CZ308225B6 - Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů - Google Patents

Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů Download PDF

Info

Publication number
CZ308225B6
CZ308225B6 CZ2018-81A CZ201881A CZ308225B6 CZ 308225 B6 CZ308225 B6 CZ 308225B6 CZ 201881 A CZ201881 A CZ 201881A CZ 308225 B6 CZ308225 B6 CZ 308225B6
Authority
CZ
Czechia
Prior art keywords
user
service provider
personal authentication
authentication
assigned
Prior art date
Application number
CZ2018-81A
Other languages
English (en)
Other versions
CZ201881A3 (cs
Inventor
Libor Neumann
Original Assignee
Aducid S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aducid S.R.O. filed Critical Aducid S.R.O.
Priority to CZ2018-81A priority Critical patent/CZ308225B6/cs
Priority to EP19716058.3A priority patent/EP3756330B1/en
Priority to US16/968,030 priority patent/US11374920B2/en
Priority to PCT/CZ2019/050005 priority patent/WO2019158137A1/en
Publication of CZ201881A3 publication Critical patent/CZ201881A3/cs
Publication of CZ308225B6 publication Critical patent/CZ308225B6/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/186Processing of subscriber group data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

Autentizační systém pro použití s osobními autentizačními předměty alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou schopné autentizace k hlavnímu poskytovateli služeb pro všechny osobní autentizační předměty tohoto uživatele služeb a jsou schopné vyvolat synchronizaci úložišť dat poskytovatelů služeb. Systém zahrnuje úložiště dat serverové komponenty autentizačního systému ("úložiště") alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je synchronizovatelné s úložišti alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů. Úložiště každého poskytovatele služeb obsahuje pro každý u něj registrovaný osobní autentizační předmět uživatele služeb záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu. Úložiště hlavního poskytovatele služeb obsahuje identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele a pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat. Úložiště dat dalšího poskytovatele služeb obsahuje alespoň identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele pro tohoto dalšího poskytovatele služeb a pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat. Úložiště dat a/nebo serverové komponenty autentizačních systémů jsou upraveny tak, že identifikátory přiřazené pro osobní autentizační předměty přiřazené k účtu jednoho uživatele a/nebo identifikátory přiřazené pro uživatele lze synchronizovat prostřednictvím předání synchronizační informace mezi úložišti dat serverových komponent autentizačních systémů a/nebo mezi serverovými komponentami autentizačních systémů prostřednictvím osobních autentizačních předmětů.

