Область техники
Настоящее изобретение относится к компьютерной технике, используемой в системах автоматизации электронного документооборота, в частности к вычислительным устройствам и способам для осуществления трансграничного электронного документооборота, в том числе юридически значимого электронного документооборота.
Уровень техники
Большинство современных коммерческих компаний или предприятий, а также государственных организаций или учреждений создают огромное количество офисных документов в цифровом виде, однако из-за несовершенства процессов безопасного и достоверного обмена информацией сотрудники таких компаний вынуждены распечатывать эти документы и передавать их получателю или адресату в «физическом» (печатном) виде, затрачивая на осуществление этих рутинных процессов много времени и сил, при этом в случае юридически значимых документов дополнительно требуется их скрепление подписью и/или печатью уполномоченного лица (нотариуса), которое может и отсутствовать в нужном месте и в нужное время.
Работу с внешними и/или внутренними документами, в частности с юридически значимыми документами, следует относить к наиболее сложноорганизованному, трудоемкому и «проблемному» участку деятельности как коммерческих компаний или предприятий, так и государственных организаций или учреждений. Электронные решения позволяют автоматизировать документооборот, что в свою очередь позволяет существенно ускорить, упростить и оптимизировать процессы организации документооборота, в частности процессы надежного и оперативного обмена юридически значимыми документами.
В настоящее время все большую актуальность приобретают системы и устройства автоматизации документооборота, которые становятся обязательным элементом безопасной цифровой инфраструктуры современного предприятия или современной организации и позволяют организовать и автоматизировать работу с электронными документами на протяжении всего их жизненного цикла, а также позволяют организовать и автоматизировать процессы взаимодействия (в частности, передачу документов, в том числе юридически значимых документов, или обмен такими документами, назначение заданий, отправку уведомлений и/или т.п.) между сотрудниками одной и той же компании, или сотрудниками из разных офисов или филиалов одной и той же компании, или сотрудниками из разных работающих или сотрудничающих друг с другом компаний, при этом документы могут представлять собой как структурированные информационные объекты, обладающие определенным набором стандартных реквизитов, так и неструктурированные информационные объекты (например, файлы Word, Excel, «.pdf», «.jpg» и т.п.).
Одно из иллюстративных вычислительных устройств для осуществления электронного документооборота описано в патенте РФ № 107623, опубликованном 20 августа 2011 года (далее RU 107623). В частности, в RU 107623 раскрыто вычислительное устройство для осуществления электронного документооборота, которое по сути выполняет функцию сервера оператора электронного документооборота, позволяющего пользователям, зарегистрированным на указанном сервере, обмениваться между собой электронными документами, а также проверять действительность сертификата электронной подписи отправителя, которым является один из указанных пользователей.
Следует отметить, что вычислительное устройство для осуществления электронного документооборота, описанное в RU 107623, не позволяет передавать электронные документы, в частности юридически значимые электронные документы, между участниками электронного документооборота, работающими в разных странах или разных юрисдикциях, в каждой из которых могут предъявляться свои законодательные требования в отношении процесса организации электронного документооборота (в том числе юридически значимого электронного документооборота), например требования по использованию конкретного стандарта или конкретных стандартов по криптографической защите данных, и в каждой из которых могут использоваться свои операторы электронного документооборота, через сервера которых указанные участники могли получить свои электронные подписи для подписания ими своих электронных документов и могли обмениваться электронными документами (в том числе юридически значимыми электронными документами). Таким образом, осуществление межгосударственного или трансграничного электронного документооборота с использованием вычислительного устройства согласно RU 107623 потребовало бы использования дополнительных программно-аппаратных комплексов или вспомогательных вычислительных устройств во взаимодействии с вычислительным устройством согласно RU 107623, промежуточного расшифровывания передаваемого электронного документа и использования незащищенных или недостаточно хорошо защищенных каналов связи, что по меньшей мере позволило бы злоумышленникам внести изменения в передаваемый электронный документ, частично заменить передаваемый электронный документ, подменить передаваемый электронный документ, несанкционированно просмотреть передаваемый электронный документ и/или т.п. при его передаче получателю от отправителя.
Таким образом, очевидна потребность в дальнейшем совершенствовании вычислительных устройств для осуществления электронного документооборота, в частности для обеспечения оптимизированного процесса обмена электронными документами, в частности юридически значимыми электронными документами, между участниками электронного документооборота из разных стран или юрисдикций, а также для предотвращения возможности несанкционированного доступа (ознакомления, подмены, модификации) к передаваемым электронным документам.
Следовательно, техническая проблема, решаемая настоящим изобретением, состоит в создании вычислительного устройства для осуществления безопасного трансграничного юридически значимого электронного документооборота, в котором по меньшей мере частично устранены обозначенные выше недостатки известного вычислительного устройства для осуществления электронного документооборота, заключающиеся в невозможности осуществления защищенного обмена электронными документами между участниками электронного документооборота из разных стран или юрисдикций.
Раскрытие сущности изобретения
Вышеупомянутая техническая проблема решена в одном из аспектов настоящего изобретения, согласно которому предложено вычислительное устройство для осуществления трансграничного электронного документооборота, процессор, выполненный с возможностью получения данных электронных подписей с обеспечением возможности подписания электронного документа и дополнительно выполненный с возможностью осуществления по меньшей мере следующих операций:
получение по меньшей мере одного подписанного электронной подписью электронного документа,
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа электронной подписью, данные о которой получает указанный процессор и которая соответствует используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
направление указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Вышеупомянутая техническая проблема также решена еще в одном аспекте настоящего изобретения, согласно которому предложено вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного подписанного электронной подписью электронного документа,
идентифицирующий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанного электронного документа и с возможностью выполнения по меньшей мере следующих операций:
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
валидирующий модуль, выполненный с возможностью подключения к идентифицирующему модулю для получения от него указанных результатов идентификации и с возможностью направления запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
подписывающий модуль, выполненный с возможностью подключения к валидирующему модулю для получения от него указанного результата валидации и с возможностью дополнительного подписания указанного полученного электронного документа еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при условии действительности указанной электронной подписи отправителя, при этом
подписывающий модуль дополнительно выполнен с возможностью подключения к модулю связи с обеспечением возможности направления указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Кроме того, вышеупомянутая техническая проблема решена еще в одном аспекте настоящего изобретения, согласно которому предложено вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного подписанного электронной подписью электронного документа, и
подписывающий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанного электронного документа и с возможностью выполнения по меньшей мере следующих операций:
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
подключение к модулю связи с обеспечением возможности направления указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Кроме того, вышеупомянутая техническая проблема решена в другом аспекте настоящего изобретения, согласно которому предложен способ осуществления трансграничного электронного документооборота, выполняемый на вычислительном устройстве, при этом согласно указанному способу:
получают по меньшей мере один подписанный электронной подписью электронный документ,
идентифицируют отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, идентифицируют оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направляют запрос на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя получают данные о еще одной электронной подписи, соответствующей используемому получателем стандарту криптографической защиты, с обеспечением дополнительного подписания указанного полученного электронного документа указанной еще одной электронной подписью и
направляют указанный дважды подписанный электронный документ на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Предложенные варианты вычислительного устройства для осуществления трансграничного электронного документооборота и способ осуществления трансграничного электронного документооборота обеспечивают каждый технический результат в виде повышения уровня обеспечения информационной безопасности при осуществлении межгосударственного или трансграничного электронного документооборота, т.е. при обмене электронными документами между участниками электронного документооборота из разных стран или юрисдикций, в которых предполагается (в том числе на законодательном уровне) применение разных стандартов криптографической защиты при организации обмена электронными документами, в частности юридически значимыми электронными документами. Повышенный уровень обеспечения информационной безопасности при осуществлении межгосударственного или трансграничного электронного документооборота обусловлен тем, что предложенное вычислительное устройство позволяет не только точно идентифицировать отправителя и получателя электронного документа, но и гарантированно подтверждать целостность и неизменность указанного электронного документа путем проверки действительности электронной подписи отправителя и дополнительного подписания передаваемого электронного документа с использованием еще одной электронной подписи.
Краткое описание чертежей
Прилагаемые чертежи, которые приведены для обеспечения лучшего понимания сущности настоящего изобретения, составляют часть настоящего документа и включены в него для иллюстрации нижеописанных вариантов реализации и аспектов настоящего изобретения. Прилагаемые чертежи в сочетании с приведенным ниже описанием служат для пояснения сущности настоящего изобретения. На чертежах:
на ФИГ. 1 показана структурная схема информационной системы для осуществления трансграничного электронного документооборота согласно настоящему изобретению;
на ФИГ. 2 показана структурная схема вычислительного устройства для осуществления трансграничного электронного документооборота согласно настоящему изобретению, входящего в состав информационной системы, показанной на ФИГ. 1.
Осуществление изобретения
Ниже описаны некоторые примеры возможных вариантов реализации настоящего изобретения, при этом не следует считать, что приведенное ниже описание определяет или ограничивает объем настоящего изобретения.
На ФИГ. 1 показана информационная система 1000 для осуществления трансграничного электронного документооборота, которая может быть использована для автоматизированной передачи электронных документов, в том числе юридически значимых электронных документов, или автоматизированного обмена такими электронными документами между участниками электронного документооборота, использующими информационную систему 1000. В частности, информационная система 1000, показанная на ФИГ. 1, позволяет обмениваться электронными документами, в частности юридически значимыми электронными документами, между (i) участниками электронного документооборота, работающими в одной и той же стране или одной и той же юрисдикции, в которой могут предъявляться унифицированные или единые законодательные требования в отношении процесса организации электронного документооборота (в том числе юридически значимого электронного документооборота), в частности требования по использованию конкретного стандарта или конкретных стандартов по криптографической защите данных (например, ГОСТ Р, RSA, ECDSA и т.п.), и использующими одного и того же зарегистрированного в указанной юрисдикции оператора электронного документооборота, через сервер которого указанные участники могли получить свои электронные подписи для подписания ими своих электронных документов (в том числе юридически значимых электронных документов) и могли обмениваться такими электронными документами, или использующими разных операторов электронного документооборота, зарегистрированных в указанной юрисдикции; и/или (ii) между участниками электронного документооборота, работающими в разных странах или разных юрисдикциях, в каждой из которых могут предъявляться свои законодательные требования в отношении процесса организации электронного документооборота (в том числе юридически значимого электронного документооборота), в частности требования по использованию конкретного стандарта или конкретных стандартов по криптографической защите данных (например, ГОСТ Р, RSA, ECDSA и т.п.), и использующими разных операторов электронного документооборота, каждый из которых зарегистрирован в соответствующей одной из указанных юрисдикций и через сервера которых указанные участники могли получить свои электронные подписи для подписания ими своих электронных документов (в том числе юридически значимых электронных документов) и могли обмениваться такими электронными документами; и/или (iii) между участниками электронного документооборота, работающими в разных странах или разных юрисдикциях, в каждой из которых могут предъявляться свои законодательные требования в отношении процесса организации электронного документооборота (в том числе юридически значимого электронного документооборота), в частности требования по использованию конкретного стандарта или конкретных стандартов по криптографической защите данных (например, ГОСТ Р, RSA, ECDSA и т.п.), и использующими одного и того же оператора электронного документооборота, который зарегистрирован в одной из указанных юрисдикций и через сервер которого указанные участники могли получить свои электронные подписи для подписания ими своих электронных документов (в том числе юридически значимых электронных документов) и могли обмениваться такими электронными документами.
Информационная система 1000 для осуществления трансграничного электронного документооборота, показанная на ФИГ. 1, позволяет любому одному из участников электронного документооборота, зарегистрированному в информационной системе 1000, направлять подписанный электронной подписью электронный документ любому другому участнику электронного документооборота, использующему информационную систему 1000, в виде пакета или потока данных, содержащего указанный электронный документ и электронную подпись отправителя, использованную для подписания указанного электронного документа.
Терминология
В контексте данного документа, если явно не указано иное, термин «электронный документ» означает документ, в котором информация представлена в электронно-цифровой форме и который по сути представляет собой электронное сообщение, заверенное электронной подписью.
