DE102015014606A1 - Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server - Google Patents

Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server Download PDF

Info

Publication number
DE102015014606A1
DE102015014606A1 DE102015014606.8A DE102015014606A DE102015014606A1 DE 102015014606 A1 DE102015014606 A1 DE 102015014606A1 DE 102015014606 A DE102015014606 A DE 102015014606A DE 102015014606 A1 DE102015014606 A1 DE 102015014606A1
Authority
DE
Germany
Prior art keywords
application
server
instance
identification data
auxiliary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015014606.8A
Other languages
English (en)
Inventor
Ulf Hönisch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Veridos GmbH
Original Assignee
Veridos GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Veridos GmbH filed Critical Veridos GmbH
Priority to DE102015014606.8A priority Critical patent/DE102015014606A1/de
Publication of DE102015014606A1 publication Critical patent/DE102015014606A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

Die Erfindung betrifft ein Verfahren zur Unterstützung einer Anwendungsfallausführung zwischen einer Hauptinstanz (20) und einer auf einem entfernten Server (50) ausgeführten Anwendung (52). Erfindungsgemäß ist dabei vorgesehen, dass eine erste Kommunikationsverbindung (60) zwischen der Hauptinstanz (20) und dem entfernten Server (50) hergestellt wird; eine Anwendungsfallausführung zwischen der Hauptinstanz (20) und einer auf dem entfernten Server ausgeführten Anwendung (52) eingeleitet wird, welche in der Serveranwendung einen Anwendungsfall (54) darstellt, der durch Anwendungsidentifikationsdaten identifiziert wird; von der Serveranwendung (52) eine digitale, optisch erfassbare Information (64) erzeugt wird, in der die Anwendungsidentifikationsdaten kodiert sind, und die erzeugte digitale, optisch erfassbare Information (64) über die erste Kommunikationsverbindung (60) an die Hauptinstanz (20) übermittelt wird; die übermittelte digitale, optisch erfassbare Information (64) von der Hauptinstanz (20) auf einem Display (24) angezeigt wird; die angezeigte digitale, optisch erfassbare Information (64) von einer Hilfsinstanz (30) optisch erfasst und dekodiert wird, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten; von der Hilfsinstanz (30) eine zweite Kommunikationsverbindung (62) zu dem entfernten Server (50) hergestellt wird, und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme der Hilfsinstanz (30) an der Anwendungsfallausführung (54) an den entfernten Server übermittelt (50) werden; und die Hilfsinstanz (30) nach erfolgreicher Prüfung der übertragenen Anwendungsidentifikationsdaten zur Unterstützung in die Anwendungsfallausführung zwischen der Hauptinstanz (20) und der auf dem Server (50) ausgeführten Anwendung (54) eingebunden wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Unterstützung einer Anwendungsfallausführung zwischen einer Hauptinstanz und einer auf einem entfernten Server ausgeführten Anwendung. Die Erfindung betrifft auch ein System zum Einsatz in einem solchen Verfahren.
  • Bei der Durchführung einer Anwendungsfallausführung zwischen einer Hauptinstanz, beispielsweise einem lokalen PC, und einer auf einem entfernten Server ausgeführten Anwendung kann es wünschenswert oder sogar erforderlich sein, die Unterstützung einer Hilfsinstanz in Anspruch zu nehmen. Beispielsweise kann der Hauptinstanz eine benötigte Funktionalität gänzlich fehlen oder eine gewünschte Funktionalität wird von der Hilfsinstanz schneller oder besser ausgeführt. Wird die Ausführung der Anwendung in einem solchen Fall auf zwei oder mehr Endinstanzen verteilt, besteht das Problem einer sicheren Zuordnung der verschiedenen Kommunikationskanäle zwischen den Endinstanzen und der Anwendungsausführung.
  • Ein praxisrelevantes Beispiel stellt die Erstellung einer kartengestützten elektronischen Signatur eines auf einem Internetserver gespeicherten Dokuments durch einen kartenleserlosen lokalen PC als Hauptinstanz dar. Die fehlende Signatur-Funktionalität kann durch Zuschaltung eines Smartphones mit kartengestützter Signaturfunktion als Hilfsinstanz bereitgestellt werden. Herkömmlich wird dabei beispielsweise wie folgt vorgegangen:
