znalosti veřejného unikátního identifikátoru. Součástí identifikačních 40 dat je i e-mailová adresa definovaná příjemcem při registraci do systému. Výsledek kontroly časové platnosti a zjištěná identifikační data příjemce odešle identifikační blok 8 přes svůj obousměrný vývod 81 zpět do vyhodnocovacího bloku 7. Soubor informací obsahující identifikační data odesílatele a příjemce, společně s kódovanou přenášenou informací, odešle vyhodnocovací blok 7 svým třetím obousměrným vývodem 75 do anonymizačního bloku £0. 45 Anonymizační blok 10 technickými prostředky dekóduje přenášené informace na úroveň zdrojové informace, a to na základě znalosti dekódovacího klíče odesílatele a následně zakóduje tato data kódovacím klíčem příjemce. Výsledný zakódovaný soubor informací, který obsahuje zakódovaná přenášená data a základní identifikační data odesílatele, odešle anonymizátor 10 přes svůj obousměrný vývod 101 zpět do vyhodnocovacího bloku 7. Vyhodnocovací blok 7 vytvoří 50 soubor informací obsahující identifikační data příjemce, odesílatele a zakódovaná přenášená data. Tento soubor informací na základě informace o požadovaném datu odeslání uloží do fronty zpracování, odkud jsou data vyjmuta v požadovaném čase. Následně soubor informací odešle vyhodnocovací blok 7 přes svůj výstup 71 do kódovacího bloku ££. Kódovací blok 11 naváže zabezpečenou komunikaci přes svůj výstup £££, přes přenosový blok 4, a přes jeho obousměrnýUpon completion of processing, the electronic identifier control block 1.2 creates an information file that includes the reader identification data 2, the recipient information, the result of the processing 25 authentication function, and other specific information such as the requested date of transmission, delivery method, etc. and sends via the bi-directional terminal 11 to the reader control block 2.3 and via the bi-directional communication terminal 22 to the program block 3. The program block 3 establishes secure coded communication with the authentication center via its bi-directional transmission terminal 32, via the transmission block 4 and output 30 42 to the decoding block 5. After the information file has been transmitted and decoded, the decoding block 5 forwards the information file via its bidirectional terminal 54 for processing to the verification block 6. The verification block 6 based on the unencrypted When the information file is detected, it detects the key from the secure database, decodes the information file, checks the authenticity of the information file from the sender. Upon success of the check, the verification block 6 transmits the information set to its decoding block 5 via its first bidirectional terminal 61 35, which sends it through its output 53 for further processing to the evaluation block 7. The evaluation block 7 sends the sender identification data and the recipient identification data via its first bidirectional lead 73 to the identification block 8. The identification block 8 verifies the temporal validity of the identification data and then retrieves the identification data of the recipient based on the knowledge of the public unique identifier. The identification data also includes an e-mail address defined by the recipient upon registration into the system. The result of the time validity check and the identified recipient identification data are sent by the identification block 8 via its bi-directional terminal 81 back to the evaluation block 7. The information file containing the sender and receiver identification data together with the encoded transmitted information block £ 0. The anonymization block 10 by technical means decodes the transmitted information to the source information level based on the knowledge of the sender's decoding key and then encrypts the data with the recipient's encoding key. The resulting encoded information file, which includes the encoded transmitted data and the sender's basic identification data, sends the anonymizer 10 via its bidirectional pin 101 back to the evaluation block 7. The evaluation block 7 creates an information file containing the identification data of the recipient, the sender and the encoded transmitted data. This set of information, based on the requested dispatch date information, is stored in the processing queue from which the data is extracted at the requested time. Subsequently, the information set sends the evaluation block 7 through its output 71 to the coding block 60. The coding block 11 establishes secure communication via its output 54, via the transfer block 4, and via its bidirectional

- 10CZ 293918 B6 vývod 41 s odpovídajícím komunikačním serverem, resp. s jeho programovým blokem 3, pokud je na tomto serveru provozován. Příjemce tento soubor informací obdrží jako běžnou zprávu (e-mail), ale jeho obsah je bezpečně zakódován. Známé programové vybavení pro správu poštovního účtu požádá prostřednictvím aplikačního rozhraní programového bloku 4 o dekódování přijatého souboru informací. Programový blok 3 naváže přes svůj obousměrný komunikační vývod 31 komunikaci s řídicím blokem 2.3 čtecího zařízení 2 a předá mu žádost o dekódování přijatého zakódovaného souboru informací. Řídicí blok 2,3 čtecího zařízení 2 vyzve přes displej- 10GB 293918 B6 terminal 41 with the corresponding communication server, respectively. with its program block 3, if it is running on this server. The recipient receives this set of information as a regular message (e-mail), but its contents are securely encoded. The known mail account management software requests through the application block of the program block 4 to decode the received information file. The program block 3 establishes, via its bidirectional communication terminal 31, a communication with the control block 2.3 of the reader 2 and forwards it a request to decode the received encoded information set. The control block 2,3 of the reader 2 prompts via the display

