SK500392020A3 - Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí - Google Patents

Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí Download PDF

Info

Publication number
SK500392020A3
SK500392020A3 SK500392020A SK500392020A SK500392020A3 SK 500392020 A3 SK500392020 A3 SK 500392020A3 SK 500392020 A SK500392020 A SK 500392020A SK 500392020 A SK500392020 A SK 500392020A SK 500392020 A3 SK500392020 A3 SK 500392020A3
Authority
SK
Slovakia
Prior art keywords
signing
server
module
electronic signature
biometric
Prior art date
Application number
SK500392020A
Other languages
English (en)
Inventor
Ing Margala Richard
Ing. Hájek Juraj
Ing. Palšovičová Zuzana
Original Assignee
Ardaco, a.s.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ardaco, a.s. filed Critical Ardaco, a.s.
Priority to SK500392020A priority Critical patent/SK500392020A3/sk
Priority to EP21183346.2A priority patent/EP3937054A1/en
Publication of SK500392020A3 publication Critical patent/SK500392020A3/sk

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí obsahuje mobilné zariadenie (1) na vzdialené podpisovanie obsahujúce čítačku (3) biometrického dokladu a dynamický autentifikátor (5); modul (13) riadenia identít a prístupových práv používateľov obsahujúci administrátorský blok (14) správy identít a prístupových práv a biometrický serverový blok (15) na serverové overenie identít; riadiaci a podpisovací server (6) obsahujúci administrátorský blok (7) a blok (8) na riadenie spracovania úloh; modul (9) správy kľúčov a externé úložisko (12) dokumentov. Mobilné zariadenie (1) na vzdialené podpisovanie je prepojiteľné so systémom (13) riadenia identít a prístupových práv používateľov a s riadiacim a podpisovacím serverom (6), riadiaci a podpisovací server (6) je prepojený s modulom (9) správy kľúčov a modulom (13) riadenia identít a prístupových práv používateľa a riadiaci a podpisovací server (6) sú spojené s úložiskom (12) dokumentov.