    Ein Anwender besitzt eine Signaturkarte und will mit dieser ein Dokument, das auf einem vertrauenswürdigen Server (mit Web-Applikation B) im Internet gespeichert ist, elektronisch signieren. Es sieht sich dazu das Dokument im Web-Browser A seines kartenleserlosen lokalen PCs über Internet an (1. Kanal A → B). Da der lokale PC annahmegemäß keinen geeigneten Kartenleser besitzt, soll zur Signaturerstellung ein geeignetes Smartphone mit Signatur-App C und NFC-Schnittstelle verwendet werden. Dazu muss die Signatur-App C des Smartphones eine eigene, zweite Verbindung (2. Kanal C → B) zum selben Server aufbauen und dort dasselbe Dokument bzw. denselben Anwendungsfall referenzieren. Der Server wird dabei etwa über eine Server-URL und der Anwendungsfall über eine Use Case ID bzw. Session ID referenziert.
  • Der Anwender teilt der Web-Applikation B mit, dass er das Dokument mittels seines Smartphones signieren möchte und übermittelt ihr seine Mobilfunknummer. Die Web-Applikation B sendet daraufhin eine Nachricht mit Daten, die diesen Anwendungsfall identifizieren über eine Push Notification Plattform D an die Signatur-App C des Smartphones des Anwenders (Kommunikationspfad B → D → C).
  • Die Signatur-App C, die sich zuvor für diese Art von Nachrichten bei der Push Notification Plattform D angemeldet hat, baut nun nach dem Empfang und Bestätigung durch den Anwender basierend auf den empfangenen Anwendungsidentifikationsdaten die erforderliche Verbindung zum Server auf (2. Kanal C → B) und übermittelt diesem die Anwendungsidentifikationsdaten. Aufgrund der übermittelten Anwendungsidentifikationsdaten kann die Web-Applikation B des Servers diese zweite Verbindung (2. Kanal C → B) der bestehenden ersten Verbindung (1. Kanal A → B) technisch zuordnen.
  • Der Web-Browser A und die Signatur-App C zeigen dabei beide dem Anwender, der gerade diese beiden Endgeräte einsetzt, jeweils einen Anwendungsidentifikationsdatensatz an. Da die Kommunikation über den Kommunikationspfad B → D → C ungesichert erfolgt und ein Anwender grundsätzlich auch mehrere Signaturanwendungsfälle parallel starten kann, muss der Anwender diese beiden Anwendungsidentifikationsdatensätze miteinander vergleichen und darf erst fortfahren, wenn er sich vergewissert hat, dass die beiden Anwendungsidentifikationsdatensätze übereinstimmen. Dabei muss er nicht nur die Use Case ID bzw. Session ID des Anwendungsfalls vergleichen, sondern auch die Server-ID, da er ansonsten Gefahr läuft, ein Dokument auf einem falschen Server zu signieren.
  • Stimmen die Anwendungsidentifikationsdatensätze nach Prüfung durch den Anwender überein, erhält die Signatur-App C den entsprechenden Dokumentenhashwert von der Web-Applikation B und kann diesen dann lokal mittels Nahfeldkommunikation (Near Field Communication, NFC) und Signaturkarte signieren.
  • In der Praxis hat sich allerdings herausgestellt, dass die Übermittlung der Anwendungsidentifikationsdaten an die Signatur-App im Smartphone und die Sicherstellung, dass die beiden Kommunikationskanäle A → B und C → B denselben Anwendungsfall betreffen, komplex und fehlerträchtig ist.
  • Ausgehend davon liegt der Erfindung daher die Aufgabe zugrunde, die Nachteile des Stands der Technik zu vermeiden und insbesondere ein einfaches, sicheres und zuverlässiges Verfahren zur Unterstützung einer Anwendungsfallausführung zwischen einer Hauptinstanz und einer auf einem entfernten Server ausgeführten Anwendung anzugeben.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Gemäß der Erfindung ist bei einem gattungsgemäßen Verfahren vorgesehen, dass
    • – eine erste Kommunikationsverbindung zwischen der Hauptinstanz und dem entfernten Server hergestellt wird,
    • – eine Anwendungsfallausführung zwischen der Hauptinstanz und einer auf dem entfernten Server ausgeführten Anwendung eingeleitet wird, welche in der Serveranwendung einen Anwendungsfall darstellt, der durch Anwendungsidentifikationsdaten identifiziert wird,
    • – von der Serveranwendung eine digitale, optisch erfassbare Information erzeugt wird, in der die Anwendungsidentifikationsdaten kodiert sind, und die erzeugte digitale, optisch erfassbare Information über die erste Kommunikationsverbindung an die Hauptinstanz übermittelt wird,
    • – die übermittelte digitale, optisch erfassbare Information von der Hauptinstanz auf einem Display angezeigt wird,