Description

Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů
Oblast techniky
Předkládaný vynález se týká autentizačního systému a způsobu autentizace uživatele k poskytovatelům služeb, přičemž řešení podle vynálezu dovoluje uživateli využívat více než jeden osobní autentizační předmět, přiřazený k účtu uživatele, a to libovolně i u poskytovatelů služeb, u nichž byl dosud registrován pouze jiný z osobních autentizačních předmětů tohoto uživatele. Systém a způsob pak ve výhodných provedeních umožňují další, pokročilejší funkce, dále zvyšující uživatelský komfort a bezpečnost autentizačního systému.
Dosavadní stav techniky
Autentizační systémy a postupy dovolují bezpečný přístup uživatele ke službám poskytovaným poskytovateli služeb, například ke službám bank, internetových obchodů, mobilních operátorů, ověřovacích a certifikačních autorit, a mnoha dalších.
Jednou z možností autentizace uživatele k poskytovateli služeb je autentizace pomocí osobního autentizačního předmětu (personál electronic identification gadget, PEIG). Osobním autentizačním předmětem může být například čipová karta, USB klíč, mobilní telefon, tablet, počítač, počítačový program uložený v paměti počítače, mobilního telefonu, tabletu apod. Způsoby autentizace s použitím osobního autentizačního předmětu jsou obecně známé odborníkovi v oboru.
Mnohdy je pro uživatele pohodlné a bezpečné vlastnit více než jeden osobni autentizační předmět, takže například při ztrátě nebo krádeži jednoho osobního autentizačního předmětu může další osobní autentizační předmět být použit jako záloha. Poskytovatel služeb pak může pro tyto osobní autentizační předměty založit samostatné uživatelské účty, nebo je může všechny přiřadit k jednomu uživatelskému účtu a považovat je vzájemně za zálohy. Takové postupy jsou známé.
Zároveň mnoho uživatelů používá stejný osobní autentizační předmět pro autentizaci k více poskytovatelům služeb. V současné době to znamená, že u každého poskytovatele služeb musí uživatel registrovat všechny své osobní autentizační předměty, a v případě ztráty jednoho z nich musí všechny poskytovatele služeb informovat, aby byl tento osobní autentizační předmět zablokován proti použití. Rovněž například při potřebě nového ověření identity nebo při zastarání kryptomateriálu na osobním autentizačním předmětu je potřeba provést nutné kroky pro každého poskytovatele služeb.
Předkládaný vynález si klade za cíl poskytnout takový systém a způsob pro autentizaci uživatele ke službám poskytovaným poskytovateli služeb, který dovolí po přiřazení osobních autentizačních předmětů k účtu uživatele u jednoho poskytovatele služeb tyto osobní autentizační předměty používat libovolně záměnné u dalších poskytovatelů služeb, a zjednoduší nutné kroky při krádeži či ztrátě jednoho nebo více osobních autentizačních předmětů, při novém ověření identity uživatele, a v dalších situacích. Tím vynález významně zvýší uživatelský komfort a bezpečnost při autentizacích.
Podstata vynálezu
Předmětem vynálezu je autentizační systém pro použití s osobními autentizačními předměty (PEIGy) alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou schopné autentizace k hlavnímu poskytovateli služeb pro všechny osobní autentizační předměty tohoto uživatele služeb a jsou schopné vyvolat synchronizaci úložišť dat poskytovatelů služeb;
- 1 CZ 308225 B6 přičemž uvedený systém zahrnuje
- úložiště dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je synchronizovatelné s úložišti dat serverových komponent alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů, a přičemž tato serverová komponenta autentizačního systému alespoň jednoho hlavního poskytovatele služeb je upravena pro přiřazení osobních autentizačních předmětů k účtu uživatele služeb;
-úložiště dat serverové komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb synchronizovatelné s úložištěm dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb přímo i prostřednictvím osobního autentizačního předmětu;
přičemž:
-úložiště dat serverové komponenty autentizačního systému každého poskytovatele služeb obsahuje pro každý u něj registrovaný osobní autentizační předmět uživatele služeb záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu,
-úložiště dat serverové komponenty autentizačního systému hlavního poskytovatele služeb obsahuje identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele, přičemž pro každý osobní autentizační předmět uživatele a/nebo pro každého uživatele je pro každého poskytovatele služeb, u něhož je přiřazen k účtu tohoto uživatele kterýkoliv osobní autentizační předmět tohoto uživatele, přiřazen samostatný identifikátor;
-úložiště dat serverové komponenty autentizační ho systému hlavního poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a dále jsou k ní přiřazeny identifikátory přiřazené osobní autentizačním předmětům tohoto uživatele pro všechny poskytovatele služeb a/nebo identifikátory přiřazené tomuto uživateli pro všechny poskytovatele služeb;
-úložiště dat serverové komponenty autentizační ho systému dalšího poskytovatele služeb obsahuje alespoň identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele pro tohoto dalšího poskytovatele služeb;
-úložiště dat serverové komponenty autentizačního systému dalšího poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a dále jsou k ní přiřazeny identifikátory přiřazené pro osobní autentizační předměty tohoto uživatele alespoň pro tohoto poskytovatele služeb a/nebo identifikátor přiřazený pro tohoto uživatele alespoň pro tohoto poskytovatele služeb;
-úložiště dat a/nebo serverové komponenty autentizačních systémů jsou upraveny tak, že identifikátory přiřazené pro osobní autentizační předměty přiřazené k účtu jednoho uživatele a/nebo identifikátory přiřazené pro uživatele lze synchronizovat prostřednictvím předání synchronizační informace mezi úložišti dat serverových komponent autentizačních systémů a/nebo mezi serverovými komponentami autentizačních systémů prostřednictvím osobních autentizačních předmětů.
Předmětem předkládaného vynálezu je dále způsob autentizace uživatele pomocí osobního autentizačního předmětu v autentizačním systému pro použití s osobními autentizačními předměty (PEIGy) alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou schopné autentizace k hlavnímu poskytovateli služeb pro všechny osobní
-2CZ 308225 B6 autentizační předměty tohoto uživatele služeb a jsou schopné vyvolat synchronizaci úložišť dat poskytovatelů služeb; přičemž uvedený systém zahrnuje
- úložiště dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je synchronizovatelné s úložišti dat serverových komponent alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů, a přičemž tato serverová komponenta autentizačního systému alespoň jednoho hlavního poskytovatele služeb je upravena pro přiřazení osobních autentizačních předmětů k účtu uživatele služeb;
- úložiště dat serverové komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb synchronizovatelné s úložištěm dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb přímo i prostřednictvím osobního autentizačního předmětu; přičemž způsob je vyznačený tím, že
- v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se přiřadí každému osobnímu autentizačnímu předmětu při jeho registraci k účtu uživatele záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu;
- v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se záznamy všech osobních autentizačních předmětů přiřazených k účtu jednoho uživatele služeb přiřadí k mapě osobních autentizačních předmětů pro tento účet uživatele, a dále se k mapě osobních autentizačních předmětů pro tento účet uživatele přiřadí identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele a/nebo pro tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele a/nebo pro tohoto uživatele se pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele, přiřadí samostatný identifikátor, a
- při použití kteréhokoliv osobního autentizačního předmětu uživatele alespoň při první autentizaci k da Šímu poskytovateli služeb se tento osobní autentizační předmět zároveň připojí a autentizuje k hlavnímu poskytovateli služeb, vyžádá od serverové komponenty autentizačního systému hlavního poskytovatele služeb synchronizační informaci obsahující mapu osobních autentizačních předmětů přiřazených k účtu tohoto uživatele a informaci o identifikátorech přiřazených pro všechny osobní autentizační předměty přiřazené k mapě alespoň pro tohoto dalšího poskytovatele služeb a/nebo o identifikátorech přiřazených pro tohoto uživatele alespoň pro tohoto dalšího poskytovatele služeb, a tuto synchronizační informaci pak osobní autentizační předmět předá serverové komponentě autentizačního systému tohoto dalšího poskytovatele služeb, která na základě synchronizační informace upraví mapu osobních autentizačních předmětů a informaci o identifikátorech ve svém úložišti.
Ve výhodném provedení je předmětem předkládaného vynálezu je autentizační systém pro použití s osobními autentizačními předměty (PEIGy) alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou schopné autentizace k hlavnímu poskytovateli služeb pro všechny osobní autentizační předměty tohoto uživatele služeb a jsou schopné vyvolat synchronizaci úložišť dat poskytovatelů služeb; přičemž uvedený systém zahrnuje
- úložiště dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je synchronizovatelné s úložišti dat serverových komponent alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů, a přičemž tato serverová komponenta autentizačního systému alespoň jednoho hlavního poskytovatele služeb je upravena pro přiřazení osobních autentizačních předmětů k účtu uživatele služeb;
-3 CZ 308225 B6
-úložiště dat serverové komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb synchronizovatelné s databází serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb přímo i prostřednictvím kteréhokoliv z osobních autentizačních předmětů;
přičemž:
-úložiště dat serverové komponenty autentizačního systému každého poskytovatele služeb obsahuje pro každý osobní autentizační předmět uživatele služeb záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu;
-úložiště dat serverové komponenty autentizačního systému hlavního poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a také jsou k mapě přiřazeny identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele je pro každého poskytovatele služeb, u něhož je přiřazen k účtu tohoto uživatele kterýkoliv osobní autentizační předmět tohoto uživatele, přiřazen samostatný identifikátor;
-úložiště dat serverové komponenty autentizačního systému dalšího poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a také identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele alespoň pro tohoto poskytovatele služeb (a popřípadě pro jiné poskytovatele služeb, k nimž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele);
-úložiště dat a/nebo serverové komponenty autentizačních systémů jsou upraveny tak, že identifikátory přiřazené pro osobní autentizační předměty přiřazené k účtu jednoho uživatele lze synchronizovat prostřednictvím předání synchronizační informace mezi úložišti dat serverových komponent autentizačních systémů a/nebo mezi serverovými komponentami autentizačních systémů přímo nebo prostřednictvím osobních autentizačních předmětů.
Ve výhodném provedení je dále poskytnut způsob autentizace uživatele pomocí osobního autentizačního předmětu v autentizačním systému pro použití s osobními autentizačními předměty (PEIGy) alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou schopné autentizace k hlavnímu poskytovateli služeb pro všechny osobní autentizační předměty tohoto uživatele služeb a jsou schopné vyvolat synchronizaci úložišť dat poskytovatelů služeb; přičemž uvedený systém zahrnuje
- úložiště dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je synchronizovatelné s úložišti dat serverových komponent alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů, a přičemž tato serverová komponenta autentizačního systému alespoň jednoho hlavního poskytovatele služeb je upravena pro přiřazení osobních autentizačních předmětů k účtu uživatele služeb;
-úložiště dat serverové komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb synchronizovatelné s úložištěm dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb přímo i prostřednictvím osobního autentizačního předmětu;
přičemž způsob je vyznačený tím, že
- v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se přiřadí každému osobnímu autentizačnímu předmětu záznam obsahující data nutná k
-4CZ 308225 B6 provedení autentizace tohoto osobního autentizačního předmětu;
- v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se záznamy všech osobních autentizačních předmětů přiřazených k účtu jednoho uživatele služeb přiřadí k mapě osobních autentizačních předmětů pro tento účet uživatele, a dále se k mapě osobních autentizačních předmětů pro tento účet uživatele přiřadí identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele se pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele, přiřadí samostatný identifikátor;
a
- při použití kteréhokoliv osobního autentizačního předmětu uživatele alespoň při první autentizaci k dalšímu poskytovateli služeb se tento osobní autentizační předmět zároveň připojí a autentizuje k hlavnímu poskytovateli služeb, vyžádá od serverové komponenty autentizačního systému hlavního poskytovatele služeb synchronizační informaci obsahující mapu osobních autentizačních předmětů přiřazených k účtu tohoto uživatele a identifikátory přiřazené pro všechny osobní autentizační předměty alespoň pro tohoto dalšího poskytovatele služeb přiřazené k mapě, a tuto synchronizační informaci pak osobní autentizační předmět předá serverové komponentě autentizačního systému tohoto dalšího poskytovatele služeb, která na základě synchronizační informace upraví mapu osobních autentizačních předmětů a informaci o identifikátorech ve svém úložišti.
Autentizační systém podle vynálezu tedy využívá osobních autentizačních předmětů (může využívat pro uživatele jeden nebo více autentizačních předmětů), a dovoluje uživateli přiřadit ke svému účtu více než jeden osobní autentizační předmět. Toto přiřazení předmětů k účtu uživatele je v dalším textu také nazýváno „replika“ či „vytvoření repliky“. Tyto osobní autentizační předměty bude pak uživatel moci využívat libovolně záměnné u kteréhokoliv poskytovatele služeb, u kterého se zaregistruje alespoň s jedním autentizačním předmětem před nebo po vytvoření repliky.
Přiřazení osobních autentizačních předmětů k účtu uživatele se provádí u hlavního poskytovatele služeb. Tento hlavní poskytovatel služeb je shodný pro všechny osobní autentizační předměty jednoho uživatele služeb, tedy pro všechny jeho osobní autentizační předměty přiřazené k jeho účtu uživatele. Úložiště dat serverové komponenty autentizačního systému příslušného hlavního poskytovatele služeb je potom pro daný účet uživatele a jeho osobní autentizační předměty centrální. Je výhodné, jestliže je server hlavního poskytovatele služeb s databází přístupný neustále. Hlavní poskytovatel služeb může nebo nemusí být stejný pro všechny uživatele, ale všechny osobní autentizační předměty jsou schopné autentizace k příslušnému hlavnímu poskytovateli služeb pro účet jejich uživatele.
Pojem „autentizace“ v tomto textu znamená ověřenou identifikaci.
Jako „další poskytovatel služeb“ je zde označován libovolný poskytovatel služeb, který pro dané osobní autentizační předměty daného uživatele nemá roli hlavního poskytovatele služeb.
To, že osobní autentizační předmět je schopen autentizace k hlavnímu poskytovateli služeb, může být zajištěno tak, že nese informaci o hlavním poskytovateli služeb, nebo nese aplikaci, která má přístup k informaci o hlavním poskytovateli služeb, nebo je schopen spojení s aplikací hlavního poskytovatele služeb, která příslušnou informaci poskytne, nebo jiným způsobem v závislosti na typu a účelu osobního autentizačního předmětu.
Osobní autentizační předmět se při svém prvním použití k autentizaci u každého dalšího poskytovatele služeb pokusí připojit a autentizovat také k hlavnímu poskytovateli služeb. Pokud již byl u tohoto hlavního poskytovatele služeb přiřazen k účtu uživatele (vytvoření repliky), pak