В контексте данного документа, если явно не указано иное, термин «электронное сообщение» означает логически целостную совокупность структурированных данных, имеющих смысл для участников информационного взаимодействия, при этом информация в электронном сообщении представлена в электронной форме, позволяющей обеспечить ее обработку средствами вычислительной техники, передачу по каналам связи и хранение на машиночитаемых носителях данных.
В контексте данного документа, если явно не указано иное, термин «электронный документооборот» означает способ организации работы с документами, при котором основная масса документов используется в электронном виде и хранится централизованно, а обмен такими электронными документами осуществляется в информационной системе электронного документооборота.
В контексте данного документа, если явно не указано иное, термин «участник» или термин «пользователь» означает физическое или юридическое лицо, зарегистрированное в информационной системе электронного документооборота для участия в электронном документообороте, при этом такое лицо является обладателем сертификата электронной подписи и имеет средства криптографической защиты информации (СКЗИ).
В контексте данного документа, если явно не указано иное, термин «обладатель электронной подписи» означает лицо, на имя которого зарегистрирована электронная подпись, выданная указанному обладателю удостоверяющим центром через конкретного оператора электронного документооборота, и которое обладает соответствующим закрытым ключом электронной подписи, позволяющим с помощью средств криптографической защиты информации создавать свою электронную подпись в электронных документах (подписывать электронные документы).
В контексте данного документа, если явно не указано иное, термин «средства криптографической защиты информации» означает аппаратные и/или иные программные средства, обеспечивающие возможность применения (проверки) электронной подписи и возможность зашифровывания (расшифровывания) данных при организации электронного документооборота.
В контексте данного документа, если явно не указано иное, термин «отправитель» означает участника электронного документооборота, отправляющего подписанный электронной подписью электронный документ (в том числе юридически значимый электронный документ), любому другому участнику электронного документооборота.
В контексте данного документа, если явно не указано иное, термин «получатель» означает участника электронного документооборота, получающего или принимающего от другого участника электронного документооборота подписанный электронной подписью электронный документ (в том числе юридически значимый электронный документ).
В контексте данного документа, если явно не указано иное, термин «информационная система электронного документооборота» означает программно-аппаратный комплекс (совокупность программного, информационного и аппаратного обеспечения), который позволяет организовать работу с электронными документами (например, создание, изменение, поиск электронных документов и т.п.), а также взаимодействие между участниками электронного документооборота (например, передачу или пересылку электронных документов, получение или прием электронных документов, выдачу электронных заданий, отправку электронных уведомлений и т.п.).
В контексте данного документа, если явно не указано иное, термин «электронная подпись» означает реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной подписи и позволяющий идентифицировать обладателя электронной подписи, а также установить отсутствие утраты, добавления, перестановки, искажения или подделки содержащейся в электронном документе информации.
В контексте данного документа, если явно не указано иное, термин «закрытый ключ» означает уникальную последовательность символов, известную обладателю электронной подписи и предназначенную для создания им в электронных документах электронной подписи с использованием средств криптографической защиты информации.
В контексте данного документа, если явно не указано иное, термин «открытый ключ» означает уникальную последовательность символов, доступную любому пользователю информационной системы электронного документооборота и предназначенная для подтверждения, посредством средств криптографической защиты информации, подлинности электронной подписи в электронном документе.
В контексте данного документа, если явно не указано иное, термин «сертификат электронной подписи» (также называемый в уровне техники сертификатом ключа подписи, сертификатом ключа проверки электронной подписи или сертификатом открытого ключа) означает электронный документ с электронной подписью уполномоченного лица удостоверяющего центра, идентифицирующий обладателя электронной подписи, включающий открытый ключ электронной подписи и выдаваемый удостоверяющим центром пользователю информационной системы электронного документооборота для обеспечения возможности подтверждения подлинности электронной подписи.
В контексте данного документа, если явно не указано иное, термин «удостоверяющий центр» (также называемый в уровне техники центром сертификации) означает организацию, аккредитованную уполномоченным государственным органом (например, в РФ таким гос. органом является Министерство связи и массовых коммуникаций Российской Федерации) и обеспечивающую управление сертификатами электронной подписи для обеспечения взаимного доверия между участниками обмена электронными документами, подписанными электронной подписью, при этом удостоверяющий центр гарантирует подлинность электронных документов при обмене между участниками электронного документооборота и хранит у себя электронные подписи документов, а также ставит на них штамп времени. Удостоверяющий центр выполняет свои функции с использованием сервера удостоверяющего центра и доступных цепочек доверия, в том числе, в различных юрисдикциях.
В контексте данного документа, если явно не указано иное, термин «оператор электронного документооборота» означает специальную организацию, лицензированную специальным государственным органом (например, в РФ таким гос. органом является ФСБ России) предоставлять сервис по обмену открытой и конфиденциальной информацией по телекоммуникационным каналам связи в рамках организации электронного документооборота между участниками системы электронного документооборота. Оператор электронного документооборота выполняет свои функции с использованием сервера оператора электронного документооборота.
Информационная система для осуществления трансграничного электронного документооборота
В основе работы информационной системы 1000, показанной на ФИГ. 1, лежит централизованная модель организации инфраструктуры сертификатов (PKI, Public Key Infrastructure X509 v.3), в основе которой лежит несколько основных принципов:
• закрытый ключ (private key) известен только владельцу;
• удостоверяющий центр, являющийся главным компонентом PKI, создает электронный документ - сертификат открытого ключа, удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;
• никто не доверяет друг другу, но все доверяют удостоверяющему центру;
• удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.
Информационная система 1000 для осуществления трансграничного электронного документооборота, показанная в виде структурной схемы на ФИГ. 1, содержит вычислительное устройство 100 для осуществления трансграничного электронного документооборота, которое должно быть соединено с возможностью обмена данными со всеми пользовательскими устройствами, зарегистрированными в информационной системе 1000, и всеми серверами операторов электронного документооборота, задействованными в организации электронного документооборота в рамках информационной системы 1000.
Следует отметить, что вычислительное устройство 100 должно быть зарегистрировано в информационной системе 1000 с присвоением ему уникального идентификатора вычислительного устройства и должно иметь свои сертификаты электронной подписи, которые должны быть выданы лицу, владеющему вычислительным устройством 100, одним из удостоверяющих центров, имеющих каждый свой сервер удостоверяющего центра, зарегистрированный в информационной системе 1000, и каждый из которых должен соответствовать одному из стандартов криптографической защиты, используемых участниками электронного документооборота, использующими информационную систему 1000. Таким образом, все потоки данных, передаваемые от вычислительного устройства 100, зарегистрированного в информационной системе 1000, должны быть поставлены в соответствие или ассоциированы по меньшей мере с уникальным идентификатором вычислительного устройства, присвоенным вычислительному устройству 100 при его регистрации в информационной системе 1000, при этом каждый из остальных функциональных элементов, входящих в состав информационной системы 1000 и взаимодействующих с вычислительным устройством, должен быть предварительно запрограммирован или настроен на идентификацию потоков данных от вычислительного устройства 100 на основании его уникального идентификатора вычислительного устройства, содержащегося в указанных потоках данных и предварительно известного указанному функциональному элементу. Кроме того, сертификаты электронной подписи, относящиеся каждый к вычислительному устройству 100, должны соответствовать всем стандартам криптографической защиты, которые используют все пользовательские устройства, зарегистрированные в информационной системе 1000, т.е. вычислительное устройство 100 должно располагать своими сертификатами электронной подписи в количестве, равном количеству стандартов криптографической защиты, используемых указанными пользовательскими устройствами, при этом каждый такой сертификат электронной подписи, относящихся к вычислительному устройству 100, должен соответствовать одному из указанных стандартов криптографической защиты.
Каждый из серверов операторов электронного документооборота также должен быть зарегистрирован в информационной системе 1000 с присвоением ему уникального идентификатора оператора электронного документооборота и должен иметь свой сертификат электронной подписи, который должен быть выдан лицу, владеющему таким сервером оператора электронного документооборота, одним из удостоверяющих центров, имеющих каждый свой сервер удостоверяющего центра, зарегистрированный в информационной системе 1000. Таким образом, все потоки данных, передаваемые от каждого из серверов операторов электронного документооборота, зарегистрированных в информационной системе 1000, должны быть поставлены в соответствие или ассоциированы по меньшей мере с уникальным идентификатором оператора электронного документооборота, присвоенным указанному серверу оператора электронного документооборота при его регистрации в информационной системе 1000, при этом каждый из остальных функциональных элементов, входящих в состав информационной системы 1000 и взаимодействующих с указанным сервером оператора электронного документооборота, должен быть предварительно запрограммирован или настроен на идентификацию потоков данных от этого сервера оператора электронного документооборота на основании его уникального идентификатора оператора электронного документооборота, содержащегося в указанных потоках данных и предварительно известного указанному функциональному элементу.
Каждый из серверов удостоверяющих центров, относящихся к удостоверяющим центрам, которые были использованы для выдачи сертификата электронной подписи лицу, владеющему вычислительным устройством 100, сертификатов электронной подписи лицам, владеющим серверами операторов электронного документооборота, задействованными в организации электронного документооборота в информационной системе 1000, и сертификатов электронной подписи участникам электронного документооборота в рамках информационной системы 1000, также должен быть зарегистрирован в информационной системе 1000 с присвоением ему уникального идентификатора удостоверяющего центра. Таким образом, все потоки данных, передаваемые от каждого из серверов удостоверяющих центров, зарегистрированных в информационной системе 1000, должны быть поставлены в соответствие или ассоциированы по меньшей мере с уникальным идентификатором удостоверяющего центра, присвоенным указанному серверу удостоверяющего центра при его регистрации в информационной системе 1000, при этом каждый из остальных функциональных элементов, входящих в состав информационной системы 1000 и взаимодействующих с указанным сервером удостоверяющего центра, должен быть предварительно запрограммирован или настроен на идентификацию потоков данных от этого сервера удостоверяющего центра на основании его уникального идентификатора удостоверяющего центра, содержащегося в указанных потоках данных и предварительно известного указанному функциональному элементу.
Каждое из пользовательских устройств, принадлежащих участникам электронного документооборота, также должно быть зарегистрировано в информационной системе 1000 с присвоением ему уникального идентификатора участника. Таким образом, все потоки данных, передаваемые от каждого из пользовательских устройств, зарегистрированных в информационной системе 1000, должны быть поставлены в соответствие или ассоциированы по меньшей мере с уникальным идентификатором участника, присвоенным указанному пользовательскому устройству при его регистрации в информационной системе 1000, при этом каждый из остальных функциональных элементов, входящих в состав информационной системы 1000 и взаимодействующих с указанным пользовательским устройством, должен быть предварительно запрограммирован или настроен на идентификацию потоков данных от этого пользовательского устройства на основании его уникального идентификатора участника, содержащегося в указанных потоках данных и предварительно известного указанному функциональному элементу.
Для обеспечения возможности получения или приема подписанных электронной подписью электронных документов от отправителей, являющихся участниками электронного документооборота, зарегистрированными в информационной системе 1000, вычислительное устройство 100 соединено с первым пользовательским устройством 400, зарегистрированным в информационной системе 1000 за первым участником электронного документооборота, и вторым пользовательским устройством 600, зарегистрированным в информационной системе 1000 за вторым участником электронного документооборота, с использованием сети 200 связи, а также соединено с третьим пользовательским устройством 400, зарегистрированным в информационной системе 1000 за третьим участником электронного документооборота, с использованием сети 900 связи.