Description

Oblasť techniky
Vynález sa týka systému na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí a patrí do oblasti informačných technológii.
Doterajší stav techniky
Pre zabezpečenie digitálneho podpisovania dokumentov existuje viacero rozšírených riešení, ktoré sa môžu kategorizovať podľa toho, akú vysokú bezpečnosť, a preto aj „silu“ podpisu umožňujú. Rovnako je možné rozdeliť ich podľa toho, aké prostredie je možné využiť pre realizáciu podpisu a aké nástroje, softvérové alebo hardvérové, sú nevyhnutné v rámci procesu podpisovania.
Elektronický podpis predstavujú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme, a ktoré používateľ používa na podpisovanie.
Základnými vlastnosťami rôznych typov podpisov sú:
• integrita - možnosť preukázať, že po podpísaní nedošlo k žiadnej zmene podpísaných údajov, • autenticita - možnosť overiť pôvodnosť, identitu subjektu, ktorému patrí elektronický podpis, • nepopierateľnosť - podpisovateľ nemôže tvrdiť, že podpísané údaje nepodpísal.
Elektronický podpis nezabezpečuje žiadnu zo základných vlastností podpisov. Typicky sa jedná o doplnenie identifikačných údajov k elektronickému dokumentu, ako napr. identifikačných údajov podpisovateľa alebo obrázok ručného podpisu. Pre právne účely je reálne nepoužiteľný, pretože by vyžadoval vysokú mieru dokazovania integrity, autenticity a nepopierateľnosti.
Digitálny podpis alebo zdokonalený elektronický podpis zabezpečuje integritu podpísaných údajov pomocou kryptografických metód na základe špecifikácie nariadení akými sú eIDAS (EÚ) alebo DSS (USA). Takýto podpis nie je ekvivalentom vlastnoručného podpisu (eIDAS) a nie je ním možné zabezpečiť autenticitu a hlavne nepopierateľnosť.
Kvalifikovaný elektronický podpis je digitálny podpis (zdokonalený elektronický podpis), ktorého špecifické parametre sú definované v rámci nariadenia eIDAS. Je založený na kvalifikovanom certifikáte vydanom kvalifikovanou certifikačnou autoritou a vyhotovený pomocou kvalifikovaného zariadenia na vyhotovenie elektronického podpisu. Takýto podpis je pre právne účely ekvivalentom vlastnoručného podpisu a plne zabezpečuje integritu, autenticitu a nepopierateľnosť.
Podpísanie kvalifikovaným elektronickým podpisom je možné realizovať viacerými prostriedkami: s využitím lokálnej natívnej aplikácie inštalovanej na desktopovom operačnom systéme alebo prostredníctvom rozhrania využívajúceho prehliadač alebo v natívnej mobilnej aplikácii. Pokročilé podpisovanie, s využitím buď digitálneho podpisu alebo kvalifikovaného elektronického podpisu, nevyhnutne potrebuje podpisový certifikát, súkromný a verejný kľúč.
Lokálne desktopové aplikácie poskytujú funkcionalitu podpisovania priamo na počítači podpisujúceho používateľa, bez nutnosti sieťového pripojenia a alternatívne tiež poskytujú overovanie podpisu s pripojením na špeciálny server určený na poskytovanie takýchto služieb.
Aplikácie využívajúce prehliadač pracujú na základe klient-server architektúry poskytujúcich služby podpisu. V prípade, že umožňujú podpisovanie pomocou hardvérového zariadenia (napr. karty, USB tokenu) využívajú rôzne pluginy (java, applet), ktoré umožňujú komunikovať cez rozhranie na klientskom počítači.
Mobilné aplikácie umožňujú realizovať podpisovanie s využitím mobilného zariadenia. Väčšinou vyžadujú pripojenie na internet a môžu vyžadovať aj dodatočné hardvérové prostriedky pre realizáciu podpisovania.
Nakoľko sa predkladaný vynález zameriava na poskytovanie elektronického podpisu v mobilnom prostredí, z toho dôvodu sa aj výber aplikácie limituje na aplikácie v mobilnom prostredí. Medzi takéto aplikácie patria:
Aplikácia DocuSign využíva digitálny podpis dokumentov, ukladá súkromné kľúče a realizuje podpisy v centrálnom HSM, poskytuje integráciu na MS AD, LDAP, poskytuje integráciu na viacero typov DMS a Workflow systémov a podporuje rôzne typy dokumentov ako MS Office, PDF, TXT a pod. Táto aplikácia ponúka primáme elektronický podpis formou obrázku ručného podpisu. Zároveň poskytuje rozšírené služby ako platené enterprise služby.
Aplikácia SignNow nepodporuje digitálny podpis, ale iba elektronický podpis formou digitálneho obrázku ručného podpisu.
Aplikácia Adobe Sign poskytuje široké spektmm možností od jednoduchého elektronického podpisu až po digitálny podpis. Rozšírenú funkcionalitu (ako napr. digitálny podpis) umožňujú iba Enterprise verzie aplikácie.
V predmetnej oblasti existujú v súčasnosti patenty, technológie a riešenia.
Patent č. US 9,565,188 opisuje systém a spôsob vloženia písomného podpisu do zabezpečeného elektronického dokumentu. Užívateľ je bezpečne certifikovaný systémom vytvoreným alfanumerickým kódom a