2,4 čtecího zařízení příjemce k poskytnutí elektronického identifikátoru 1 pro čtení a k zadání druhého PIN 2. Příjemce poskytne elektronický identifikátor 1 ke čtení. Přítomnost elektronického identifikátoru 1 indikuje řídicí blok 2.3 čtecího zařízení 2. Příjemce zadá druhý PIN 2 klávesnicí 2.2 čtecího zařízení 2. Řídicí blok 2.3 čtecího zařízení 2 načte z paměťového bloku 2.1 čtecího zařízení 2 soubor identifikačních dat čtecího zařízení 2 a vytvoří soubor informací obsahující identifikační data čtecího zařízení 2 a zadaný druhý PIN 2. Tento soubor informací odešle přes svůj obousměrný identifikátorový vývod 21 do řídicího bloku 1.2 elektronického identifikátoru 1. Řídicí blok 1.2 elektronického identifikátoru 1 dekóduje soubor informací a zkontroluje zadaný druhý PIN 2 a to porovnáním se druhým PIN 2 uloženým v paměťovém bloku 1.1 elektronického identifikátoru L V případě úspěšné kontroly načte odpovídající dekódovací klíč z paměťovém bloku 1.1 elektronického identifikátoru 1 a předá přes svůj obousměrný vývod 11 a přes řídicí blok 2.2 čtecího zařízení 2 a přes jeho obousměrný komunikační vývod 22 programovému bloku 3 informaci o připravenosti k dekódování. Programový blok 3 předá zakódovaný soubor informací přes svůj obousměrný komunikační vývod 31, přes řídicí blok čtecího zařízení2.4 the reader of the receiver to provide the electronic identifier 1 for reading and to enter the second PIN 2. The receiver provides the electronic identifier 1 for reading. The presence of the electronic identifier 1 indicates the reader control block 2.3. The recipient enters the second PIN 2 with the reader keypad 2.2. The reader control block 2.3 reads the reader 2 identification data file from the reader 2 memory block 2.1 and creates an information file containing the identification data. This set of information is sent via its bi-directional identifier terminal 21 to the electronic identifier control block 1.2. The electronic identifier control block 1.2 decodes the information set and checks the entered second PIN 2 by comparing it to the second PIN 2 stored. in the memory block 1.1 of the electronic identifier LV, if successful, it reads the corresponding decoding key from the memory block 1.1 of the electronic identifier 1 and passes it over its bi-directional terminal 11 and the control block 2.2 of the reading device 2 and through its bidirectional communication terminal 22 to the program block 3 readiness for decoding. The program block 3 forwards the encoded information set via its bidirectional communication terminal 31, via the reader control block

2.3 a přes obousměrný identifikátorový vývod 21 do řídicího bloku 1.2 elektronického identifikátoru 1. Řídicí blok 1.2 identifikátoru 1 dekóduje soubor informací a předá ho stejnou cestou do programového bloku 3. Po ukončení zpracování řídicí blok 1.2 elektronického identifikátoru 1 vytvoří soubor informací obsahující informace o odesílateli a výsledek kontroly autenticity souboru. Tento soubor odešle přes svůj obousměrný vývod 11 do řídicího bloku 2.3 čtecího zařízení 2. který přes svůj obousměrný komunikační vývod 22 předá soubor do programového bloku 3. Programový blok 3 předá prostřednictvím aplikačního rozhraní dekódovaný soubor, informaci o odesílateli a výsledek kontroly autenticity zprávy do cílového systému, v tomto případě např. poštovního klienta.2.3 and via bidirectional identifier terminal 21 to the electronic identifier control block 1.2. The identifier control block 1.2 decodes the information file and passes it in the same way to the program block 3. After processing, the electronic identifier control block 1.2 creates an information file containing the sender information; result of file authenticity check. This file is sent via its bi-directional terminal 11 to the reader control block 2.3, which passes the file to the program block 3 via its bi-directional communication terminal 22. The program block 3 transmits the decoded file, sender information, and message authentication result to the destination. system, in this case eg mail client.