В качестве иллюстративного примера, наглядно поясняющего сущность настоящего изобретения, следует полагать, что первое и второе пользовательские устройства 400, 600 находятся в одной и той же стране или юрисдикции, например в Российской Федерации (России), и используют один и тот же стандарт криптографической защиты, например стандарт «ГОСТ Р», а третье пользовательское устройство 800 находится в другой стране или юрисдикции, отличной от России, т.е. в иностранной юрисдикции, и использует другой стандарт криптографической защиты, отличный от используемого в России стандарта криптографической защиты, например, использует стандарт «RSA» или стандарт «ECDSA». В рамках такого иллюстративного примера вычислительное устройство 100 должно располагать сертификатом электронной подписи, соответствующим стандарту «ГОСТ Р», для обеспечения возможности приема получателем из России передаваемого электронного документа от отправителя из иностранной юрисдикции, а также должно располагать еще одним сертификатом электронной подписи (может быть выдан, например, Comodo, Digicert, Certina и т.п.), соответствующим стандарту «RSA» или «ECDSA», для обеспечения возможности приема получателем из иностранной юрисдикции передаваемого электронного документа от отправителя из России. Кроме того, в рамках такого иллюстративного примера следует также отметить, что на вычислительном устройстве 100 должно быть установлено средство криптографической защиты информации (СКЗИ), поддерживающее возможность работы с усиленной квалифицированной электронной подписью (УКЭП), которую будут генерировать или формировать СКЗИ на первом и втором пользовательских устройствах 400, 600 и первом и втором серверах 300, 500 операторов электронного документооборота, поддерживающие криптоалгоритм «ГОСТ Р», и возможность работы с неквалифицированной электронной подписью (НЭП), которую будут генерировать или формировать в юрисдикции России СКЗИ на третьем пользовательском устройстве 800 и третьем сервере 700 оператора электронного документооборота, поддерживающие иностранный криптоалгоритм «RSA» или «ECDSA».
Для обеспечения возможности проверки действительности сертификатов электронной подписи отправителей, от которых вычислительное устройство 100 может получить или принять передаваемые подписанные электронной подписью отправителя электронные документы, и для дальнейшего направления передаваемого электронного документа, проверенного вычислительным устройством 100 на валидность или действительность с использованием соответствующей цепочки доверия сертификатов электронной подписи, по заданному отправителем маршруту следования вычислительное устройство 100 в информационной системе 1000 соединено с возможностью обмена данными с первым сервером 300 оператора электронного документооборота и вторым сервером 500 оператора электронного документооборота с использованием сети 200 связи, а также соединено с возможностью обмена данными с третьим сервером 700 оператора электронного документооборота с использованием сети 900 связи.
В качестве дополнения вычислительное устройство 100 должно быть соединено с серверами удостоверяющих центров, относящихся каждый к тому удостоверяющему центру, который выдал соответствующий один из сертификатов электронной подписи лицу, владеющему вычислительным устройством 100, для обеспечения возможности работы в заданной стране или юрисдикции, в которой предусмотрено использование конкретного стандарта криптографической защиты для обмена электронными документами между участниками электронного документооборота. Кроме того, первый сервер 300 оператора электронного документооборота должен быть соединен с сервером удостоверяющего центра, относящимся к тому удостоверяющему центру, который выдал сертификат электронной подписи лицу, владеющему сервером 300; второй сервер 500 оператора электронного документооборота должен быть соединен с сервером удостоверяющего центра, относящимся к тому удостоверяющему центру, который выдал сертификат электронной подписи лицу, владеющему сервером 500; а третий сервер 700 оператора электронного документооборота должен быть соединен с сервером удостоверяющего центра, относящимся к тому удостоверяющему центру, который выдал сертификат электронной подписи лицу, владеющему сервером 700.
В одном из вариантов реализации информационной системы 1000 удостоверяющие центры, выдавшие сертификаты электронной подписи вычислительному устройству 100, и удостоверяющие центры, выдавшие каждый сертификат электронной подписи соответствующему одному из первого, второго и третьего серверов 300, 500 и 700 операторов электронного документооборота, могут представлять собой один и тот же удостоверяющий центр, обладающий своим одиночным сервером удостоверяющего центра, при этом такой удостоверяющий центр может отличаться от удостоверяющих центров, выдавших сертификаты электронной подписи участникам электронного документооборота, или совпадать с одним из них.
В другом варианте реализации информационной системы 1000 каждый из удостоверяющих центров, выдавших сертификаты электронной подписи вычислительному устройству 100, и удостоверяющие центры, выдавшие каждый сертификат электронной подписи соответствующему одному из первого, второго и третьего серверов 300, 500 и 700 оператора электронной подписи, может совпадать с одним из удостоверяющих центров, выдавших сертификаты электронной подписи участникам электронного документооборота, или отличаться от таких удостоверяющих центров, при этом часть вышеуказанных удостоверяющих центров может по сути представлять собой один и тот же удостоверяющий центр.
Далее, каждый из серверов операторов электронного документооборота, задействованных в организации электронного документооборота в рамках информационной системы 1000, должен быть соединен с возможностью обмена данными (i) с каждым из серверов удостоверяющих центров, относящихся к удостоверяющим центрам, которые использовали указанного оператора электронного документооборота для выдачи сертификатов электронной подписи соответствующим участникам электронного документооборота, обладающим пользовательскими устройствами, зарегистрированными в информационной системе 1000, а также (ii) с серверами удостоверяющих центров, относящимися к соответствующим удостоверяющим центрам, которые были использованы каждый для выдачи соответствующего одного из сертификатов электронной подписи, относящихся к вычислительному устройству 100, (iii) вычислительным устройством 100 и (iv) со всеми пользовательскими устройствами, зарегистрированными в информационной системе 1000 и использующими указанный сервер оператора электронного документооборота для обмена электронными документами.
Для обеспечения возможности проверки валидности или действительности сертификатов электронной подписи отправителей, от которых вычислительное устройство 100 может получить или принять передаваемые подписанные электронной подписью отправителя электронные документы, при получении соответствующих запросов от вычислительного устройства 100 и для проверки действительности сертификата электронной подписи, относящегося к вычислительному устройству 100, при получении от вычислительного устройства 100 передаваемого подписанного электронной подписью отправителя электронного документа, проверенного вычислительным устройством 100 на действительность с использованием соответствующей цепочки доверия сертификатов электронной подписи и дополнительно подписанного относящейся к вычислительному устройству 100 электронной подписью, в информационной системе 1000 (a) первый сервер 300 оператора электронного документооборота соединен, посредством сети 200 связи, с возможностью обмена данными с первым сервером 350 удостоверяющего центра и с сервером удостоверяющего центра (не показан), относящимся к удостоверяющему центру, который был использован для выдачи вычислительному устройству 100 сертификата электронной подписи, (b) второй сервер 500 оператора электронного документооборота соединен, посредством сети 200 связи, с возможностью обмена данными с вторым сервером 550 удостоверяющего центра и с сервером удостоверяющего центра (не показан), относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100, и (c) третий сервер 700 оператора электронного документооборота соединен, посредством сети 900 связи, с возможностью обмена данными с третьим сервером 750 удостоверяющего центра и с сервером удостоверяющего центра (не показан), относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100.
Для обеспечения возможности получения от вычислительного устройства 100 передаваемого электронного документа, подписанного электронной подписью отправителя и дополнительно подписанного относящейся к вычислительному устройству 100 электронной подписью, первый сервер 300 оператора электронного документооборота и второй сервер 500 оператора электронного документооборота соединены каждый с вычислительным устройством 100 с использованием сети связи 200, а третий сервер 700 оператора электронного документооборота соединен с вычислительным устройством 100 с использованием сети 900 связи.
Для обеспечения возможности перенаправления подписанного электронной подписью отправителя передаваемого электронного документа, полученного от вычислительного устройства 100 и дополнительно подписанного относящейся к вычислительному устройству 100 электронной подписью, на пользовательское устройство получателя в информационной системе 1000 (a) первый сервер 300 оператора электронного документооборота соединен, посредством сети 200 связи, с возможностью обмена данными с первым пользовательским устройством 400, (b) второй сервер 500 оператора электронного документооборота соединен, посредством сети 200 связи, с возможностью обмена данными со вторым пользовательским устройством 600, а (c) третий сервер 700 оператора электронного документооборота соединен, посредством сети 900 связи, с возможностью обмена данными с третьим пользовательским устройством 800.
Далее, каждое из пользовательских устройств, зарегистрированное в информационной системе 1000 за конкретным участником электронного документооборота, должно быть соединено с возможностью обмена данными (i) с вычислительным устройством 100, (ii) с соответствующим сервером оператора электронного документооборота, относящимся к оператору документооборота, через которого указанный участник электронного документооборота получил свой сертификат электронной подписи от конкретного удостоверяющего центра, (iii) серверами удостоверяющих центров, каждый из которых относится к конкретному удостоверяющему центру, который был использован для выдачи сертификата электронной подписи соответствующему одному из операторов электронного документооборота, задействованных в организации электронного документооборота в рамках информационной системы 1000, (iv) с сервером удостоверяющего центра (не показан), относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100, и (v) с серверами удостоверяющих центров, относящихся к удостоверяющим центрам, которые были использованы для выдачи сертификатов электронной подписи соответствующим участникам электронного документооборота в рамках информационной системы 1000.
Для обеспечения возможности направления подписанного электронной подписью электронного документа по заданному маршруту следования через вычислительное устройство 100 в случае, когда соответствующий один из участников электронного документооборота выполняет роль отправителя электронного документа, каждое из пользовательского устройства 400 и пользовательского устройства 600 соединены, посредством сети 200 связи, с возможностью обмена данными с вычислительным устройством 100, и пользовательское устройство 800 соединено, посредством сети 900 связи, с возможностью обмена данными с вычислительным устройством 100.
Для обеспечения возможности приема или получения от вычислительного устройства 100 передаваемого электронного документа, подписанного электронной подписью отправителя с дополнительным подписанием относящейся к вычислительному устройству 100 электронной подписью и относящейся к оператору электронного документооборота электронной подписью, каждое из первого, второго и третьего пользовательских устройств 400, 600, 800 соединено, посредством сети 200 связи и/или сети 900 связи, с возможностью обмена данными в информационной системе 1000 с первым сервером 300 оператора документооборота, вторым сервером 500 оператора документооборота и третьим сервером 700 оператора документооборота.
Для обеспечения возможности проверки действительности сертификата электронной подписи оператора электронного документооборота, относящегося к серверу оператора электронного документооборота, от которого был принят передаваемый электронный документ, подписанный электронной подписью отправителя с дополнительным подписанием относящейся к вычислительному устройству 100 электронной подписью и относящейся к оператору электронного документооборота электронной подписью, а также для обеспечения возможности проверки действительности сертификата электронной подписи вычислительного устройства 100 и отправителя каждое из первого, второго и третьего пользовательских устройств 400, 600, 800 соединены, посредством сети 200 связи и/или сети 900 связи, с возможностью обмена данными с первым сервером 350 удостоверяющего центра, вторым сервером 550 удостоверяющего центра и третьим сервером 750 удостоверяющего центра, а также с сервером удостоверяющего центра (не показан), относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100, и с серверами удостоверяющих центров (не показаны), которые относятся к соответствующим удостоверяющим центрам, которые были использованы для выдачи сертификатов электронной подписи операторам электронного документооборота, которым принадлежат первый сервер 300 оператора документооборота, второй сервер 500 оператора документооборота и третий сервер 700 оператора документооборота.
Следует отметить, что пользовательское устройство 400, пользовательское устройство 600 и пользовательское устройство 400 и пользовательское устройство 800 названы в данном документе соответственно как первое, второе и третье пользовательские устройства исключительно для установления различий между указанными пользовательскими устройствами, упрощающих понимание сущности настоящего изобретения.
Следует также отметить, что сервер 300 оператора электронного документооборота, сервер 350 удостоверяющего центра и пользовательское устройство 400 названы в данном документе соответственно как первый сервер оператора электронного документооборота, первый сервер удостоверяющего центра и первое пользовательское устройство исключительно для установления связи между этими функциональными компонентами в информационной системе 1000. Аналогичное справедливо и для второго сервера 500 оператора электронного документооборота, второго сервера 550 удостоверяющего центра и второго пользовательского устройства 600, а также для третьего сервера 700 оператора электронного документооборота, третьего сервера 750 удостоверяющего центра и третьего пользовательского устройства 800.
