Skema til beskrivelser af forsknings- og udviklingsaktiviteter

Skema til beskrivelser af forsknings- og udviklingsaktiviteter
Aktivitetsplan (navn): Identitet på nettet i et
globalt perspektiv
Beskrivelse af den nye
tjenesteydelse eller de
nye kompetencer som
forventes udviklet
Aktivitetsplan nr.:
Danske netbutikker omsatte i 2012 for over 40 milliarder kroner og
omsætningen vokser årligt med en tocifret procentsats. Inddrager vi også
mediers og cloud-baserede tjenesteudbyderes omsætning nås et endnu
større tal.
To centrale trends udfordrer hele denne sektor af nettjenester:
Internationalisering af det digitale marked, og
Øget politisk fokus på forbrugerbeskyttelse, ikke mindst omkring
håndtering af persondata.
Begge disse trends er karakteriseret ved at håndtering af identitet på nettet
er en absolut kritisk parameter, og der er et stort behov for at udvikle
kompetencer og ydelser som kan medvirke til at sikre og forstærke denne
udvikling for leverandørerne af nettjenester. Dette behov er også
identificeret i Forsk2020 (se afsnit om formål og målgruppe nedenfor).
Internationalisering af de digitale markeder er en kombination af en
politisk/økonomisk og en teknisk udvikling. Den politisk/økonomiske er
det EU’s ”Digitale Indre Marked” 1 og den generelle globalisering. Den
tekniske er udviklingen hen imod en ”Open API Economy” 2 , hvor
nettjenester er bygget op af andre nettjenester, hvilket sammen med
globaliseringen gør, at danske nettjenester meget vel kan være sat
sammen af tjenester fra andre lande og selv indgå i udenlandske tjenester.
Alle disse tjenester skal kunne holde styr på brugere og identiteter på
tværs af geografiske, organisatorisk og it-systemmæssige grænser.
Ifht. håndtering af persondata, er den altoverskyggende udvikling den
kommende EU-persondataforordning, som kraftigt vil øge kravene til
beskyttelse af identitetsoplysninger. Kombineret med den beskrevne
tekniske udvikling samt med det velkendte trusselsbillede omkring
identitetstyveri og internetsvindel, vil dette gøre virksomheder som
vedligeholder deres egen identitetstjeneste meget sårbare.
Den oplagte reaktion på dette er naturligvis, at virksomheder som leverer
nettjenester ikke længere selv står for identitetsstyring, men i stedet
”outsourcer” dette til en identitetstjeneste. Dette er oplagt fordi det 1)
fjerner ansvar fra virksomheder, 2) lader både virksomhed og
identitetstjeneste fokusere på deres kernekompetencer og 3) det er en
naturlig udvidelse af den Open API Economy som virksomheden i
forvejen befinder sig i. Det er altså oplagt ikke selv at levere den
grundlæggende identitetstjeneste, men i stedet købe den som en service
(via et API!). Denne tankegang har i flere år været til stede hos firmaer
som Facebook og Google, som gør det muligt for andre tjenester at lade
deres kunder logge ind vha. deres konto hos dem. Et godt eksempel er den
populære musiktjeneste Spotify, hvor brugere udelukkende kan logge ind
vha. en Facebook-konto. Denne udvikling er under hastig acceleration, og
på vej mod egentlig Identity Management-as-a-Service 3 med henblik på at
kunne reducere mængden af oplysninger, som en leverandør skal
opbevare. Kontekstafhængige akkreditiver kan bruges som vigtige
byggesten i den sammenhæng og er også forudsætningen for de modeller
1 http://ec.europa.eu/information_society/newsroom/cf/pillar.cfm
2 Se bl.a. ”KuppingerCole Advisory Note – The OpenAPI Economy” af Craig Burton.
3 Se bl.a. Kim Camerons oplæg om dette: http://www.identityblog.com/p=1205
1

som IT- og Telestyrelsen introducerede i deres diskussionspapir om nye
sikkerhedsmodeller 4 . Endeligt vil vi også betragte identitet ud fra et
mobilitetsperspektiv, idet mange it-anvendelser i dag er på vej over på
smartphones og tablets. Dette introducerer nye problemer, men giver også
unikke muligheder. Samlet tegner der sig et klart billede af at danske
virksomheder som leverer nettjenester får behov for en stadigt mere
kompleks identitetsstyring, samtidigt med at kravene til måden dette gøres
på stiger betragteligt.