-5 CZ 308225 B6 se s výhodou při první registraci (přiřazení) osobního autentizačního předmětu u dalšího poskytovatele služeb vytvoří k tomuto osobnímu autentizačnímu předmětu záznam u tohoto dalšího poskytovatele služeb, a mapa osobních autentizačních předmětů a jejich identifikátorů synchronizovaná od hlavního poskytovatele služeb.
Pokud se registruje u dalšího poskytovatele služeb osobní autentizační předmět, který dosud nebyl u hlavního poskytovatele služeb přiřazen k účtu uživatele, pak nelze získat platnou mapu k tomuto předmětu. Až když se osobní autentizační předmět přiřadí k účtu uživatele u hlavního poskytovatele služeb (vytvoření repliky), vyvolá synchronizaci mapy s přiřazenými identifikátory z hlavního poskytovatele služeb na všechny další poskytovatele služeb, kde byl již použit (přiřazen, vytvořena identita).
Při přiřazení dalšího osobního autentizačního předmětu k účtu uživatele u hlavního poskytovatele služeb se vytvoří záznam pro tento další osobní autentizační předmět, tento záznam se přiřadí k mapě osobních autentizačních předmětů pro účet tohoto uživatele. Zároveň serverová komponenta autentizačního systému hlavního poskytovatele služeb vygeneruje identifikátory tak, aby existoval identifikátor přiřazený pro každý osobní autentizační předmět a pro každého poskytovatele služeb a/nebo identifikátor přiřazený pro uživatele a pro každého poskytovatele služeb, u něhož je registrovaný kterýkoliv osobní autentizační předmět přiřazený k mapě. Jsou tedy vygenerovány identifikátory přiřazené i pro kombinace osobních autentizačních předmětů a dalších poskytovatelů služeb, u nichž tyto osobní autentizační předměty dosud nebyly použity. V okamžiku prvního použití těchto osobních autentizačních předmětů u tohoto dalšího poskytovatele služeb se však prostřednictvím osobního autentizačního předmětu vyvolá synchronizace mapy osobních autentizačních předmětů a synchronizace identifikátorů. V tomto výhodném provedení tedy prostřednictvím identifikátorů tento další poskytovatel služeb zjistí, že osobní autentizační předmět je přiřazen k účtu svého uživatele, a není potřeba jej znovu přiřazovat k účtu uživatele u tohoto dalšího poskytovatele služeb. Popřípadě lze také vyvolat synchronizaci mapy u každého poskytovatele služeb při přiřazení každého dalšího osobního autentizačního předmětu k účtu uživatele u hlavního poskytovatele služeb.
Mapa osobních autentizačních předmětů u každého poskytovatele služeb je uspořádána tak, že ke každému záznamu osobního autentizačního zařízení lze dohledat příslušnou mapu osobních autentizačních zařízení, a ke každé mapě osobních autentizačních zařízení lze dohledat záznamy všech v mapě obsažených osobních autentizačních zařízení v úložišti dat tohoto poskytovatele služeb. Dále jsou ke každé mapě osobních autentizačních zařízení u každého dalšího poskytovatele služeb přiřazeny identifikátory přiřazené pro každé osobní autentizační zařízení a alespoň tohoto dalšího poskytovatele služeb (případně i pro jiné poskytovatele služeb) a/nebo identifikátory přiřazené pro uživatele a alespoň tohoto dalšího poskytovatele služeb (případně i pro jiné poskytovatele služeb). Ke každé mapě osobních autentizačních zařízení u hlavního poskytovatele služeb jsou přiřazeny identifikátory přiřazené pro každé osobní autentizační zařízení a pro každého poskytovatele služeb, u něhož je registrovaný kterýkoliv osobní autentizační předmět přiřazený k mapě a/nebo identifikátory přiřazené pro uživatele a pro každého poskytovatele služeb, u něhož je registrovaný kterýkoliv osobní autentizační předmět přiřazený k mapě.
Požadavek na synchronizovatelnost úložiště dat poskytovatele služeb „přímo i prostřednictvím osobního autentizačního předmětu“ je nutno vykládat tak, že úložiště dat lze synchronizovat s úložištěm dat jiného poskytovatele služeb kterýmkoliv z těchto způsobů podle potřeby nebo podle požadavků. Synchronizace úložiště dat vždy zahrnuje vytvoření synchronizační informace z dat obsažených v jednom úložišti dat a její předání na druhé úložiště dat, které pak odpovídajícím způsobem upraví svá data.
Termín „každý poskytovatel služeb“ zahrnuje hlavního i další poskytovatele služeb, není-li specifikováno jinak.
-6CZ 308225 B6
Termíny „registrován“, „registrovat“, „registrace“ znamenají přiřazení osobního autentizačního předmětu, zejména prvního osobního autentizačního předmětu, k účtu uživatele u kteréhokoliv dalšího poskytovatele služeb, i u hlavního poskytovatele služeb. U hlavního poskytovatele služeb je přiřazení osobního autentizačního předmětu (zejména druhého a dalšího osobního autentizačního předmětu) k účtu uživatele také nazýváno „vytvoření repliky“.
Termín „synchronizační informace“ popisuje informaci vytvořenou tak, že obsahuje potřebná data, například informace o mapě osobních autentizačních předmětů pro daný účet uživatele a informace o k mapě přiřazených identifikátorech přiřazených pro osobní autentizační předměty a/nebo pro uživatele. Způsoby, jakými mohou být synchronizační informace vytvářeny, jsou známy ze stavu techniky. Synchronizační informace může být například kryptograficky chráněna nebo opatřena časovým razítkem, dle potřeby.
Pod pojmem „úložiště dat“ je třeba rozumět jakékoliv zařízení či uspořádání schopné ukládat a uchovávat data a pracovat s daty. Například databázi, filé systém, operační paměť, trvalou paměť apod.
Kterýkoliv osobní autentizační předmět pro použití v tomto autentizačním systému podle vynálezu je upraven pro připojení a autentizaci k hlavnímu poskytovateli služeb při alespoň první autentizaci k dalšímu poskytovateli služeb, pro vyvolání synchronizace mapy pro daný účet uživatele z hlavního poskytovatele služeb na dalšího poskytovatele služeb a pro vyvolání synchronizace identifikátorů přiřazených pro všechna osobní autentizační zařízení tohoto uživatele a/nebo pro uživatele alespoň pro tohoto dalšího poskytovatele služeb.
Osobním autentizačním předmětem (PEIG, personál electronic identification gadget) může být například mobilní telefon, tablet, čipová karta, USB klíčenka, chytré hodinky, elektronický náramek, elektronický přívěšek, či jiný předmět známý odborníkovi v oboru pro použití pro autentizaci k poskytovatelům služeb.
Pojem „identifikátor“ je odborníkovi v oboru znám, a jsou mu i známy běžné vlastnosti identifikátoru. Identifikátor je zejména unikátní v rámci svého identifikačního prostoru, tedy systém zajišťuje, že není přiřazen stejný identifikátor dvěma různým objektům v daném identifikačním prostoru. Tedy nesmí být přiřazen stejný identifikátor dvěma různým osobním identifikačním předmětům pro jednoho poskytovatele služeb, nesmí být přiřazen stejný identifikátor dvěma různým uživatelům pro jednoho poskytovatele služby. Může, ale nemusí být přiřazen stejný identifikátor stejnému předmětu či uživateli pro různé poskytovatele služby, protože každý poskytovatel služby má svůj identifikační prostor.
Kromě zde uvedených identifikátorů může systém dále obsahovat lokální identifikátory přiřazené osobnímu autentizačnímu předmětu a/nebo uživateli na úložišti dat u poskytovatele služeb, které nejsou předávány žádnému jinému poskytovateli služeb, a jsou provázány s identifikátory přiřazenými osobnímu autentizačnímu předmětu a/nebo uživateli hlavním poskytovatelem služeb pro tohoto poskytovatele služeb.
Autentizační postupy a způsoby bezpečného předání informací používané v rámci tohoto vynálezu mohou být jakékoliv vhodné autentizační postupy a způsoby bezpečného předání informací známé ve stavu techniky. Jejich vhodnost a použitelnost pro tento vynález dokáže odborník v oboru snadno posoudit, a dokáže rovněž zajistit jejich implementaci. Pro připojení osobního autentizačního předmětu k hlavnímu i k dalšímu poskytovateli služeb pro synchronizaci informací lze také použít v oboru známé postupy, například postupy podle přihlášky PCT/CZ2016/050024.
Poskytovatelem služeb může být jakýkoliv poskytovatel elektronických služeb, například poskytovatel elektronického bankovnictví, mobilní operátor, poskytovatel elektronických databází, poskytovatel ověření identity (Identity provider), provozovatel veřejné dopravy
-7CZ 308225 B6 (elektronické jízdenky), zabezpečení vstupu do budov (elektronické vstupní systémy), internetový obchod, poskytovatel zdravotních služeb (elektronické zdravotnictví), apod.
Serverová komponenta autentizačního systému je část autentizačního systému (obvykle software), která je uložena a pracuje na serveru příslušného poskytovatele služeb. S uživatelem tato serverová komponenta obvykle komunikuje prostřednictvím uživatelského rozhraní.
Při prvním použití libovolného osobního autentizačního předmětu k autentizaci u kteréhokoliv dalšího poskytovatele služeb se osobní autentizační předmět připojí a autentizuje také k hlavnímu poskytovateli služeb a vyžádá si synchronizační informaci. Synchronizační informace obsahuje mapu osobních autentizačních předmětů a identifikátory přiřazené pro všechny osobní autentizační předměty přiřazené k této mapě a/nebo identifikátory pro uživatele alespoň pro tohoto poskytovatele služeb.
Po obdržení synchronizační informace předá osobní autentizační předmět tuto synchronizační informaci tomuto dalšímu poskytovateli služeb, který odpovídajícím způsobem s použitím synchronizační informace upraví svou mapu osobních autentizačních předmětů pro účet daného uživatele a identifikátory přiřazené pro osobní autentizační předměty přiřazené k mapě pro účet daného uživatele a/nebo identifikátory přiřazené pro daného uživatele.
Takto je zajištěno, že všichni poskytovatelé služeb mají informace o osobních autentizačních předmětech daného uživatele, a včas získají identifikátory, které mohou použít k autentizaci s pomocí osobního autentizačního předmětu uživatele, který u nich samostatně nikdy zaregistrován nebyl.
S výhodou se synchronizační informace vyžádá a předá alespoň na počátku prvního procesu autentizace osobního autentizačního předmětu k dalšímu poskytovateli služeb. To usnadní situaci, když je k autentizaci používán osobní autentizační předmět, který u tohoto poskytovatele služeb uživatelem nikdy předtím použit nebyl. Na základě předané synchronizační informace pak dokáže poskytovatel služeb zjistit, že tento osobni autentizační předmět je přiřazen do mapy osobních autentizačních předmětů daného uživatele, a má k dispozici také jemu přiřazený identifikátor pro tohoto poskytovatele služeb, který může použít v autentizačním procesu.
Pokud se pak jeden z osobních autentizačních předmětů registruje k novému poskytovateli služeb, osobní autentizační předmět se připojí a autentizuje k hlavnímu poskytovateli služeb, vyžádá si od hlavního poskytovatele služeb vygenerování identifikátorů přiřazených pro všechny osobní autentizační předměty obsažené v mapě autentizačních předmětů a pro tohoto nového poskytovatele služeb a/nebo pro uživatele a pro tohoto nového poskytovatele služeb, a vytvoření synchronizační informace obsahující mapu osobních autentizačních předmětů a identifikátory přiřazené pro všechny k mapě přiřazené osobní autentizační předměty a/nebo pro uživatele alespoň pro tohoto poskytovatele služeb, popřípadě pro alespoň jednoho dalšího či všechny poskytovatele služeb, k nimž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele. Tuto synchronizační informaci potom předá tomuto novému poskytovateli služeb.
Takto je synchronizačním postupem a vyžádáním a předáním synchronizační informace prostřednictvím osobního autentizačního předmětu zajištěno, že nový poskytovatel služeb má u účtu uživatele přiřazeny všechny osobní autentizační předměty tohoto uživatele, a má pro kterýkoliv z nich a/nebo pro uživatele k dispozici identifikátor, který může použít při autentizaci. A zároveň má hlavní poskytovatel služeb informaci o novém jiném poskytovateli služeb, kterou může s výhodou použít například při řešení mimořádných situací.
Dále je popsáno výhodné provedení, které je vhodné pro řešení problémů způsobených ztrátou nebo zničením osobního autentizačního předmětu.
Zde se využije toho, že autentizační systém je upraven tak, že umožňuje přímý přenos
- 8 CZ 308225 B6 synchronizačních zpráv mezi hlavním poskytovatelem služeb a dalšími poskytovateli služeb synchronizačním kanálem přímo, bez nutnosti přenosu přes osobní autentizační předmět. S použitím tohoto znaku lze zvýšit bezpečnost systému zajištěním spolehlivého a rychlého zablokování osobního autentizačního předmětu, který uživatel například ztratil, zničil nebo mu byl ukraden.
Při ztrátě, zničení nebo krádeži prvního osobního autentizačního předmětu se uživatel autentizuje s použitím jiného osobního autentizačního předmětu, který má stále k dispozici, k hlavnímu poskytovateli služeb, a u prvního osobního (ztraceného) autentizačního předmětu zadá příkaz centrální revokace. Serverová komponenta autentizačního systému hlavního poskytovatele služeb pak připraví synchronizační zprávu, v níž je vyznačeno, že první osobní autentizační předmět má být zablokován a/nebo nemůže být použit k autentizaci; a tuto synchronizační zprávu potom přenese synchronizačními kanály všem dalším poskytovatelům služeb, u nichž je registrován kterýkoliv z osobních autentizačních předmětů přiřazených k mapě osobních autentizačních předmětů tohoto uživatele. Další poskytovatelé služeb si na základě této synchronizační zprávy synchronizují údaje v databázích serverových komponent autentizačního systému, a pokud se kdokoliv pokusí použít tento první osobní autentizační předmět u kteréhokoliv z nich, je tento předmět zablokován a/nebo je autentizace odmítnuta. K identifikaci tohoto prvního (ztraceného) osobního autentizačního předmětu použijí další poskytovatelé služeb identifikátory přiřazené tomuto osobnímu autentizačnímu předmětu přiřazené ke své mapě osobních autentizačních předmětů tohoto uživatele.
V případě, že dojde ke ztrátě, zničení nebo krádeži všech osobních autentizačních předmětů uživatele, dovoluje s výhodou autentizační systém podle vynálezu vstup administrátora (např. pověřeného pracovníka) hlavního poskytovatele služeb, který po ověření identity uživatele zadá příkaz centrální revokace všech osobních autentizačních předmětů tohoto uživatele. Serverová komponenta autentizačního systému hlavního poskytovatele služeb pak připraví synchronizační zprávu, v níž je vyznačeno, že všechny osobní autentizační předměty tohoto uživatele mají být zablokovány a/nebo nemohou být použity k autentizaci; a tuto synchronizační zprávu potom přenese synchronizačními kanály všem dalším poskytovatelům služeb, u nichž je registrován kterýkoliv z osobních autentizačních předmětů přiřazených k mapě osobních autentizačních předmětů tohoto uživatele. Další poskytovatelé služeb si na základě této synchronizační zprávy synchronizují údaje v databázích serverových komponent autentizačního systému, a pokud se kdokoliv pokusí použít tento jakýkoliv osobní autentizační předmět u kteréhokoliv z nich, je tento předmět zablokován a/neboje autentizace odmítnuta. K identifikaci těchto osobních autentizačních předmětů použijí další poskytovatelé služeb identifikátory přiřazené těmto osobním autentizačním předmětům a/nebo identifikátor uživatele přiřazené ke své mapě osobních autentizačních předmětů tohoto uživatele.
Dále je popsáno výhodné provedení vynálezu, které je vhodné pro řešení problémů způsobených faktem, že jeden nebo více osobních autentizačních předmětů uživatele má neplatný (např. zastaralý) kryptomateriál pro autentizaci k jednomu nebo více dalším poskytovatelům služeb, například z důvodu, že nebyl dlouho pro tuto autentizaci používán, například je udržován pouze jako záložní osobní autentizační předmět. Osobní autentizační předmět v tomto provedení nemá neplatný (např. zastaralý) kryptomateriál pro autentizaci k hlavnímu poskytovateli služeb.