Первый сервер 300 оператора электронного документооборота, соединенный с возможностью обмена данными с первым сервером 350 удостоверяющего центра и первым пользовательским устройством 400, а также второй сервер 500 оператора электронного документооборота, соединенный с возможностью обмена данными с вторым сервером 550 удостоверяющего центра и вторым пользовательским устройством 600, и третий сервер 700 оператора электронного документооборота, соединенный с возможностью обмена данными с третьим сервером 750 удостоверяющего центра и третьим пользовательским устройством 800, показаны на ФИГ. 1 исключительно в качестве примера, то есть не следует считать, что возможная реализация информационной системы 1000 для осуществления электронного документооборота ограничена данным показанным примером, при этом специалисту в данной области техники должно быть ясно, что информационная система 1000 может содержать более трех или множество серверов операторов электронного документооборота, каждый из которых включен в состав информационной системы 1000 с возможностью обмена данными с соответствующим сервером удостоверяющего центра и соответствующими одним или более пользовательских устройств, принадлежащих участникам электронного документооборота, каждому из которых его сертификат электронной подписи был выдан указанным удостоверяющим центром через указанного оператора электронного документооборота для идентификации владельца электронной подписи и подтверждения ее подлинности.
На вычислительном устройстве 100 для осуществления трансграничного электронного документооборота, используемом в составе информационной системы 1000, должно быть предварительно установлено и настроено специальное управляющее программное обеспечение, позволяющее ему работать в информационной системе 1000, в частности, по меньшей мере выполнять свои функции, описанные в данном документе, и осуществлять обмен данными со всеми серверами операторов электронного документооборота, входящими в состав информационной системы 1000, в частности с первым сервером 300 оператора электронного документооборота, вторым сервером 500 оператора электронного документооборота и третьим сервером 700 оператора электронного документооборота, показанными на ФИГ. 1 во взаимодействии с вычислительным устройством 100. Следует отметить, что специальное программное обеспечение, позволяющее вычислительному устройству 100 работать в информационной системе 1000, может быть установлено производителем предварительно при изготовлении или производстве вычислительного устройства 100 или скачено на вычислительное устройство 100 по мере необходимости его использования в составе информационной системы 1000 с любого заданного доверенного стороннего сервера программных приложений. Таким образом, в постоянном запоминающем устройстве, входящем в состав вычислительного устройства 100, или по меньшей мере на любом из машиночитаемых носителей, которые могут быть использованы в вычислительном устройстве 100, могут быть сохранены машиночитаемые инструкции, к которым может получить доступ процессорное устройство, также входящее в состав вычислительного устройства 100, при этом выполнение этих машиночитаемых инструкций на вычислительном устройстве 100 может вызывать исполнение его процессорным устройством различных процедур или операций, описанных в данном документе в отношении вычислительного устройства 100.
На каждом из серверов операторов электронного документооборота (в частности, на первом сервере 300 оператора электронного документооборота, втором сервере 500 оператора электронного документооборота и третьем сервере 700 оператора электронного документооборота), используемых в составе информационной системы 1000 на ФИГ. 1, должно быть предварительно установлено и настроено специальное программное обеспечение оператора, позволяющее ему работать в информационной системе 1000, в частности по меньшей мере выполнять свои функции, описанные в данном документе, и осуществлять обмен данными с вычислительным устройством 100, каждым из множества пользовательских устройств, использующих указанный сервер оператора электронного документооборота для обмена электронными документами (в частности, первый сервер 300 оператора электронного документооборота, второй сервер 500 оператора электронного документооборота и третий сервер 700 оператора электронного документооборота осуществляют обмен данными соответственно с первым пользовательским устройством 400, вторым пользовательским устройством 600 и третьим пользовательским устройством 800, показанными на ФИГ. 1 в качестве примера), а также с каждым из серверов удостоверяющих центров, относящихся к удостоверяющим центрам, которые использовали указанного оператора электронного документооборота для выдачи сертификатов электронной подписи соответствующим участникам электронного документооборота, обладающим пользовательскими устройствами, зарегистрированными в информационной системе 1000, и с сервером удостоверяющего центра, относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100.
Следует отметить, что специальное программное обеспечение, позволяющее каждому из серверов операторов электронного документооборота (в частности, первому серверу 300 оператора электронного документооборота, второму серверу 500 оператора электронного документооборота и третьему серверу 700 оператора электронного документооборота) работать в информационной системе 1000, может быть установлено производителем предварительно при изготовлении или производстве указанного сервера или скачано на указанный сервер по мере необходимости его использования в составе информационной системы 1000 с любого доверенного заданного стороннего сервера программных приложений. Таким образом, в постоянном запоминающем устройстве, входящем в состав каждого из серверов операторов электронного документооборота, относящихся к информационной системе 1000, или по меньшей мере на любом из машиночитаемых носителей, которые могут быть использованы в таком сервере, могут быть сохранены машиночитаемые инструкции, к которым может иметь доступ процессорное устройство, также входящее в состав указанного сервера, при этом выполнение этих машиночитаемых инструкций на указанном сервере может вызывать исполнение его процессорным устройством различных процедур или операций, описанных в данном документе в отношении такого сервера оператора электронного документооборота.
На каждом из пользовательских устройств (в частности, на первом пользовательском устройстве 400, втором пользовательском устройстве 600 и третьем пользовательском устройстве 800), зарегистрированных в информационной системы 1000 за конкретным участником электронного документооборота, должно быть предварительно установлено и настроено специальное программное обеспечение участника, позволяющее указанному пользовательскому устройству обеспечивать возможность получения или направления по меньшей мере одного подписанного электронной подписью электронного документа или совокупности подписанных электронной подписью электронных документов в рамках информационной системы 1000, в частности по меньшей мере выполнять свои функции, описанные в данном документе в отношении такого пользовательского устройства, и возможность осуществления обмена данными с вычислительным устройством 100, с соответствующим сервером оператора электронного документооборота, относящимся к оператору документооборота, через которого указанный участник электронного документооборота получил свой сертификат электронной подписи от конкретного удостоверяющего центра, а также серверами удостоверяющих центров, каждый из которых относится к конкретному удостоверяющему центру, который был использован для выдачи сертификата электронной подписи соответствующему одному из операторов электронного документооборота, задействованных в организации электронного документооборота в рамках информационной системы 1000 (в частности, первое, второе и третье пользовательские устройства 400, 600, 800 могут осуществлять обмен данными соответственно с первым сервером 350 удостоверяющего центра, вторым сервером 550 удостоверяющего центра и третьим сервером 750 удостоверяющего центра, показанными на ФИГ. 1 в качестве примера), сервером удостоверяющего центра, относящимся к удостоверяющему центру, который был использован для выдачи сертификата электронной подписи вычислительному устройству 100, и с серверами удостоверяющих центров, относящихся к удостоверяющим центрам, которые были использованы для выдачи сертификатов электронной подписи соответствующим участникам электронного документооборота в рамках информационной системы 1000.
Следует отметить, что специальное программное обеспечение, позволяющее каждому из пользовательских устройств (в частности, каждому из первого, второго и третьего пользовательских устройств 400, 600, 800, показанных на ФИГ. 1 в качестве примера) работать в информационной системе 1000, может быть установлено производителем предварительно при изготовлении или производстве указанного пользовательского устройства или скачано на указанное пользовательское устройство по мере необходимости его использования в составе информационной системы 1000 с любого доверенного заданного стороннего сервера программных приложений. Таким образом, в постоянном запоминающем устройстве, входящем в состав каждого из пользовательским устройств, относящихся к информационной системе 1000, или по меньшей мере на любом из машиночитаемых носителей, которые могут быть использованы в таком пользовательском устройстве, могут быть сохранены машиночитаемые инструкции, к которым может иметь доступ процессорное устройство, также входящее в состав указанного пользовательского устройства, при этом выполнение этих машиночитаемых инструкций на указанном пользовательском устройстве может вызывать исполнение его процессорным устройством различных процедур или операций, описанных в данном документе в отношении такого пользовательского устройства.
Сети связи
В качестве сети 200 связи и/или сети 900 связи в информационной системе 1000 для осуществления описанных в данном документе операций обмена данными между вычислительным устройством 100, серверами 300, 500, 700 операторов электронного документооборота и серверами 350, 550, 750 удостоверяющих центров, серверами удостоверяющих центров, относящимися к удостоверяющим центрам, выдавшим сертификаты электронной подписи для вычислительного устройства 100 и каждого из серверов 300, 500, 700 операторов электронного документооборота, и пользовательскими устройствами 400, 600, 800 может быть использована любая подходящая линия беспроводной связи, известная в уровне техники, например линия связи на основе технологии «WiFi», линия связи на основе технологии «3G», «4G» или «5G», сеть связи на основе технологии «LTE», сети на основании квантовых принципов передачи информации, в том числе, с учетом протоколов квантового распределения ключевой информации и т.п.
Следует отметить, что вычислительное устройство 100, сервера 300, 500, 700 операторов электронного документооборота, сервера 350, 550, 750 удостоверяющих центров, пользовательские устройства 400, 600, 800 и сервера удостоверяющих центров, относящимися к удостоверяющим центрам, выдавшим сертификаты электронной подписи для вычислительного устройства 100 и каждого из серверов 300, 500, 700 операторов электронного документооборота, должны быть снабжены каждый модулем связи, реализованным в соответствии с типом организованной сети 200 связи и/или сети 900 связи, в частности в виде WiFi-адаптера, 3G/4G/5G-адаптера, LTE-адаптера или любого иного адаптера проводной или беспроводной связи в зависимости от типа линии связи, используемой для реализации сети 200 связи и/или сети 900 связи.
В качестве сети 200 связи и/или сети 900 связи в информационной системе 1000 может быть предпочтительно использована сеть Интернет.
В одном из вариантов реализации настоящего изобретения сеть 200 связи и сеть 900 связи могут представлять собой одну и ту же сеть связи, например сеть Интернет.
В другом варианте реализации настоящего изобретения сеть 200 связи или сеть 900 связи может быть образована из нескольких линий беспроводной связи разного типа.
Пользовательские устройства
Следует отметить, что каждое из первого, второго и третьего пользовательских устройств 400, 600, 800, зарегистрированных в информационной системе 1000, может представлять собой, помимо прочего, смартфон, сотовый телефон, планшет, ноутбук, нетбук, коммуникатор, стационарный компьютер, сервер и/или иное портативное или переносное пользовательское вычислительное устройство.
Каждый новый участник электронного документооборота регистрирует свое пользовательское устройство в информационной системе 100 путем ввода, посредством стандартных средств ввода-вывода указанного пользовательского устройства, своих сведений участника, передаваемых на вычислительное устройство 100 с использованием сети 200 связи и/или сети 900 связи с обеспечением их сохранения в базе данных, хранящейся на вычислительном устройстве 100, в виде соответствующих записей, при этом уникальный идентификатор участника, присваиваемый указанному новому участнику электронного документооборота при его регистрации в информационной системе 1000, может соответствовать, например, IMEI, MAC-адрес, адрес электронной почты клиента, ИНН участника (как физического или юридического лица), номер телефона, сети и номер паспорта участника и/или т.п. Таким образом, сведения участника, сохраненные в базе данных вычислительного устройства 100, в частности сведения о пользовательском устройстве участника и персональная информация об участнике, поставлены в соответствие по меньшей мере с уникальным идентификатором участника.
Кроме того, каждый новый участник электронного документооборота при регистрации своего пользовательского устройства в информационной системе 100 передает свой сертификат электронной подписи, выданный ему конкретным удостоверяющим центром через конкретного оператора электронного документооборота, с обеспечением возможности его сохранения в базе данных вычислительного устройства 100. Сертификат электронной подписи участника, сохраненный базе данных вычислительного устройства 100, по сути представляет собой электронный документ, который подписан или скреплен электронной подписью выдавшего его удостоверяющего центра и структура (обязательные и необязательные поля) которого определяется стандартом «X.509» и законодательством страны, в юрисдикции которой находится указанный удостоверяющий центр, при этом поля, содержащиеся в указанном электронном документе и лежащие в основе его структуры, поставлены каждое в соответствие с уникальным идентификатором участника и могут содержать (1) уникальный регистрационный номер сертификата, (2) дату и время начала и окончания срока действия сертификата, (3) ФИО владельца сертификата ключа подписи или псевдоним владельца, (4) открытый ключ (public key), (5) наименование и реквизиты удостоверяющего центра, (6) наименование и реквизиты оператора электронного документооборота, (7) наименование криптографического алгоритма, (8) информацию об ограничении использования электронной подписи и (8) указание на страну выпуска сертификата, а также другие необязательные поля.