SK 50039-2020 A3 identifikáciou mobilného zariadenia. Následne sa podpis vloží do elektronického dokumentu a bezpečne sa uloží na centrálny server.
Dokumenty „Electomic Signatures and Infastructeres (ESI); ASiC Baseline Profile“ a „The framefok for standardization of signatures; Standards for AdES digital signatures in mobile and distributéri environment“ sa týkajú štandardov Európskeho telekomunikačného Inštitútu pre štandardy (ETSI). Tieto dokumenty poskytujú rámec pre ďalšiu štandardizáciu na vytvárame a overovanie digitálnych podpisov AdES v mobilných a distribuovaných prostrediach podporovaných vzdialenými servermi.
Dokument „Qualified Mobile Server Signatúre“ sa týka prístupu založenom na mobilnom podpise autentifikuje signatára prostredníctvom dôveryhodných prostriedkov. Silné overenie totožnosti je zabezpečené dvoma faktormi, a to znalosťou PIN kódu a predloženia platnej karty identifikačného modulu predplatiteľa. Tento dokument sa zameriava na splnenie štandardov vyžadovaných v rámci EÚ.
Služba Mobil Connect umožňuje autentifikáciu pomocou mobilného zariadenia v spolupráci s mobilnými operátormi. Táto služba predstavuje bezpečnú univerzálnu identitu, ktorá ponúka jednoduchý a dôveryhodný spôsob, ako môžu používatelia mobilných zariadení zdieľať citlivé údaje a dôveryhodne vykonávať transakcie. Služba umožňuje rýchlu, globálnu a nákladovo efektívnu autentifikáciu, autorizáciu a bezpečné overenie totožnosti.
Hlavné nedostatky uvedených existujúcich riešení sú:
• Väčšina existujúcich riešení nepodporuje digitálny podpis, ale iba elektronický podpis formou obrázku mčného podpisu.
• Pokiaľ dané riešenie podporuje digitálny podpis, žiadne riešenie nepodporuje kvalifikovaný elektronický podpis v mobilnom prostredí.
• Riešenia podporujúce kvalifikovaný elektronický podpis vyžadujú použitie dodatočného hardvérového komponentu, napr. eID karty.
• Riešenia a aplikácie poskytujúce digitálny podpis s certifikátom a podpisovým kľúčom poskytujú služby iba ako enterprise riešenia, ktoré nie sú využiteľné pre bežných používateľov.
• Do existujúcich riešení nie je zakomponovaná možnosť využitia dokumentov obsahujúcich biometrické údaje, ktoré poskytujú relevantný zdroj biometrických údajov spĺňajúcich medzinárodné štandardy, napríklad biometrický doklad v súlade s požiadavkami International Civil Aviation Organization (ICAO).
Podstata vynálezu
Uvedené nedostatky odstraňuje systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí podľa tohto vynálezu, ktorého podstata spočíva v tom, že obsahuje:
• mobilné zariadenie na vzdialené podpisovanie, ktoré je vybavené mobilnou aplikáciou na vzdialené podpisovanie a obsahuje čítačku biometrického dokladu a dynamický autentifikátor. Na autentifikáciu a autorizáciu služieb vzdialeného podpisovania sa výhodne využíva biometrický faktor poskytovaný na základe serverového biometrického overenia údajov zosnímaných mobilným fotoaparátom, preto mobilné zariadenie s výhodou obsahuje fotoaparát umožňujúci nasnímanie biometrických údajov. Fotoaparát je prepojený s biometrickým klientskym modulom, ktorý spracováva biometrické údaje nasnímané fotoaparátom. Čítačka biometrického dokladu umožňuje načítame biometrických údajov z biometrického dokladu. Dynamický autentifikátor poskytuje dodatočnú autentifikačnú vrstvu viacfaktorovej autentifikácie;
• modul riadenia identít a prístupových práv používateľov obsahuje administrátorský blok správy identít a prístupových práv a biometrický serverový blok na serverové overenie identít a poskytuje viacfaktorovú autentifikáciu mobilnej aplikácii na vzdialené podpisovanie;
• riadiaci a podpisovací server obsahuje administrátorský modul na konfiguráciu a modul riadenia spracovania úloh na vykonávame úloh;
• modul správy kľúčov je realizovaný hardvérovým komponentom Hardware Security Module. Hardware Security Module, ktoiý pre riadiaci a podpisovací server poskytuje vysoko zabezpečené postupy šifrovania na generovanie kľúčov, šifrovania a dešifrovania údajov a vytvárania a overovania digitálnych podpisov. Modul správy kľúčov obsahuje bezpečnostné úložisko podpisových certifikátov vrátane súkromných kľúčov a blok na podpisovanie pomocou súkromného kľúča.
• externé úložisko dokumentov.
Mobilné zariadenie na vzdialené podpisovanie je prepojiteľné s modulom riadenia identít a prístupových práv používateľov a s riadiacim a podpisovacím serverom. Riadiaci a podpisovací server je prepojený s modulom správy kľúčov a modulom riadenia identít a prístupových práv používateľa a riadiaci a podpisovací server sú spojené s úložiskom dokumentov.