Vi vil udvikle kompetencer, software og tjenester som gør os i stand til at
levere følgende ydelser til markedet af virksomheder som driver
forretning på nettet samt deres tekniske underleverandører:
Rådgivning om juridiske krav til håndtering af persondata og hvilke
tekniske løsninger og tiltag der kan og bør anvendes for at leve op til
disse.
Rådgivning om hvordan man håndterer identiteter på tværs af grænser
(geografisk, organisatorisk, it-mæssigt), hvilket specifikt vil handle
om (de facto) standarder og protokoller og deres rolle i en Open API
Economy.
Rådgivning omkring IdMaaS (Identity Management-as-a-Service),
herunder ”brokering” og kontekstafhængige akkreditiver.
Rådgivning omkring identitetsstyring på mobile platforme.
Softwareværktøjer og referenceimplementationer som gør det let at
bruge relevante (de facto) standarder og protokoller.
Softwareværktøjer som gør det lettere at anvende
identitetsmekanismer (signaturer og kontekstafhængige akkreditiver) i
browsere og på mobile platforme (det vil sige overalt hvor brugeren
har brug for det).
Testtjenester som gør det muligt for en virksomhed at teste deres
implementation og brug af (de facto) standarder og protokoller.
Tjeneste som kan oversætte mellem forskellige identitetsproviders på
en måde som sikrer både brugeren og den nettjeneste, som har brug
for identifikation ifht. de juridiske krav.
Undervisning om identitet rettet mod universiteter, erhvervs- og
professionshøjskoler.
Disse ydelser findes kun i meget begrænset omfang på det eksisterende
private rådgivermarked (der er mange virksomheder som rådgiver om
identitetsstyring, men ingen som teknisk eller juridisk matcher denne
aktivitet – hvilket bekræftes af støtteerklæringer fra denne type rådgiver,
fx Signaturgruppen og IT Crew, samt brancheorganisationer). Resultatet
af denne aktivitet vil altså stå som et supplement til og en videreudvikling
af de kompetencer som allerede findes i markedet, hvilket oplagt
muliggør Alexandra Instituttets GTS-funktion som ”rådgivers rådgiver”,
samtidigt med at der adresseres et stort samfundsmæssigt behov.
Ift. markedsmodning af ydelserne, så forventer vi allerede i løbet af
projektet at kunne begynde at sælge dele af de udviklede ydelser, mens
andre formentlig først vil være markedsmodne med udgangen af
projektet.
Ydelserne som udvikles vil blive forankret, fagligt og kommercielt, i
Alexandra Instituttets Security Lab. Lab’et er ideelt stillet til at
gennemføre dette arbejde igennem en stærk national og international
position ifht. de relevante teknologier. Kommercielt vil ydelserne også
4 Se IT- og Telestyrelsens diskussionspapir om nye sikkerhedsmodeller på nettet:
http://digitaliser.dk/resource/781482
2

Aktivitetsplanens
indhold
blive integreret som en del af Alexandra Instituttets samlede salgsarbejde,
med hovedansvar placeret i området Software Technology.
Som det fremgår ovenfor er udfordringerne defineret ved fire forskellige
tendenser, som vil blive behandlet i fire separate arbejdspakker.
Derudover er der en særlig arbejdspakke med fokus på videnspredning:
1. Arbejdspakke 1 (AP1): Juridiske og forretningsmæssige krav.
2. Arbejdspakke 2 (AP2): Open APIs
3. Arbejdspakke 3 (AP3): IdMaaS
4. Arbejdspakke 4 (AP4): Mobilitet
5. Arbejdspakke 5 (AP5): Videnspredning.
Den grundlæggende relation mellem disse arbejdspakker er at de tre
”tekniske” arbejdspakker (AP2-4) tager afsæt i krav som identificeres i
AP1 – og at der er et feedback loop ifht. fx at skabe forståelse for den
juridiske gangbarhed af specifikke tekniske løsninger, og krav som ikke er
teknisk realiserbare. I det følgende gennemgås planerne for de enkelte
arbejdspakker i nærmere detalje.