    • – die angezeigte digitale, optisch erfassbare Information von einer Hilfsinstanz optisch erfasst und dekodiert wird, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten,
    • – von der Hilfsinstanz eine zweite Kommunikationsverbindung zu dem entfernten Server hergestellt wird, und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme der Hilfsinstanz an der Anwendungsfallausführung an den entfernten Server übermittelt werden, und
    • – die Hilfsinstanz nach erfolgreicher Prüfung der übertragenen Anwendungsidentifikationsdaten zur Unterstützung in die Anwendungsfallausführung zwischen der Hauptinstanz und der auf dem Server ausgeführten Anwendung eingebunden wird.
  • Der Begriff Anwendungsfallausführung schließt dabei sowohl einfache als auch komplexe Abläufe und insbesondere beliebige Transaktionen zwischen der Hauptinstanz und einem entfernten Server ein. Die Bezeichnungen Haupt- bzw. Hilfsinstanz bedeuten im Rahmen dieser Beschreibung nicht notwendig eine Über- bzw. Unterordnung, sondern geben lediglich an, dass die Anwendungsfallausführung von der Hauptinstanz eingeleitet wird und dass die Hilfsinstanz oder mehrere Hilfsinstanzen nachfolgend in die Anwendungsfallausführung eingebunden werden. Die Unterstützung der Anwendungsfallausführung kann dabei auch einfach in der Teilnahme der Hilfsinstanz(en) an der Anwendungsfallausführung bestehen.
  • Bevorzugt stellt die Hilfsinstanz eine funktionale Erweiterung der Hauptinstanz oder weitere Rollen oder Kompetenzen im Rahmen der Anwendungsfallausführung bereit. Insbesondere kann die Hilfsinstanz eine der Hauptinstanz fehlende Funktionalität bereitstellen, die bei der Anwendungsfallausführung zwischen Hauptinstanz und Serveranwendung eingesetzt wird. Es ist allerdings auch möglich, dass die Hilfsinstanz eine von der Hauptinstanz bereits angebotene Funktionalität schneller oder besser als diese ausführen kann, so dass die Einbindung der Hilfsinstanz die Anwendungsfallausführung fördert.
  • Die Hauptinstanz stellt bei dem erfindungsgemäßen Verfahren insbesondere einen Personal Computer (PC), einen Tablet Computer, ein Notebook oder ein Netbook dar. Als Hilfsinstanz wird mit Vorteil ein mobiles Endgerät, insbesondere ein Smartphone oder ein Tablet Computer, in die Anwendungsfallausführung eingebunden.
  • Die digitale, optisch erfassbare Information stellt vorteilhaft ein digitales Bild dar, beispielsweise einen 2D-Code, vorzugsweise einen zweidimensionalen Barcode und insbesondere einen QR(Quick Response)-Code. Die digitale, optisch erfassbare Information kann auch in Form von Text vorliegen, der bei der Dekodierung etwa mittels OCR bearbeitbar ist. Die angezeigte digitale, optisch erfassbare Information wird vorteilhaft mit Hilfe einer Kamera der Hilfsinstanz optisch erfasst. Heutige Smartphones und Tablets sind standardmäßig mit einer Kamera hoher Auflösung ausgestattet, so dass sie als Hilfsinstanz in einem erfindungsgemäßen Verfahren besonders gut geeignet sind.
  • In einer Weiterbildung des erfindungsgemäßen Verfahren kodiert die Serveranwendung in der digitalen, optisch erfassbaren Information neben den Anwendungsidentifikationsdaten auch Serveridentifikationsdaten und/oder weitere anwendungsspezifische Informationen, insbesondere eine Aufforderung eines Challenge-Response-Verfahrens oder einen Hashwert eines auf dem Server gespeicherten elektronischen Dokuments. Aus kodierten Serveridentifikationsdaten kann beispielsweise direkt oder indirekt die Serveradresse für den Aufbau der zweiten Kommunikationsverbindung abgeleitet werden.
  • Die erste und zweite Kommunikationsverbindung werden mit Vorteil jeweils transportgesichert hergestellt, insbesondere über das TLS-Protokoll.
  • Als Anwendungsfallausführung kann beispielsweise konkret eine kartengestützte elektronische Signatur eines auf dem Server gespeicherten Dokuments ausgeführt werden, wobei die Hauptinstanz kartenleserlos ist und die Hilfsinstanz, insbesondere ein Smartphone, eine kartengestützte Signaturfunktion bereitstellt. Mit Vorteil ist dabei vorgesehen, dass die Serveranwendung entweder mit oder nach der Einbindung der Hilfsinstanz in die Anwendungsfallausführung dieser einen Hashwert des auf dem Server gespeicherten Dokuments übermittelt, die Hilfsinstanz den übermittelten Dokumentenhashwert signiert und die Signatur über die zweite Kommunikationsverbindung an die Serveranwendung übermittelt. Vorzugsweise verbindet die Serveranwendung das gespeicherte Dokument dann mit der übermittelten Signatur und übermittelt das signierte Dokument über die erste Kommunikationsverbindung an die Hauptinstanz.