Следует отметить, что открытый ключ, содержащийся в сертификате электронной подписи участника, может быть в дальнейшем использован для организации защищенного канала связи с владельцем, в частности позволяет проверить владельца электронной подписи (осуществить процесс аутентификации владельца) и зашифровать пересылаемые владельцу данные (обеспечить конфиденциальность пересылаемых данных). Следует также отметить, что при выпуске удостоверяющим центром сертификата электронной подписи для участника электронного документооборота указанный удостоверяющий центр тем самым подтверждает, что этот участник, приведенный в соответствующем поле сертификата электронной подписи, владеет закрытым ключом, который соответствует открытому ключу, содержащемуся в соответствующем поле сертификата электронной подписи, при этом указанные открытый и закрытый ключи, создаваемые вместе удостоверяющим центром для указанного участника, являются комплиментарными по отношению друг к другу или образуют ключевую пару (то есть данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только при наличии закрытого ключа, а электронная подпись, сформированная или сгенерированная с помощью закрытого ключа, может быть проверена с использованием открытого ключа).
Таким образом, при регистрации пользовательских устройств 400, 600, 800 в информационной системе 1000 каждый из участников электронного документооборота, владеющих указанными пользовательскими устройствами, передает в информационную систему 1000 свой сертификат электронной подписи, который сохраняется в базе данных вычислительного устройства 100, при этом открытый ключ, содержащийся в указанном сертификате электронной подписи, становится известным или общедоступным для всех остальных участников электронного документооборота, использующих информационную систему 1000 для обмена электронными документами. Другими словами, участник электронного документооборота, владеющий первым пользовательским устройством 400, передает в информационную систему 1000 свой сертификат электронной подписи, выданный ему первым сервером 350 удостоверяющего центра через первый сервер 300 оператора электронного документооборота, с обеспечением его сохранения в базе данных вычислительного устройства 100; участник электронного документооборота, владеющий вторым пользовательским устройством 600, также передает в информационную систему 1000 свой сертификат электронной подписи, выданный ему вторым сервером 550 удостоверяющего центра через второй сервер 500 оператора электронного документооборота, с обеспечением его сохранения в базе данных вычислительного устройства 100; и участник электронного документооборота, владеющий третьим пользовательским устройством 800, также передает в информационную систему 1000 свой сертификат электронной подписи, выданный ему третьим сервером 750 удостоверяющего центра через третий сервер 700 оператора электронного документооборота, с обеспечением его сохранения в базе данных вычислительного устройства 100.
Для сохранения своего закрытого ключа в тайне каждый из участников электронного документооборота, владеющих пользовательскими устройствами 400, 600, 800, должен располагать носителем (токеном), который будет обеспечивать возможность защищенного хранения указанного закрытого ключа, не позволяя подделать передаваемый электронный документ и похитить (скопировать, заменить) электронную подпись. В качестве такого защищенного ключевого носителя может быть использован любой хорошо защищенный от несанкционированного копирования данных аппаратный модуль, например, бесконтактный считыватель «Рутокен» (ruToken) или контактный считыватель «eToken», представляющий собой ключевой носитель в виде USB-ключа (флеш-карты). Следует отметить, что в таком случае каждое из пользовательских устройств 400, 600, 800 должно быть выполнено с возможностью подключения к нему такого ключевого носителя, которым располагает участник, владеющий указанный пользовательским устройством, и должно быть снабжено средствами безопасного считывания закрытого ключа из указанного ключевого носителя при формировании или проверке электронной подписи участника.
Благодаря хранению закрытого ключа на защищенном ключевом носителе только владелец закрытого ключа может подписать данные своей электронной подписью, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с указанным закрытым ключом владельца. Таким образом, только первое пользовательское устройство 400 с подключенным к нему защищенным ключевым носителем, содержащим закрытый ключ участника электронного документооборота, владеющего первым пользовательским устройством 400, сможет обеспечить возможность подписания электронного документа электронной подписью, принадлежащей указанному участнику, при передаче указанного электронного документа через вычислительное устройство 100 на второе пользовательское устройство 600 или третье пользовательское устройство 800, и сможет расшифровать полученный электронный документ, переданный ему через вычислительное устройство 100 от второго пользовательского устройства 600 или третьего пользовательского устройства 800 и зашифрованный соответственно вторым пользовательским устройством 600 или третьим пользовательским устройством 800 с использованием открытого ключа, относящегося к первому пользовательскому устройству 400, и заданного алгоритма криптографической защиты, известному первому пользовательскому устройству 400. Аналогичным образом, только второе пользовательское устройство 600 с подключенным к нему защищенным ключевым носителем, содержащим закрытый ключ участника электронного документооборота, владеющего вторым пользовательским устройством 600, сможет обеспечить возможность подписания электронного документа электронной подписью, принадлежащей указанному участнику, при передаче указанного электронного документа через вычислительное устройство 100 на первое пользовательское устройство 400 или третье пользовательское устройство 800, и сможет расшифровать полученный электронный документ, переданный ему через вычислительное устройство 100 от первого пользовательского устройства 400 или третьего пользовательского устройства 800 и зашифрованный соответственно первым пользовательским устройством 400 или третьим пользовательским устройством 800 с использованием открытого ключа, относящегося ко второму пользовательскому устройству 600, и заданного алгоритма криптографической защиты, известному второму пользовательскому устройству 600. Аналогичным образом, только третье пользовательское устройство 800 с подключенным к нему защищенным ключевым носителем, содержащим закрытый ключ участника электронного документооборота, владеющего третьим пользовательским устройством 800, сможет обеспечить возможность подписания электронного документа электронной подписью, принадлежащей указанному участнику, при передаче указанного электронного документа через вычислительное устройство 100 на первое пользовательское устройство 400 или второе пользовательское устройство 600, и сможет расшифровать полученный электронный документ, переданный ему через вычислительное устройство 100 от первого пользовательского устройства 400 или второго пользовательского устройства 600 и зашифрованный соответственно первым пользовательским устройством 400 или вторым пользовательским устройством 600 с использованием открытого ключа, относящегося к третьему пользовательскому устройству 800, и заданного алгоритма криптографической защиты, известному третьему пользовательскому устройству 800.
Для использования сертификата электронной подписи для (i) генерирования или формирования электронной подписи (т.е. для подписания конкретного электронного документа или каждого из конкретной группы или совокупности электронных документов), (ii) проверки электронной подписи, и (iii) зашифровывания и расшифровывания цифровых данных, в частности данных электронных документов на каждом из пользовательских устройств 400, 600, 800 должно быть размещены или установлены специальные средства криптографической защиты информации (СКЗИ), которые по меньшей мере поддерживают (a) работу с сертификатами электронной подписи, (b) работу с алгоритмами формирования или проверки электронной подписи для реализации функции средств электронной подписи и (c) работу с каждым из стандартов по криптографической защите данных (например, ГОСТ Р, RSA, ECDSA и т.п.), используемых в информационной системе 1000 в отношении передаваемых электронных документов. В качестве таких средств криптографической защиты информации, которые могут быть размещены или установлены на каждом из пользовательских устройств 400, 600, 800, может быть использовано, например, одно из следующих известных в уровне техники криптографических приложений: Крипто Про CSP, VipNet CSP и т.п.
Например в случае, когда необходимо передать электронный документ от первого пользовательского устройства 400, на котором установлены средства криптографической защиты информации (СКЗИ), использующие один из известных стандартов (например, ГОСТ Р, RSA, ECDSA или т.п.) по криптографической защите данных для зашифровывания/расшифровывания данных и подписывания данных цифровой подписью, на третье пользовательское устройство 800 через вычислительное устройство 100, то участнику электронного документооборота, владеющему первым пользовательским устройством 800 (выступает в качестве отправителя передаваемого электронного документа), необходимо, посредством стандартных средств ввода-вывода первого пользовательского устройства 400, (1) выбрать передаваемый электронный документ (файл), (2) выбрать получателя передаваемого электронного документа из перечня доступных участников электронного документооборота, использующих информационную систему 1000, и (3) инициировать процесс подписания указанного передаваемого электронного документа электронной подписью, относящейся к первому пользовательскому устройству 400. При подписании передаваемого электронного документа электронной подписью, относящейся к первому пользовательскому устройству 400, средства криптографической защиты информации, установленные на первом пользовательском устройстве 400, осуществляют по меньшей мере следующие основные операции: (i) получение доступа к передаваемому электронному документу; (ii) зашифровывание электронного документа с использованием открытого ключа, относящегося к третьему пользовательскому устройству 800 и получаемого из базы данных вычислительного устройства 100 в результате направления первым пользовательским устройством 400 на вычислительное устройство 100 соответствующего запроса на предоставление сертификата электронной подписи третьего пользовательского устройства 800 (такой запрос может быть сгенерирован, например, при выборе получателя передаваемого электронного документа); (iii) формирование или генерирование цифровой подписи с использованием закрытого ключа, хранящегося на защищенном ключевом носителе (токене), подключенном к первому пользовательскому устройству 400, и (iv) передачу или направление передаваемого электронного документа с прикрепленной к нему сформированной электронной подписью на третье пользовательское устройство 800 через вычислительное устройство 100, которое получает указанный передаваемый электронный документ, подписанный первым пользовательским устройством 400, от первого пользовательского устройства 400 и дополнительно подписывает его своей электронной подписью, соответствующей стандарту криптографической защиты, используемому получателем передаваемого электронного документа, в качестве которого выступает третье пользовательское устройство 800 (т.е. стандарту «RSA» или «ECDSA», используемому в третьем пользовательском устройстве 800), и через третий сервер 700 оператора электронного документооборота, который получает указанный передаваемый электронный документ, подписанный первым пользовательским устройством 400 и дополнительно подписанный вычислительным устройством 100, от вычислительного устройства 100 и который также подписывает его своей электронной подписью.
В свою очередь третье пользовательское устройство 800, принимающее или получающее передаваемый электронный документ, подписанный первым пользовательским устройством 400, вычислительным устройством 100 и третьим сервером 700 оператора электронного документооборота, на котором также установлены средства криптографической защиты информации (СКЗИ), использующие тот же стандарт по криптографической защите данных, что и первое пользовательское устройство 400, осуществляет по меньшей мере следующие основные операции в отношении указанного полученного электронного документа: (i) осуществление верификации (проверки на действительность) сертификата электронной подписи, относящегося к третьему серверу 700 оператора электронного документооборота, с использованием соответствующей заданной цепочки доверия сертификатов, а также сертификата электронной подписи, относящегося к вычислительному устройству 100, с использованием соответствующей заданной цепочки доверия сертификатов, и сертификата электронной подписи, относящегося к первому пользовательскому устройству 400; (ii) расшифровывание полученного электронного документа с использованием закрытого ключа, относящегося к третьему пользовательскому устройству 800; и (при необходимости) (iii) вычисление прообраза полученного электронного документа из электронной подписи, относящейся к первому пользовательскому устройству 400, и сравнение его с указанный полученным электронным документом для дополнительной проверки подлинности указанной электронной подписи и неизменности полученного электронного документа.
Аналогично вышеописанному процессу передачи электронного документа от первого пользовательского устройства 400 на третье пользовательское устройство 800 через вычислительное устройство 100, может быть осуществлена передача электронного документа от второго пользовательского устройства 600 на третье пользовательское устройство 800 через вычислительное устройство 100, поскольку первое пользовательское устройство 400 и второе пользовательское устройство находится в одной и той же юрисдикции (в частности, в России) и используют один и тот же стандарт криптографической защиты (в частности, ГОСТ Р) в соответствии с вышеописанным иллюстративным примером.