Systém podľa tohto vynálezu využíva mobilné zariadenie na podpisovanie na úrovni kvalifikovaného elektronického podpisu bez nutnosti využitia dodatočného hardvérového zariadenia, pričom bezpečnosť riešenia je zabezpečená prostredníctvom viacfaktorovej autentifikácie a samotné ukladanie podpisovaných do
SK 50039-2020 A3 kumentov je realizované s využitím dynamicky konfigurovateľných úložísk. Forma serverového (vzdialeného) podpisovania zabezpečí vyššiu bezpečnosť proti odcudzeniu a zneužitiu podpisového certifikátu.
Mobilné zariadenie na vzdialené podpisovanie poskytuje používateľovi funkcionalitu vzdialeného serverového podpisovania s využitím mobilnej aplikácie vzdialeného podpisovania nainštalovanej na mobilnom zariadení na vzdialené podpisovanie. Súčasťou mobilnej aplikácie je poskytnutie funkcionality pre získame údajov na overenie identity používateľa a autorizáciu prístupu k rozhraniu služieb vzdialeného podpisovania. Pre účely autentifikácie a autorizácie služieb vzdialeného podpisovania sa využíva biometrický faktor tváre používateľa poskytovaný na základe serverového biometrického overenia údajov zosnímaných mobilným fotoaparátom spracovaných biometrickým klientskym modulom. Dynamický autentifikačný prvok prostredníctvom modulu dynamický autentifikátor poskytne dodatočnú autentifikačnú vrstvu viacfaktorovej autentifikácie. Hlavným zmyslom mobilného zariadenia pre vzdialené podpisovanie je v spolupráci s mobilnou aplikáciou vzdialeného podpisovania sprostredkovať elektronické operácie podpisovania dokumentov v mobilnom prostredí. Pre tieto procesy využíva služby a komunikáciu pomocou zabezpečeného obojstranného SSL spojenia cez sieťové pripojenie (dátové mobilné rozhranie alebo Wi-Fi).
Mobilné zariadenie je pripravené na prečítame biometrických údajov z biometrického dokladu s využitím čítačky biometrického dokladu. Biometrické údaje z biometrického dokladu riešeniu poskytnú možnosť ďalšieho spôsobu získavania dát na serverovú biometrickú šablónu tváre používateľa vzdialeného serverového podpisovania.
Pri realizácii podpisu pomocou mobilného zariadenia je využívaná viacfaktorová autentifikácia (minimálne 3-faktorová s rôznymi kategóriami autentifikácie), komunikácia cez viacero komunikačných kanálov a šifrovanie komunikácie end-to-end pomocou obojstranného SSL spojenia.
Na účely autentifikácie pri prihlásení používateľa sú využívané nasledovné kategórie a faktory autentifikácie:
• Inherentný faktor o Fotka tváre používateľa - predpokladá sa overenie živosti priamo na mobilnom zariadení a predspracovanie fotky na mobilnom zariadení • Faktor držby o Overenie mobilného zariadenia s využitím dynamicky generovaného autentifikačného kľúča o Automatické overenie SSL Autentifikačným certifikátom (obojstranné SSL spojenie) o Automatické overenie generovaného unikátneho ID pre mobilnú aplikáciu, prípadne identifikátorov poskytovaných operačných systémov mobilného zariadenia • Faktor poznania o Voliteľné heslo na prístup do aplikácie o PIN kód na službu podpisovania (samotné podpisovanie)
Modul riadenia identít a prístupových práv používateľov zabezpečuje správu identít používateľov a riadenie prístupových práv ku všetkým chráneným zdrojom používaných v rámci riešenia vzdialeného serverového podpisovania (mobilná aplikácia vzdialeného podpisovania, dokumenty v externom úložisku aj prístup k funkcionalite podpisovania dokumentov kvalifikovaným elektronickým podpisom). Uchováva informácie o používateľoch a im pridelených prístupových právach. Poskytuje funkcionalitu autentifikácie používateľov a autorizuje prístup k funkcionalite mobilnej aplikácie, k podpisovaným dokumentom ukladaných v externých úložiskách a tiež autorizuje prístup k funkcionalite podpisovania kvalifikovaným elektronickým podpisom.
Riadiaci a podpisovací server s modulom správy kľúčov riadi spôsob podpisovania dokumentov kvalifikovaným elektronickým podpisom. Obsahuje administrátorský blok umožňujúci konfiguráciu riadiaceho a podpisovacieho servera, vrátane úpravy schvaľovacích scenárov podpisovania kvalifikovaným elektronickým podpisom viaceíými používateľmi. Vykonávame úloh riadi blok na riadenie spracovania úloh. Modul správy kľúčov poskytuje bezpečné úložisko podpisových certifikátov (vrátane súkromných kľúčov), umožňuje vytváranie podpisového certifikátu a pre autentifikovaných a autorizovaných používateľov poskytuje možnosť podpisovania pomocou súkromného kľúča. Modul správy kľúčov obsahuje aj vlastný certifikát na šifrovanie prijatého PIN kódu na realizáciu podpisu.