  • Auch wenn in der vorliegenden Beschreibung nur die Einbindung einer Hilfsinstanz genauer beschrieben wird, versteht es sich, dass bei einem erfindungsgemäßen Verfahren auch zwei oder mehr Hilfsinstanzen auf die beschriebene Weise in die Anwendungsfallausführung zwischen der Hauptinstanz und einer Serveranwendung eingebunden werden können. Auf diese Weise können der Hauptinstanz mehrere Funktionalitäten hinzugefügt oder durch verbesserte Versionen ersetzt werden, es können mehrere Rollen oder Kompetenzen einbezogen werden oder es können einfach mehrere Anwender in die Ausführung einer Anwendung einbezogen werden.
  • In allen Verfahrensvarianten kann die serverseitige Anwendung auch als verteilte Anwendung auf mehr als einem Server ausgeführt werden. In diesem Fall kann vorgesehen sein, dass die Hilfsinstanz Kommunikationsverbindungen zu mehr als einem entfernten Server aufbaut und jeweils Anwendungsidentifikationsdaten zur Teilnahme an der Anwendungsfallausführung übermittelt.
  • Die Erfindung enthält auch ein System zum Einsatz in einem Verfahren der beschriebenen Art, welches eine Hauptinstanz und eine Hilfsinstanz enthält und wobei
    • – die Hauptinstanz ausgelegt und eingerichtet ist,
    • – eine erste Kommunikationsverbindung zu einem entfernten Server herzustellen,
    • – eine Anwendungsfallausführung zwischen der Hauptinstanz und einer auf dem entfernten Server ausgeführten Anwendung einzuleiten, die in der Serveranwendung einen Anwendungsfall darstellt, der durch Anwendungsidentifikationsdaten identifiziert ist, und
    • – eine von der Serveranwendung übermittelte digitale, optisch erfassbare Information auf einem Display anzuzeigen; und
    • – die Hilfsinstanz ausgelegt und eingerichtet ist,
    • – eine auf dem Display der Hauptinstanz angezeigte digitale, optisch erfassbare Information optisch zu erfassen und zu dekodieren, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten, und
    • – eine zweite Kommunikationsverbindung zu dem entfernten Server herzustellen und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme der Hilfsinstanz an der Anwendungsfallausführung an den entfernten Server zu übermitteln.
  • Die Hilfsinstanz ist bevorzugt durch ein mobiles Endgerät, insbesondere ein Smartphone gebildet und weist vorzugweise eine Kamera für die optische Erfassung der angezeigten digitalen, optisch erfassbaren Information, sowie eine NFC-Schnittstelle für die Nahfeldkommunikation mit einem NFC-fähigen Terminal auf.
  • Die Hauptinstanz ist insbesondere durch eine lokale Computereinheit, insbesondere einen Personal Computer (PC), einen Tablet Computer, ein Notebook oder ein Netbook gebildet. In einer vorteilhaften Ausgestaltung ist die lokale Computereinheit kartenleserlos.
  • Bei der Erstellung digitaler Signaturen kann ein Dokument auch mit Mehrfachsignaturen versehen werden, wobei mehrere Hilfsinstanzen die auf dem Display der Hauptinstanz angezeigte digitale, optisch erfassbare Information optisch erfassen und dekodieren, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten, eine Kommunikationsverbindung zu dem entfernten Server herzustellen und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme an der Anwendungsfallausführung an den entfernten Server zu übermitteln.
  • Es versteht sich, dass der oben genauer beschriebene Einsatz des Verfahrens und Systems im Zusammenhang mit der Erstellung digitaler Signaturen lediglich eine von einer Vielzahl an Einsatzmöglichkeiten ist. In anderen Ausgestaltungen der Erfindung kann die Hilfsinstanz beispielsweise zur Erfassung biometrischer Daten genutzt werden, oder das Verfahren kann beim Einlösen von Gutscheintokens bei einer Bestellung im Internet eingesetzt werden. Dabei werden etwa Gutscheintokens in einem Smartphone gesammelt und verwaltet. Bei einer Bestellung im Internet mit einem lokalen PC (Hauptinstanz) kann dann das Smartphone dann mit dem beschriebenen Verfahren zur Übermittlung des Gutscheintokens als Hilfsinstanz in die Bestellausführung eingebunden werden.