Průmyslová využitelnostIndustrial applicability

Vynálezu se využije při různých druzích identifikace a při autorizaci osob a technických zařízení, jako jsou zaměstnanci, zákazníci či občané, resp. speciální technické prostředky ve státní správě, v peněžních institucích, a v obchodních společnostech.The invention will be used in various kinds of identification and in the authorization of persons and technical devices, such as employees, customers or citizens, respectively. special technical means in state administration, monetary institutions, and commercial companies.

Claims (3)

PATENTOVÉ NÁROKYPATENT CLAIMS 1. Způsob identifikace osob a technických zařízení, s využitím sekundárních identifikačních dat uložených v nosiči informací a soustavy primárních identifikačních dat a sekundárních identifikačních dat uložených v ověřovacím centru, u kterého se prostřednictvím počítačového programu vyžaduje identifikace osoby nebo technického zařízení, a při kterém se načítají z nosiče informací sekundární identifikační data osoby nebo technického zařízení, vyznačující se tím, že ksekundárním identifikačním datům se připojují identifikační data čtecího zařízení a identifikační data cílového systému, čímž se vytváří soubor informací, který se zakóduje a odesílá k ověření do ověřovacího centra, v němž se tento soubor informací po přijetí dekóduje za současné kontroly autentičnosti, dekódovaný a zkontrolovaný soubor informací se převádí zpět na jednotlivá identifikační data, a následně tato sekundární identifikační data určují primární identifikační data, která v kombinaci s identifikačními daty cílového systému určují výsledná identifikační data identifikované osoby nebo technického zařízení ve vazbě na cílový systém, přičemž se tato výsledná sekundární identifikační data po zakódování odesílají počítačovému programu, který je prostřednictvím nosiče informací dekóduje, čímž získá identifikaci osoby nebo technického zařízení, kterou poskytne cílovému systému.1. A method of identifying persons and technical devices, using secondary identification data stored in the information medium and a system of primary identification data and secondary identification data stored in an authentication center for which the identification of a person or technical equipment is required by a computer program; from the data carrier, the secondary identification data of the person or technical device, characterized in that the identification data of the reading device and the identification data of the target system are attached to the secondary identification data, thereby creating an information file which is encoded and sent for verification to the authentication center after receiving it, the set of information is decoded with simultaneous authenticity checks, the decoded and checked set of information is converted back to individual identification data, and the secondary identification data identifies the primary identification data which, in combination with the target system identification data, determines the resulting identification data of the identified person or technical device in relation to the target system, the resulting secondary identification data after encryption being sent to a computer program which is decodes to obtain the identification of the person or technical equipment that he provides to the target system. 2. Způsob identifikace osob a technických zařízení podle nároku 1, vyznačující se t í m, že se k souboru informací, vytvořenému ze sekundárních identifikačních dat a identifikačních dat čtecího zařízení, připojují identifikační data operátora cílového systému, která slouží k provedení kontroly operátorova oprávnění k provádění jedinečné identifikace s centrálním ověřením na straně ověřovacího centra.2. A method of identifying persons and technical devices according to claim 1, wherein the information set formed from the secondary identification data and the reader identification data is appended to the operator identification data of the target system, which serves to check the operator's authority to performing unique identification with central authentication on the authentication center side. 3. Zařízení pro identifikaci osob a technických zařízení, u kterého je obousměrný vývod (11) identifikátoru (1) spojen s identifikačním obousměrným vývodem (21) čtecího zařízení (2), vyznačující se tím, že komunikační obousměrný vývod (22) čtecího zařízení je spojen s komunikačním obousměrným vývodem (31) programového bloku (3), jehož přenosový obousměrný vývod (32) je spojen s obousměrným vývodem (41) přenosového bloku (4), jehož přenosový výstup (42) je spojen se vstupem (52) dekódovacího bloku (5), jehož obousměrný vývod (54) je spojen s prvním obousměrným vývodem (61) ověřovacího bloku (6), jehož druhý obousměrný vývod (62) je spojen s obousměrným vývodem (113) kódovacího bloku (11), a výstup (53) dekódovacího bloku (5) je spojen se vstupem (72) vyhodnocovacího bloku (7), jehož první obousměrný vývod (73) je spojen s obousměrným vývodem (81) identifikačního bloku (8), druhý obousměrný vývod (74) vyhodnocovacího bloku (7) je spojen s obousměrným vývodem (91) autorizačního bloku (9), třetí obousměrný vývod (75) vyhodnocovacího bloku (7) je spojen s obousměrným vývodem (101) anonymizačního bloku (10) a výstup (71) vyhodnocovacího bloku (7) je spojen se vstupem (112) kódovacího bloku (11), jehož výstup (111) je spojen s přenosovým vstupem (43) přenosového bloku (4).Device for identifying persons and technical equipment, in which the bidirectional pin (11) of the identifier (1) is connected to the identification bidirectional pin (21) of the reading device (2), characterized in that the communication bidirectional pin (22) of the reading device is connected to the communication bidirectional terminal (31) of the program block (3), whose transmission bidirectional terminal (32) is connected to the bidirectional terminal (41) of the transmission block (4), whose transmission output (42) is connected to the input (52) of the decoding block (5), the bidirectional terminal (54) of which is connected to the first bidirectional terminal (61) of the verification block (6), the second bidirectional terminal (62) of which is connected to the bidirectional terminal (113) of the coding block (11), and the output (53) ) of the decoding block (5) is connected to an input (72) of the evaluation block (7), the first bi-directional terminal (73) of which is connected to the bi-directional terminal (81) of the identification block (8), the second bi-directional the output (74) of the evaluation block (7) is connected to the bidirectional pin (91) of the authorization block (9), the third bidirectional pin (75) of the evaluation block (7) is connected to the bidirectional pin (101) of the anonymization block (10) 71) the evaluation block (7) is connected to an input (112) of the coding block (11), the output (111) of which is connected to a transmission input (43) of the transmission block (4).
CZ20021155A 2002-04-03 2002-04-03 Method and device for identification of persons and technical equipment CZ293918B6 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CZ20021155A CZ293918B6 (en) 2002-04-03 2002-04-03 Method and device for identification of persons and technical equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ20021155A CZ293918B6 (en) 2002-04-03 2002-04-03 Method and device for identification of persons and technical equipment