Základnou výhodou systému na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí podľa tohto vynálezu s využitím mobilnej aplikácie zabezpečeného viacfaktorovou biometrickou autentifikáciou je kombinácia mobilného prostredia, serverového podpisovania a kvalifikovaného elektronického podpisu spolu so zabezpečením vysokého stupňa bezpečnosti a viacfaktorovej autentifikácie.
Mobilné prostredie
Podpisovanie v mobilnom prostredí je funkcionalita, ktorá je z pohľadu používateľov veľmi žiadaná. Je spojená s veľmi rýchlym rozširovaním používania „smartphonov“ aj pre realizáciu bežných pracovných aktivít. V dnešnej dobe je Intemetové pripojenie cenovo dostupné a zároveň aj použiteľné na väčšine územia vyspelých štátov.
SK 50039-2020 A3
Serverové podpisovanie
V súčasnosti je bežné pre používateľov využívať rôzne „cloudové” služby, ktoré umožnia vzdialenú, zdieľanú a efektívnu prácu. Práve centrálne serverové riešenia umožňujú minimalizovať riziká spojené so stratou hardvéru, útokmi a pod. a umožňujú zabezpečenie centrálne uložených dát a služieb na podstatne vyššej úrovni ako pri lokálne distribuovaných hardvérových komponentoch. Veľkou výhodou je aj to, že serverové podpisovanie umožňuje využívame služieb bez dodatočných hardvérových prvkov, ktoré majú za úlohu realizovať citlivé funkcionality úložiska súkromných kľúčov a samotného podpisovania.
Kvalifikovaný elektronický podpis
Kvalifikovaný elektronický podpis (KEP) je definovaný v rámci eIDAS a je z právneho pohľadu rovnocenný s vlastnoručným podpisom. Preto práve poskytovanie služby podpisu formou KEP znamená plnohodnotné elektronické podpisovanie bez potreby prípadných dvojstranných zmlúv a s istotou akceptovania všetkými partnermi, či už sa jedná o štátne alebo verejné inštitúcie a právnické alebo lýzické osoby. A zároveň toto všetko je platné v rámci celého priestoru EÚ.
Autentifikácia • Osobná registrácia a aktivácia mobilného zariadenia • Autentifikačný certifikát • Biometrická autentifikácia • Viacfaktorová autentifikácia s viaceíými kategóriami
Vysoký stupeň bezpečnosti • Bezpečné serverové HSM • Bezpečná obojstranná SSL komunikácia • Viackanálová komunikácia na overenie
Prehľad obrázkov na výkresoch
Obrázok 1: Schematické znázornenie systému na podpisovanie kvalifikovaným elektronickým podpisom s využitím mobilnej aplikácie zabezpečené viacfaktorovou biometrickou autentifikáciou so znázornením vnútornej štruktúry architektonicky/konštrukčne významných prvkov vynálezu.
Príklady uskutočnenia vynálezu
Príklad 1
Riešenie podpisovania kvalifikovaným elektronickým podpisom podľa tohto vynálezu je realizovaný v podniku.
Systém obsahuje mobilné zariadenia 1 na vzdialené podpisovanie, ktoré sú zapojené do Mobile Device Management systému organizácie, prostredníctvom ktorého sú vynucované bezpečnostné politiky na mobilnom zariadení 1. Mobile Device Management tiež distribuuje mobilnú aplikáciu vzdialeného podpisovania pre mobilné zariadenia 1 registrované v Mobile Device Management systéme.
Registrácia používateľov vzdialeného serverového podpisovania prebieha v organizácii centralizovane, prostredníctvom poverenej osoby, ktorá overí identitu zamestnanca, zosníma biometrické údaje zamestnanca nevyhnutné pre jeho overovanie na strane servera, vygeneruje kľúče pre podpis a následne prevedie pridanie profilu používateľa do Mobile Device Management systému organizácie.
Biometrické údaje tváre je možné zosnímať buď fotoaparátom 2, ktoiý je súčasťou mobilného zariadenia 1 a tieto biometrické údaje sú spracované biometrickým klientskym modulom 4, s ktoiým je fotoaparát 2 prepojený, alebo priamo prostredníctvom kamery spojenej s počítačom poverenej osoby, alebo s využitím biometrického dokladu budúceho používateľa vzdialeného serverového podpisovania overeného poverenou osobou, odkiaľ ich načíta čítačka 3 biometrického dokladu a takto získanú snímku osoby pred uložením poverená osoba opätovne verifikuje.
Mobilné zariadenie 1 na vzdialené podpisovanie ďalej obsahuje dynamický autentifikátor 5, ktoiý poskytuje dodatočnú autentifikačnú vrstvu viacfaktorovej autentifikácie, ktorá je minimálne trojfaktorová, pričom autentifikácia zahŕňa zadanie hesla a PIN kódu a samotné ukladanie podpisovaných dokumentov je realizované s využitím dynamicky konfigurovateľných úložísk.
Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí ďalej obsahuje modul 13 riadenia identít a prístupových práv používateľov, ktoiý obsahuje administrátorský blok 14 správy
SK 50039-2020 A3 identít a prístupových práv a biometrický serverový blok 15_pre serverové overenie identít a poskytujúci viacfaktorovú autentifikáciu mobilnej aplikácie na vzdialené podpisovanie.