  • Eine weitere Einsatzmöglichkeit ist ein Internetspiel, das ein Anwender als Hauptinstanz auf einem entfernten Server spielt und an dem er einen oder mehrere weitere Anwender (Hilfsinstanzen) teilnehmen lassen möchte. Auch hier kann das beschriebene Verfahren genutzt werden, um den oder die weiteren Anwender einfach und sicher in die Anwendungsfallausführung, hier das Internetspiel, einzubeziehen.
  • Weitere Ausführungsbeispiele sowie Vorteile der Erfindung werden nachfolgend anhand der Figur erläutert, bei deren Darstellung auf eine maßstabs- und proportionsgetreue Wiedergabe verzichtet wurde, um die Anschaulichkeit zu erhöhen.
  • Es zeigen:
  • 1 eine schematische Darstellung der an der Erstellung einer kartengestützten elektronischen Signatur erfindungsgemäß beteiligten Komponenten, und
  • 2 den Verfahrensablauf bei der Erstellung einer kartengestützten elektronischen Signatur nach einem Ausführungsbeispiel der Erfindung.
  • Die Erfindung wird nun am Beispiel der Erstellung einer kartengestützten elektronischen Signatur eines auf einem Internetserver gespeicherten Dokuments illustriert. 1 zeigt dazu schematisch die am Signaturvorgang beteiligten Komponenten und 2 stellt den zugehörigen Verfahrensablauf dar.
  • Ein Anwender 10 besitzt eine Signaturkarte 12 und möchte mit dieser ein Dokument 56, das auf einem vertrauenswürden Webserver 50 gespeichert ist, elektronisch signieren. Allerdings verfügt der lokale PC 20 des Anwenders im Ausführungsbeispiel über keinen geeigneten Kartenleser bzw. keine geeignete Schnittstelle für einen NFC-Kartenleser. Der Anwender 10 möchte sich daher zur Erstellung der Signatur eines geeigneten Smartphones 30 mit einer Signatur-App 32, einer Kamera 34 und einer NFC-Schnittstelle 36 für einen NFC-Kartenleser 40 bedienen. Der lokale PC 20 stellt in diesem Anwendungsfall die Hauptinstanz und das Smartphone 30 eine Hilfsinstanz dar, die zur Unterstützung der Hauptinstanz einfach und sicher in die Transaktion zwischen der Hauptinstanz (PC 20) und dem Webserver 50 eingebunden werden soll.
  • Zunächst stellt der Anwender 10 mit einem auf seinem lokalen PC 20 ausgeführten Web-Browser 22 eine Kommunikationsverbindung 60 zu einer Web-Applikation 52 auf dem entfernten Webserver 50 her (Schritt S201 in 2) und leitet die Transaktion ein, indem er sich das dort gespeicherte Dokument 56 ansieht. In der Web-Applikation 52 des Servers 50 bildet die Transaktion einen Anwendungsfall (Session) 54, der durch Anwendungsidentifikationsdaten eindeutig identifiziert werden kann. Die Anwendungsidentifikationsdaten enthalten beispielsweise die Server-URL des Webservers 50 und eine Use Case ID bzw. Session ID des Anwendungsfalls 54. Die Kommunikation 60 zwischen dem Web-Browser 22 und der Web-Applikation 52 erfolgt dabei transportgesichert über TLS mit Serverauthentisierung.
  • Da der lokale PC 20 des Benutzers nicht über einen geeigneten Kartenleser verfügt, teilt der Anwender 10 der Web-Applikation 52 in einem Schritt S202 mit, dass er das Dokument 56 mit Hilfe seines Smartphones 30 signieren möchte.
  • Die Web-Applikation 52 erzeugt daraufhin in Schritt S203 ein digitales Bild 64, in dem die Anwendungsidentifikationsdaten für den laufenden Anwendungsfall kodiert sind. Das digitale Bild kann beispielsweise im GIF, JPG, PNG oder einem anderen Grafikformat erstellt werden. Das digitale Bild kann insbesondere in Form eines 2D-Codes, wie etwa eines QR-Codes erzeugt werden. In dem digitalen Bild können neben den Anwendungsidentifikationsdaten auch weitere Informationen kodiert sein, beispielsweise der Hashwert des Dokuments 56 oder eine große Zufallszahl als Aufforderung eines Challenge-Response-Verfahrens.
  • Das erzeugte digitale Bild 64 wird in Schritt S204 von der Web-Applikation 52 über die bestehende Kommunikationsverbindung 60 an den Web-Browser 22 des Anwenders 10 übermittelt und von diesem in Schritt S205 auf dem Monitor 24 des lokalen PCs 20 angezeigt.
  • Der Anwender 10 startet auf seinem Smartphone 30 eine Signatur-App 32, die mit Hilfe der Kamera 34 des Smartphones das auf dem Monitor 24 des lokalen PCs 20 angezeigte Bild 64 in einem Schritt S206 optisch erfasst (Bezugszeichen 66) und das erfasste digitale Bild 64 in Schritt S207 dekodiert, um die Anwendungsidentifikationsdaten und gegebenenfalls weitere in dem digitalen Bild kodierte Informationen zu extrahieren.