Při použití tohoto osobního autentizačního předmětu k autentizaci k dalšímu poskytovateli služeb tento další poskytovatel služeb vyhodnotí neplatnost kryptomateriálu osobního autentizačního předmětu. Při tomto vyhodnocení je autentizace osobního autentizačního předmětu k tomuto dalšímu poskytovateli služeb odmítnuta, a osobní autentizační předmět se tedy chová jako při první autentizaci (registraci) k dalšímu poskytovateli služeb, tedy připojí a autentizuje se k hlavnímu poskytovateli služeb, vyžádá od hlavního poskytovatele služeb vytvoření synchronizační informace obsahující mapu osobních autentizačních předmětů a identifikátory přiřazené všem k mapě přiřazeným osobním autentizačním předmětům alespoň pro tohoto poskytovatele služeb, a předá tuto synchronizační informaci tomuto dalšímu poskytovateli
-9CZ 308225 B6 služeb. Následně se po porovnání mapy osobních autentizačních předmětů původně uložené u tohoto dalšího poskytovatele služeb a nově přenesené, nebo na základě identifikátoru daného osobního autentizačního předmětu, vytvoří čerstvý kryptomateriál pro autentizaci tohoto osobního autentizačního předmětu.
Pokud dojde k zneplatnění kryptomateriálu osobního autentizačního předmětu i pro autentizaci k hlavnímu poskytovateli služeb, pak s výhodou autentizační systém podle vynálezu dovolí vstup administrátora (např. pověřeného pracovníka) hlavního poskytovatele služeb, který po ověření identity uživatele umožní či zajistí obnovu kryptomateriálu příslušného osobního autentizačního předmětu u hlavního poskytovatele služeb, aniž by se zrušilo přiřazení tohoto osobního autentizačního předmětu k mapě osobních autentizačních předmětů daného uživatele. Pro další poskytovatele služeb pak lze použít postup popsaný v odstavci výše.
Ve výhodném provedení vynálezu, kdy je k mapě osobních autentizačních předmětů přiřazen identifikátor přiřazený pro uživatele, je možné využívat centrálního ověření identity uživatele.
Centrální ověření identity uživatele provádí poskytovatel ověřovacích služeb. Ten může nebo nemusí být shodný s hlavním poskytovatelem služeb pro daného uživatele.
Identifikátory přiřazené pro uživatele pro každého poskytovatele služeb mohou být generovány hlavním poskytovatelem služeb nebo poskytovatelem ověřovacích služeb nebo dalším poskytovatelem služeb, popřípadě jsou předány hlavnímu poskytovateli služeb, jsou přiřazeny k mapě osobních autentizačních zařízení tohoto uživatele v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb, a také je alespoň identifikátor přiřazený uživateli pro daného dalšího poskytovatele služeb uložen v úložišti dat serverové komponenty autentizačního systému tohoto dalšího poskytovatele služeb, a jsou součástí synchronizačních informací. V dalším textu mohou být nazývány „identifikátor uživatele“ nebo „referenční identifikátor uživatele“.
Kromě identifikátoru uživatele pro každého poskytovatele služeb, který je součástí synchronizačních informací, existuje pro každého poskytovatele služeb lokální identifikátor uživatele, který není nikam předáván, ale je u tohoto poskytovatele služeb přiřazen k mapě osobních autentizačních zařízení tohoto uživatele. Lokální identifikátor je generován příslušným poskytovatelem služeb, u nějž existuje.
Při centrálním ověření identity ověří poskytovatel ověřovacích služeb identitu uživatele například podle identifikačního dokladu, a pokud je poskytovatel ověřovacích služeb odlišný od hlavního poskytovatele služeb, předá hlavnímu poskytovateli služeb výsledek ověření identity uživatele. Výsledek ověření identity uživatele se pak předá dalšímu poskytovateli služeb jako součást synchronizační informace nebo při samostatné operaci převzetí výsledků ověření identity uživatele, spolu s referenčním identifikátorem uživatele pro příslušného dalšího poskytovatele služeb, a na základě referenčního identifikátoru uživatele se prováže s odpovídající lokálním identifikátorem uživatele přiřazeným uživateli u tohoto dalšího poskytovatele služeb. Předání synchronizační informace nebo předání výsledků ověření identity uživatele při samostatné operaci převzetí výsledků ověření identity uživatele lze provést přímo mezi serverovými komponentami autentizačních systémů poskytovatelů služeb nebo prostřednictvím osobních autentizačních předmětů.
S použitím systému podle vynálezu je možné ověřit identitu uživatele a předat výsledek ověření prostřednictvím jeho provázání s mapou osobních autentizačních zařízení tohoto uživatele a/nebo s referenčními identifikátory uživatele dalším poskytovatelům služeb.
Stejné postupy lze využít i při opětovném ověření identity či při změně osobních údajů uživatele, takže uživatel projde procesem ověření identity či změny osobních údajů jen u jednoho poskytovatele ověřovací služeb, a příslušné údaje se prostřednictvím autentizačního systému
- 10 CZ 308225 B6 podle vynálezu předají všem dalším nebo vybraným poskytovatelům služeb. Při tom je s výhodou možné řídit obsah předávaných osobních údajů například s ohledem na platnou legislativu ochrany soukromí.
V dalším výhodném provedení lze provést přímou transakci (přenos dat) mezi dvěma poskytovateli služeb (např. mezi hlavním poskytovatelem služeb a dalším poskytovatelem služeb, nebo mezi dvěma dalšími poskytovateli služeb) při připojení osobního autentizačního předmětu k jednomu poskytovateli služeb, přičemž na úložištích dat serverových komponent autentizačních systémů obou poskytovatelů služeb jsou k dispozici příslušné lokální identifikátory tohoto uživatele přiřazené k mapě osobních autentizačních zařízení tohoto uživatele. Zde se navíc využívá i toho, že autentizační systém umožňuje přenos dat mezi kterýmikoliv poskytovateli služeb přímo.
V tomto postupu dojde součinností osobního autentizačního zařízení a serverových komponent autentizačních systémů obou poskytovatelů služeb k vygenerování jednorázového identifikátoru uživatele serverovou komponentou autentizačního systému jednoho poskytovatele služeb, který se předá serverové komponentě autentizačního systému druhého poskytovatele služeb prostřednictvím osobního autentizačního předmětu. Na úložištích dat serverových komponent autentizačních systémů obou poskytovatelů služeb se jednorázový identifikátor uživatele prováže s příslušným lokálním identifikátorem tohoto uživatele. Následně aplikace vyžadující provedení transakce u druhého poskytovatele služeb vyžádá dokončení transakce a předá serverové komponentě autentizačního systému druhého poskytovatele služeb parametry transakce a lokální identifikátor uživatele druhého poskytovatele služeb. Podle lokálního identifikátoru uživatele vyhledá serverová komponenta na svém úložišti dat provázaný jednorázový identifikátor uživatele, a přímým synchronizačním kanálem předá požadavek na dokončení transakce, parametry transakce a jednorázový identifikátor uživatele serverové komponentě autentizačního systému prvního poskytovatele služeb. Ta podle jednorázového identifikátoru uživatele vyhledá na svém úložišti dat lokální identifikátor uživatele prvního poskytovatele služeb, a předá tento lokální identifikátor uživatele spolu s parametry transakce aplikaci účastnící se transakce u prvního poskytovatele služeb. Po ukončení transakce vymažou oba poskytovatelé služeb jednorázový identifikátor uživatele ze svých úložišť dat. Pro každou transakci se tedy generuje samostatný jednorázový identifikátor uživatele. To zabraňuje proběhnutí transakce bez vědomí uživatele.
Jednotlivá výhodná provedení lze libovolně kombinovat, přičemž k jejich provádění je vhodný autentizační systém definovaný v nárocích.
Příklady uskutečnění vynálezu
Přehled zkratek používaných v příkladech:
PEIG - osobní autentizační předmět (personál electronic identification gadget); AIM - serverová komponenta autentizačního systému poskytovatele služeb; databáze AIM - úložiště dat serverové komponenty autentizačního systému poskytovatele služeb; Mapa nebo Mapa PEIGů - mapa osobních autentizačních předmětů;
UDI - lokální identifikátor uživatele (user database index);
UR1D - referenční identifikátor uživatele (user reference identifier);
UOTID - jednorázový identifikátor uživatele (user one-time identifier);
Xx (např. Ba, Aa) - značení identifikátorů osobních autentizačních předmětů, velké písmeno odpovídá poskytovateli služeb, malé písmeno odpovídá osobnímu autentizačnímu předmětu. Hlavní poskytovatel služeb je značen A, není-li uvedeno jinak.
Další poskytovatelé služeb jsou značeni dalšími písmeny abecedy.
Příklad 1: přiřazení více PEIGů k účtu jednoho uživatele, jejich vzájemně záměnné použití pro
- 11 CZ 308225 B6 autentizaci
Uživatel vytvoří repliku, tj. přiřadí dva či více PEIGů ke svému účtu pouze u hlavního poskytovatele služeb. Své PEIGy chce používat i u dalších poskytovatelů služeb, kde ale nechce opakovat proces repliky, a přesto chce využívat oba (všechny) PEIGy k přístupu ke svému účtu u dalšího poskytovatele.
Uživatel nejdříve vytvoří repliku PEIGu a a PEIGu b u hlavního poskytovatele služeb A, teprve potom použije první PEIG a u dalšího poskytovatele služeb B, a nakonec použije druhý PEIG b u dalšího poskytovatele služeb B.
Při vytvoření repliky PEIGu a a PEIGu b u hlavního poskytovatele služeb A vygeneruje AIM A unikátní identifikátory Ba a Bb určené pro dalšího poskytovatele služeb B a přiřazené PEIGu a a PEIGu b. Tyto identifikátory uloží k dalšímu použití do záznamu nazvaného Mapa PEIGů. Do Mapy PEIGů uloží AIM A i další informace jako je čas vzniku repliky, lokální identifikátory PEIGů určené pro použití hlavním poskytovatelem služeb A (tj. identifikátory Aa a Ab).
Při prvním použití PEIGu a u dalšího poskytovatele služeb B je pomocí PEIG a přenesena část Mapy PEIGů z AIM A na AIM B, a to zejména identifikátory Ba a Bb. kde je vyznačeno, že identifikátor Ba přísluší PEIGu a a identifikátor Bb PEIGu b, který je replikou PEIGu a. AIM B z přijaté synchronizované Mapy PEIGů vytvoří vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. V tomto záznamu je uvedeno, že identifikátor Ba určený poskytovatelem služeb A přísluší PEIGu a, a že PEIG a je v replice (tj. přiřazený k účtu stejného uživatele) s PEIGem b, kterému poskytovatel služeb A přidělil identifikátor Bb.
Při prvním použití PEIGu b u dalšího poskytovatele služeb B je pomocí PEIGu b přenesena část Mapy PEIGů z AIM A na AIM B, a to zejména identifikátory Ba a Bb, kde je vyznačeno, že identifikátor Bb přísluší PEIGu b a identifikátor Ba přísluší PEIGu a, který je s PEIGem b v replice.
AIM B podle identifikátorů Ba nebo Bb v přijaté synchronizované Mapě PEIGů vyhledá dříve uloženou Mapu PEIGů příslušnou k PEIGu a. Ta obsahuje stejné identifikátory Ba a Bb jako přijatá Mapa PEIGů, pokud PEIG b patří do repliky vytvořené u hlavního poskytovatele A, V takovém případě AIM B připojí PEIG b_k uživatelskému účtu příslušnému k PEIG a. Tím získá uživatel přístup ke svému účtu i pomocí druhého PEIGu b.
Ke každému záznamu Mapa PEIGů jsou přiřazeny záznamy všech PEIGů přiřazených k účtu příslušného uživatele, zde PEIGů a a b, obsahující data nutná k provedení autentizace PEIGů a a b. To platí analogicky pro všechny příklady uvedené dále.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 2: Přiřazení více PEIGů k účtu jednoho uživatele, jejich vzájemně záměnné použití pro autentizaci
Tento příklad popisuje situaci, kdy uživatel nejdříve použije první PEIG a u hlavního poskytovatele služeb A, potom použije PEIG a u dalšího poskytovatele B, teprve potom vytvoří repliku PEIGu a, a PEIGu b (tj. přiřadí oba PEIGy k účtu jednoho uživatele) u hlavního poskytovatele služeb A, a nakonec použije druhý PEIG b u dalšího poskytovatele služeb B.
Při prvním použití PEIGu au hlavního poskytovatele služeb A je vytvořen unikátní identifikátor Aa a ten AIM A uloží do Mapy PEIGů. Při prvním použití PEIGu a u dalšího poskytovatele služeb B vytvoří AIM B prostřednictvím PEIG a požadavek na synchronizaci Mapy PEIGů z AIM A, AIM A hlavního poskytovatele služeb A vygeneruje unikátní identifikátor Ba určený pro dalšího poskytovatele služeb B a přiřazený PEIGu a. Tento identifikátor Ba uloží AIM A k
- 12 CZ 308225 B6 dalšímu použití do již dnve vytvořeného záznamu Mapa PEIGů. AIM A také v synchronizované Mapě PEIGů předá prostřednictvím PEIG a identifikátor Ba na AIM B. AIM B uloží identifikátor Ba do záznamu Mapa PEIGů dalšího poskytovatele B.
Při vytvoření repliky PEIGu a a PEIGu b AIM A poskytovatele služeb A vygeneruje všechny chybějící unikátní identifikátory Xa nebo Xb určené pro jiné poskytovatele služeb X a přiřazené PEIGu a a PEIGu b, tedy vygeneruje také unikátní chybějící identifikátor Bb určený pro poskytovatele služeb B a přiřazený PEIGu b. Tyto identifikátory uloží k dalšímu použití do záznamu Mapa PEIGů. Do Mapy PEIGů uloží i další informace jako je čas vzniku repliky, lokální identifikátory PEIGů určené pro použití poskytovatelem služeb A.
Při vytváření repliky PEIGu synchronizuje AIM A a s pomocí PEIGu a pomocí PEIGu b aktualizovanou Mapu PEIGů na všechny jiné poskytovatele služeb X, kteří mají v době repliky vytvořené identity buď na PEIGu a. nebo na PEIGu b. To platí i pro dalšího poskytovatele služeb B. AIM B tak získá nově vytvořený identifikátor Bb provázaný s identifikátorem Ba.
AIM B z přijaté synchronizované Mapy PEIGů vytvoří vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. V tomto záznamu je uvedeno, že identifikátor Ba určený hlavním poskytovatelem služeb A přísluší PEIGu a a že PEIG a je v replice s dalším PEIGem, kterému hlavní poskytovatel služeb A přidělil identifikátor Bb.
Dále je postup shodný s Příkladem 1.
Příklad 3: Přiřazení více PEIGů k účtu jednoho uživatele, jejich vzájemně záměnné použití pro autentizaci
Příklad 3 popisuje situaci, kdy uživatel nejdříve použije jeden PEIG a u dalšího poskytovatele B, teprve potom vytvoří repliku PEIGu a a PEIGu b u hlavního poskytovatele služeb A, a nakonec použije druhý PEIG b u dalšího poskytovatele služeb B.
Při prvním použití PEIGu a u dalšího poskytovatele služeb B vytvoří AIM B prostřednictvím PEIGu a požadavek na synchronizaci Mapy PEIGů z AIM A na AIM B. Protože PEIG a nemá v tomto okamžiku vytvořenou identitu pro hlavního poskytovatele služeb A, nesynchronizuje se žádná Mapa PEIGů na AIM B dalšího poskytovatele služeb B.
Při vytvoření repliky PEIGu a a PEIGu b AIM A hlavního poskytovatele služeb A vygeneruje všechny chybějící unikátní identifikátory Xa nebo Xb určené pro jiné poskytovatele služeb X a přiřazené PEIGu a a PEIGu b, tedy vygeneruje také unikátní chybějící identifikátor Ba a Bb určený pro poskytovatele služeb B a přiřazený PEIGu a a PEIGu b. Tyto identifikátory uloží k dalšímu použití do záznamu Mapa PEIGů. Do Mapy PEIGů volitelně uloží i další informace, jako je čas vzniku repliky či lokální identifikátory PEIGů určené pro použití poskytovatelem služeb A.
Při vytváření repliky PEIGu synchronizuje AIM A s pomocí PEIGu a a pomocí PEIGu b aktualizovanou Mapu PEIGů na všechny jiné poskytovatele služeb X, kteří mají v době repliky vytvořené identity buď na PEIGu a. nebo na PEIGu b. To platí i pro dalšího poskytovatele služeb B. AIM B tak získá nově vytvořené vzájemně provázané identifikátory Ba a Bb.
AIM B z přijaté synchronizované Mapy PEIGů vytvoří vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. V tomto záznamu je uvedeno, že identifikátor Ba určený poskytovatelem služeb A přísluší PEIGu a a že PEIG a je v replice s dalším PEIGem b, kterému poskytovatel služeb A přidělil identifikátor Bb.
Další postup je shodný s příkladem 1.
- 13 CZ 308225 B6
Příklad 4: Přiřazení více PEIGů k účtu jednoho uživatele, jejich vzájemně záměnné použití při autentizaci
Příklad 4 popisuje situaci, kdy uživatel nejdříve použije jeden PEIG a u dalšího poskytovatele B, teprve potom vytvoří repliku PEIGu a a PEIGu b u hlavního poskytovatele služeb A, a nakonec použije druhý PEIG b u dalšího poskytovatele služeb B. Přitom nebyla provedena či došlo k výpadku synchronizace při vzniku repliky podle příkladu 3.
Při prvním použití PEIGu a u hlavního poskytovatele služeb A AIM A hlavního poskytovatele služeb A vygeneruje unikátní identifikátory Xa určené pro všechny jiné poskytovatele služeb X a přiřazené PEIGu a. Protože další poskytovatel služeb B je v této době již v seznamu poskytovatelů na PEIGu a. AIM A hlavního poskytovatele služeb A v součinnosti s PEIGem a vygeneruje unikátní identifikátor Ba určený pro poskytovatele služeb B a přiřazený PEIGu a. Tento identifikátor uloží k dalšímu použití do záznamu Mapa PEIGů v databázi AIM A. Zároveň pomocí PEIGu a přenese identifikátor Ba na AIM B dalšího poskytovatele B. AIM B uloží identifikátor Ba do svého záznamu Mapa PEIGů pro další použití.