Аналогично вышеописанному процессу передачи электронного документа от первого пользовательского устройства 400 на третье пользовательское устройство 800 через вычислительное устройство 100, может быть осуществлен процесс передачи электронного документа от третьего пользовательского устройства 800 на первое пользовательское устройство 400 или второе пользовательское устройство 600, однако в данном случае электронная подпись, которую вычислительное устройство 100 будет использовать для дополнительного подписания передаваемого электронного документа, принимаемого от третьего пользовательского устройства 800 и подписанного третьим пользовательским устройством 800, будет соответствовать другому стандарту криптографической защиты, в частности стандарту «ГОСТ Р», используемому получателем передаваемого электронного документа, в качестве которого уже выступает первое пользовательское устройство 400 или второе пользовательское устройство 600, которые оба находятся в юрисдикции России в соответствии с вышеописанным иллюстративным примером.
В случае передачи электронного документа от первого пользовательского устройства 400, подключенного к первому серверу 300 оператора электронного документооборота, на второе пользовательское устройство 600, подключенное ко второму серверу 500 оператора электронного документооборота, через вычислительное устройство 100 направление или пересылка указанного передаваемого электронного документа будет осуществлена непосредственно самим вычислительным устройством 100 по каналу связи, который будет предоставлен первым сервером 300 оператора электронного документооборота в соответствии с известной процедурой роуминга между первым сервером 300 оператора электронного документооборота и вторым сервером 500 оператора электронного документооборота и будет обеспечивать возможность передачи указанного передаваемого электронного документа на второй сервер 500 оператора электронного документооборота, который в дальнейшем обеспечит возможность передачи этого электронного документа на второе пользовательское устройство 600.
Вычислительное устройство для осуществления трансграничного электронного документооборота
Вычислительное устройство 100 для осуществления трансграничного электронного документооборота, показанное на ФИГ. 1 в составе системы 1000 для осуществления трансграничного электронного документооборота и показанное в виде структурной схемы на ФИГ. 2, предназначено для осуществления обмена электронными документами между пользовательскими устройствами, находящимися в разных странах или разных юрисдикциях и, следовательно, использующими разные стандарты криптографической защиты, в частности между первым пользовательским устройством 400 или вторым пользовательским устройством 600, которые могут каждый находиться в юрисдикции России и использовать стандарт «ГОСТ Р» для обеспечения криптографической защиты данных, и третьим пользовательским устройством 800, которое может находиться в иностранной юрисдикции (т.е. любой стране или юрисдикции, отличной от России) и использовать стандарт «RSA» или «ECDSA» для обеспечения криптографической защиты данных.
Вычислительное устройство 100 может представлять собой по существу программно-аппаратный комплекс, реализованный в виде компьютера общего назначения, имеющего описанную ниже структуру, хорошо известную специалистам в данной области техники.
В частности, компьютер общего назначения обычно содержит центральный процессор, системную память и системную шину, которая в свою очередь содержит разные системные компоненты, в том числе память, связанную с центральным процессором. Системная шина в таком компьютере общего назначения содержит шину памяти и контроллер шины памяти, периферийную шину и локальную шину, выполненную с возможностью взаимодействия с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) и память с произвольным доступом (ОЗУ). Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами такого компьютера общего назначения, например в момент загрузки операционной системы с использованием ПЗУ. Кроме того, компьютер общего назначения содержит жесткий диск для чтения и записи данных, привод магнитных дисков для чтения и записи на сменные магнитные диски и оптический привод для чтения и записи на сменные оптические диски, такие как CD-ROM, DVD-ROM и иные оптические носители информации, однако могут быть использованы компьютерные носители иных типов, выполненные с возможностью хранения данных в машиночитаемой форме, например твердотельные накопители, флеш-карты, цифровые диски и т.п., и подключенные к системной шине через контроллер. В компьютере общего назначения жесткий диск, привод магнитных дисков и оптический привод соединены соответственно с системной шиной через интерфейс жесткого диска, интерфейс магнитных дисков и интерфейс оптического привода. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных компьютера общего назначения. Компьютер общего назначения имеет файловую систему, в которой хранится записанная операционная система, а также дополнительные программные приложения, прочие программные модули и данные программ. Пользователь имеет возможность вводить команды и информацию в компьютер общего назначения с использованием известных устройств ввода, например клавиатуры, манипулятора типа «мышь», микрофона, джойстика, игровой консоли, сканера и т.п., при этом эти устройства ввода обычно подключают доступ к компьютеру общего назначения через последовательный порт, который в свою очередь подсоединен к системной шине, однако они могут быть подключены и иным способом, например с помощью параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор или иной тип устройства отображения также подсоединен к системной шине через интерфейс, такой как видеоадаптер. В дополнение к монитору персональный компьютер может быть снабжен другими периферийными устройствами вывода, например колонками, принтером и т.п. Компьютер общего назначения способен работать в сетевом окружении, при этом для соединения с одним или несколькими удаленными компьютерами может быть использовано сетевое соединение. Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) и глобальную вычислительную сеть (WAN). Такие сети обычно применяют в корпоративных компьютерных сетях и внутренних сетях компаний, при этом они имеют доступ к сети Интернет. В LAN-сетях или WAN-сетях компьютер общего назначения подключают к локальной сети через сетевой адаптер или сетевой интерфейс. При использовании сетей компьютер общего назначения может использовать модем, сетевую карту, адаптер или иные средства обеспечения связи с глобальной вычислительной сетью, такой как сеть Интернет, при этом эти средства связи подключают к системной шине посредством последовательного порта. Следует отметить, что в ПЗУ компьютера общего назначения или по меньшей мере на любом одном из вышеописанных машиночитаемых носителей, которые могут быть использованы в компьютере общего назначения, могут быть сохранены машиночитаемые инструкции, к которым может иметь доступ центральный процессор этого компьютера общего назначения, при этом выполнение этих машиночитаемых инструкций на компьютере общего назначения может вызывать исполнение его центральным процессором различных процедур или операций, описанных ниже в данном документе.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 100 для осуществления трансграничного электронного документооборота может быть выполнено в виде одиночного компьютерного сервера, например сервера «Dell™ PowerEdge™», использующего операционную систему «Ubuntu Server 18.04». Кроме того, в иных вариантах реализации настоящего изобретения вычислительное устройство 100 для осуществления трансграничного электронного документооборота может быть выполнено в виде настольного персонального компьютера, ноутбука, нетбука, смартфона, планшета или иного электронно-вычислительного устройства, подходящего для решения поставленных задач.
В других вариантах реализации вычислительное устройство 100 для осуществления трансграничного электронного документооборота может быть выполнено в виде любой другой совокупности аппаратных средств, программного обеспечения или программно-аппаратных комплексов, подходящих для решения поставленных задач, описанных в данном документе.
В некоторых вариантах реализации настоящего изобретения система 1000 для осуществления трансграничного электронного документооборота может содержать по меньшей мере два вычислительных устройства, подобных вычислительному устройству 100 для осуществления трансграничного электронного документооборота, при этом нижеописанные функциональные возможности вычислительного устройства 100 для осуществления трансграничного электронного документооборота могут быть любым необходимым образом разделены между указанными по меньшей мере двумя вычислительными устройствами, каждый из которых может быть выполнен, например, в виде отдельного компьютерного сервера.
Как показано на ФИГ. 2, вычислительное устройство 100 содержит модуль 10 связи, идентифицирующий модуль 20, валидирующий модуль 30, подписывающий модуль 40 и локальное хранилище 60 данных, которые выполнены с возможностью обмена данными друг с другом посредством шины 50 связи, к которой они все подключены.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 100 также может содержать отдельный фильтрующий модуль (не показан) для фильтрации сетевого трафика, подключенный к модулю 10 связи с возможностью приема от него потоков данных, входящих в вычислительное устройство 100 и исходящих из вычислительного устройства 100. В частности, такой фильтрующий модуль, который может быть дополнительно включен в состав вычислительного устройства 100, по своим функциональным возможностям может соответствовать шлюзу, межсетевому экрану или файерволу, при этом он должен быть предварительно запрограммирован или настроен на работу или взаимодействие со средствами криптографической защиты информации (СКЗИ), установленными на пользовательских устройствах 400, 600, 800, серверах 300, 500, 700 операторов электронного документооборота и серверах 350, 550, 750 удостоверяющих центров, зарегистрированных в информационной системе 1000, с обеспечением возможности обмена данными только по заданным протоколам связи или портам или комбинации, возможности установления только допустимых сетевых соединений и возможности защиты от несанкционированного доступа злоумышленников к сервисам, предоставляемых вычислительным устройством 100 (в том числе от «атак обслуживания» типа DoS или DDoS). Таким образом, такой фильтрующий модуль может блокировать любые соединения, которые нарушают политики безопасности, установленные в вычислительном устройстве 100 и известные указанному фильтрующему модулю. Кроме того, такой фильтрующий модуль может брать на себя функцию вычислительного устройства 100 по валидации или проверке действительности сертификата электронной подписи для любого зашифрованного электронного документа, подписанного электронной подписью, для блокирования данного входящего потока данных (в том числе шифрованного входящего трафика), поступающего в вычислительное устройство 100, в случае, если фильтрующий модуль не смог проверить действительность указанного сертификата электронной подписи.
Локальное хранилище данных
Локальное хранилище 60 данных, показанное на фиг. 1 в составе вычислительного устройства 100, предназначено для хранения исполняемых инструкций, которые могут управлять работой по меньшей мере модуля 10 связи, идентифицирующего модуля 20, валидирующего модуля 30 и подписывающего модуля 40, а также хранения различных иных данных, используемых при работе вычислительного устройства 100, в частности данных (в том числе соответствующих сертификатов электронных подписей) о пользовательских устройствах, зарегистрированных в информационной системе 1000, данных о серверах операторов электронного документооборота, зарегистрированных в информационной системе 1000, и данных о серверах удостоверяющих центров, зарегистрированных в информационной системе 1000.
В одном из вариантов реализации настоящего изобретения по меньшей мере одна из вышеперечисленных групп данных, используемых при работе вычислительного устройства 100, в частности данные о пользовательских устройствах, данные о серверах операторов электронного документооборота, данные о серверах удостоверяющих центров и/или т.п., могут быть сохранены в соответствующем обособленном локальном хранилище данных (не показано), отличном от локального хранилища 60 данных и соединенном, посредством шины 50 связи, с идентифицирующим модулем 20, валидирующим модулем 30 и/или подписывающим модулем 40, которые в свою очередь выполнены каждый с возможностью подключения к любому из таких обособленных локальных хранилищ данных с обеспечением извлечения из них необходимых данных.
Локальное хранилище 60 данных может быть реализовано, например, в виде одного или более известных физических машиночитаемых носителей для длительного хранения данных. В некоторых вариантах реализации настоящего изобретения локальное хранилище 60 данных может быть реализовано с использованием одиночного физического устройства (например, одного оптического запоминающего устройства, магнитного запоминающего устройства, органического запоминающего устройства, запоминающего устройства на дисках или запоминающего устройства иного типа), а в других вариантах реализации локальное хранилище 60 данных может быть реализовано с использованием двух или более известных запоминающих устройств.
Модуль связи
Модуль 10 связи, показанный на ФИГ. 2 в составе вычислительного устройства 100, имеет по меньшей мере беспроводное соединение, посредством сети 200 связи, с первым пользовательским устройством 400, первым сервером 300 оператора электронного документооборота, первым сервером 350 удостоверяющего центра, вторым пользовательским устройством 600, вторым сервером 500 оператора электронного документооборота и вторым сервером 550 удостоверяющего центра с возможностью обмена с ними данными, а также имеет беспроводное соединение, посредством сети 900 связи, с третьим пользовательским устройством 800, третьим сервером 700 оператора электронного документооборота и третьим сервером 750 удостоверяющего центра с возможностью обмена с ними данными.
В одном из вариантов реализации настоящего изобретения модуль 10 связи может быть соединен с пользовательскими устройствами 400, 600, 800, серверам 300, 500, 700 операторов электронного документооборота и серверами 350, 550, 750 удостоверяющих центров беспроводным способом, например с помощью линии связи на основе технологии «WiFi», линии связи на основе технологии «3G», линии связи на основе технологии «LTE» или т.п., при этом модуль 10 связи должен быть реализован в виде WiFi-адаптера, 3G-адаптера, LTE-адаптера или иного адаптера беспроводной связи в зависимости от типа линии беспроводной связи, использованной для обеспечения связи вычислительного устройства 100 с вышеуказанными функциональными элементами, входящими в состав информационной системы 1000.
В вариантах реализации настоящего изобретения, в которых все группы данных, используемых при работе вычислительного устройства 100, или по меньшей мере их часть сохранены по меньшей мере в одном обособленном удаленном хранилище данных, модуль 10 связи может быть выполнен с возможностью подключения к указанному по меньшей мере одному удаленному хранилищу данных для получения от него необходимых данных, используемых при работе вычислительного устройства 100.
В некоторых вариантах реализации настоящего изобретения модуль 10 связи в вычислительном устройстве 100 может быть дополнительно выполнен с возможностью установления связи по меньшей мере с одним удаленным источником данных (например, с сервером приложений или сервером баз данных), хранящим по меньшей мере некоторые данные, используемые при работе вычислительного устройства 100, или с возможностью подключения к такому источнику данных с обеспечением получения от него данных, необходимых для осуществления назначения вычислительного устройства 100 по осуществлению трансграничного электронного документооборота. В качестве такого удаленного источника данных может быть использовано, например, удаленное вычислительное устройство, облачное хранилище данных, сервер, хост, домен, база данных, программа, сайт или т.п.
Модуль 10 связи по сути обеспечивает возможность получения по меньшей мере одного электронного документа, передаваемого между пользовательскими устройствами, зарегистрированными в информационной системе 1000 (в частности, от первого пользовательского устройства 400 или второго пользовательского устройства 600 на третье пользовательское устройство 800, или от третьего пользовательского устройства 800 на первое пользовательское устройство 400 или второе пользовательское устройство 600, или от первого пользовательского устройства 400 на второе пользовательское устройство 600, или от второго пользовательского устройства 600 на первое пользовательское устройство 400), через вычислительное устройство 100 и подписанного электронной подписью отправителя.
Идентифицирующий модуль
Идентифицирующий модуль 20, показанный на ФИГ. 2 в составе вычислительного устройства 100, подключен, посредством шины 50 связи, к модулю 10 связи с возможностью обмена с ним данными для получения от него подписанного электронной подписью отправителя электронного документа, принятого модулем 10 связи от одного из пользовательских устройств, зарегистрированных в информационной системе 1000, и предназначен для выполнения по меньшей мере следующих операций:
(i) осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
(ii) получение сведений о стандарте криптографической защиты, используемом каждым из отправителя и получателя, идентифицированных в результате выполнения идентифицирующим модулем 20 вышеописанной операции (i), на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
(iii) если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи.
Таким образом, если модуль 10 связи выдаст на идентифицирующий модуль 20 электронный документ, отправленный первым пользовательским устройством 400 на третье пользовательское устройство 800 через вычислительное устройство 100 и подписанный электронной подписью, относящейся к первому пользовательскому устройству 400 (т.е. электронной подписью отправителя), то на основании сертификата электронного документа, прикрепленного к принятому электронному документу и соответствующему указанной электронной подписи, использованной для подписания указанного принятого электронного документа, идентифицирующий модуль 20 сможет установить следующее: (1) отправителем является первое пользовательское устройство 400, а получателем является третье пользовательское устройство 400; (2) отправитель использует стандарт криптографической защиты «ГОСТ Р», а получатель использует стандарт криптографической защиты «RSA» или «ECDSA», т.е. отправитель и получатель используют разные стандарты криптографической защиты; (3) отправитель использует оператора электронного документооборота, владеющего первым сервером 300 оператора электронного документооборота, а получатель использует оператора электронного документооборота, владеющего третьим сервером 700 оператора электронного документооборота.
В дальнейшем идентифицирующий модуль 20 выдаст, посредством шины 50 связи, сведения об идентифицированных отправителе, получателе, используемом отправителем стандарте криптографической защиты, используемом получателем стандарте криптографической защиты, сервере оператора электронного документооборота, к которому подключено пользовательское устройство отправителя, и сервере оператора электронного документооборота, к которому подключено пользовательское устройство получателя.
Идентифицирующий модуль 20 может быть реализован, например, в виде одного отдельного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессор для цифровой обработки сигналов, специализированная интегральная схема или т.п.).
Валидирующий модуль
Валидирующий модуль 30, показанный на ФИГ. 2 в составе вычислительного устройства 100, подключен, посредством шины 50 связи, к идентифицирующему модулю 20 с возможностью обмена с ним данными для получения от него результатов идентификации, полученных идентифицирующим модулем 20 в результате выполнения им вышеописанных операций, и предназначен для выполнения по меньшей мере следующих операций:
(i) направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием заданной цепочки доверия сертификатов.
Таким образом, для вышеописанного случая передачи электронного документа от первого пользовательского устройства 400 на третье пользовательское устройство 800 через вычислительное устройство 100, при получении от идентифицирующего модулем 20 результатов идентификации, полученных этим идентифицирующим модулем 20, валидирующий модуль 30 направит, посредством модуля 10 связи, запрос на первый сервер 300 оператора электронного документооборота для проверки валидности или действительности электронной подписи, в частности сертификата электронной подписи, относящегося к первому пользовательскому устройству 400 (т.е. сертификата электронной подписи отправителя), при этом проверка валидности или действительности частности сертификата электронной подписи будет осуществлена с использованием заданной цепочки доверия сертификатов.
В дальнейшем, в случае, если валидирующий модуль 30 получит, посредством модуля 10 связи, от первого сервера 300 оператора электронного документооборота подтверждение валидности или действительности сертификата электронной подписи, относящегося к первому пользовательскому устройству 400, то валидирующий модуль 30 выдаст, посредством шины 50 связи, сведения о подтвержденной валидности или действительности сертификата электронной подписи, относящегося к первому пользовательскому устройству 400, на подписывающий модуль 40. В противном случае, т.е. в случае недействительности сертификата электронной подписи отправителя, вычислительное устройство 100 выдаст, посредством модуля 10 связи, на пользовательское устройство отправителя, т.е. на первое пользовательское устройство 400, уведомление об ошибке передачи электронного документа, а также блокирует дальнейшую передачу указанного электронного документа на сервер оператора электронного документооборота, к которому относится пользовательское устройство получения, т.е. на третий сервер 700 оператора электронного документооборота.
Валидирующий модуль 30 может быть реализован в виде одного отдельного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессор для цифровой обработки сигналов, специализированная интегральная схема и т.п.) или группы процессоров, объединенных физически или логически.
Подписывающий модуль
Подписывающий модуль 40, показанный на ФИГ. 2 в составе вычислительного устройства 100, подключен, посредством шины 50 связи, к валидирующему модулю 30 с возможностью обмена с ним данными для получения от него результата валидации сертификата электронной подписи, полученного этим валидирующим модулем 30 в результате выполнения им вышеописанной операции, и предназначен для выполнения по меньшей мере следующих операций:
(i) дополнительное подписание электронного документа, подписанного электронной подписью отправителя, еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при условии валидности или действительности электронной подписи отправителя, в частности сертификата электронной подписи отправителя,
(ii) подключение к модулю 10 связи с обеспечением возможности направления указанного дважды подписанного электронного документа, т.е. электронного документа, подписанного электронной подписью отправителя и дополнительно подписанного электронной подписью, относящейся к вычислительному устройству 100, на сервер оператора электронного документооборота, соответствующий идентифицированному получателю.
Таким образом, для вышеописанного случая передачи электронного документа от первого пользовательского устройства 400 на третье пользовательское устройство 800 через вычислительное устройство 100, при получении от валидирующего модуля 30 подтверждения действительности электронной подписи, относящейся к первому пользовательскому устройству 400 (т.е. сертификата электронной подписи отправителя), подписывающий модуль 40 (1) дополнительно подпишет подписанный электронной подписью отправителя передаваемый электронный документ с использованием электронной подписи, относящейся к вычислительному устройству 100 и формируемой с использованием соответствующего закрытого ключа этого вычислительного устройства 100, и (2) направит, посредством модуля 10 связи, передаваемый электронный документ, подписанный электронной подписью, относящейся к первому пользовательскому устройству 400, и дополнительно подписанный электронной подписью, относящей к вычислительному устройству 100, на третий сервер 700 оператора электронного документооборота, относящийся к третьему пользовательскому устройству 800, при этом указанная дополнительная электронная подпись, подобранная подписывающим модулем 40 и использованная им для подписания указанного подписанного электронной подписью отправителя передаваемого документа, будет соответствовать стандарту криптографической защиты, используемому третьим пользовательским устройством 800, т.е. стандарту криптографической защиты «RSA» или «ECDSA».
В дальнейшем третий сервер 700 оператора электронного документооборота, принимающий дважды подписанный электронный документ от вычислительного устройства 100, осуществит проверку валидности или действительности электронной подписи (в частности сертификата электронной подписи), относящегося к вычислительному устройству 100, с использованием цепочки доверия сертификатов, в частности направит соответствующий запрос на сервер удостоверяющего центра, относящийся к вычислительному устройству 100 и выдавший ему соответствующий сертификат электронной подписи. При получении сведений о действительности сертификата электронной подписи, относящегося к электронной подписи, использованной вычислительным устройством 100 для дополнительного подписания передаваемого электронного документа, третий сервер 700 оператора электронного документооборота также подписывает передаваемый электронный документ, полученный третьим сервером 700 оператора электронного документооборота от вычислительного устройства 100, с использованием своей электронной подписи, относящейся к третьему серверу 700 оператора электронного документооборота и формируемой с использованием соответствующего закрытого ключа этого третьего сервера 700 оператора электронного документооборота, и выдает электронный документ, подписанный электронной подписью, относящейся к первому пользовательскому устройству 400, дополнительно подписанный электронной подписью, относящей к вычислительному устройству 100, и также подписанный электронной подписью, относящейся к третьему серверу 700 оператора электронного документооборота, на третье пользовательское устройство 800.
В дальнейшем третье пользовательское устройство 800, принимающее трижды подписанный электронный документ от третьего сервера 700 оператора электронного документооборота, осуществит проверку валидности или действительности электронной подписи (в частности, сертификата электронной подписи), относящегося к третьему серверу 700 оператора электронного документооборота, с использованием цепочки доверия сертификатов, в частности направит соответствующий запрос на третий сервер 750 удостоверяющего центра, относящийся к третьему серверу 700 оператора электронного документооборота и выдавший ему сертификат электронной подписи. При получении сведений о действительности сертификата электронной подписи, относящегося к электронной подписи, использованной третьим сервером 700 оператора электронного документооборота для заключительного подписания передаваемого электронного документа, третье пользовательское устройство 800 расшифрует полученный электронный документ с использованием своего закрытого ключа, хранящегося на защищенном ключевом носителе (токене), подключенном к третьему пользовательскому устройству 800, и связанном с открытым ключом, использованным в первом пользовательском устройстве 400 для зашифровывания указанного расшифровываемого электронного документа.
Подписывающий модуль 40 может быть реализован в виде одного отдельного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессор для цифровой обработки сигналов, специализированная интегральная схема и т.п.) или группы процессоров, объединенных физически или логически.
Согласно одному из вариантов реализации настоящего изобретения, идентифицирующий модуль 20 может быть разделен на несколько независимых модулей, каждый из которых может выполнять по меньшей мере одну из вышеописанных функциональных возможностей, присущих идентифицирующему модулю 20, и которые могут быть выполнены с возможностью связи друг с другом и остальными функциональными модулями вычислительного устройства 100 с помощью шины 50 связи, в частности с модулем 10 связи, валидирующим модулем 30 и/или подписывающим модулем 40.
Согласно еще одному варианту реализации настоящего изобретения, валидирующий модуль 30 может быть разделен на несколько независимых модулей, каждый из которых может выполнять по меньшей мере одну из вышеописанных функциональных возможностей, присущих валидирующему модулю 30, и которые могут быть выполнены с возможностью связи друг с другом и остальными функциональными модулями вычислительного устройства 100 с помощью шины 50 связи, в частности с модулем 10 связи, идентифицирующим модулем 20 и/или подписывающим модулем 40.
Согласно другому варианту реализации настоящего изобретения, подписывающий модуль 40 может быть разделен на несколько независимых модулей, каждый из которых может выполнять по меньшей мере одну из вышеописанных функциональных возможностей, присущих подписывающему модулю 40, и которые могут быть выполнены с возможностью связи друг с другом и остальными функциональными модулями вычислительного устройства 100 с помощью шины 50 связи, в частности с модулем 10 связи, идентифицирующим модулем 20 и/или валидирующим модулем 30.
Согласно некоторому другому варианту реализации настоящего изобретения, по меньшей мере часть из вышеописанных функциональных возможностей, присущих идентифицирующему модулю 20, валидирующему модулю 30 и/или подписывающему модулю 40, может быть реализована в виде отдельного функционального подмодуля или функционального блока, входящего в состав соответствующего одного из модулей 20, 30, 40. Таким образом, идентифицирующий модуль 20 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих идентифицирующему модулю 20, валидирующий модуль 30 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих валидирующему модулю 30, а подписывающий модуль 40 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих подписывающему модулю 40.
Согласно некоторым вариантам реализации настоящего изобретения, идентифицирующий модуль 20 со своими функциональными возможностями, описанными в данном документе, может быть встроен в валидирующий модуль 30 или интегрирован с ним, в результате чего в таком варианте реализации настоящего изобретения полученный валидирующий модуль может иметь вышеописанные функциональные возможности идентифицирующего модуля 20 и валидирующего модуля 30.
Согласно некоторым другим вариантам реализации настоящего изобретения валидирующий модуль 30 со своими функциональными возможностями, описанными в данном документе, может быть встроен в подписывающий модуль 40 или интегрирован с ним, в результате чего в таком варианте реализации настоящего изобретения полученный подписывающий модуль может иметь вышеописанные функциональные возможности валидирующего модуля 30 и подписывающего модуля 40.
Согласно иным вариантам реализации настоящего изобретения, вычислительное устройство 100 для осуществления трансграничного электронного документооборота может содержать единственный или единый подписывающий модуль (также может быть назван процессинговым модулем, обрабатывающим модулем, модулем обработки данных, модулем электронного документооборота или т.п.), имеющий все вышеописанные функциональные возможности, присущие идентифицирующему модулю 20, валидирующему модулю 30 и подписывающему модулю 40.
Согласно некоторым другим вариантам реализации настоящего изобретения, вычислительное устройство 100 для осуществления трансграничного электронного документооборота может содержать процессор или вычислительный блок, имеющий все вышеописанные функциональные возможности, присущие идентифицирующему модулю 20, валидирующему модулю 30 и подписывающему модулю 40.
Согласно еще одному аспекту настоящего изобретения может быть предложено вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее процессор, выполненный с возможностью получения данных электронных подписей с обеспечением возможности подписания электронного документа и дополнительно выполненный с возможностью осуществления по меньшей мере следующих операций:
получение по меньшей мере одного подписанного электронной подписью электронного документа,
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа электронной подписью, данные о которой получает указанный процессор и которая соответствует используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
направление указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Согласно еще одному аспекту настоящего изобретения может быть предложено вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного подписанного электронной подписью электронного документа, и
подписывающий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанного электронного документа и с возможностью выполнения по меньшей мере следующих операций:
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
подключение к модулю связи с обеспечением возможности направления указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Согласно еще одному аспекту настоящего изобретения может быть предложен способ осуществления трансграничного электронного документооборота, выполняемый на вычислительном устройстве, при этом согласно указанному способу:
получают по меньшей мере один подписанный электронной подписью электронный документ,
идентифицируют отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, идентифицируют оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направляют запрос на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя получают данные о еще одной электронной подписи, соответствующей используемому получателем стандарту криптографической защиты, с обеспечением дополнительного подписания указанного полученного электронного документа указанной еще одной электронной подписью и
направляют указанный дважды подписанный электронный документ на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
Представленные иллюстративные варианты осуществления, примеры и описание служат лишь для обеспечения понимания заявляемого технического решения и не являются ограничивающими. Другие возможные варианты осуществления будут ясны специалисту из представленного описания. Объем настоящего изобретения ограничен лишь прилагаемой формулой изобретения.
название | год | авторы | номер документа |
---|---|---|---|
Программно-аппаратный комплекс подтверждения подлинности электронных документов и электронных подписей | 2018 |
|
RU2712650C1 |
СПОСОБ ФОРМИРОВАНИЯ ЭЛЕКТРОННОГО ДОКУМЕНТА | 2012 |
|
RU2527731C2 |
СПОСОБ ЭЛЕКТРОННОГО НОТАРИАЛЬНОГО ЗАВЕРЕНИЯ (ВАРИАНТЫ) | 2013 |
|
RU2556379C2 |
СИСТЕМА ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА И СПОСОБ АВТОМАТИЗИРОВАННОГО КОНТРОЛЯ ЕЁ ИНФРАСТРУКТУРЫ НА ОСНОВЕ ТЕХНОЛОГИИ РАСПРЕДЕЛЕННЫХ РЕЕСТРОВ (БЛОКЧЕЙН) | 2020 |
|
RU2787945C2 |
СИСТЕМА АВТОМАТИЗАЦИИ ОБМЕНА КОДАМИ МАРКИРОВКИ | 2021 |
|
RU2773429C1 |
СПОСОБ ФОРМИРОВАНИЯ ЭЛЕКТРОННОГО ДОКУМЕНТА И ЕГО КОПИЙ | 2013 |
|
RU2543928C1 |
СПОСОБ И СИСТЕМА ДЛЯ ДОВЕРЕННОГО БЕЗБУМАЖНОГО ПРЕДЪЯВЛЕНИЯ ДОКУМЕНТОВ | 2018 |
|
RU2701088C1 |
ФОРМИРОВАНИЕ И ВЕРИФИКАЦИЯ ЗАЩИЩЕННЫХ ДОКУМЕНТОВ | 2017 |
|
RU2692572C2 |
СПОСОБ СЕКРЕТНОГО ИСПОЛЬЗОВАНИЯ ЦИФРОВЫХ ПОДПИСЕЙ В КОММЕРЧЕСКОЙ КРИПТОГРАФИЧЕСКОЙ СИСТЕМЕ | 1995 |
|
RU2144269C1 |
СПОСОБ И СИСТЕМА АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ ПОСРЕДСТВОМ МОБИЛЬНОГО УСТРОЙСТВА С ПРИМЕНЕНИЕМ СЕРТИФИКАТОВ | 2013 |
|
RU2638741C2 |
Изобретение относится к устройствам и способу осуществления трансграничного электронного документооборота. Технический результат заключается в повышении безопасности передачи электронных документов. В способе получают по меньшей мере один подписанный электронной подписью электронный документ, идентифицируют отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи, если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, идентифицируют оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи направляют запрос на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя получают данные о еще одной электронной подписи, соответствующей используемому получателем стандарту криптографической защиты, с обеспечением дополнительного подписания указанного полученного электронного документа указанной еще одной электронной подписью и направляют указанный дважды подписанный электронный документ на сервер оператора электронного документооборота, соответствующего идентифицированному получателю. 4 н.п. ф-лы, 2 ил.
1. Вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее процессор, выполненный с возможностью получения данных электронных подписей с обеспечением возможности подписания электронного документа и дополнительно выполненный с возможностью осуществления по меньшей мере следующих операций:
получение по меньшей мере одного подписанного электронной подписью электронного документа,
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа электронной подписью, данные о которой получает указанный процессор и которая соответствует используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
направление указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
2. Вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного подписанного электронной подписью электронного документа,
идентифицирующий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанного электронного документа и с возможностью выполнения по меньшей мере следующих операций:
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
валидирующий модуль, выполненный с возможностью подключения к идентифицирующему модулю для получения от него указанных результатов идентификации и с возможностью направления запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
подписывающий модуль, выполненный с возможностью подключения к валидирующему модулю для получения от него указанного результата валидации и с возможностью дополнительного подписания указанного полученного электронного документа еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при условии действительности указанной электронной подписи отправителя, при этом
подписывающий модуль дополнительно выполнен с возможностью подключения к модулю связи с обеспечением возможности направления указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
3. Вычислительное устройство для осуществления трансграничного электронного документооборота, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного подписанного электронной подписью электронного документа, и
подписывающий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанного электронного документа и с возможностью выполнения по меньшей мере следующих операций:
осуществление идентификации отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, осуществление идентификации оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направление запроса на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
дополнительное подписание указанного полученного электронного документа еще одной электронной подписью, соответствующей используемому получателем стандарту криптографической защиты, при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя и
подключение к модулю связи с обеспечением возможности направления указанного дважды подписанного электронного документа на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
4. Способ осуществления трансграничного электронного документооборота, выполняемый на вычислительном устройстве, при этом согласно указанному способу:
получают по меньшей мере один подписанный электронной подписью электронный документ,
идентифицируют отправителя и получателя указанного электронного документа с обеспечением определения используемого ими стандарта криптографической защиты на основании сертификата электронной подписи, соответствующего указанной электронной подписи,
если идентифицированные отправитель и получатель используют разные стандарты криптографической защиты, идентифицируют оператора электронного документооборота, соответствующего идентифицированному отправителю, и оператора электронного документооборота, соответствующего указанному идентифицированному получателю, на основании указанного сертификата электронной подписи,
направляют запрос на сервер оператора электронного документооборота, соответствующего идентифицированному отправителю, для проверки действительности указанной электронной подписи отправителя с использованием цепочки доверия сертификатов,
при получении от указанного сервера оператора электронного документооборота подтверждения действительности электронной подписи отправителя получают данные о еще одной электронной подписи, соответствующей используемому получателем стандарту криптографической защиты, с обеспечением дополнительного подписания указанного полученного электронного документа указанной еще одной электронной подписью и
направляют указанный дважды подписанный электронный документ на сервер оператора электронного документооборота, соответствующего идентифицированному получателю.
СПОСОБ ФОРМИРОВАНИЯ ЭЛЕКТРОННОГО ДОКУМЕНТА | 2012 |
|
RU2527731C2 |
Система формирования электронной подписи, устойчивой к деструктивным воздействиям | 2017 |
|
RU2667978C2 |
СПОСОБ ПОДПИСАНИЯ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ АНАЛОГО-ЦИФРОВОЙ ПОДПИСЬЮ С ДОПОЛНИТЕЛЬНОЙ ВЕРИФИКАЦИЕЙ | 2012 |
|
RU2522024C2 |
Программно-аппаратный комплекс подтверждения подлинности электронных документов и электронных подписей | 2018 |
|
RU2712650C1 |
СПОСОБ И СИСТЕМА ДЛЯ ДОВЕРЕННОГО БЕЗБУМАЖНОГО ПРЕДЪЯВЛЕНИЯ ДОКУМЕНТОВ | 2018 |
|
RU2701088C1 |
Способ и система заверки документов | 2019 |
|
RU2736886C1 |
Свч газоразрядная камера | 1961 |
|
SU142709A1 |
СПОСОБ ЭЛЕКТРОННОЙ ПОДПИСИ | 2017 |
|
RU2699830C2 |
Магнитоэлектрический измерительный прибор | 1956 |
|
SU107623A1 |
Токарный резец | 1924 |
|
SU2016A1 |
Колосоуборка | 1923 |
|
SU2009A1 |
Способ получения цианистых соединений | 1924 |
|
SU2018A1 |
US 7971063 |
Авторы
Даты
2021-11-11—Публикация
2021-02-20—Подача