  • Mit den erhaltenen Anwendungsidentifikationsdaten baut die Signatur-App 32 des Smartphones 30 nun in Schritt S208 eine transportgesicherte Kommunikationsverbindung 62 zu dem Web-Server 50 auf und übermittelt die dekodierten Anwendungsidentifikationsdaten zur Teilnahme an der bestehenden Anwendungsfallausführung 54.
  • Die Web-Applikation 52 prüft in Schritt S209 die Anwendungsidentifikationsdaten auf Korrektheit und bindet das Smartphone 30 nach erfolgreicher Prüfung in die Anwendungsfallausführung 54 ein. Konkret erstellt die Web-Applikation 52 im Ausführungsbeispiel in diesem Fall in Schritt S210 einen kryptographischen Hashwert des zu signierenden Dokuments 56 und übermittelt diesen in Schritt S211 über die Kommunikationsverbindung 62 an die Signatur-App 32, welche den übermittelten Hashwert in Schritt S212 mithilfe des NFC-Kartenlesers 40 und der Signaturkarte 12 des Anwenders 10 signiert.
  • In Schritt S213 übermittelt die Signatur-App 32 die erstellte Signatur über die Kommunikationsverbindung 62 an die Web-Applikation 52, welche in Schritt S214 das Dokument 56 mit der übermittelten Signatur verbindet und das aufbereitete und signierte Dokument in Schritt S215 über die Kommunikationsverbindung 60 an den Web-Browser 22 des Anwenders 10 zur weiteren Verwendung übermittelt.
  • Durch die beschriebene Vorgehensweise wird das Smartphone 30 als Hilfsinstanz einfach, zuverlässig und sicher in die Signatur-Transaktion eingebunden. Dabei stellen der Prolog S201 und der Epilog ab Schritt S209 anwendungsspezifische Verfahrensschritte dar, während die Teilsequenz der Schritte S202 bis S208 die wesentlichen Elemente der vorliegenden Erfindung verwirklicht. Auf Schritt S209 kann zwar grundsätzlich verzichtet werden, bevorzugt ist jedoch die Prüfung des Schritts S209 durchzuführen, so dass die Schritte S202 bis S209 zu den wesentlichen Elementen einer bevorzugten Ausgestaltung der vorliegenden Erfindung zählen. Der Epilog beginnt in diesem Fall mit Schritt S210.
  • Die optische Erfassung durch die Kamera 34 erlaubt eine einfache und direkte Übermittlung der Anwendungsidentifikationsdaten an die Signatur-App 32. Diese Übermittlung ist auch sehr zuverlässig, da der Anwender 10 keine manuelle Prüfung von Anwendungsidentifikationsdaten oder der clientseitigen Kanalbindung durchführen muss. Die Übermittlung ist schließlich auch sicher, da bei einer gesicherten Verbindung zwischen Web-Applikation 52 und Web-Browser 22 die von der Signatur-App 32 optisch erfassten Anwendungsidentifikationsdaten implizit ebenfalls unverfälscht sind. Eventuelle Bildübertragungsfehler sind unkritisch und können mit herkömmlichen Prüfsummen leicht erkennt werden.
  • Anstelle einer Signaturkarte 12 kann natürlich auch ein gegebenenfalls vorhandenes Secure Element in einem Smartphone 30 zur Erstellung der Signatur verwendet werden.
  • Das übermittelte digitale Bild 64 kann neben den genannten Anwendungsidentifikationsdaten beispielsweise auch bereits den kryptographischen Hashwert des zu signierenden Dokuments 56 enthalten, so dass die Signatur-App 32 nach dem Dekodieren des erfassten digitalen Bilds 64 bereits über den gewünschten Hashwert verfügt. Eine separate Übertragung des Hashwerts von der Web-Applikation 52 an die Signatur-App 32 kann dann entfallen. Die Signatur-App 32 kann dann beim Aufbau der Kommunikationsverbindung 62 zusammen mit den Anwendungsidentifikationsdaten die über den Hashwert des Dokuments 56 gebildete Signatur an die Web-Applikation 52 übermitteln. Bei korrekter Signatur zu dem gegebenen Hashwert des Dokuments 56 sind die beiden Kommunikationskanäle 60, 62 implizit zur Anwendungsfallausführung gebunden.
  • Bei einem anderen Ausführungsbeispiel kann das über die erste Kommunikationsverbindung übermittelte digitale Bild neben den Anwendungsidentifikationsdaten auch eine Aufforderung eines Challenge-Response-Verfahrens, beispielsweise eine große Zufallszahl, enthalten. Nach dem Scannen des digitalen Bildes extrahiert die Hilfsinstanz neben den Anwendungsidentifikationsdaten auch die Zufallszahl aus dem digitalen Bild. Die Hilfsinstanz signiert die Zufallszahl und überträgt die signierte Zufallszahl als Response über die mit den Anwendungsidentifikationsdaten aufgebaute zweite Kommunikationsverbindung an den externen Server. Bei korrekter Response zur gegebenen Aufforderung sind die beiden Kommunikationskanäle wieder implizit zur Anwendungsfallausführung gebunden.