Při vytvoření repliky PEIGu a a PEIGu b AIM A hlavního poskytovatele služeb A vygeneruje všechny chybějící unikátní identifikátory Xa nebo Xb určené pro jiné poskytovatele služeb X (u nichž kdy v minulosti byly PEIGy a a b použity k autentizaci) a přiřazené PEIGu a a PEIGu b. tedy vygeneruje také unikátní chybějící identifikátory Ba nebo Bb určené pro poskytovatele služeb B_a přiřazené PEIGu a a PEIGu b. Tyto identifikátory uloží k dalšímu použití do záznamu Mapa PEIGů v databázi AIM A. Do Mapy PEIGů volitelně uloží i další informace, jako je čas vzniku repliky či lokální identifikátory PEIGů určené pro použití poskytovatelem služeb A.
Při vytváření repliky PEIGů nedojde z nějakého důvodu, například z důvodu výpadku komunikace, k synchronizaci AIM A a AIM B.
Dále je příklad 4 shodný s příkladem 1.
Pro vysvětlení uveďme, že při prvním použití PEIG b u dalšího poskytovatele služeb B AIM B podle identifikátoru Ba v přijaté synchronizované Mapě PEIGů najde ve svém úložišti dříve uloženou Mapu PEIGů příslušnou PEIGu a.
Příklad 5: Ztráta PEIGu - samoobslužné zotavení z nouzové situace
Příklad 5 popisuje situaci, kdy má uživatel vytvořenou repliku PEIGů a a b podle příkladů 1 až 4, tj. má oba PEIGy přiřazené ke svému účtu uživatele u hlavního poskytovatele služeb A. Dojde k nouzové situaci, kdy uživatel zjistí, že ztratil či mu byl ukraden jeden PEIG z repliky a chce zabránit tomu, aby nepovolaná osoba mohla tento PEIG použít k přístupu k jeho účtům u hlavního poskytovatele i u všech dalších poskytovatelů služeb. Proto uživatel chce použít záložní repliku. PEIG se záložní replikou nikdy předtím nebyl použit pro přístup k jinému poskytovateli a nemá k dispozici kybernetickou identitu pro dalšího poskytovatele.
Chce také přidat do repliky další PEIG, aby mohl používat dva PEIGy resp. mít zálohu stejně jako před nouzovou situací. Speciálním případem je použití druhého PEIGu jako zálohy. Uživatel ztratil možnost použít PEIG a.
Uživatel má k dispozici PEIG b, který ještě nebyl použit u dalšího poskytovatele služeb B. Uživatel v nouzové situaci použije PEIG b k přístupu ke službě revokace PEIGu hlavního poskytovatele A. Poté, co byl uživatel autentizován a autorizován pomocí PEIGu b, zadá uživatel příkaz centrální revokace PEIGu a.
Na základě tohoto příkazu AIM A zablokuje možnost použít PEIG a k přístupu k uživatelskému účtu uživatele, tedy i k zadání příkazu centrální revokace pomocí PEIGu a. Zároveň AIM A
- 14 CZ 308225 B6 vytvoří synchronizační záznamy pro všechny jiné poskytovatele, tedy i pro dalšího poskytovatele B, ve kterém je uvedeno, že PEIG a má být zablokován. K tomu použije identifikátor Ba PEIGu a pro dalšího poskytovatele B zapsaný dříve do záznamu Mapa PEIGů.
Synchronizační záznam je přenesen přímým synchronizačním kanálem jinému poskytovateli B a předán AIM B. Podle přijatého synchronizačního záznamu AIM B zablokuje možnost použití PEIGu a pro přístup k účtu uživatele u dalšího poskytovatele B. Přitom identifikátor Bb zůstane zaznamenán v záznamu Mapa PEIGů a propojen s uživatelským účtem uživatele. To umožní uživateli, aby použil PEIG b k přístupu ke svému účtu u dalšího poskytovatele B. Dále uživatel použije PEIG c tak, že vytvoří repliku podle příkladu 1. Při vytváření repliky AIM A vytvoří kromě dalších identifikátorů také unikátní identifikátor Bc pro dalšího poskytovatele B a ten se přenese na AIM B a tam se zaznamená do Mapy PEIGů.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 6: Ztráta PEIGu - samoobslužné zotavení z nouzové situace
Příklad 6 popisuje situaci, kdy má uživatel vytvořenou repliku PEIGů a a b podle příkladů 1 až 4, tj. má oba PEIGy přiřazené ke svému účtu uživatele u hlavního poskytovatele služeb A. Dojde k nouzové situaci, kdy uživatel zjistí, že ztratil či mu byl ukraden jeden PEIG z repliky a chce zabránit tomu, aby nepovolaná osoba mohla tento PEIG použít k přístupu k jeho účtům u hlavního poskytovatele i u všech dalších poskytovatelů služeb. Proto uživatel chce použít repliku, kterou má k dispozici.
Chce také přidat do repliky další PEIG, aby mohl používat dva PEIGy rep. mít zálohu stejně jako před nouzovou situací.
Na rozdíl od příkladu 5 uživatel ztratil možnost použít PEIG b.
Uživatel má k dispozici PEIG a, který již byl použit u dalšího poskytovatele služeb B. PEIG b ještě nebyl použit u dalšího poskytovatele služeb B.
Uživatel v nouzové situaci použije PEIG a k přístupu ke službě revokace PEIGu hlavního poskytovatele služeb A. Poté, co byl uživatel autentizován a autorizován pomocí PEIGu a, zadá příkaz centrální revokace PEIGu b.
Na základě tohoto příkazu AIM A zablokuje možnost použít PEIG b k přístupu k uživatelskému účtu uživatele, tedy i k zadání příkazu centrální revokace pomocí PEIGu b. Zároveň AIM A vytvoří synchronizační záznamy pro všechny jiné poskytovatele, tedy i pro dalšího poskytovatele služeb B, ve kterém je uvedeno, že PEIG a má být zablokován. K tomu použije identifikátor Bb PEIGu b pro dalšího poskytovatele služeb B existující v záznamu Mapa PEIGů.
Synchronizační záznam je přenesen přímým synchronizačním kanálem dalšímu poskytovateli služeb B a předán AIM B. AIM B nemá záznam pro PEIG b, protože PEIG b ještě nebyl u dalšího poskytovatele služeb B použit. Podle přijatého synchronizačního záznamu AIM B najde záznam Mapa PEIGů, ve kterém se identifikátor Bb vyskytuje. Je to Mapa PEIGů propojená s PEIG a a s uživatelovým účtem. Do této Mapy PEIGů k identifikátoru Bb připojí AIM B příznak revokace.
Při prvním použití PEIGu b u dalšího poskytovatele služeb B započne postup popsaný v příkladu 1 s tím rozdílem, že podle příznaku revokace není PEIGu b umožněn přístup k uživatelskému účtu a AIM B zablokuje možnost použití PEIGu b.
Dále uživatel použije PEIG c tak, že vytvoří repliku podle příkladu 1. Přitom AIM A vygeneruje potřebné identifikátory včetně unikátního identifikátoru Bc pro dalšího poskytovatele B a ten se
- 15 CZ 308225 B6 přenese na AIM B a tam se zaznamená do Mapy PEIGů.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 7: Ztráta PEIGu - asistované zotavení z nouzové situace
Uživatel má vytvořenou repliku PEIGů a a b podle některého příkladů 1 až 4, tj. má oba PEIGy přiřazené ke svému účtu uživatele u hlavního poskytovatele služeb A.
Dojde k nouzové situaci, kdy uživatel zjistí, že ztratil či mu byl ukraden jeden nebo oba PEIGy z repliky a chce zabránit tomu, aby nepovolaná osoba mohla jakýkoliv PEIG použít k přístupu k jeho účtům u hlavního poskytovatele i u všech dalších poskytovatelů služeb.
V tomto případě není možné přidat žádný další PEIG do repliky.
Uživatel použije asistované zotavení, to znamená, že kontaktuje příslušného pověřeného pracovníka hlavního poskytovatele služeb A, který po příslušném ověření identity uživatele a provedení dalších opatření zadá AIM A příkaz centrální revokace všech PEIGů uživatele.
AIM A zkontroluje oprávnění pověřeného pracovníka a v kladném případě vyhledá všechny PEIGy uživatele podle záznamu Mapa PEIGů a provede centrální revokaci všech PEIGů uživatele podle příkladu 5.
Příklad 8: Centrální ověření identity
Hlavní poskytovatel služeb A provádí ověření identity daného uživatele, tedy plní funkci poskytovatele ověřovacích služeb. Uživatel spolupracuje s hlavním poskytovatelem služeb A v procesu ověření identity (např. dostaví se osobně na pobočku hlavního poskytovatele služeb s příslušným osobním dokladem, kde je ověřena jeho totožnost a osobní informace o uživateli bezpečně provázány s PEIGem uživatele). Uživatel chce svůj PEIG používat také u dalších poskytovatelů služeb a nechce opakovat proces ověření identity.
Potom, co uživatel má založeny své účty u dalších poskytovatelů s využitím ověření identity provedeném hlavním poskytovatelem, dojde k nouzové situaci, při které uživatel přijde o možnost používat PEIG, který je svázán s jeho účty a ověřením identity (např. porucha, ztráta, krádež, zapomenutí či další důvod nemožnosti použít druhý faktor).
Uživatel se potřebuje zotavit z takové situace a nechce opakovat proces ověření identity u dalších poskytovatelů služeb a zároveň nechce přijít o svá aktiva propojená se svým účtem u dalších poskytovatelů služeb. Je ochoten pouze zopakovat proces ověření identity u hlavního poskytovatele služeb A a chce provázat nový náhradní PEIG se všemi svými původními účty u všech dalších poskytovatelů. Přitom má dojít k zablokování možnosti použít původní (ztracený, ukradený) PEIG k přístupu k původním účtům u všech dalších poskytovatelů.
Uživatel má PEIG a, s jeho pomocí si založí účet u hlavního poskytovatele služeb A. Poté nebo přitom dojde k ověření jeho identity například na pracovišti hlavního poskytovatele služeb A. Uživateli je přidělen lokální jednoznačný identifikátor (User Database Index - UDI) UDI A, který je spolu s ověřenými osobními údaji zaznamenán v informačním systému hlavního poskytovatele služeb A. Lokální identifikátor UDIA je zaznamenán také v databázi AIM A.
Poté uživatel použije PEIG a u dalšího poskytovatele služeb B, kde si chce založit účet. Další poskytovatel služeb B umožňuje převzetí výsledků ověření identity od hlavního poskytovatele služeb A. Při provedení operace převzetí výsledů ověření identity mezi dalším poskytovatelem služeb B a hlavním poskytovatelem služeb A dojde mimo jiné k vygenerování referenčního identifikátoru uživatele URID B pro dalšího poskytovatele služeb B pomocí AIM A. Dojde také
- 16 CZ 308225 B6 k vygenerování unikátního identifikátoru Ba PEIGu a pro dalšího poskytovatele služeb B.
Referenční identifikátor (User Reference IDentifier) URID B a identifikátor PEIGu Ba se na AIM A spolu s UDIA uloží k dalšímu použití do záznamu nazvaného Mapa PEIGů.
Při operaci převzetí výsledků ověření identity je referenční identifikátor URID B spolu s identifikátorem PEIGu Ba přenesen z AIM A přes PEIG a na AIM B. Na AIM B je referenční identifikátor URID B provázán s lokálním jednoznačným identifikátorem uživatele UDI B, identifikátor Ba je provázán s interním záznamem PEIGu a. AIM B z přijaté synchronizované Mapy PEIGů vytvoří nebo modifikuje vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. Zároveň se přenesou potřebné ověřené osobní údaje mezi hlavním poskytovatelem služeb A a dalším poskytovatelem služeb B a propojí se s lokálním identifikátorem uživatele UDI B.
Poté co dojde k nouzové situaci, uživatel s novým PEIGem b projde opakovaným procesem ověření identity hlavním poskytovatelem služeb A. Při tomto procesu se ověří, že jde o opakované ověření identity téže osoby a nový PEIG b je provázán s původními osobními údaji a původním lokálním identifikátorem UDI A. AIM A to vyhodnotí tak, že automaticky zablokuje možnost použít původní PEIG a k přístupu k uživatelskému účtu uživatele a umožní používat nový PEIG b. AIM A také modifikuje dříve uložený záznam Mapa PEIGů tak, že do něj přidá vazbu na nový PEIG b a uloží jej k dalšímu použití.
Poté, co uživatel použije nový PEIG b u dalšího poskytovatele služeb B, je to dalším poskytovatelem služeb B vyhodnoceno jako přístup neznámého uživatele. Další poskytovatel umožňuje převzetí výsledků ověření identity od hlavního poskytovatele služeb A. Při provedení operace převzetí výsledů ověření identity mezi dalším poskytovatelem služeb B a hlavním poskytovatelem služeb A zjistí AIM A podle dříve uložené Mapy PEIGů, že existuje původní referenčního identifikátoru uživatele URID B pro dalšího poskytovatele služeb B. Původní referenční identifikátor URID B je přenesen z AIM A přes nový PEIG b na AIM B. Na AIM B je podle přeneseného referenční identifikátoru URID B nalezen dříve uložený záznam Mapa PEIGů, kde je identifikátor URID B provázán s původním lokálním jednoznačným identifikátorem uživatele UDI B. Tím je provázán původní uživatelský účet s novým PEIG b.
AIM B z přijaté synchronizované Mapy PEIGů modifikuje vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. Zároveň AIM B to vyhodnotí tak, že automaticky zablokuje možnost použít původní PEIG a k přístupu k uživatelskému účtu uživatele a umožní používat nový PEIG b.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 9: Centrální ověření identity
Hlavní poskytovatel služeb A provádí ověření identity daného uživatele, tedy plní fůnkci poskytovatele ověřovacích služeb. Uživatel spolupracuje s hlavním poskytovatelem služeb A v procesu ověření identity (např. dostaví se osobně na pobočku hlavního poskytovatele služeb s příslušným osobním dokladem, kde je ověřena jeho totožnost a osobní informace o uživateli bezpečně provázány s PEIGem uživatele). Uživatel chce svůj PEIG používat také u dalších poskytovatelů služeb a nechce opakovat proces ověření identity.
Potom, co uživatel má založeny své účty u dalších poskytovatelů s využitím ověření identity provedeném hlavním poskytovatelem, dojde k nouzové situaci, při které uživatel přijde o možnost používat PEIG, který je svázán s jeho účty a ověřením identity (např. porucha, ztráta, krádež, zapomenutí či další důvod nemožnosti použít druhý faktor).
Uživatel se potřebuje zotavit z takové situace a nechce opakovat proces ověření identity u dalších poskytovatelů služeb a zároveň nechce přijít o svá aktiva propojená se svým účtem u dalších
- 17 CZ 308225 B6 poskytovatelů služeb. Je ochoten pouze zopakovat proces ověření identity u hlavního poskytovatele služeb A a chce provázat nový náhradní PEIG se všemi svými původními účty u všech dalších poskytovatelů. Přitom má dojít k zablokování možnosti použít původní (ztracený, ukradený) PEIG k přístupu k původním účtům u všech dalších poskytovatelů. Příklad 9 se liší od příkladu 8 způsobem komunikace mezi poskytovateli služeb a způsobem zneplatnění.
Uživatel má PEIG a, s jeho pomocí si založí účet u hlavního poskytovatele služeb A. Poté nebo přitom dojde k ověření jeho identity například na pracovišti hlavního poskytovatele služeb A. Uživateli je přidělen lokální jednoznačný identifikátor (User Database Index - UDI) UDI A, který je spolu s ověřenými osobními údaji zaznamenán v informačním systému hlavního poskytovatele služeb A. Lokální identifikátor UDIA je zaznamenán také v databázi AIM A.
Poté uživatel použije PEIG a u dalšího poskytovatele služeb B, kde si chce založit účet. Další poskytovatel služeb B umožňuje převzetí výsledků ověření identity od hlavního poskytovatele služeb A. Při provedení operace převzetí výsledů ověření identity mezi dalším poskytovatelem služeb B a hlavním poskytovatelem služeb A dojde mimo jiné k vygenerování referenčního identifikátoru uživatele URID B pro dalšího poskytovatele služeb B pomocí AIM A. Dojde také k vygenerování unikátního identifikátoru Ba PEIGu a pro dalšího poskytovatele služeb B.
Referenční identifikátor (User Reference IDentifier) URID B a identifikátor PEIGu Ba se na AIM A spolu s UDI A uloží k dalšímu použití do záznamu nazvaného Mapa PEIGů.
Při operaci převzetí výsledků ověření identity je referenční identifikátor URID B spolu s identifikátorem PEIGu Ba přenesen z AIM A přes PEIG a na AIM B. Na AIM B je referenční identifikátor URID B provázán s lokálním jednoznačným identifikátorem uživatele UDI B, identifikátor Ba je provázán s interním záznamem PEIGu a. AIM B z přijaté synchronizované Mapy PEIGů vytvoří nebo modifikuje vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití. Zároveň se přenesou potřebné ověřené osobní údaje mezi hlavním poskytovatelem služeb A a dalším poskytovatelem služeb B a propojí se s lokálním identifikátorem uživatele UDI B.
Poté, co dojde k nouzové situaci, uživatel s novým PEIG b projde opakovaným procesem ověření identity hlavním poskytovatelem služeb A. Při tomto procesu se ověří, že jde o opakované ověření identity téže osoby a nový PEIG b je provázán s původními osobními údaji a původním lokálním identifikátorem UDI A.
AIM A to vyhodnotí tak, že automaticky zablokuje možnost použít původní PEIG a k přístupu k uživatelskému účtu uživatele a umožní používat nový PEIG b. AIM A také modifikuje dříve uložený záznam Mapa PEIGů tak, že do něj přidá vazbu na nový PEIG b a uloží jej k dalšímu použití.