Publications (2)

Publication Number Publication Date
CZ20021155A3 CZ20021155A3 (en) 2003-11-12
CZ293918B6 true CZ293918B6 (en) 2004-08-18

Family

ID=29260651

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ20021155A CZ293918B6 (en) 2002-04-03 2002-04-03 Method and device for identification of persons and technical equipment

Country Status (1)

Country Link
CZ (1) CZ293918B6 (en)

Also Published As

Publication number Publication date
CZ20021155A3 (en) 2003-11-12

Similar Documents

Publication Publication Date Title
CN110383757B (en) System and method for secure processing of electronic identities
US9876646B2 (en) User identification management system and method
US10607211B2 (en) Method for authenticating a user to a machine
CN1307594C (en) Payment system
US9596089B2 (en) Method for generating a certificate
US7165718B2 (en) Identification of an individual using a multiple purpose card
US20020138769A1 (en) System and process for conducting authenticated transactions online
US20060229988A1 (en) Card settlement method using portable electronic device having fingerprint sensor
CN100533459C (en) Data safety reading method and safety storage apparatus thereof
US20110142234A1 (en) Multi-Factor Authentication Using a Mobile Phone
JP2009048627A (en) Method and apparatus for performing delegated transaction
CN105052072A (en) Remote authentication and transaction signatures
EP1282044B1 (en) Authenticating method
CN1529856A (en) Internet third-pard authentication using electronic ticket
AU2001283128A1 (en) Trusted authentication digital signature (TADS) system
CN101216923A (en) A system and method to enhance the data security of e-bank dealings
US20060116970A1 (en) System and method to grant or refuse access to a system
US7979357B2 (en) Electronic commerce method, electronic commerce system, certificate terminal, and principal certification method by agent
EA036443B1 (en) System and method for communicating credentials
CN110889697A (en) Block chain-based railway system and using method thereof
US20120131347A1 (en) Securing of electronic transactions
KR100449751B1 (en) System for operation and management of water supply facilities
KR101360843B1 (en) Next Generation Financial System
CN115221498A (en) Digital asset management terminal device and digital asset management method
CZ293918B6 (en) Method and device for identification of persons and technical equipment

Legal Events

Date Code Title Description
MM4A Patent lapsed due to non-payment of fee

Effective date: 20100403