Modul 13 riadenia identít a prístupových práv používateľov zabezpečuje Identity and Access Management systém poskytujúci podpom pre správu používateľov a rolí v organizácii. Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí bude obohatený o biometrický blok 15 zabezpečujúci serverovú tvárovú autentifikáciu ako súčasť multifaktorovej autentifikácie.
Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí ďalej obsahuje riadiaci a podpisovací server 6, ktorý obsahuje administrátorský blok 7 na konfiguráciu a blok 8 riadenia spracovania úloh na vykonávame úloh, spojený s modulom 9 správy kľúčov, ktorý obsahuje bezpečnostné úložisko 10 podpisových certifikátov vrátane súkromných kľúčov, blok 11 na podpisovanie pomocou súkromného kľúča;
Riadiaci a podpisovací server 6 s modulom 9 správy kľúčov je inštalovaný v rámci dátového centra organizácie. Modul 9 správy kľúčov je realizovaný hardvérovým komponentom Hardware Security Module. Hardware Security Module, ktorý pre riadiaci a podpisovací server 6 poskytuje vysoko zabezpečené postupy šifrovania na generovanie kľúčov, šifrovania a dešifrovania údajov a vytvárania a overovania digitálnych podpisov. Modul 9 správy kľúčov obsahuje bezpečnostné úložisko 10 podpisových certifikátov vrátane súkromných kľúčov a blok 11 na podpisovanie pomocou súkromného kľúča. Riadiaci a podpisovací server 6 spolupracuje s centrálnym workflow systémom organizácie a zabezpečuje kontrolu scenárov podpisovania a konzistenciu vykonávania úloh pozostávajúcich zo schvaľovania a podpisovania jedného alebo viacerých dokumentov zamestnancami organizácie.
Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí ďalej obsahuje externé úložisko 12 dokumentov.
Externé úložisko 12 dokumentov je realizované Document Management Systémom organizácie. Poskytuje priestor pre dokumenty spracovávané pri vzdialenom serverovom podpisovaní s využitím mobilnej aplikácie.
Mobilné zariadenie 1 na vzdialené podpisovanie je prepojiteľné s modulom 13 riadenia identít a prístupových práv používateľov a s riadiacim a podpisovacím serverom 6. Riadiaci a podpisovací server 6 je prepojený s modulom 9 správy kľúčov a modulom 13 riadenia identít a prístupových práv používateľa a riadiaci a podpisovací server 6 sú spojené s externým úložiskom 12 dokumentov.
Systém na podpisovanie kvalifikovaným elektronickým podpisom podľa tohto vynálezu využíva spojenie cez sieťové pripojenie, ktorým môže byť mobilné rozhranie alebo Wi-Fi.
Príklad 2
Je zhodný s príkladom uskutočnenia 1 s tým rozdielom, že systém na podpisovanie kvalifikovaným elektronickým podpisom podľa tohto vynálezu sa nevyužíva iba v rámci jednej organizácie, ale je využívaný na vzdialené serverové podpisovanie s využitím mobilnej aplikácie zabezpečené viacfaktorovou biometrickou autentifikáciou je poskytované vo forme cloudovej služby zabezpečovanej jej poskytovateľom. Serverové časti riešenia, modul 13 riadenia identít a prístupových práv používateľov a riadiaci a podpisovací server 6 s modulom 9 správy kľúčov, sú prevádzkované poskytovateľom služby vzdialeného serverového podpisovania. Riešenie využíva úložisko cloudových služieb, ktoré pre každého zákazníka vytvorí samostatný účet na ukladanie a správu dokumentov v rámci vzdialeného serverového podpisovania s využitím mobilnej aplikácie. Klientska aplikácia vzdialeného podpisovania je distribuovaná prostredníctvom štandardných platforiem/obchodov operačných systémov mobilných zariadení zákazníkov. Každý zákazník má možnosť nastaviť systém podľa svojich potrieb s využitím administrátorského bloku 13 správy identít a prístupových práv a tiež administrátorského bloku 7 na konfiguráciu riadiaceho a podpisovacieho servera. Pridávame používateľov v rámci konkrétneho zákazníka je možné realizovať buď s využitím mobilného zariadenia 1 a biometrického dokladu budúceho používateľa vzdialeného serverového podpisovania, odkiaľ ich načíta čítačka 3 biometrického dokladu a takto získanú snímku osoby pred uložením poverená osoba opätovne verifikuje, alebo prostredníctvom klientskeho centra poskytovateľa služby vzdialeného serverového podpisovania.
SK 50039-2020 A3
Zoznam vzťahových značiek
- mobilne zariadenie na vzdialene podpisovanie
- fotoaparát
- čítačka biometrického dokladu
- biometrický klientsky modul
- dynamický autentifikátor
- riadiaci a podpisovací server
- administrátorský blok
- blok na riadenie spracovania úloh
- modul správy kľúčov
- bezpečnostné úložisko podpisových certifikátov
- blok na podpisovanie pomocou súkromného kľúča
- externé úložisko dokumentov
- modul riadenia identít a prístupových práv používateľov
- administrátorský blok správy identít a prístupových práv
- biometrický serverový blok