Zároveň AIM A vytvoří synchronizační záznam pro všechny jiné poskytovatele, tedy i pro dalšího poskytovatele služeb B, ve kterém je uvedeno, že PEIG a má být zablokován. K tomu použije identifikátor Ba PEIGu a pro dalšího poskytovatele služeb B zapsaný dříve do záznamu Mapa PEIGů. Synchronizační záznam je přenesen přímým synchronizačním kanálem dalšímu poskytovateli služeb B a předán AIM B.
Podle přijatého synchronizačního záznamu AIM B zablokuje možnost použití PEIGu a pro přístup k účtu uživatele u dalšího poskytovatele služeb B.
Poté, co uživatel použije nový PEIG b u dalšího poskytovatele služeb B, je to dalším poskytovatelem služeb B vyhodnoceno jako přístup neznámého uživatele. Další poskytovatel služeb umožňuje převzetí výsledků ověření identity od hlavního poskytovatele služeb A. Při provedení operace převzetí výsledků ověření identity mezi dalším poskytovatelem služeb B a hlavním poskytovatelem služeb A zjistí AIM A podle dříve uložené Mapy PEIGů, že existuje původní referenční identifikátor uživatele URID B pro dalšího poskytovatele B.
- 18 CZ 308225 B6
Původní referenční identifikátor URID B je přenesen z AIM A přes nový PEIG b na AIM B. Na AIM B je podle přeneseného referenční identifikátoru URID B nalezen dříve uložený záznam Mapa PEIGů, kde je identifikátor URID B provázán s původním lokálním jednoznačným identifikátorem uživatele UDI B. Tím je provázán původní uživatelský účet s novým PEIG b. AIM B z přijaté synchronizované Mapy PEIGů modifikuje vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 10: Centrální ověření identity
Uživatel vytvoří repliku, tj. připojí dva či více PEIGů ke svému účtu pouze u prvního hlavního poskytovatele služeb AI. jak je uvedeno v příkladech 1 až 4.
Zároveň druhý hlavní poskytovatel, tj. poskytovatel ověřovacích služeb A2 provádí ověření identity daného uživatele stejně jako v příkladech 8, 9.
Potom, co uživatel má vytvořenu repliku u prvního hlavního poskytovatele služeb AI a založeny své účty u dalších poskytovatelů služeb s využitím ověření identity provedeném poskytovatelem ověřovacích služeb A2, dojde k nouzové situaci, při které uživatel přijde o možnost používat všechny PEIGy v replice (např. porucha, ztráta, krádež, zapomenutí či další důvod nemožnosti použít druhý faktor).
Uživatel se potřebuje zotavit z takové situace a opět nechce opakovat proces ověření identity u dalších poskytovatelů služeb, a zároveň nechce přijít o svá aktiva propojená se svým účtem u dalších poskytovatelů služeb. Je ochoten pouze zopakovat proces ověření identity u poskytovatele ověřovacích služeb A2 a provázat nový náhradní PEIG se všemi svými původními účty u všech dalších poskytovatelů služeb.
Přitom má dojít k zablokování možnosti použít všechny původní (ztracené, ukradené) PEIGy k přístupu k původním účtům u všech dalších poskytovatelů.
Uživatel nejprve vytvoří repliku podle příkladů 1 až 4.
Tím vznikne na AIM AI Mapa PEIGů obsahující unikátní identifikátory Ba a Bb pro oba PEIGy v replice pro dalšího poskytovatele B a také unikátní identifikátory A2a a A2b pro oba PEIGy v replice pro poskytovatele ověřovacích služeb A2. Zároveň jsou identifikátory Ba a Bb zaznamenány v záznamu Mapa PEIGů na AIM B dalšího poskytovatele B. Identifikátory A2a a A2b jsou zaznamenány v záznamu Mapa PEIGů na AIM A2 druhého hlavního poskytovatele A2.
Potom uživatel projde procesem ověření identity na pracovišti poskytovatele ověřovacích služeb A2. kde použije jeden z PEIGů v replice (buď PEIG a. nebo PEIG b) podle příkladu 8. Tím je modifikován záznam Mapa PEIGů na AIM A2 tak, že je přidán referenční identifikátor URID B a oba identifikátory obou PEIGů Ba a Bb. Je modifikován také záznam Mapa PEIGů na AIM B dalšího poskytovatele B tak, že je přidán referenční identifikátor URID B a oba identifikátory obou PEIGů Ba a Bb.
Poté, co dojde k nouzové situaci, uživatel s novým PEIG c projde opakovaným procesem ověření identity poskytovatelem ověřovacích služeb A2. Při tomto procesu se ověří, že jde o opakované ověření identity téže osoby, a nový PEIG c je provázán s původními osobními údaji a původním lokálním identifikátorem UDI A2.
AIM A2 to vyhodnotí tak, že automaticky zablokuje možnost použít všechny původní PEIGy a a b k přístupu k uživatelskému účtu uživatele a umožní používat nový PEIG c. AIM A2 také
- 19 CZ 308225 B6 modifikuje dříve uložený záznam Mapa PEIGů tak, že do něj přidá vazbu na nový PEIG c a uloží jej k dalšímu použití.
Zároveň AIM A2 vytvoří synchronizační záznamy pro všechny jiné poskytovatele, tedy i pro dalšího poskytovatele B, ve kterém je uvedeno, že PEIG, a i PEIG b má být zablokován. K tomu použije identifikátory Ba a Bb PEIGů a a b pro dalšího poskytovatele B zapsané dříve do záznamu Mapa PEIGů.
Synchronizační záznam je přenesen přímým synchronizačním kanálem jinému poskytovateli B a předán AIM B. Podle přijatého synchronizačního záznamu AIM B zablokuje možnost použití obou PEIGů a a b pro přístup k účtu uživatele u dalšího poskytovatele B.
Zároveň AIM A2 vytvoří synchronizační záznam pro hlavního poskytovatele služeb AI, ve kterém je uvedeno, že PEIG, a i PEIG b má být zablokován. K tomu použije identifikátor A2a a A2b PEIGů a a PEIGů b pro hlavního poskytovatele služeb AI zapsaný dříve do záznamu Mapa PEIGů. Synchronizační záznam je přenesen přímým synchronizačním kanálem hlavnímu poskytovateli služeb AI a předán AIM AI. Podle přijatého synchronizačního záznamu AIM AI zablokuje možnost použití obou PEIGů a a b pro přístup k účtu uživatele u dalšího poskytovatele služeb AI.
Zároveň AIM AI podle dříve uloženého záznamu Mapa PEIGů zjistí všechny unikátní identifikátory Xa a Xb určené pro všechny další poskytovatele služeb X a vytvoří synchronizační záznamy pro všechny další poskytovatele služeb X (včetně dalšího poskytovatele služeb B). Vynechá poskytovatele ověřovacích služeb A2, od kterého dostal synchronizační záznam.
Synchronizační záznamy jsou přeneseny přímými synchronizačními kanály jednotlivým dalším poskytovatelům X, tedy také jinému poskytovateli B.
Tím je zajištěno, že PEIG a_ani PEIG b nebude možné použít ani u dalších poskytovatelů, kteří nepřevzali centrální ověření identity, a tedy nemají žádnou přímou vazbu na poskytovatele ověřovacích služeb A2.
Dále bude pokračovat stejně jako v příkladu 9.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů, a to jak pro případ, že další poskytovatel přebírá výsledky ověření identity, tak pro případ, že další poskytovatel nepřebírá výsledky ověření identity.
Příklad 11: Zastaralý kryptomateriál PEIGů pro další poskytovatele služeb
Uživatel vytvoří repliku, tj. připojí dva či více PEIGů ke svému účtu u hlavního poskytovatele služeb A, jak je popsáno v příkladech 1 až 4.
Dojde k nouzové situaci, kdy uživatel zjistí, že ztratil či mu byl ukraden používaný PEIG a chce zabránit tomu, aby nepovolaná osoba mohla PEIG použít k přístupu k jeho účtům u hlavního poskytovatele i u všech dalších poskytovatelů služeb, a zároveň chce používat záložní PEIG k zotavení z této situace. Záložní PEIG již byl v minulosti používán u dalších poskytovatelů služeb. Protože však záložní PEIG uživatel dlouhou dobu nepoužíval, došlo k vypršení platnosti kryptomateriálu, a to jen u dalších poskytovatelů služeb.
Uživatel použije svůj záložní PEIG b k přístupu k samoobslužnému rozhraní správy PEIGů provozovanému hlavním poskytovatelem služeb A, ke kterému se autentizuje pomocí PEIGů b. Uživatel zadá příkaz revokace PEIGů aa dojde k zablokování podle příkladu 5.
Při použití záložního PEIGů b u dalšího poskytovatele služeb B je však vyhodnocena neplatnost
-20 CZ 308225 B6 zastaralého kryptomateriálu. Při tom je vyžádána synchronizace Mapy PEIGů od hlavního poskytovatele služeb A prostřednictvím PEIGu b.
Při synchronizaci mapy PEIGů dojde k autentizaci PEIGu b u hlavního poskytovatele služeb A a tím také k pozitivnímu ověření platnosti kryptomateriálu PEIGu b u hlavního poskytovatele služeb A.
Po přenesení synchronizované mapy PEIGů se přenesená mapa PEIGů porovná s datovým záznamem Mapa PEIGů dříve uloženým na AIM B. V případě shody je povolena opravná změna kryptomateriálu PEIGu b u dalšího poskytovatele služeb B a tato změna je provedena. Tím je zastaralý kryptomateriál nahrazen čerstvým kryptomateriálem.
Příklad 12: Zastaralý kryptomateriál PEIGu pro všechny poskytovatele služeb
Uživatel vytvoří repliku, tj. připojí dva či více PEIGů ke svému účtu u hlavního poskytovatele služeb A, jak je popsáno v příkladech 1 až 4.
Dojde k nouzové situaci, kdy uživatel zjistí, že ztratil či mu byl ukraden používaný PEIG a chce zabránit tomu, aby nepovolaná osoba mohla PEIG použít k přístupu k jeho účtům u hlavního poskytovatele i u všech dalších poskytovatelů služeb a zároveň chce používat záložní PEIG k zotavení z této situace. Záložní PEIG již byl používán u dalších poskytovatelů služeb. Protože záložní PEIG uživatel dlouhou dobu nepoužíval, došlo k vypršení platnosti kryptomateriálu u hlavního poskytovatele služeb a také u dalších poskytovatelů služeb.
Nelze použít postup podle příkladu 11, protože kryptomateriál záložního PEIGu pro hlavního poskytovatele má vypršenou platnost.
Nejprve je proveden postup popsaný v příkladu 11 až do okamžiku, kdy je vyžádána synchronizace Mapy PEIGů od hlavního poskytovatele A prostřednictvím PEIGu b. Tato synchronizace skončí neúspěšně, protože v tomto příkladu použití je kryptomateriál PEIGu b u hlavního poskytovatele A zastaralý. Proto použití záložního PEIGu b u dalšího poskytovatele B je neúspěšné.
Uživatel požádá jím dříve pověřenou osobu nebo pověřeného pracovníka hlavního poskytovatele služeb A o součinnost. Tato osoba s použitím svého PEIGu, který má příslušná přístupová práva u hlavního poskytovatele služeb A nastaví příznak umožňující nouzovou obnovu kryptomateriálu pro PEIG b na AIM A.
Uživatel poté použije PEIG b u hlavního poskytovatele služeb A. Protože AIM A má nastaven příznak umožňující nouzovou obnovu kryptomateriálu pro PEIG b, je provedena změna kryptomateriálu PEIGu b u hlavního poskytovatele A. Tím je zastaralý kryptomateriál používaný hlavním poskytovatelem A nahrazen čerstvým kryptomateriálem.
Uživatel poté použije záložní PEIG b u dalšího poskytovatele B.
Další postup je shodný jako postup popsaný v příkladu 11 od okamžiku použití záložního PEIG b u dalšího poskytovatele B.
Příklad 13: Aktualizace ověřených osobních údajů
Hlavní poskytovatel služeb A provádí ověření identity daného uživatele stejně jako v příkladu 8. Uživatel chce svůj PEIG používat také u dalších poskytovatelů služeb a nechce opakovat proces ověření identity.
Potom, co uživatel má založeny své účty u dalších poskytovatelů služeb s využitím ověření
-21 CZ 308225 B6 identity provedeném hlavním poskytovatelem služeb A, dojde k situaci, že se změní dříve ověřené osobní údaje, např. adresa bydliště.
Hlavní poskytovatel služeb A ověří změněné údaje. Uživatel nechce změněné údaje nahlašovat u dalšího poskytovatele služeb B a změnu znovu prokazovat. Přitom další poskytovatel služeb B aktualizované osobní údaje potřebuje.
V záznamu Mapa PEIGů je na AIM A uložen mimo jiné také referenční identifikátor URID B a lokální identifikátor UDI A používaný informačním systémem hlavního poskytovatele služeb A. Na AIM B je mimo jiné uložen také referenční identifikátor URID B a lokální identifikátor UDI B používaný informačním systémem dalšího poskytovatele služeb B.
Informační systém hlavního poskytovatele služeb A má ověřené osobní údaje uloženy ve své interní databázi, kde jsou provázány s lokálním identifikátorem UDI A.
Informační systém dalšího poskytovatele služeb B má ověřené osobní údaje uloženy ve své interní databázi, kde jsou provázány s lokálním identifikátorem UDI B,
V okamžiku, kdy hlavní poskytovatel služeb A ověří změněné osobní údaje uživatele, jsou změněné osobní údaje uloženy v informačním systému hlavního poskytovatele služeb A, kde jsou provázány s lokálním identifikátorem UDI A.
Informační systém hlavního poskytovatele služeb A požádá AIM A o vykonání vzdálené aktualizace osobních údajů dalšího poskytovatele služeb B a předá aktualizované osobní údaje a lokální identifikátor UDI A. AIM A najde ve svých záznamech Mapu PEIGů záznam s lokálním identifikátorem UDI A, v něm přečte referenční identifikátor URID B. Poté AIM A přenese požadavek na aktualizaci osobních údajů spolu s referenčním identifikátorem URID B a aktualizovanými osobními údaji přímým synchronizačním kanálem dalšímu poskytovateli služeb B, kde je předán AIM B,
AIM B najde ve svých záznamech Mapu PEIGů s referenčním identifikátorem URID B a v ní přečte lokální identifikátor UDI B. Poté předá požadavek na aktualizaci osobních údajů informačnímu systému dalšího poskytovatele služeb B spolu s lokálním identifikátorem UDI B_a změněnými osobními údaji a informační systém dalšího poskytovatele služeb B změnu zaznamená v interní databázi.
Tento postup je možné aplikovat stejným způsobem na libovolný počet dalších poskytovatelů.
Příklad 14: Transakce mezi dvěma poskytovateli služeb
Uživatel chce provést jednorázovou transakci mezi dvěma poskytovateli služeb. Obsahem transakce je přenos dat přímo mezi informačními systémy obou poskytovatelů tak, aby bylo zajištěno, že oba poskytovatelé služeb mají transakci bezpečně spojenou s uživatelem. Transakcí může být například převod peněz z uživatelova účtu v bance za zboží uživatelem nakoupené u prodejce. Žádný z poskytovatelů služeb nemusí být hlavním poskytovatelem služeb.
Uživatel má PEIG a, s jeho pomocí si založí účet u poskytovatele služeb A. Přitom je uživateli přidělen lokální jednoznačný identifikátor UDI A, který je spolu s dalšími údaji zaznamenán v informačním systému poskytovatele služeb A. Identifikátor UDI A je také zaznamenán v databázi AIM A.
Poté uživatel použije PEIG a u poskytovatele služeb B, kde se má provést transakce s poskytovatelem služeb A. Uživateli je u poskytovatele služeb B přidělen lokální jednoznačný identifikátor UDI B, který je spolu s dalšími údaji zaznamenán v informačním systému poskytovatele služeb B. Lokální identifikátor UDI B je také zaznamenán v databázi AIM B.
-22 CZ 308225 B6
Poskytovatel služeb B požaduje pomocí AIM B provedení jednorázové transakce s poskytovatelem služeb A. Při provedení operace jednorázové transakce mezi dalším poskytovatelem služeb B a poskytovatelem služeb A dojde součinností AIM B. AIM A a PEIGů a mimo jiné k vygenerování jednorázového identifikátoru uživatele (User One-Time IDentifier) UOTID B pro dalšího poskytovatele služeb B na AIM A.
Jednorázový identifikátor UOTID B se na AIM A spolu s UDI A uloží k dalšímu použití do záznamu Mapa PEIGů.
Jednorázový identifikátor UOTID B je přenesen z AIM A přes PEIG a na AIM B. Na AIM B je jednorázový identifikátor UOTID B provázán s lokálním identifikátorem uživatele UDI B. AIM B z přijaté synchronizované Mapy PEIGů vytvoří nebo modifikuje vlastní záznam Mapa PEIGů a ten uloží k dalšímu použití.
Poté informační systém poskytovatele služeb B požádá AIM B o dokončení jednorázové transakce s poskytovatelem služeb A. Přitom předá parametry transakce a lokální identifikátor UDI B.
AIM B najde ve svých záznamech Mapu PEIGů s identifikátorem UDI B a v ní přečte jednorázový identifikátor UOTID B. Poté AIM B přenese požadavek na provedení transakce spolu s jednorázovým identifikátorem UOTID B a parametry transakce přímým synchronizačním kanálem poskytovateli A, kde je předán AIM A.
AIM A najde ve svých záznamech Mapu PEIGů s jednorázovým identifikátorem UOTID B a v ní přečte lokální identifikátor UDI A. Poté předá požadavek na dokončení transakce informačnímu systému poskytovatele služeb A spolu s lokálním identifikátorem UDI A a parametry transakce.
Informační systém poskytovatele služeb A s využitím lokálního identifikátoru UDI A provede transakci, změny zaznamená v interní databázi a vrátí návratové hodnoty transakce AIM A. AIM A předá návratové hodnoty transakce přímým synchronizačním kanálem poskytovateli služeb B, kde jsou předány AIM B,
AIM B předá návratové hodnoty transakce spolu s lokálním identifikátorem UDI B informačnímu systému poskytovatele služeb B, který je zpracuje.
Po ukončení transakce AIM A a AIM B vymažou jednorázový identifikátor UOTID B ze svých záznamů Mapa PEIGů.