Claims (15)

  1. Verfahren zur Unterstützung einer Anwendungsfallausführung zwischen einer Hauptinstanz und einer auf einem entfernten Server ausgeführten Anwendung, bei dem – eine erste Kommunikationsverbindung zwischen der Hauptinstanz und dem entfernten Server hergestellt wird, – eine Anwendungsfallausführung zwischen der Hauptinstanz und einer auf dem entfernten Server ausgeführten Anwendung eingeleitet wird, welche in der Serveranwendung einen Anwendungsfall darstellt, der durch Anwendungsidentifikationsdaten identifiziert wird, – von der Serveranwendung eine digitale, optisch erfassbare Information erzeugt wird, in der die Anwendungsidentifikationsdaten kodiert sind, und die erzeugte digitale, optisch erfassbare Information über die erste Kommunikationsverbindung an die Hauptinstanz übermittelt wird, – die übermittelte digitale, optisch erfassbare Information von der Hauptinstanz auf einem Display angezeigt wird, – die angezeigte digitale, optisch erfassbare Information von einer Hilfsinstanz optisch erfasst und dekodiert wird, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten, – von der Hilfsinstanz eine zweite Kommunikationsverbindung zu dem entfernten Server hergestellt wird, und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme der Hilfsinstanz an der Anwendungsfallausführung an den entfernten Server übermittelt werden, und – die Hilfsinstanz nach erfolgreicher Prüfung der übertragenen Anwendungsidentifikationsdaten zur Unterstützung in die Anwendungsfallausführung zwischen der Hauptinstanz und der auf dem Server ausgeführten Anwendung eingebunden wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Hilfsinstanz eine funktionale Erweiterung der Hauptinstanz oder weitere Rollen oder Kompetenzen bereitstellt, insbesondere dass die Hilfsinstanz eine der Hauptinstanz fehlende Funktionalität bereitstellt, die bei der Anwendungsfallausführung zwischen Hauptinstanz und Serveranwendung eingesetzt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die digitale, optisch erfassbare Information ein digitales Bild, bevorzugt einen 2D-Code, insbesondere einen QR-Code darstellt.
  4. Verfahren nach wenigstens einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass als Hilfsinstanz ein mobiles Endgerät, insbesondere ein Smartphone, eingebunden wird.
  5. Verfahren nach wenigstens einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die angezeigte digitale, optisch erfassbare Information mit Hilfe einer Kamera der Hilfsinstanz optisch erfasst wird.
  6. Verfahren nach wenigstens einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Serveranwendung in der digitalen, optisch erfassbaren Information neben den Anwendungsidentifikationsdaten auch Serveridentifikationsdaten und/oder weitere anwendungsspezifische Informationen kodiert, insbesondere eine Aufforderung eines Challenge-Response-Verfahrens oder einen Hashwert eines auf dem Server gespeicherten elektronischen Dokuments.
  7. Verfahren nach wenigstens einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die erste und zweite Kommunikationsverbindung jeweils transportgesichert hergestellt werden.
  8. Verfahren nach wenigstens einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass als Anwendungsfallausführung eine kartengestützte elektronische Signatur eines auf dem Server gespeicherten Dokuments ausgeführt wird, wobei die Hauptinstanz kartenleserlos ist und die Hilfsinstanz, insbesondere ein Smartphone, eine kartengestützte Signaturfunktion bereitstellt.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Serveranwendung mit oder nach der Einbindung der Hilfsinstanz in die Anwendungsfallausführung dieser einen Hashwert des auf dem Server gespeicherten Dokuments übermittelt, die Hilfsinstanz den übermittelten Dokumentenhashwert signiert und die Signatur über die zweite Kommunikationsverbindung an die Serveranwendung übermittelt.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die Serveranwendung das gespeicherte Dokument mit der übermittelten Signatur verbindet und das signierte Dokument über die erste Kommunikationsverbindung an die Hauptinstanz übermittelt.
  11. Verfahren nach wenigstens einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass zwei oder mehr Hilfsinstanzen auf die beschriebene Weise in die Anwendungsfallausführung zwischen der Hauptinstanz und der auf dem entfernten Server ausgeführten Anwendung eingebunden werden.
  12. Verfahren nach wenigstens einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die serverseitige Anwendung als verteilte Anwendung auf mehr als einem Server ausgeführt wird.
  13. System zum Einsatz in einem Verfahren nach einem der Ansprüche 1 bis 12, mit einer Hauptinstanz und einer Hilfsinstanz, wobei – die Hauptinstanz ausgelegt und eingerichtet ist, – eine erste Kommunikationsverbindung zu einem entfernten Server herzustellen, – eine Anwendungsfallausführung zwischen der Hauptinstanz und einer auf dem entfernten Server ausgeführten Anwendung einzuleiten, die in der Serveranwendung einen Anwendungsfall darstellt, der durch Anwendungsidentifikationsdaten identifiziert ist, und – eine von der Serveranwendung übermittelte digitale, optisch erfassbare Information auf einem Display anzuzeigen; und – die Hilfsinstanz ausgelegt und eingerichtet ist, – eine auf dem Display der Hauptinstanz angezeigte digitale, optisch erfassbare Information optisch zu erfassen und zu dekodieren, um die Anwendungsidentifikationsdaten des Anwendungsfalls zu erhalten, und – eine zweite Kommunikationsverbindung zu dem entfernten Server herzustellen und die dekodierten Anwendungsidentifikationsdaten zur Teilnahme der Hilfsinstanz an der Anwendungsfallausführung an den entfernten Server zu übermitteln.
  14. System nach Anspruch 13, dadurch gekennzeichnet, dass die Hilfsinstanz durch ein mobiles Endgerät, insbesondere ein Smartphone gebildet ist, wobei das mobile Endgerät vorzugweise eine Kamera für die optische Erfassung der angezeigten digitalen, optisch erfassbaren Information sowie eine NFC-Schnittstelle für die Nahfeldkommunikation mit einem NFC-fähigen Terminal aufweist.
  15. System nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die Hauptinstanz durch eine lokale kartenleserlose Computereinheit, insbesondere einen Personal Computer (PC), einen Tablet Computer, ein Notebook oder ein Netbook gebildet ist.
DE102015014606.8A 2015-11-13 2015-11-13 Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server Withdrawn DE102015014606A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015014606.8A DE102015014606A1 (de) 2015-11-13 2015-11-13 Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015014606.8A DE102015014606A1 (de) 2015-11-13 2015-11-13 Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server