Claims (5)

1. Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí, vyznačujúci sa tým, že obsahuje: mobilné zariadenie (1) na vzdialené podpisovanie obsahujúce čítačku (3) biometrického dokladu, a dynamický autentifikátor (5) poskytujúci dodatočnú autentifikačnú vrstvu viacfaktorovej autentifikácie a je vybavené mobilnou aplikáciou vzdialené podpisovanie; modul (13) riadenia identít a prístupových práv používateľov obsahujúci administrátorský blok (14) správy identít a prístupových práv a biometrický serverový blok (15) na serverové overenie identít a poskytujúci viacfaktorovú autentifikáciu mobilnej aplikácii na vzdialené podpisovanie; riadiaci a podpisovací server (6) obsahujúci administrátorský blok (7) na konfiguráciu a bloku (8) na riadenie spracovania úloh na vykonávame úloh; modul (9) správy kľúčov obsahujúci bezpečnostné úložisko (10) podpisových certifikátov vrátane súkromných kľúčov, blok (11) na podpisovanie pomocou súkromného kľúča; externé úložisko (12) dokumentov; pričom mobilné zariadenie (1) na vzdialené podpisovanie je prepojiteľné s modulom(13) riadenia identít a prístupových práv používateľov a s riadiacim a podpisovacím serverom (6), riadiaci a podpisovací server (6) je prepojený s modulom (9) správy kľúčov a modulom (13) riadenia identít a prístupových práv používateľa a riadiaci a podpisovací server (6) sú spojené s externým úložiskom (12) dokumentov.
2. Systém na podpisovanie kvalifikovaným elektronickým podpisom podľa nároku 1, vyznačujúci sa tým, že mobilné zariadenie (1) na vzdialené podpisovanie obsahuje fotoaparát (2) a biometrický klientsky modul (4), pričom fotoaparát (2) je prepojený s biometrickým klientskym modulom (4), ktoiý spracováva biometrické údaje nasnímané fotoaparátom (2).
3. Systém na podpisovanie kvalifikovaným elektronickým podpisom podľa ktoréhokoľvek nároku z nárokov la 2, vyznačujúci sa tým, že modul (9) správy kľúčov obsahuje Hardware Security Module poskytujúci pre riadiaci a podpisovací server (6) vysoko zabezpečené postupy šifrovania na generovanie kľúčov, šifrovania a dešifrovania údajov a vytvárania a overovania digitálnych podpisov.
4. Systém na podpisovanie kvalifikovaným elektronickým podpisom podľa ktoréhokoľvek nároku z nárokov laž 3, vyznačujúci sa tým, že dynamický autentifikátor (5) poskytuje dodatočnú autentifikačnú vrstvu viacfaktorovej autentifikácie, ktorá je minimálne trojfaktorová, pričom autentifikácia zahŕňa zadanie hesla a PIN kódu a samotné ukladanie podpisovaných dokumentov je realizované s využitím dynamicky konfigurovateľných úložísk.
5. Systém na podpisovanie kvalifikovaným elektronickým podpisom podľa ktoréhokoľvek nároku z nárokov laž 4, vyznačujúci sa tým, že využíva spojenie cez sieťové pripojenie, ktoiým môže byť mobilné rozhranie alebo Wi-Fi.
SK500392020A 2020-07-09 2020-07-09 Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí SK500392020A3 (sk)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SK500392020A SK500392020A3 (sk) 2020-07-09 2020-07-09 Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí
EP21183346.2A EP3937054A1 (en) 2020-07-09 2021-07-02 System for signing with a qualified electronic signature in a mobile environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SK500392020A SK500392020A3 (sk) 2020-07-09 2020-07-09 Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí

Publications (1)

Publication Number Publication Date
SK500392020A3 true SK500392020A3 (sk) 2022-01-12

Family

ID=77358056

Family Applications (1)

Application Number Title Priority Date Filing Date
SK500392020A SK500392020A3 (sk) 2020-07-09 2020-07-09 Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí

Country Status (2)

Country Link
EP (1) EP3937054A1 (sk)
SK (1) SK500392020A3 (sk)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9565188B2 (en) 2013-10-17 2017-02-07 Scrypt, Inc System and method for digitally signing documents from a mobile device
WO2017113034A1 (es) * 2015-12-30 2017-07-06 SafeSigner SpA Sistema y método para firma electrónica avanzada mediante dispositivos móviles
IT201700038031A1 (it) * 2017-04-06 2018-10-06 Apeiron S R L Metodo e dispositivo per realizzare e gestire comunicazioni sicure, sistemi di provisioning, di autenticazione e di firma

Also Published As

Publication number Publication date
EP3937054A1 (en) 2022-01-12

Similar Documents

Publication Publication Date Title
CN110213246B (zh) 一种广域多因子身份认证系统
US10523656B2 (en) Session migration between network policy servers
US20210314312A1 (en) System and method for transferring device identifying information
US8327434B2 (en) System and method for implementing a proxy authentication server to provide authentication for resources not located behind the proxy authentication server
TWI438642B (zh) 供應數位身份表徵的系統及方法
US9529993B2 (en) Policy-driven approach to managing privileged/shared identity in an enterprise
CN111314340B (zh) 认证方法及认证平台
CN113360862A (zh) 统一身份认证系统、方法、电子设备及存储介质
US20140189799A1 (en) Multi-factor authorization for authorizing a third-party application to use a resource
US20170104749A1 (en) System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
CN103152179A (zh) 一种适用于多应用系统的统一身份认证方法
US11902276B2 (en) Access to physical resources based through identity provider
CN102571874A (zh) 一种分布式系统中的在线审计方法及装置
CN112334898A (zh) 用于管理能够访问多个域的用户的多域访问凭证的系统和方法
Rostami Role-Based Access Control (RBAC) Authorization in Kubernetes
US20070204167A1 (en) Method for serving a plurality of applications by a security token
US20050055556A1 (en) Policy enforcement
US20090327704A1 (en) Strong authentication to a network
SK500392020A3 (sk) Systém na podpisovanie kvalifikovaným elektronickým podpisom v mobilnom prostredí
KR102209481B1 (ko) 계정 키 페어 기반 계정 인증 서비스를 운영하는 방법과 시스템 및 이 방법을 기록한 컴퓨터로 읽을 수 있는 기록 매체
WO2020263938A1 (en) Document signing system for mobile devices
Small Business and technical motivation for identity management
Matejka et al. Security manager for hybrid broadcast broadband architecture evolution
Kardaras et al. Security methods and approaches for internal and external network hospital information systems with single sign-on
Chhetiza et al. A Survey of Security Issues and Authentication Mechanism in Cloud Environment with Focus on Multifactor Authentication