Claims (13)

  1. PATENTOVÉ NÁROKY
    1. Autentizační systém, vyznačený tím, že zahrnuje
    - osobní autentizační předměty alespoň jednoho uživatele služeb, přičemž uvedené osobní autentizační předměty jsou konfigurovány pro autentizaci k hlavnímu poskytovateli služeb pro všechny osobní autentizační předměty tohoto uživatele služeb, a jsou konfigurovány k vyvolání synchronizace úložišť dat poskytovatelů služeb;
    - úložiště dat serverové komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb, přičemž toto úložiště dat je komunikačně propojené a synchronizovatelné s úložišti dat serverových komponent alespoň jednoho dalšího poskytovatele služeb přímo i prostřednictvím osobních autentizačních předmětů, a přičemž tato serverová komponenta autentizačního systému alespoň jednoho hlavního poskytovatele služeb je upravena pro přiřazení osobních autentizačních předmětů k účtu uživatele služeb;
    -23 CZ 308225 B6
    - úložiště dat serverová komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb komunikačně propojené a synchronizovatelné s úložištěm dat serverová komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb přímo i prostřednictvím osobního autentizačního předmětu;
    - přičemž úložiště dat serverová komponenty autentizačního systému alespoň jednoho hlavního poskytovatele služeb a úložiště dat serverová komponenty autentizačního systému alespoň jednoho dalšího poskytovatele služeb jsou komunikačně propojené s osobními autentizačními předměty alespoň jednoho uživatele, přičemž:
    - úložiště dat serverová komponenty autentizačního systému každého poskytovatele služeb obsahuje pro každý u něj registrovaný osobní autentizační předmět uživatele služeb záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu,
    - úložiště dat serverová komponenty autentizačního systému hlavního poskytovatele služeb obsahuje identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele, přičemž pro každý osobní autentizační předmět uživatele a/nebo pro každého uživatele je pro každého poskytovatele služeb, u něhož je přiřazen k účtu tohoto uživatele kterýkoliv osobní autentizační předmět tohoto uživatele, přiřazen samostatný identifikátor;
    - úložiště dat serverová komponenty autentizačního systému hlavního poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a dále jsou k ní přiřazeny identifikátory přiřazené osobní autentizačním předmětům tohoto uživatele pro všechny poskytovatele služeb a/nebo identifikátory přiřazené tomuto uživateli pro všechny poskytovatele služeb;
    - úložiště dat serverová komponenty autentizačního systému dalšího poskytovatele služeb obsahuje alespoň identifikátory přiřazené pro osobní autentizační předměty a/nebo pro uživatele pro tohoto dalšího poskytovatele služeb;
    - úložiště dat serverová komponenty autentizačního systému dalšího poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a dále jsou k ní přiřazeny identifikátory přiřazené pro osobní autentizační předměty tohoto uživatele alespoň pro tohoto poskytovatele služeb a/nebo identifikátor přiřazený pro tohoto uživatele alespoň pro tohoto poskytovatele služeb;
    - úložiště dat a/nebo serverová komponenty autentizačních systémů jsou upraveny tak, že identifikátory přiřazené pro osobní autentizační předměty přiřazené k účtu jednoho uživatele a/nebo identifikátory přiřazené pro uživatele lze synchronizovat prostřednictvím předání synchronizační informace mezi úložišti dat serverových komponent autentizačních systémů a/nebo mezi serverovými komponentami autentizačních systémů prostřednictvím osobních autentizačních předmětů.
  2. 2. Autentizační systém podle nároku 1, vyznačený tím, že
    - úložiště dat serverová komponenty autentizačního systému každého poskytovatele služeb obsahuje pro každý osobní autentizační předmět uživatele služeb záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu;
    - úložiště dat serverová komponenty autentizačního systému hlavního poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a také jsou kmapě přiřazeny identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele je pro každého poskytovatele služeb, u něhož je přiřazen k účtu tohoto uživatele kterýkoliv osobní autentizační předmět tohoto uživatele, přiřazen samostatný identifikátor;
    - úložiště dat serverová komponenty autentizačního systému dalšího poskytovatele služeb obsahuje pro každý účet uživatele mapu osobních autentizačních předmětů, v níž jsou k tomuto účtu uživatele přiřazeny záznamy všech osobních autentizačních předmětů tohoto uživatele v tomto úložišti dat, a také identifikátory přiřazené pro všechny osobní autentizační
    -24 CZ 308225 B6 předměty tohoto uživatele alespoň pro tohoto poskytovatele služeb (a popřípadě pro jiné poskytovatele služeb, k nimž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele);
    - úložiště dat a/nebo serverové komponenty autentizačních systémů jsou upraveny tak, že identifikátory přiřazené pro osobní autentizační předměty přiřazené k účtu jednoho uživatele lze synchronizovat prostřednictvím předání synchronizační informace mezi úložišti dat serverových komponent autentizačních systémů a/nebo mezi serverovými komponentami autentizačních systémů přímo nebo prostřednictvím osobních autentizačních předmětů.
  3. 3. Autentizační systém podle nároku 1, vyznačený tím, že k mapě osobních autentizačních předmětů pro tento účet uživatele v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb jsou přiřazeny identifikátory přiřazené pro tohoto uživatele, přičemž pro tohoto uživatele je přiřazen samostatný identifikátor pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele; a k mapě osobních autentizačních předmětů pro tento účet uživatele v úložišti dat serverové komponenty autentizačního systému dalšího poskytovatele služeb jsou přiřazeny identifikátory přiřazené pro tohoto uživatele alespoň pro tohoto dalšího poskytovatele služeb; přičemž pro každého poskytovatele služeb existuje lokální identifikátor uživatele přiřazený k mapě osobních autentizačních zařízení tohoto uživatele.
  4. 4. Způsob autentizace uživatele pomocí osobního autentizačního předmětu v autentizačním systému podle kteréhokoliv z nároků 1 až 3, přičemž způsob je vyznačený tím, že
    - v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se přiřadí každému osobnímu autentizačnímu předmětu při jeho registraci kúčtu uživatele záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu;
    - v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se záznamy všech osobních autentizačních předmětů přiřazených k účtu jednoho uživatele služeb přiřadí k mapě osobních autentizačních předmětů pro tento účet uživatele, a dále se k mapě osobních autentizačních předmětů pro tento účet uživatele přiřadí identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele a/nebo pro tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele a/nebo pro tohoto uživatele se pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele, přiřadí samostatný identifikátor;
    a
    - při použití kteréhokoliv osobního autentizačního předmětu uživatele alespoň při první autentizaci k dalšímu poskytovateli služeb se tento osobní autentizační předmět zároveň připojí a autentizuje k hlavnímu poskytovateli služeb, vyžádá od serverové komponenty autentizačního systému hlavního poskytovatele služeb synchronizační informaci obsahující mapu osobních autentizačních předmětů přiřazených k účtu tohoto uživatele a informaci o identifikátorech přiřazených pro všechny osobní autentizační předměty přiřazené k mapě alespoň pro tohoto dalšího poskytovatele služeb a/nebo o identifikátorech přiřazených pro tohoto uživatele alespoň pro tohoto dalšího poskytovatele služeb, a tuto synchronizační informaci pak osobní autentizační předmět předá serverové komponentě autentizačního systému tohoto dalšího poskytovatele služeb, která na základě synchronizační informace upraví mapu osobních autentizačních předmětů a informaci o identifikátorech ve svém úložišti.
  5. 5. Způsob podle nároku 4, vyznačený tím, že
    - v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se přiřadí každému osobnímu autentizačnímu předmětu záznam obsahující data nutná k provedení autentizace tohoto osobního autentizačního předmětu;
    - v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se záznamy všech osobních autentizačních předmětů přiřazených k účtu jednoho uživatele služeb
    -25 CZ 308225 B6 přiřadí k mapě osobních autentizačních předmětů pro tento účet uživatele, a dále se k mapě osobních autentizačních předmětů pro tento účet uživatele přiřadí identifikátory přiřazené pro všechny osobní autentizační předměty tohoto uživatele, přičemž pro každý osobní autentizační předmět tohoto uživatele se pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele, přiřadí samostatný identifikátor;
    a
    - při použití kteréhokoliv osobního autentizačního předmětu uživatele alespoň při první autentizaci k dalšímu poskytovateli služeb se tento osobní autentizační předmět zároveň připojí a autentizuje k hlavnímu poskytovateli služeb, vyžádá od serverové komponenty autentizačního systému hlavního poskytovatele služeb synchronizační informaci obsahující mapu osobních autentizačních předmětů přiřazených k účtu tohoto uživatele a identifikátory přiřazené pro všechny osobní autentizační předměty alespoň pro tohoto dalšího poskytovatele služeb přiřazené k mapě, a tuto synchronizační informaci pak osobní autentizační předmět předá serverové komponentě autentizačního systému tohoto dalšího poskytovatele služeb, která na základě synchronizační informace upraví mapu osobních autentizačních předmětů a informaci o identifikátorech ve svém úložišti.
  6. 6. Způsob podle kteréhokoliv z nároků 4 a 5, vyznačený tím, že se pomocí osobního autentizačního předmětu synchronizační informace vyžádá a předá alespoň na počátku prvního procesu autentizace osobního autentizačního předmětu k dalšímu poskytovateli služeb.
  7. 7. Způsob podle kteréhokoliv z nároků 4 až 6, vyznačený tím, že při ztrátě, zničení nebo krádeži prvního osobního autentizačního předmětu se uživatel autentizuje s použitím jiného osobního autentizačního předmětu k hlavnímu poskytovateli služeb, a u prvního osobního autentizačního předmětu zadá příkaz centrální revokace;
    serverová komponenta autentizačního systému hlavního poskytovatele služeb pak připraví synchronizační zprávu, v níž je vyznačeno, že první osobní autentizační předmět má být zablokován a/nebo nemůže být použit k autentizaci; a tuto synchronizační zprávu potom přenese synchronizačními kanály všem dalším poskytovatelům služeb, u nichž je registrován kterýkoliv z osobních autentizačních předmětů přiřazených k mapě osobních autentizačních předmětů tohoto uživatele;
    další poskytovatelé služeb si na základě této synchronizační zprávy synchronizují údaje v mapě osobních autentizačních zařízení přiřazených k účtu tohoto uživatele, přičemž k identifikaci tohoto prvního osobního autentizačního předmětu použijí další poskytovatelé služeb identifikátory přiřazené tomuto osobnímu autentizačnímu předmětu přiřazené ke své mapě osobních autentizačních předmětů tohoto uživatele.
  8. 8. Způsob podle kteréhokoliv z nároků 4 až 7, vyznačený tím, že při použití osobního autentizačního předmětu se zastaralým kryptomateriálem pro autentizaci k dalšímu poskytovateli služeb se autentizace provede jako první autentizace k tomuto dalšímu poskytovateli služeb, tedy osobní autentizační předmět se připojí a autentizuje se k hlavnímu poskytovateli služeb, vyžádá od hlavního poskytovatele služeb vytvoření synchronizační informace obsahující mapu osobních autentizačních předmětů a identifikátory přiřazené všem k mapě přiřazeným osobním autentizačním předmětům alespoň pro tohoto poskytovatele služeb, a předá tuto synchronizační informaci tomuto dalšímu poskytovateli služeb; následně se po porovnání mapy osobních autentizačních předmětů původně uložené u tohoto dalšího poskytovatele služeb a nově přenesené, nebo na základě identifikátoru daného osobního autentizačního předmětu, vytvoří čerstvý kryptomateriál pro autentizaci tohoto osobního autentizačního předmětu k tomuto dalšímu poskytovateli služeb.
  9. 9. Způsob podle kteréhokoliv z nároků 4 až 8, vyznačený tím, že autentizační systém je upraven pro vstup administrátora hlavního poskytovatele služeb, který je oprávněn zadat příkaz centrální revokace všech osobních autentizačních předmětů tohoto uživatele a/nebo zadat příkaz obnovy kryptomateriálu osobního autentizačního předmětu pro hlavního poskytovatele služeb.
    -26 CZ 308225 B6
  10. 10. Způsob podle kteréhokoliv z nároků 4 až 9, vyznačený tím, že kmapě osobních autentizačních předmětů pro tento účet uživatele v úložišti dat serverové komponenty autentizačního systému hlavního poskytovatele služeb se přiřadí identifikátory přiřazené pro tohoto uživatele, přičemž se pro tohoto uživatele se přiřadí samostatný identifikátor pro každého poskytovatele služeb, k němuž je přiřazen kterýkoliv osobní autentizační předmět tohoto uživatele; a k mapě osobních autentizačních předmětů pro tento účet uživatele v úložišti dat serverové komponenty autentizačního systému dalšího poskytovatele služeb se přiřadí identifikátory přiřazené pro tohoto uživatele alespoň pro tohoto dalšího poskytovatele služeb; přičemž pro každého poskytovatele služeb se vytvoří lokální identifikátor uživatele, který není nikam předáván, ale je u tohoto poskytovatele služeb přiřazen k mapě osobních autentizačních zařízení tohoto uživatele, a tento lokální identifikátor je generován příslušným poskytovatelem služeb, u nějž existuje.
  11. 11. Způsob podle nároku 10, vyznačený tím, že při centrálním ověření identity ověří poskytovatel ověřovacích služeb identitu uživatele nebo změnu údajů uživatele například podle identifikačního dokladu, a pokud je poskytovatel ověřovacích služeb odlišný od hlavního poskytovatele služeb, předá hlavnímu poskytovateli služeb výsledek ověření identity uživatele nebo změny údajů uživatele; výsledek ověření identity uživatele nebo změny údajů uživatele se pak předá dalšímu poskytovateli služeb jako součást synchronizační informace nebo při samostatné operaci převzetí výsledků ověření identity uživatele nebo změny údajů uživatele, spolu s referenčním identifikátorem uživatele pro příslušného dalšího poskytovatele služeb, a na základě referenčního identifikátoru uživatele se prováže s odpovídající lokálním identifikátorem uživatele přiřazeným uživateli u tohoto dalšího poskytovatele služeb.
  12. 12. Způsob podle nároku 10, vyznačený tím, že se provede přímá transakce mezi dvěma poskytovateli služeb při připojení osobního autentizačního předmětu k jednomu poskytovateli služeb, přičemž na úložištích dat serverových komponent autentizačních systémů obou poskytovatelů služeb jsou k dispozici příslušné lokální identifikátory tohoto uživatele přiřazené k mapě osobních autentizačních zařízení tohoto uživatele; přičemž součinností osobního autentizačního zařízení a serverových komponent autentizačních systémů obou poskytovatelů služeb se vygeneruje jednorázový identifikátor uživatele serverovou komponentou autentizačního systému prvního poskytovatele služeb, který se předá serverové komponentě autentizačního systému druhého poskytovatele služeb prostřednictvím osobního autentizačního předmětu;
    na úložištích dat serverových komponent autentizačních systémů obou poskytovatelů služeb se jednorázový identifikátor uživatele prováže s příslušným lokálním identifikátorem tohoto uživatele;
    následně aplikace vyžadující provedení transakce u druhého poskytovatele služeb vyžádá dokončení transakce a předá serverové komponentě autentizačního systému druhého poskytovatele služeb parametry transakce a lokální identifikátor uživatele druhého poskytovatele služeb;
    podle lokálního identifikátoru uživatele vyhledá serverová komponenta na svém úložišti dat provázaný jednorázový identifikátor uživatele, a přímým synchronizačním kanálem předá požadavek na dokončení transakce, parametry transakce a jednorázový identifikátor uživatele serverové komponentě autentizačního systému prvního poskytovatele služeb; ta podle jednorázového identifikátoru uživatele vyhledá na svém úložišti dat lokální identifikátor uživatele prvního poskytovatele služeb, a předá tento lokální identifikátor uživatele spolu s parametry transakce aplikaci účastnící se transakce u prvního poskytovatele služeb;
    po ukončení transakce vymažou oba poskytovatelé služeb jednorázový identifikátor uživatele ze svých úložišť dat.
  13. 13. Počítačový program obsahující instrukce, které při provádění počítačem vedou k provedení postupu podle kteréhokoliv z nároků 4 až 12.
CZ2018-81A 2018-02-19 2018-02-19 Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů CZ308225B6 (cs)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CZ2018-81A CZ308225B6 (cs) 2018-02-19 2018-02-19 Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů
EP19716058.3A EP3756330B1 (en) 2018-02-19 2019-02-19 System, method and computer program for authentication using personal electronic identity gadgets
US16/968,030 US11374920B2 (en) 2018-02-19 2019-02-19 Authentication system and authentication method using personal electronic identity gadgets
PCT/CZ2019/050005 WO2019158137A1 (en) 2018-02-19 2019-02-19 Authentication system and authentication method using personal electronic identity gadgets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2018-81A CZ308225B6 (cs) 2018-02-19 2018-02-19 Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů

Publications (2)

Publication Number Publication Date
CZ201881A3 CZ201881A3 (cs) 2019-08-28
CZ308225B6 true CZ308225B6 (cs) 2020-03-11

Family

ID=67619806

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2018-81A CZ308225B6 (cs) 2018-02-19 2018-02-19 Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů

Country Status (4)

Country Link
US (1) US11374920B2 (cs)
EP (1) EP3756330B1 (cs)
CZ (1) CZ308225B6 (cs)
WO (1) WO2019158137A1 (cs)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11444938B2 (en) * 2020-02-18 2022-09-13 Micro Focus Llc Authentication based on one-time usernames
WO2021205660A1 (ja) * 2020-04-10 2021-10-14 日本電気株式会社 認証サーバ、認証システム、認証サーバの制御方法及び記憶媒体
CN114215453B (zh) * 2022-01-17 2024-10-11 中国第一汽车股份有限公司 电动尾门的多用户个性化控制方法、控制系统及车辆

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2015471A3 (cs) * 2015-07-07 2016-09-29 Aducid S.R.O. Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru
CZ2015472A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty
CZ2015474A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru
US20170374046A1 (en) * 2016-06-27 2017-12-28 Paypal, Inc. Short range secure data communication

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR9600459A (pt) 1996-01-17 1998-03-03 Fibrasynthetica Do Brasil Comp Recipiente plástico para fluidos pressurizados
US8868467B2 (en) * 2002-10-23 2014-10-21 Oleg Serebrennikov Method for performing transactional communication using a universal transaction account identifier assigned to a customer
US7945511B2 (en) * 2004-02-26 2011-05-17 Payment Pathways, Inc. Methods and systems for identity authentication
US10334397B2 (en) * 2008-01-10 2019-06-25 Wireless Discovery Llc Interaction tracking and organizing system
US20090288138A1 (en) * 2008-05-19 2009-11-19 Dimitris Kalofonos Methods, systems, and apparatus for peer-to peer authentication
US8839387B2 (en) * 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
DE102010018700B4 (de) 2010-04-29 2019-05-09 Magna Steyr Fahrzeugtechnik Ag & Co. Kg Druckbehälter
ES2581850T3 (es) 2011-06-28 2016-09-07 Hexagon Ragasco As Reborde para un recipiente de presión compuesto
US9054919B2 (en) * 2012-04-05 2015-06-09 Box, Inc. Device pinning capability for enterprise cloud service and storage accounts
US9060275B2 (en) * 2012-10-09 2015-06-16 Cellco Partnership Interface for synchronizing automated replies between different messaging systems
US10237599B1 (en) * 2012-12-26 2019-03-19 Cox Communications, Inc. Synchronization of users and user actions between disparate video distribution systems
US9215226B2 (en) * 2013-07-24 2015-12-15 Adobe Systems Incorporated Dynamically mapping users to groups
US9762590B2 (en) * 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US20160261593A1 (en) * 2015-03-06 2016-09-08 CallSign, Inc. Systems and methods for decentralized user authentication
US10299118B1 (en) * 2015-06-01 2019-05-21 Benten Solutions Inc. Authenticating a person for a third party without requiring input of a password by the person
US9503452B1 (en) * 2016-04-07 2016-11-22 Automiti Llc System and method for identity recognition and affiliation of a user in a service transaction
US20180302405A1 (en) * 2017-04-18 2018-10-18 Microsoft Technology Licensing, Llc Organizational sign-in across sovereign environments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2015471A3 (cs) * 2015-07-07 2016-09-29 Aducid S.R.O. Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru
CZ2015472A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty
CZ2015474A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru
US20170374046A1 (en) * 2016-06-27 2017-12-28 Paypal, Inc. Short range secure data communication

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
(ALUCID - elektronická identita nové generace, Libor Neumann, [on-line]: https://www.isss.cz/archiv/2010/download/prezentace/neuman_anect.pdf), 12.4.2010 *
(ALUCID a řízení bezpečnosti informačních systémů, Libor Neumann, [on/line]> https://computerworld.cz/securityworld/novy-pristup-k-autentizaci-a-sprave-uzivatelu-48150], 27.05.2011 *

Also Published As

Publication number Publication date
US20210367936A1 (en) 2021-11-25
CZ201881A3 (cs) 2019-08-28
EP3756330B1 (en) 2021-10-06
WO2019158137A1 (en) 2019-08-22
EP3756330A1 (en) 2020-12-30
US11374920B2 (en) 2022-06-28

Similar Documents

Publication Publication Date Title
US10829088B2 (en) Identity management for implementing vehicle access and operation management
EP3460693B1 (en) Methods and apparatus for implementing identity and asset sharing management
US11212296B2 (en) Systems and methods for managing digital identities
CN109792381B (zh) 用于存储和分享综合数据的方法和装置
US20230245019A1 (en) Use of identity and access management for service provisioning
US11151260B2 (en) Providing and checking the validity of a virtual document
EP3460691A1 (en) Methods and apparatus for management of intrusion detection systems using verified identity
US9521132B2 (en) Secure data storage
EP3510746A1 (en) Architecture for access management
CZ306210B6 (cs) Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru
WO2018213519A1 (en) Secure electronic transaction authentication
US20220114578A1 (en) Multisignature key custody, key customization, and privacy service
EP3756330B1 (en) System, method and computer program for authentication using personal electronic identity gadgets
US20190288833A1 (en) System and Method for Securing Private Keys Behind a Biometric Authentication Gateway
Akter et al. Securing smart card management using hyperledger based private blockchain
JP2017146596A (ja) 機器内の情報を移行するシステム及び方法

Legal Events

Date Code Title Description
MM4A Patent lapsed due to non-payment of fee

Effective date: 20240219