Publications (1)

Publication Number Publication Date
DE102015014606A1 true DE102015014606A1 (de) 2017-05-18

Family

ID=58640465

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015014606.8A Withdrawn DE102015014606A1 (de) 2015-11-13 2015-11-13 Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server

Country Status (1)

Country Link
DE (1) DE102015014606A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1261165A1 (de) * 2001-05-15 2002-11-27 Siemens Aktiengesellschaft Signaturverfahren
DE10296626T5 (de) * 2001-04-25 2004-04-22 Telefonaktiebolaget L M Ericsson (Publ) Verfahren zur unleugbaren Verwendung kryptographischer Signaturen in kleinen Einrichtungen
US20140197232A1 (en) * 2011-03-31 2014-07-17 Sony Mobile Communications Ab System and Method for Establishing a Communication Session
US20140367461A1 (en) * 2013-06-14 2014-12-18 Sap Ag Quick response in software applications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10296626T5 (de) * 2001-04-25 2004-04-22 Telefonaktiebolaget L M Ericsson (Publ) Verfahren zur unleugbaren Verwendung kryptographischer Signaturen in kleinen Einrichtungen
EP1261165A1 (de) * 2001-05-15 2002-11-27 Siemens Aktiengesellschaft Signaturverfahren
US20140197232A1 (en) * 2011-03-31 2014-07-17 Sony Mobile Communications Ab System and Method for Establishing a Communication Session
US20140367461A1 (en) * 2013-06-14 2014-12-18 Sap Ag Quick response in software applications

Similar Documents

Publication Publication Date Title
DE102017113529A1 (de) Verfahren und System zur Echtheitsprüfung einer vertrauenswürdigen Benutzeroberfläche
DE102014103016A1 (de) Globales Identifizierungs-(ID-) und Altersverifizierungssystem und -verfahren
DE102009055947A1 (de) Authentisierte Übertragung von Daten
EP2551828B1 (de) Verfahren und System zur Kontrolldatenübertragung zwischen einem Fahrzeugdatenaufzeichnungsgerät und einem Prüfgerät
EP1964042A1 (de) Verfahren zur vorbereitung einer chipkarte für elektronische signaturdienste
WO2013007555A1 (de) Verfahren zum betreiben einer netzwerkeinrichtung
EP3590279B1 (de) Verfahren, system und anwendungsprogramm zur zuordnung von industriellen feldgeräten in einer cloud-umgebung
WO2016074789A1 (de) Verfahren zum überprüfen der gültigkeit eines tickets; mobile einrichtung
DE102011089579A1 (de) Verfahren zur Durchführung authentifizierter Zahlungen
DE102015014606A1 (de) Verfahren und System zur unterstützten Durchführung einer Anwendungsfallausführung auf einem entfernten Server
EP3234928A1 (de) Verfahren zur echtheitsprüfung eines sicherheitsmerkmals, das auf einem dokument angeordnet ist
DE102015112885A1 (de) Zweistufiges Verfahren zur Übermittlung eines Hilferufs einer Hilfe suchenden Person an mindestens eine in einem Notrufnetzwerk registrierte Hilfe leistende Person
DE102011003920A1 (de) Mobilfunkgerätbetriebenes, elektronisches Zugangssystem
EP3510515B1 (de) Datenbrille zum kryptographischen signieren von bilddaten
EP3107029A1 (de) Verfahren und vorrichtung zum personalisierten elektronischen signieren eines dokuments und computerprogrammprodukt
WO2015052286A1 (de) Verfahren für eine elektronische auditierung
DE102014017710A1 (de) Erstellen einer Rechnung aus einem statischen und einen dynamischen Teil eines Transaktionsdatensatzes
EP3483770A1 (de) Verfahren zur speicherung elektronisch signierter dokumente
AT14348U2 (de) Verfahren und System zur Erzeugung einer elektronischen Stapelsignatur
DE102012010559A1 (de) Authentifizierungssystem und -verfahren zur einfachsten Übertragung von Anwendungsprogrammen und Zugangsberechtigungsdaten für online zur Verfügung gestellte Angebote zwischen unterschiedlichen mobilen Geräten zur Online-Nutzung
DE102013215407A1 (de) Verfahren zur Erhöhung der Sicherheit von Passwörtern
EP3435697A1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
DE102013216737B4 (de) Verfahren zur Erzeugung eines transaktionsspezifischen numerischen Codes
DE102016112956A1 (de) Verfahren zum online-basierten Identifizieren einer Person, Client-Server System und Computer-Programmprodukt
DE102019112114A1 (de) Verfahren und Vorrichtung zum Bereitstellen von Identitätsdaten eines Nutzers für einen Dienstleister, Computerprogrammprodukt

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee