Система та спосіб запитування та видачі дозвільного документа

1. Система для запитування і видачі дозвільного документа (6) заявнику, яка має принаймні: сервер (11), передбачений для обміну даними з відділом обробки документації, який передбачений для оформлення згаданого дозвільного документа, комп'ютер (10(і)), який має перший процесор і перший запам'ятовуючий пристрій, який містить збережені перші дані і інструкції для надання можливості першому процесору виконувати першу визначену програму, офісний блок (13(і)), яким має другий пристрій (17) для одробки даних і другий запам'ятовуючий пристрій, який містить збережені другі дані і інструкції для надання можливості другому пристрою для обробки даних виконувати другу визначену програму, а також модуль (41) захисту програм, і блок (15(і)) для обслуговування клієнтів, який містить принаймні пристрій (27, 31) для зчитування біометричної характеристики заявника, у якому сервер (11), комп'ютер (10(і)), блок (15(і)) для обслуговування клієнтів і другий пристрій (17) для обробки даних передбачені для обміну даними між собою, причому об'єднання офісного блока (13(і)) і блока (15(і)) для обслуговування клієнтів здатне керуватися комп'ютером (10(і)), при цьому офісний блок (13(і)) передбачений для керування блоком (15(і)) для обслуговування клієнтів у згаданому об'єднанні, а перший пристрій для обробки даних в комп'ютері (10(і)) і другий пристрій (17) для обробки даних в офісному блоці (13(і)) встановлені для обміну даними між собою у формі захищеної сесії, яка використовує криптографічний ключ, 2 (19) 1 3 96933 4 5. Система за п. 4, яка відрізняється тим, що аплет містить код програмного забезпечення, який містить цифровий підпис з можливістю перевірки цілісності коду. 6. Система за одним із попередніх пунктів, яка відрізняється тим, що офісний блок (13(і)) має пристрій (21) для зчитування/запису інформації на смарт-картці для зчитування інформації на ідентифікаційній картці оператора. 7. Система за п. 6, яка відрізняється тим, що захищена сесія обміну даними може починатися, тільки коли другий пристрій (17) для обробки даних прийняв код від ідентифікаційної картки. 8. Система за одним із попередніх пунктів, яка відрізняється тим, що пристрій для зчитування біометричної характеристики має принаймні один з пристроїв, вибраних серед зчитувача (27) відбитків пальців або фотокамери (31). 9. Система за одним із попередніх пунктів, яка відрізняється тим, що офісний блок (13(і)) має сканер (18), з'єднаний з пристроєм (17) для обробки даних і передбачений для зчитування і розпізнавання оптичної інформації на дозвільному документі (6). 10. Система за п. 9, яка відрізняється тим, що офісний блок (13(і)) має пристрій (14) для зчитування інформації з чипа, з'єднаний з пристроєм (17) для обробки даних для зчитування інформації з чипа (5) в дозвільному документі (6). 11. Система за п. 9, яка відрізняється тим, що вона передбачена для встановлення захищеного зв'язку з чипом (5) за допомогою ключа, збереженого в модулі (41) захисту програм. 12. Система зв'язку, яка має систему за одним із пп. 1-11 та відділ обробки документації, у якій відділ обробки документації має принаймні сервер (28) для зв'язку з системою, систему (30) персоналізації для нанесення інформації на дозвільний документ (6) і пристрій (32) для запису інформації на чипі для запису принаймні біометричної характеристики на чипі (5), встановленому в дозвільному документі. 13. Спосіб запитування і видачі дозвільного документа (6) заявнику, у якому: здійснюють обмін даними між блоком (15(і)) для обслуговування клієнтів, який має принаймні пристрій (27, 31) для зчитування біометричної характеристики заявника, та другим пристроєм (17) для обробки даних, і обмін даними між першим при строєм для обробки даних та другим пристроєм (17) для обробки даних у формі захищеної сесії, що використовує криптографічний ключ, збережений в модулі (41) захисту програм, у якому розпочинають за допомогою сервера (11), для обміну даними з відділом обробки документації, який передбачений для оформлення дозвільного документа, захищену сесію обміну даними між комп'ютером (10(і)), який має перший пристрій для обробки даних і перший запам'ятовуючий пристрій, який містить збережені перші дані і інструкції для надання можливості першому пристрою для обробки даних виконувати першу визначену програму, та офісним блоком (13(і)), який має другий пристрій (17) для обробки даних і другий запам'ятовуючий пристрій, який містить збережені другі дані та інструкції для надання можливості другому пристрою для обробки даних виконувати другу визначену програму, а також модуль (41) захисту пропрограм, коли сервер (11) прийняв сигнал дозволу від офісного блока (13(і))(7F5) та інструкцію на початок такої захищеної сесії обміну даними від комп'ютера (10(i))(7F7, 7F9), при цьому сигнал дозволу генерується офісним блоком (13(і)) після одержання оператором свого дозволу (7F1, 7F3), надають можливість згаданому оператору ввести для згаданої захищеної сесії обміну даними персональний ідентифікаційний номер (PIN)(7F11, 7F13), приймають сервером (11) біометричну характеристику заявника дозвільного документа від офісного блока (13(і)), у тому вигляді, як вона була одержана блоком (15(і)) для обслуговування клієнтів (7F15, 7F17, 7F19), приймають сервером (11) дані заявки заявника від комп'ютера (10(i))(7F20), приймають сервером (11) оцифрований підпис заявника дозвільного документа від офісного блока (13(і)) у тому вигляді, у якому він був одержаний блоком (15(і)) для обслуговування клієнтів (7F23, 7F24), передають сервером (11) згадані дані заявки, біометричну характеристику та оцифрований підпис до згаданого відділу обробки документації, при цьому на усіх цих даних ставлять цифровий підпис за допомогою ключа, збереженого в модулі (41) захисту програм, і вони або оцифровуються, або надсилаються за допомогою захищеного зв'язку. Винахід відноситься до системи та способу запитування і видачі дозвільних документів, таких як паспорти, права водіїв, ідентифікаційні картки і подібне. Пристрій і спосіб, до яких відноситься винахід, використовується, зокрема, для запитування і видачі паспортів або ідентифікаційних карток, які необхідні при перетині кордону. Однак, винахід може також використовуватися для запитування і видачі інших типів дозвільних документів, таких як права водіїв, ідентифікаційні картки для одержан ня доступу до певного місця або кімнати або для одержання права доступу до системи, такої як комп'ютер або термінал, і подібного. З цією метою, поняття "дозвільний документ" має тут широке значення. Використання біометричних даних на паспорті, як додаток до або замість фотографії паспорта та підпису, також відоме і служить для підтвердження перевірки власника дозвільного документа. Відомі біометричні характеристики, які можуть також використовуватися з винаходом, включають, напри 5 клад: зображення ока (райдужної оболонки), голосовий сигнал, відбитки долоні, відбитки пальців, обличчя та ручні підписи. Надійний спосіб перевірки власника такого документа та встановлення справжності документа описується в попередньо неопублікованому голландському патенті №1020903 заявника Голландський патент № 1023614 заявника, яким обмежується надана формула винаходу, описує систему та спосіб запитування і видачі дозвільного документа. Цей документ описує пристрій і спосіб запитування і видачі дозвільного документа з фотографією власника та чипом, який містить біометричні дані в його пам'яті. Пристрій для запису біометричних даних записує біометричні дані власника. Ці біометричні дані надсилаються разом з унікальним номером в зашифрованому вигляді до відділу обробки документації. У відділі обробки документації біометричні дані за допомогою унікального номера об'єднуються з, наприклад, фотографією і підписом власника дозвільного документа Після виготовлення дозвільного документа і надсилання до обчислювального пристрою у відділ для роботи з клієнтами, інформація пам'яті чипу зчитується для, таким чином, одержання зчитаних даних. Потім, у відділі для роботи з клієнтами за допомогою пристрою для запису біометричних даних біометричні дані власника записуються знову. По новому записані біометричні дані порівнюються з біометричними даними, зчитаними з пам'яті чипу. Тільки потім дозвільний документ повертається власнику. Задачею представленого винаходу є надання системи та способу, за допомогою якого дозвільний документ може запитуватися і видаватися, при цьому згаданий дозвільний документ має чип, який містить біометричні дані власника, і, завдяки цьому, покращується захист особистої інформації. З цього приводу, винахід, перш за все, надає пристрій для видачі дозвільного документа за п 1 формули винаходу. Передбачаючи комп'ютер, окремий офісний блок та окремий блок для обслуговування клієнтів захист може покращуватися простим способом. Головним чином, комп'ютер вже присутній на кожному робочому місці в офісі і використовується для усіх видів програм, які по суті не вимагають захищеного програмного середовища. Цей комп'ютер може потім залишатися у такому незахищеному (або тільки трохи захищеному) середовищі. Однак, офісний блок сильно захищений встановленням внутрішнього захищеногопрограмного модуля, який містить криптографічний ключ, що необхідний для встановлення захищеного сеансу зв'язку між комп'ютером та офісним блоком, протягом якого відбувається процедура запитування дозвільного документу. Винахід також відноситься до станції, яка має офісний блок і блок для обслуговування клієнтів за п 18 формули винаходу. Більше того, винахід включає систему зв'язку за п 25 формули винаходу і спосіб за п 26 формули винаходу. Винахід буде описуватися на основі декількох фігур, які передбачені тільки для ілюстрації, а не 96933 6 для обмеження об'єму винаходу, який обмежується доданою формулою винаходу і її еквівалентами Фігура 1 зображає дозвільний документ у формі буклету, наприклад паспорту, у якому знаходиться чип, який містить біометричні дані; Фігура 2 зображає схематичний вид чипу, такого, що може встановлюватися в дозвільному документі згідно з фігурою 1; Фігура 3 зображає систему для підтвердження запитування і видачі дозвільного документу, такого як паспорт, Фігура 4 зображає схему комп'ютера, що може використовуватися у винаході; Фігура 5 більш детально зображає офісний блок та блок для обслуговування клієнтів; Фігура 6 зображає сканер, який має пристрій OCR (оптичний пристрій для розпізнавання символів), а також блок для зчитування інформації чипа; Фігура 7 зображає діаграму способу запитування і видачі дозвільного документа згідно з винаходом. Опис варіантів виконання Прикладом дозвільного документа є паспорт 6, як це зображено на фігурі 2. За виключенням чипу 5 зображений паспорт 6 широко описується в європейській заявці на патент ЕР-А-1,008,459. Паспорт, як він описаний в такому документі, включаючи усі його варіанти виконання, може використовуватися в представленому винаході. Паспорт 6 має картку 1, яка містить текст, фотографію для паспорта і підпис. Картка 1 може, наприклад, виготовлятися з синтетичного ламінату. Картка 1 кріпиться до смужки 2, яка надає їй можливість фіксуватися на місці в буклеті. На картці 1 присутні зчитувані машиною дані власника, які можуть зчитуватися пристроєм OCR (оптичний пристрій для розпізнавання символів). З цією метою, ці дані власника знаходяться в області 8, яка зчитується машиною (MRZ = Зчитувана Машиною Область) Окрім того, буклет містить сторінки 4, придатні для поміщення віз для відвідування, наприклад, зарубіжних країн. На одній із сторінок знаходиться фотографія 7 власника дозвільного документа 6. Буклет також містить титульну сторінку 3. Для додаткових деталей і варіантів виконання, зчитувальний пристрій описується у згаданій європейській заявці на патент ЕР-А-1,008,459. Картка 1 містить чип 5. Чип 5 переважно вставлений в картку 1 так, що його не можна вийняти без ушкодження картки 1. Фігура 2 зображає варіант виконання чипу 5 в дозвільному документі 6. Чип 5 має процесор (CPU) 34, який підключений до запам'ятовуючого пристрою 36, а також до блоку 38 введення/виведення даних. Запам'ятовуючий пристрій 36 може, наприклад, бути ROM (Постійно Запам'ятовуючий Пристрій) і енергонезалежним запам'ятовуючим пристроєм, таким як EEPROM (Програмований Постійно Запам'ятовуючий Пристрій, що Електрично Стирається), але й також можуть використовуватися інші типи запам'ятовуючих пристроїв. Після видачі паспорта 6 власнику, в пам'яті буде збережено принаймні особистий ключ (переважно в 7 ROM, так, що він не може змінюватися), біометричний сертифікат і (необов'язково) сертифікат видачного органу. Біометричний сертифікат містить дані біометричної характеристики власника паспорта і дані, які мають попередньо визначений зв'язок із зчитуваними машиною даними. Блок 38 введення/виведення даних переважно придатний для безконтактного зв'язку з пристроєм, зображеним на наступних фігурах. З цією метою, блок 38 введення/виведення даних може переважно виготовлятися у вигляді круглої антени, як це зображено на фігурі 2. Однак можливі інші варіанти виконання. Також можливі контактні поверхні, які відомі в сучасних чип-картках, виготовлених відповідно до міжнародного стандарту ISO 7816. Повинно бути ясно, що фігура 2 зображає тільки один варіант виконання. Якщо бажано, можуть передбачатися багато блоків обробки, а також багато типів запам'ятовуючих пристроїв і багато блоків введення/виведення даних. Переважно, чип 5 одержує енергію від пристрою, що записує дані на або зчитує дані із запам'ятовуючого пристрою 36. 3 цією метою, чип 5 виконується у формі ретрансляційного блоку. Такий ретрансляційний блок відомий в рівні техніки і не повинен тут детально пояснюватися. Насправді, замість цього може передбачатися акумулятор, хоча в більшості випадків це дуже непрактично. Окрім даних, запам'ятовуючий пристрій 36 містить інструкції, які після зчитування процесором забезпечують певну функціональність, як це відомо в рівні техніки. Фігура 3 зображає систему, яка придатна для децентралізації запитування дозвільного документа (наприклад, муніципальна будівля), централізації виробництва (наприклад, у захищених друкованих працях) і після цього децентралізації видачі документа заявнику. Система, зображена на фігурі 3, має декілька компонентів, які знаходяться у відділі для роботи з клієнтами, і декілька компонентів, які знаходяться у відділі обробки документації. Компоненти для відділу роботи з клієнтами можуть встановлюватися в багатьох місцях. Зображені компоненти можуть, наприклад, встановлюватися в будь-якій муніципальній будівлі. Компоненти у відділі обробки документації також можуть знаходитися у тій же муніципальній будівлі. Однак, можна, щоб відділ обробки документації розташовувався будь-де і обслуговував один або більше відділів для роботи з клієнтами. Головним чином, відділ для роботи з клієнтами і відділ обробки документації будуть відокремлюватися один від іншого не тільки фізично, але й також мережею 16, яка, наприклад, є локальною мережею (LAN). У відділі для роботи з клієнтами розташовано багато робочих станцій у формі комп'ютерів 10(і) (і = 1, 2, 3, …, І). Кожна робоча станція утворює робоче місце для службовця (або іншого оператора) і головним чином буде мати усю функціональність, яку пропонує сучасна робоча станція, таку як програма для обробки слів, доступ до мережі Інтернет, і подібне. Відділ для роботи з клієнтами також має сервер 11, один або більшу кількість принтерів 12, різні офісні блоки 13(і) та блоки 15(і) для об 96933 8 слуговування клієнтів. В одному варіанті виконання, кожен комп'ютер 10(і) містить офісний блок 13(і). У цей спосіб, кожен офісний блок 13(і) під'єднаний до блоку 15(і) для обслуговування клієнтів. У варіанті виконання, зображеному на фігурі 3, комп'ютери 10(і), сервер 11 один або більша кількість принтерів 12 і офісні блоки 13(і) підключені до локальної мережі (LAN) 16 так, що вони можуть обмінюватися даними між собою. Сервер 11 містить дані під так званим іменем "Gemeentehjke Basis Administratie" (GBA) [Муніципальна Головна Адміністрація], тобто, дані, пов'язані з усіма резидентами муніципалітету, такими як ім'я, адреса, місце народження, рік народження, сімейний стан, і подібне. Ці дані зберігаються в пам'яті, яка належить серверу 11. Принтер 12 може виготовляти бланк заяви 20 для запитування дозвільного документа 6. Кожен бланк заяви 20 містить унікальний номер, який переважно друкується заздалегідь. В одному варіанті виконання, службовець вводить унікальний номер бланку заяви 20, який надходить до комп'ютера 11, наприклад, від його клавіатури 10(і). Службовець доглядає за тим, щоб дані заявника з дозвільного документа 6 друкувалися у вірному місці на бланку заяви за допомогою комп'ютера 11 з використанням його клавіатури, мишки, монітору, і подібного. Після цього, фотографія власника дозвільного документа 6, а також його/її підпис поміщають на бланк заяви 20. Як буде пояснюватися нижче, в подальшому варіанті виконання, фізичний бланк заяви 20 не використовується, а саме при використанні повністю цифрового процесу запитування. За допомогою локальної мережі (LAN) 16 сервер 11 може обмінюватися даними з сервером 28, встановленим у відділі обробки документації. Сервер 28 з'єднаний із зчитувачем 40 інформації з чипу та сканером 26. За допомогою мережі зв'язку 29 сервер 28 може обмінюватися даними з пристроєм 32 для запису інформації на чипі та з системою 30 персоналізацм. Система 30 персоналізаци встановлюється для нанесення персонального ідентифікаційного знаку на дозвільний документ. Це може здійснюватися, наприклад, лазером або друкарським чорнилом або будь-яким іншим відомим способом. Наприклад, друк фотографії власника дозвільного документа може випалюватися лазером в шарі картки 1. Пристрій 32 для запису інформації на чипі і система 30 персоналізації можуть встановлюватися централізовано у захищеному місці і можуть обслуговувати багато відділів обробки документації. З'єднання між сервером 28 та рештою компонентів виконані у вигляді фізичних ліній. Однак, для фахівця у цій галузі буде зрозумілим, що ці лінії не повинні бути фізичними. Замість цього, може використовуватися безпровідний зв'язок. Компоненти можуть також поміщатися на відстані (меншій або більшій) від сервера 28. За допомогою даних, одержаних від сервера 28, система 30 персоналізації здатна наносити необхідні дані на дозвільний документ 6. Пристрій 32 для запису на чипі встановлений для зберігання даних, одержаних від сервера 28, в чипі 5 дозвільного документа 6. 9 Сканер 26 встановлений для зчитування і оцифровування даних на бланку заяви 20, як наприклад даних власника і фотографії власника після надходження бланку заяви 20 у відділ обробки документації, і для надсилання оцифрованих даних до сервера 28. Фігура 4 зображає більш детальний приклад комп'ютера 10(і). Насправді, сервер 11 та сервер 28 можуть також мати подібну конструкцію. Комп'ютер 10(і) має процесор 101 для здійснення арифметичних операцій. Пристрій 101 для обробки даних з'єднаний з рядом запам'ятовуючих компонентів, які включають жорсткий диск 105, Постійно Запам'ятовуючий Пристрій (ROM) 107, Програмований Постійно Запам'ятовуючий Пристрій, який Електрично Стирається (EEPROM) 109, і Оперативно Запам'ятовуючий Пристрій (RAM) 111. Не всі ці типи запам'ятовуючих пристроїв повинні бути присутніми. Більше того, вони не повинні фізично розміщуватися біля пристрою 101 для обробки даних. Вони можуть також знаходитися на відстані від нього. Пристрій 101 для обробки даних також з'єднаний із засобами, такими як клавіатура 113 та мишка 115, для введення користувачем інструкцій, даних, і подібного. Можуть також використовуватися інші засоби введення, відомі в рівні техніки, такі як сенсорний екран, кульовий маніпулятор і/або перетворювач мови. Передбачається зчитувальний блок 117, підключений до пристрою 101 для обробки даних. Зчитувальний блок 117 встановлений для зчитування даних від або можливо для зберігання даних на носії інформації, такому як дискета 119 або компакт диск 121. Іншими можливими носіями інформації є, наприклад, DVD-диски або карти пам'яті, як це відомо в рівні техніки. Носії інформації можуть, наприклад, мати придатні комп'ютерні програми, тобто, інструкції та дані, які після зчитування комп'ютером 10 (або сервером 28) забезпечують функціональність, необхідні для винаходу. Таке програмне забезпечення може також надаватися через Інтернет або подібне. Пристрій 101 для обробки даних може з'єднуватися з принтером 112 для друку вихідних даних на папері, а також з відображальним пристроєм 103, наприклад, монітором або рідкокристалічним екраном (Рідкокристалічним Дисплеєм) або з будьяким іншим типом відображального пристрою, відомого в рівні техніки. Пристрій 101 для обробки даних з'єднаний з локальною мережею (LAN) 16 за допомогою блоку 125 введення/виведення даних. Пристрій 101 для обробки даних встановлений для обміну даними з іншими пристроями зв'язку через локальну мережі (LAN) 16. Пристрій 101 для обробки даних може виконуватися як автономна система або як ряд пристроїв для обробки даних, які працюють паралельно, кожен з яких встановлений для виконання підзадач з більшої програми, або як один або більша кількість головних пристроїв для обробки даних з різними допоміжними пристроями для обробки даних. Якщо бажано, частини функціональних можливостей винаходу можуть навіть реалізовувати 96933 10 ся віддаленими пристроями для обробки даних, які обмінюються даними з пристроєм 101 для обробки даних через локальну мережу (LAN) 16. Хоча з'єднання зображені суцільними фіксованими лініями, все це може виконуватися у вигляді безпровідних з'єднань. Фігура 5 зображає більш детально офісний блок 13(і) та блок для обслуговування клієнтів 15(і). В муніципальній будівлі, наприклад, офісний блок 13(і) буде встановлюватися на стороні стійки (або стола), де службовець має своє робоче місце, тоді як блок для обслуговування клієнтів 15(і) буде встановлюватися на іншій стороні тієї ж стійки, де клієнт буде стояти або сидіти при запитуванні дозвільного документа 6. Ці дві сторони стійки можуть, наприклад, бути фізично відокремленими за допомогою скляної перегородки. Офісний блок 13(і) має пристрій, 17 для обробки даних, який з'єднаний із запам'ятовуючим пристроєм 19, пристроєм 14 для зчитування даних з чипу, сканером 18, одним або більшою кількістю пристроїв 21 для зчитування інформації з смарткарток, одним або більшою кількістю пристроїв 22 для зчитування даних з SIM-карт і можливо з дисплеєм 23. Повторюємо: з'єднання можуть виконуватися як фіксовані або безпровідні. Пристрій 22 для зчитування/запису на SIM-картці містить SAM 41 (Модуль Захисту Програм). SAM є компонентом, що зберігає дані, які відносяться до захисту, такі як криптографічні ключі. Це зберігання є саме по собі захищеним. Запам'ятовуючий пристрій 19 містить дані і інструкції у формі комп'ютерної програми для надання можливості пристрою 17 для обробки даних виконувати певні функції. На фігурі 5, варіант виконання офісного блоку 13(і) і блоку для обслуговування клієнтів 15(і) намальований пунктирними лініями, які оточують його. Це передбачено для вказання того, що компоненти всередині ліній можуть встановлюватися в одному корпусі. Однак, це несуттєво. Блок для обслуговування клієнтів 15(і) з Фігури 5 має дисплей 25, зчитувач 27 відбитків пальців, камеру 31, панель підпису 33, клавіатуру 35 та пристрій 37 для зчитування/запису на смарткартці. Зрозуміло, що усі ці пристрої з'єднані за допомогою з'єднання 39 з пристроєм 17 для обробки даних. Більше того, усі ці пристрої знаходиться всередині пунктирної лінії, яка вказує, що в теорії вони можуть встановлюватися в одному корпусі. Однак, це несуттєво. Дисплей 25 може приймати і відображати дані. Відмічаємо, що дисплей 25 може також не включатися. Зчитувач 27 відбитків пальців може реєструвати відбитки пальців власника дозвільного документа, перетворювати їх на цифровий сигнал відбитків пальців і надсилати цей сигнал до пристрою 17 для обробки даних. Фотокамера 31 може робити фотографії обличчя власника дозвільного документа, перетворювати його на цифровий сигнал фотографії і надсилати цей сигнал до пристрою 17 для обробки даних. Також можна виключити фотокамеру 31. В такому випадку, клієнт буде передавати свою фотографію службовцю, який потім, наприклад, сканує її сканером 18. Фо 11 тографія може також скануватися будь-де. Панель 33 підпису може реєструвати підпис власника дозвільного документа, перетворювати його на сигнал цифрового підпису і надсилати цей сигнал до пристрою 17 для обробки даних. Використовуючи клавіатуру, власник може, наприклад, вводити код і надсилати його до пристрою 17 для обробки даних. Пристрій 37 для зчитування/запису на смарткартці може зчитувати інформацію з смарт-картки. Офісний блок 13(і) може мати наступні компоненти. 1. Пристрій 17 для обробки даних може бути міні персональним комп'ютером з процесором Pentium M, 1 Гбайт RAM, диском флеш-пам'яті на 1,5 Гбайт і з'єднанням Ethernet 10/100 Мбіт. 2. Пристрій 21 для зчитування інформації з смарт-карток та пристрій 22 для зчитування інформації з SIM-карток можуть встановлюватися для зчитування форматів карт 2*ID1 і 2*ID000 і стандарту ISO 7816 і легко стиковуваних плат розширення/комутаційних плат. 3. Пристрій 14 для зчитування з чипу може бути "RF зчитувачем" (RF = радіочастотний), наприклад, який відповідає стандарту ISO 14443 А&В. Для легкого використання службовцем, пристрій 14 для зчитування з чипу може об'єднуватися із сканером 18 для запису MRZ 8, як це буде пояснюватися далі з посиланням на фігуру 6. Це робить можливим для службовця зчитувати інформацію з MRZ і чипу за одну операцію. Дані в MRZ використовуються, наприклад, як тип PIN-коду для зчитування вмістів чипу в дозвільному документі. Це забезпечує певний степінь захисту від зчитування вмістів такого чипу через те, що жоден, хто має тільки обладнання для зчитування з MRZ, не може зчитувати інформацію з чипу. Потім чип не може, наприклад, просто зчитуватися пристроєм для безконтактного зчитування з чипу (не сприймає) для одержання чийогось дозвільного документа. 4. Окрім того, пристрій може мати USB-порти, наприклад, USB 2,0;0,5 мА. Ці порти повинні використовуватися для з'єднання клавіатури 35, миші (не зображена), пристрою 27 для зчитування відбитків пальців, панелі 33 підпису, пристрою 37 для зчитування/запису на смарт-картці, і подібного 5. Дисплей 23 може, наприклад, буди рідкокристалічним (LCD) екраном, розміром 6,4". Блок 15(і) для обслуговування клієнтів може мати наступні компоненти. 1. Дисплей 25 може, наприклад, бути рідкокристалічним (LCD) екраном, розміром 8,4". 2. Панель 33 підпису може об'єднуватися з рідкокристалічним (LCD) екраном і мати спеціальну ручку/стилус. Фігура 6 зображає переважний варіант виконання місць для пристрою 14 для зчитування інформації з чип-картки та сканер 18. Переважно, вони встановлюються з можливістю одночасного виконання своїх функцій. Фігура 6 зображає картку 1 з дозвільного документу 6 (порівняно з фігури 1). 7' вказує, що картка 1 може також містити фотографію власника. Вона буде друкуватися тут системою 30 персоналізації (дивіться фігуру 3). В одному положенні, вказаному позицією 1', картка 1 96933 12 може поміщатися, наприклад, за допомогою придатного слоту в корпусі, який містить пристрій 14 для зчитування інформації з чипу і сканер 18 так, що сканер 18 може зчитувати фотографію 7' і MRZ 8, тоді як пристрій 14 для зчитування інформації з чипу може одночасно зчитувати інформацію з чипу 34 на картці 1. Потім встановлюють сканер 18 для забезпечення оптичного розпізнавання символів в MRZ і для оцифровування зображення фотографії 7'. У вищеописаній системі, кожне об'єднання офісного блоку 13(і) і блоку 15(і) для обслуговування клієнтів може повністю контролюватися з об'єднаної робочої станції або комп'ютера 10(і). Для реалізації кожного об'єднання офісного блоку 13(і) і блоку 15(і) для обслуговування клієнтів, немає потреби встановлювати другий комп'ютер (або персональний комп'ютер (PC)) на робочому місці службовця. Кожне об'єднання офісного блоку 13(і) і блоку 15(і) для обслуговування клієнтів може просто замінятися на нове, якщо необхідно, адміністратором службових робочих місць. Вмісти такого об'єднання офісного блоку 13(і) та блоку 15(і) для обслуговування клієнтів, включаючи необхідне програмне забезпечення, а також засоби фізичного захисту і програмного захисту, можуть перевірятися органом, що відповідає за друк дозвільного документа 6 і за запис на чип 5. Це захисне програмне забезпечення буде описуватися пізніше. Запам'ятовуючий пристрій 19 в офісному блоці 13(і) зберігає програмне забезпечення для контролю об'єднання офісного блоку 13(і) та блоку 15(і) для обслуговування клієнтів. В одному варіанті виконання, це програмне забезпечення включає: 1. (Інтернет) програму для контролю офісного блоку 13(і) та блок 15(і) для обслуговування клієнтів. Ця програма відповідає серед іншого за інтерфейс користувача, тобто, за те, що з'являється на дисплеях 23 та 25, за контроль апаратних засобів та компонентів програмного забезпечення і за увесь обмін даними з іншими системами, такими як комп'ютер 10(і) і сервер 11. 2. Робоча система. Запам'ятовуючий пристрій 19 містить, наприклад, встановлену версію Microsoft Windows XP™. 3. Програмне забезпечення для створення так званого "повного фронтального зображення". Це програмне забезпечення використовується для прийому і обробки цифрових даних, пов'язаних із сканованою фотографією власника, просканованої сканером 18. Це програмне забезпечення формує стандартизоване зображення цієї фотографії. Це стандартизоване зображення фотографії використовується пізніше для графічного відтворення 7' на дозвільному документі 6 і також для цифрового збереження на його чипі 5. Це програмне забезпечення може, наприклад, генерувати "зображення маркера". "Зображення маркера" є спеціальною формою цифрового зберігання для фотографій, визначених стандартом ISO 19794. Іншим прикладом є "повне фронтальне зображення". 4. Програмне забезпечення для перевірки якості фотографії, просканованої сканером 18, і "повного фронтального зображення" на основі цієї фо 13 тографії, а також "зображення маркера", якщо це має місце. Це програмне забезпечення передбачається для визначення рівня узгодженості із стандартом ISO 19794. Якщо цей рівень узгодженості стає нижче певної порогової величини, то просканована фотографія буде відхилятися і з цією метою службовець буде приймати позитивне повідомлення, наприклад, за допомогою дисплею 23 або монітора комп'ютера 10(і). Потім власник повинен надавати іншу фотографію. Перевага сканування і розгляду узгодження із стандартом ISO 19794 на робочому місці полягає в тому, що власник може одержати негайно нову фотографію, якщо це необхідно, замість пізніше прийому виклику дома, якщо виявлено дефекти. Спосіб запитування і видачі дозвільного документа 6 буде тепер пояснюватися за допомогою фігури 7. Спосіб стартує з операції 7F1, у якій пристрій 17 для обробки даних офісного блоку 13(і) перевіряє, чи має службовець повноваження. З цією метою, службовцю видається ідентифікаційна картка (в Голландії також відома як IAR картка. IAR=Identifiatiekaart Aanvraagsysteem Reisdocument [Пропускний Документ Системи, яка використовує Ідентифікаційну картку]), яка дозволяє пристрою 21 для зчитування/запису з смарткартки зчитувати інформацію. Це гарантує те, що тільки уповноважена особа має можливість розпочинати процес. Якщо службовець уповноважив себе своєю ідентифікаційною карткою, то під час операції 7F3 процесор 17 надсилає до сервера 11 сигнал дозволу. Під час операції 7F5, сервер 11 приймає сигнал дозволу від офісного блоку 13(і) Під час операції 7F7, сервер 11 очікує на одержання від комп'ютера 10(і) інструкції розпочати захищену веб-сесію. Така ініціатива надсилається службовцем, який працює з комп'ютером 10(і). Після одержання такої інструкції, сервер 11 розпочинає під час операції 7F9 захищену веб-сесію між комп'ютером 10(і) та службовим блоком 13(і). Сесія між комп'ютером 10(і) на робочому місці службовця та офісним блоком 13(і) є, наприклад, https сесією, за допомогою якої взаємний обмін даними оцифровується з використанням SSL "SSL" розшифровується як "Рівень Захищених Гнізд" і є одним з найважливіших використовуваних протоколів захисту, наприклад, в мережі Інтернет. Для цієї SSL-сесії, використовується одностороння автентифікація, у якій офісний блок 13(і) автентифікує себе 3 цією метою, офісний блок 13(і) містить асиметричну криптографічну пару (яка може використовуватися, наприклад, в добре відомому протоколі RSA) із сертифікатом (наприклад, X 509). Ця криптографічна пара разом із сертифікатом зберігається в SAM 41 в пристрої 22 для зчитування/запису на SIM-картку офісного блоку 13(і). Для перетворення цієї процедури автентифікації на робочу, робоча система комп'ютера 10(і) повинна мати відомості про (іншими словами повинні зберігатися) так званий кореневий сертифікат, об'єднаний з сертифікатом офісного блоку 13(і), і який вважається надійним. У той же час, повинен бути присутній веб-навігатор, який 96933 14 може оперувати цим, наприклад, Internet Explorer 6.0 або Mozilla Firefox 1:0.6 або вища, у яких вебнавігатор конфігурується для надання можливості використовувати SSL. В одному варіанті виконання, для надання можливості коректної роботи захищеної сесії навігатора, використовується аплет. Цей аплет надсилається як частина https сесії офісним блоком 13(і) і виконується сервером 11. Альтернативно, сервер 11 може повернути назад такий аплет від комп'ютера 10(і). Для гарантії використання вірного аплету і непошкодження вмісту цього аплету, код програмного забезпечення аплету може підписуватися (також відомий як "код підпису"). Програмне забезпечення аплету, підписаного у цей спосіб, може перевірятися сервером 11, використовуючи той же кореневий сертифікат, що й для сертифікатів SS.L. Для коректної роботи аплету, на комп'ютері 10(і) службовця може застосовуватися, наприклад, Java-runtime environment version 5.0 update 4 або вища. Як тільки стартує захищена веб-сесія (операція 7F9), сервер 11 очікує на введення службовцем PIN (персонального ідентифікаційного номера) за допомогою комп'ютера 10(і) операція 7F11. Зразу після введення службовцем свого PIN, сервер 11 дозволяє реєстрацію службовця для захищеної веб-сесії: операція 7F13. Як варіант, сервер 11 може друкувати бланк заяви за допомогою принтера 12, на який службовець може пізніше вносити дані, і на який заявник може ставити свій підпис. Друк відбувається, наприклад, під час операції 7F14. Такий бланк заяви може фізично передаватися до відділу обробки документації. Фізична фотографія заявника в дозвільному документі 6 може кріпитися до такого бланку заяви. Під час операції 7F15 записується біометрична характеристика заявника дозвільного документа 6. Така біометрична характеристика може бути відбитками пальців власника, наприклад, яка потім записується пристроєм 27 для зчитування відбитків пальців. Альтернативно або як додаток, біометрична характеристика може відноситися до фотографії обличчя власника, знятої фотокамерою 31. Фотокамера 31 встановлюється для формування цифрового зображення обличчя клієнта. Альтернативно, як зазначено раніше, клієнт може передавати фотографію, яка, наприклад, сканується сканером 18, який потім надсилає цифрове зображення цього до пристрою 17 для обробки даних. Записана біометрична характеристика переважно перевіряється пристроєм 17 для обробки даних на якість в офісному блоці 13(і). Ця перевірка буде у якомога більшій мірі автоматизуватися. Однак, можна, щоб частина процедури перевірки на якість здійснювалась черговим службовцем. З цією метою, записана біометрична характеристика відображається, наприклад, на дисплеї 23 або на моніторі комп'ютера 10(і). Під час перевірки на якість використовуються стандартизовані норми, наприклад, такі як встановлені Європейським Союзом. Під час операції 7F17, біометрична характеристика у встановленому стандартизованому форматі надсилається до сервера 11. Під час операції 15 7F19, сервер 11 одержує біометричну характеристику від офісного блоку 13(і). Потім службовець вводить дані бланку заяви власника в комп'ютер 10(і) за допомогою, наприклад, його клавіатури. Ці дані бланку заяви відносяться, наприклад, до імені, адреси, місця народження, року народження, сімейного стану, росту, і подібного. Під час операції 7F20, сервер 11 одержує ці дані бланку заяви власника від комп'ютера 10(і). Під час операції 7F21, сервер 11 надсилає ці дані бланку заяви до пристрою 17 для обробки даних офісного блоку 13(і). Потім пристрій 17 для обробки даних відображає ці дані бланку заяви на дисплеї 25 під час операції 7F22. Потім заявник дозвільного документа 6 може перевірити дані бланку заяви, відображені для нього на дисплеї 25. Якщо заявник погоджується з даними бланку заяви, показаними йому, то його просять поставити підпис на панелі 33 підпису. Під час операції 7F23, пристрій 17 для обробки даних приймає такий підпис. Під час операції 7F24, пристрій 17 для обробки даних надсилає цей підпис, після оцифровування його, до сервера 11. Під час операції 7F25, сервер 11 одержує оцифрований підпис. Цей підпис може потім також знову відображатися на дисплеї 23 або на моніторі комп'ютера 10(і) так, що службовець може перевіряти, чи відповідає цей підпис нормам. Оцифрований підпис додається до даних бланку заяви сервером 11. Під час операції 7F27, сервер 11 надсилає дані бланку заяви, біометричну характеристику та оцифрований підпис до відділу обробки документації. Ці дані можуть містити цифровий підпис, виконаний блоком SAM 41, в пристрої 22 для зчитування/запису інформації на SIM-картці. Операція 7В1 є необов'язковою і буде здійснюватися при роботі з паперовим бланком заяви, як він надрукований під час операції 7F14, і в який службовець може пізніше внести необхідні дані, і на який заявник помістив свій підпис. Під час операції 7В1, сканер 26 сканує одержаний бланк заяви і надсилає проскановані дані до сервера 28. Під час операції 7ВЗ, сервер 28 одержує дані бланку заяви, біометричну характеристику і оцифрований підпис від сервера 11 по мережі 24. Якщо бланк заяви сканується фізично, то надруковані дані на бланку співставляються з даними, одержаними по мережі. Це можливо, наприклад, через те, що унікальний код друкується на бланку заяви, і цей унікальний код разом з даними бланку заяви, біометричною характеристикою і оцифрованим підписом надсилається до відділу обробки документації. Цей унікальний код використовується для об'єднання даних від різних маршрутів. Однак, очікується, що фізичний (паперовий) бланк заяви більше не буде використовуватися в майбутньому і що усі дані, необхідні для виготовлення дозвільного документа 6, будуть надсилатися тільки по мережі 24. Дані, надіслані під час операції 7F27, переважно помічаються цифровим підписом, поставленим службовцем. З цією метою, службовець може знову використовувати свою ідентифікаційну картку, яку він вставляє в пристрій 21 для зчитуван 96933 16 ня/запису інформації із смарт-картки. Цифровий підпис цих даних відображає функціональність сервера 11. Для підвищення захисту інформаційного трафіку, переважно усі дані, які генеруються під час операції 7F27 і надсилаються від сервера 11 до сервера 28, знову оцифровуються. Альтернативно, захищене з'єднання може також встановлюватися між сервером 11 та сервером 28, наприклад, у формі VPN з'єднання (віртуальної приватної мережі). Під час операції 7В7, сервер 28 надсилає дані бланку заяви, біометричну характеристику і оцифрований підпис до системи 30 персоналізації і відповідно до пристрою 32 для запису на чипі. Це відбувається, наприклад, знову після оцифровування цих даних і після їх цифрового підпису оператором, який, з цією метою, використовує зчитувач чипів 40. З цією метою, оператор має чипкартку з чипом, який містить його власні дані, які можуть використовуватися для їх цифрового підпису. Потім виготовляють дозвільний документ 6, завдяки чому система 30 персоналізації друкує на документі дані бланку заяви наперед визначеним способом. Більше того, ця система персоналізації друкує необхідні дані на ділянці 8 MRZ. Пристрій 32 для запису на чипі буде, більше того, зберігати дані бланку заяви, біометричну характеристику і оцифрований підпис в чипі 5 дозвільного документа 6. Коли біометрична характеристика відноситься, наприклад, до обличчя власника, то система 30 персоналізації може також друкувати копію обличчя як фотографію 7' (дивіться фігуру 6) на картці 1, на якій також розташований чип 5. Коли дозвільний документ 6 готовий, то він надсилається до відділу для обслуговування клієнтів, наприклад, за допомогою захищених засобів передачі і за допомогою відділу обробки документації, де заявник дозвільного документу 6 може забрати нього. Видача дозвільного документа 6 заявнику здійснюється захищеним способом. Заявник, який приходить для отримання виготовленого дозвільного документу 6, знову зобов'язаний надати можливість просканувати свою біометричну характеристику, наприклад відбиток пальця. Під час операції 7F31, пристрій 17 для обробки даних знову одержує оцифровану біометричну характеристику власника. Під час операції 7F33, пристрій 17 для обробки даних знову надсилає цю біометричну характеристику до сервера 11. Тим часом, під час операції 7F29, сервер 11 одержав сигнал від сервера 28, що дозвільний документ 6 виготовлений і надісланий назад. Під час операції 7F35, сервер 11 одержує знову проскановану біометричну характеристику. Під час операції 7F37, за допомогою сканера 18 службовець дозволяє зчитувати дані MRZ картки 1 дозвільного документа 6. Потім, (або раніше, або одночасно) пристрій 14 для зчитування з чипу зчитує дані, які відносяться до біометричної характеристики, з чипу 5 картки 1. Це відбувається під час операції 7F39. Переважно, це зчитування може відбуватися тільки, коли зчитуються коректні дані 8 MRZ. Дані 8 MRZ формують тип PIN-коду для зчитування з чипу 5. Більше того, обмін дани 17 ми між чипом 5 та пристроєм 14 для зчитування з чипу відбувається захищеним способом, використовуючи ключ на SAM блоці 41. Потім чип 5 повинен також встановлюватися для такого захищеного обміну даними, тобто, зберігаючи ключ і придатну комп'ютерну програму для такого захищеного обміну даними. Потім документ 6 та чип 5 можуть автентифікуватися пристроєм 17 для обробки даних. Це відбувається під час операції 7F41. Якщо ця автентифікація є успішною, то пристрій 17 для обробки даних надсилає сигнал автентифікації, а також біометричну характеристику, збережену в чипі 5, до сервера 11. Цей сигнал автентифікації, а також зчитана біометрична характеристика одержується сервером 11 під час операції 7F45. Під час операції 7F47, сервер 11 перевіряє, чи ідентична знову просканована біометрична характеристика з біометричною характеристикою, збереженою в чипі 5. Якщо ні, то потім сервер 11 надає негативний сигнал - операція 7F49 - наприклад на моніторі комп'ютера 10(і). Якщо ці дві характеристики узгоджуються, то видається позитивний сигнал: операція 7F51. Після такого позитивного сигналу, сервер 11 реєструє в пам'яті, що документ 6 виданий власнику: операція 7F53. Той факт, що дозвільний документ виданий таким же чином сигналізується у відповідь сервером 11 до сервера 28 відділу обробки документації, який таким же чином реєструє, що дозвільний документ 6 виданий коректним чином: операція 7В9. В одному варіанті виконання використовується "біометричний сертифікат", як це описано в голландському патенті № 1020903, на який тут робиться посилання. Біометричний сертифікат зберігається 96933 18 в запам'ятовуючому пристрої 36 чипу 5 і містить дані біометричної характеристики власника дозвільного документу та дані, які мають наперед визначений зв'язок із зчитуваними машиною даними в MRZ. В спеціальному варіанті виконання, біометричний сертифікат та дані власника (наприклад, дані в MRZ) об'єднуються за допомогою односторонньої функції (HASH). Коротко кажучи, блок SAM 41 може використовуватися наступними способами. 1. Перш за все, дані, які відносяться до одного або багатьох ключів, в блоці SAM 41 можуть використовуватися для уповноваження прикладної системи. 2. Один або більша кількість ключів в блоці SAM 41 можуть використовуватися для захищеного обміну даними з іншими системами, якщо вони також встановлені для цієї цілі, наприклад, внесенням цифрових підписів в потік даних. Це стосується, наприклад, захищеного обміну даними з серверами 11 та 28. 3. Використовуючи один або більшу кількість ключів в блоці SAM, пристрій 14 для зчитування з чипу може встановлювати захищений зв'язок з чипом 5 на дозвільному документі 6. Клавіатура 35 може використовуватися для надання можливості клієнту друкувати PIN-код, за допомогою якого він ідентифікує себе. Це буде використовуватися в поєднанні з пристроєм 37 для зчитування/запису інформації на смарт-картці, який може зчитувати інформацію з чипа на ідентифікаційній картці, на якій також зберігається цей PIN-код. Клавіатура може виконуватися як сенсорна панель, що одночасно служить панеллю 33 підпису. 19 96933 20 21 96933 22 23 96933 24 25 96933 26 27 96933 28 29 96933 30 31 Комп’ютерна верстка Г. Паяльніков 96933 Підписне 32 Тираж 23 прим. Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601