AP 1: Juridiske og forretningsmæssige krav. Denne arbejdspakke
beskæftiger sig med afdækning af de ”ikke-tekniske” krav i forbindelse
med digitale identiteter, herunder digitale signaturer. Ved ikke-tekniske
krav tænkes særligt på juridiske krav og ikke mindst den kommende
persondataforordning. Denne forordning har til formål at standardisere
reglerne på området, lette bureaukratiet for virksomhederne og samtidigt
give brugerne af online tjenester bedre beskyttelse. Dette kan give
udfordringer for især mindre virksomheder uden en juridisk afdeling, da
det medfører mere ansvar til virksomhederne, samtidigt med at størrelsen
af straffe for overtrædelser stiger markant.
Udover juridiske krav vil denne arbejdspakke også kikke på de mere
gængse forretningsmæssige krav, da disse også kan have stor indflydelse
på håndteringen af ”identitet” i en given løsning.
Arbejdspakken består i 5 delaktiviteter
1. Afdækning af juridiske krav: Her vil vi i samarbejde med Charlotte
Bagger Tranberg fra Aalborg Universitet afdække hvilke krav danske
virksomheder i fremtiden skal leve op til. (Milepæle 1.1.1 og 2.1.1)
2. Workshops med virksomheder: I løbet af projekter vil vi afholde
workshops med fokus på virksomhedsinddragelse i alle danske
Regioner med henblik på at identificere en række interessante cases
og i øvrigt få input til projektet. Disse workshops vil også blive brug
ifbm. videnspredning. (Milepæle 1.5.1, 2.5.1 og 3.5.1 )
3. Etablering af nationalt netværk om identitetsstyring. Fokus vil være
på at samle de forskellige nationale eksperter og interessenter med
henblik på synergi, koordination og videndeling. (Milepæle 1.5.2,
2.5.2 og 3.5.2)
4. Case-behandling: På baggrund af workshops udvælges cases til
detaljeret analyse med det formål at afdække juridiske og
forretningsmæssige krav. Der vil være fokus på at vælge cases med
særlige juridiske udfordringer. Udvalgte af disse cases vil blive brugt
som cases til implementation i de tekniske arbejdspakker. (Milepæle
1.1.2 og 2.1.2)
5. Definition af ydelser: Her vil vi med udgangspunkt i Osterwalders
Business Model Canvas udarbejde forretningsmodeller for de ydelser
som AP1 fører til, og på baggrund heraf definere de egentlige
ydelser(Milepæl 2.1.3). Dette drejer sig om:
a. Rådgivningsydelse om juridiske og forretningsmæssige
aspekter udbydes. (Milepæl 3.1.1)
AP 2: Open APIs. Denne arbejdspakker beskæftiger sig med de API’er,
3

(de facto) standarder og protokoller til at håndtere identiteter i ”the Open
API Economy”. Disse udgør de byggeklodser, som gør det muligt at
kombinere tjenester baseret på mange forskellige identitetsleverandører,
at understøtte forskellige identitetsleverandører, og – ikke mindst – for en
bruger af en tjeneste, at give den adgang til andre af brugeren anvendte
tjenester.
Der vil være fokus på teknologier og standarder som OpenID Connect,
OAuth, Facebook Connect, Mozilla Persona samt relevante underliggende
teknologier som fx onion routing. Denne liste vil løbende blive opdateret.
AP2 er bygget op omkring 5 delaktiviteter:
1. Videnhjemtagning: Vi vil først og fremmest engagere os i relevante
standardiseringsarbejder som fx OpenID Connect og OAuth. Dernæst
vil vi deltage i førende internationale konferencer som fx Internet
Identity Workshop eller Cloud Identity Summit. Endeligt vil vi
engagere os i forskellige konsortier som fx ”Kantara Initiative” og
”Trust in Digital Life”. (Milepæl 1.2.1, 2.2.1 og 3.2.1)
2. Cases: Udfra AP1 vil vi udvælge cases som indeholder særlige
tekniske problemstillinger, og implementere disse vha. af de
studerede byggeklodser. (Milepæl 1.2.3, 2.2.3 og 3.2.3)
3. På baggrund af den viden vi erhverver os vil vi lave
softwareværktøjer (biblioteker) som gør det lettere at bruge udvalgte
”byggeklodser” (fx OAuth eller OpenID Connect), samt
referenceimplementationer som illustrerer anvendelsen af disse
biblioteker og/eller andre udvalgte ”byggeklodser”. (Milepæle 1.2.4,
2.2.4 og 3.2.3)
4. Endeligt vil vi implementere en service, som gør det muligt at teste,
hvorvidt en identitetsløsning baseret på fx OAuth er korrekt lavet.
(Milepæle 1.2.5, 2.2.5, 2.2.8 og 3.2.5)
5. Definition af ydelser: Her vil vi med udgangspunkt i Osterwalders
Business Model Canvas udarbejde forretningsmodeller for de ydelser
som AP1 fører til, og på baggrund heraf definere de egentlige ydelser.
Dette drejer sig om:
a. Software bibliotek som gør det nemt for tjenesteudbydere at
integrere de undersøgte teknologier (milepæl 2.2.6 og 3.2.5)
b. Testsetup, som tjenesteudbydere kan bruge til at teste deres
egne implementationer (milepæle 2.2.8 og 3.2.5)
c. Rådgivning (milepæl 2.2.7 og 3.2.2)
AP 3: ID Management-as-a-Service. I denne delaktivitet vil vi studere
forskellige modeller for IdMaaS.
Arbejdspakken er delt ind i 5 delaktiviteter:
1. IdMaaS-PoC: Med udgangspunkt i teknologier som Microsoft U-
Prove og IBM IdentityMixer vil vi lave et proof-of-concept som
illustrerer integration mellem en sådan teknologi og NemId..
(Milepæle1.3.4)
2. ABC4Trust-broker: Med udgangspunkt i den software som udvikles
(ikke mindst af Alexandra Instituttet A/S) i EU-projektet ABC4Trust,
vil vi implementere en IdMaaS-tjeneste som understøtter flere af de
muligheder som findes med kontekst afhængige akkreditiver.
(milepæle 2.3.4, 3.3.1 og 3.3.2)
3. Browsersupport: Et grundlæggende problem for både 1. og 2. ovenfor
er at de er baseret på kryptografiske primitiver som ikke altid er til
stede i de browsere som man ønsker at benytte. Med afsæt i vores
detaljerede viden om implementation af kryptografi, vil vi
implementere de mest kritiske komponenter. (milepæle 1.3.2, 2.3.2)
4. Cases med TDL: TDL (Trust in Digital Life) er et international
4

konsortium med fokus på at lave innovative løsninger indenfor bl.a.
”identitet”. Alexandra Instituttet er blevet inviteret med i dette
konsortium (vi er pt. observatør), som gennemfører forskellige
praktiske cases. Vi vil – i samspil med AP1 – identificere en case med
behov for brugen af kontekst afhængige akkreditiver og implementere
en pilot/proof-of-concept. (milepæle 1.3.3 og 2.3.3)
5. Definition af ydelser: Her vil vi med udgangspunkt i Osterwalders
Business Model Canvas udarbejde forretningsmodeller for de ydelser
som AP1 fører til, og på baggrund heraf definere de egentlige ydelser.
Dette drejer sig om:
a. Software til anvendelse af kontekstafhængige akkreditiver
direkte i browsere (milepæl 2.3.2)
b. IdMaaS (Identity Management as a Service) tjeneste
(milepæle 2.3.4, 3.3.1 og 3.3.2)
c. Rådgivning (milepæl 3.3.3)
Arbejdspakke 4: Mobilitet og digitale signaturer. Som nævnt ovenfor
er mobilitet, dvs. smartphones og tablet, blevet en af de primære måder vil
tilgår it-løsninger, og dermed også en type platform hvor identitet er
vigtig. Ifht. identitet har smartphones (mindst) to vigtige aspekter: 1)
smartphones som et værktøj til at opnå bedre sikkerhed (fx beskyttelse
imod phishing), og 2) smartphones som brugerens arbejdsplatform
hvorfra der skal lave identifikation. I denne del aktivitet vil vi kikke på
begge disse aspekter, hvilket sker igennem 6 delaktiviteter:
1. ITSCI pilot: Nets (som driver NemID) forbereder lige nu at supplere
deres nøglekort (One-Time-Password OTP) løsning med
understøttelse af lokal nøgleopbevaring med POCES 5 på
hardwaretoken. Alexandra Instituttet har over en årrække i ITSCI
projektet deltaget i udviklingen af en sikkerhedsløsning med
opbevarelse af signeringsnøgle delt på en smartphone og en central
server. Aktiviteten har som mål at afprøve denne nye løsning fra
ITSCI-projektet. (milepæle 1.4.1, 1.4.2, 2.4.1 og 2.4.3 )
2. Analyse af smartphone til signatur og akkreditiver: I denne
arbejdspakke vil vi analysere forskellige smartphone-platforme (iOS,
Android, Windows Phone, …) med henblik på at afdække
trusselsbilledet samt hvilke tekniske løsninger der er mulige ifht.
identitetsstyring. (milepæle 2.4.2 og 3.4.1)
3. Software smartphone og tablet: I denne aktivitet vil vi videre udvikle
udvalgte softwarekomponenter/koncepter fra AP2 og AP3, herunder
kontekstafhængige akkreditiver, til smartphone-platforme. (milepæle
2.4.4 og 3.4.4)
4. Cases: Ud fra AP1 vil vi udvælge cases som indeholder særlige
mobile problemstillinger, og implementere disse. (milepæle 3.4.2)
5. Definition af ydelser (nævne kort; ref til milepæle): Her vil vi med
udgangspunkt i Osterwalders Business Model Canvas udarbejde
forretningsmodeller for de ydelser som AP1 fører til, og på baggrund
heraf definere de egentlige ydelser. Dette drejer sig om:
a. Software og tjenester baseret på teknologi fra ITSCI projektet
(milepæl 3.4.2)
b. Software til håndtering af kontekstafhængige akkreditiver på
mobile platforme (milepæl 3.4.4)
c. Rådgivning omkring identiteshåndtering på mobile platforme
(milepæl 3.4.3)
Denne arbejdspakke vil bruge det første år på delprojektet vedrørerende
5 POCES: Privat Offentlige Certifikater til Elektroniske Services.
5

Formål og målgruppe
ITSCI, og vil de to sidste år kikke den anden del af arbejdspakken. I
anden del vil vi identifciere en eller flere cases til at drive arbejdet.
Arbejdspakke 5: Generel videnspredning. Denne arbejdspakke arbejder
med videnspredning af den viden der bliver genereret fra alle de fire andre
arbejdspakker. Dette vil vha. en række forskellige virkemidler:
Årlig event.
Etablering af nationalt netværk.
Formidling via fagpresse, konferencer og lign.
Udvikling af kurser til afvikling på uddannelsesinstitutioner.
Videnskabelige publikationer.
Se i øvrigt afsnittet om formidlings- og spredningseffekt, hvor der er givet
yderligere detaljer omkring vidensspredning.
Barrierer: En af de primære barrier for denne aktivitet er adgang til de
nødvendige juridiske kompetencer. Denne har vi sikret os igennem
samarbejde med lektor Charlotte Bagger Tranberg (CBT) fra Aalborg
Universitet (se støtteerklæring). CBTs daglige arbejde har netop fokus på
den kommende persondataforordning, og hun er i færd med at skrive en
lærebog om emnet.
En anden barrier er, at sikre det nødvendige vidensniveau ifht de meget
ambitiøse tekniske løsninger der arbejdes med og at have mulighed for
faktisk at arbejde med eksempelvis Microsofts og IBMs (som arbejder på
tilsvarende teknologi) løsninger. Begge håndteres delvist igennem TDL
(hvor Microsoft er medlem), delvist igennem EU/FP7-projektet
ABC4Trust hvor Alexandra Instituttet deltager sammen med både
Microsoft og IBM, og sidst men ikke mindst direkte opbakning til dette
projekt fra IBM Research, Zürich.
Forankring: Arbejdet vil blive forankret i Alexandra Instituttets Security
Lab, som besidder de nødvendige tekniske kvalifikationer, hvilket blandt
dokumenteres af deltagelse i internationale forskningsprojekter som
ABC4Trust (hvor Alexandra Instituttet har en af de største budgetposter),
og toolbox’en til tredjepartsadgang som er udviklet for
Digitaliseringsstyrelsen med fokus på den kommende datahub 6 for elbranchen.
Som beskrevet ovenfor, udgør den kommende persondataforordning
kombineret med behovet for at indgå i et stadigt mere (teknisk set)
komplekst økosystem af it-løsninger en trussel mod alle danske
virksomheder som driver forretning på nettet.
Det grundlæggende samfundsmæssige behov består i at tilgodese
virksomhedernes kommercielle interesser samtidigt med at private
borgeres it-sikkerhed beskyttes. Sidstnævnte vil blive gjort igennem de
øgede lovmæssige krav i kraft af den nye EU-databeskyttelsesforordning
(som bl.a. specificer bøder på op til 2% af en virksomheds omsætning).
Samtidigt er der også fra både det internationale marked og EU en
udvikling imod mere og mere dynamiske it-løsninger. Både it-løsninger
generelt og identitetsløsninger specifikt. Dette ses blandt andet igennem
EU's tiltag omkring det Digitale Indre Marked 7 , som udover
databeskyttelsesforordniningen indeholder en række tiltag, bla. en ny
signaturforordning.
Behovet fremgår også er Forsk2020, hvor det i kapitlet om Digitale
Muligheder og Løsninger beskrives et behov for borgerrettet it-sikkerhed,
herunder privacy-beskyttelse, hvilket er direkte i tråd med ovenstående.
Stærkere tiltag ifbm beskyttelse af borgere på nettet kombineret med
6 http://energinet.dk/DA/El/Datahub/Sider/DataHub.aspx
7 http://ec.europa.eu/information_society/newsroom/cf/pillar.cfm
6

Nationale og
internationale
samarbejdspartnere
udviklingen imod en Open API Economy og det Digitale Indre Marked
gør, at de færreste danske it-baserede SMV’er vil kunne leve af isolerede
produkter; de vil i stedet levere produkter som benytter andres services og
som leverer services til andre. De bliver derfor en del af et international
økosystem af tjenester, og dette kræver i langt højere grad end i dag solide
(internationalt orienterede) identity-services. Dette har netop små danske
virksomheder på egen hånd ikke særlig gode muligheder for at etablere -
derfor vil hjælp til dette gøre en forskel for deres evne til at deltage i den
globale konkurrence.
Kort sagt, danske virksomheder har et stort behov for håndtering af
identitet på nettet, hvis de vil ride med på digitaliseringsbølgen, men
øgede sikkerhedstrusler og -krav risikerer at ødelægge den ”gode
stemning”.
Formålet med denne aktivitet er at afhjælpe dette problem, med den
bagvedliggende tese at virksomheder skal outsource en stor del af deres
ID-håndtering og kun fokusere på deres kerneforretning.
Målgruppen er både offentlige og private leverandører af
identitetstjenester, men i højere grad virksomheder (og deres rådgivere)
som leverer online-tjenester (internetbutikker, medier, cloud-tjenester
osv.) og som har brug for en eller anden for form identifikation af deres
brugere. Det vil stort set sige alle virksomheder som leverer tjenester på
nettet. Dette inkluderer bla. nethandel, finanssektoren, og virksomheder
generelt som leverer tjenester over nettet (fx SaaS-løsninger).
Udvalgte kommentarer fra www.bedreinovation.dk
Vi mangler de fundamentale byggeklodser
Vi mangler de fundamentale byggeklodser, som dels sikrer, at
brugeren har kontrol med sin identitet på nettet, og som dels sikrer, at
brugeren kan "logge ind" på tværs af tjenester rundt omkring i
verden, som han ønsker at bruge. Et projekt på dette område baseret
på tankerne i "Nye Digitale Sikkerhedsmodeller" vil være meget
velkommet. Jeg er iøvrigt enig med hbiering i at det kunne være
interessant at koble projektet sammen med med "Open Data - digital
lim"-projektet. /Henning Mortensen, Chefkonsulent, DI ITEK
Finans og it -- og it-sikkerhed og persondata
Spændende tanker. Vi vil gerne i Copenhagen Finance IT Region
være med til at drøfte dem yderligere og præsentere dem for
virksomhederne, der arbejder i krydsfeltet mellem finans og it
.. Der er både lovgivningsmæssige, brugermæssige og tekniske
aspekter i emnet, og jeg tror det er vigtigt at tænke det offentlige og
private sammen. Her tror jeg finans kunne være et nøgleord og en
drivkraft i udviklingen. /Anders Pall Skött, Konsulent, Copenhagen
Finance IT Region
Det bemærkes specielt at der er opbakning fra CFIR som repræsenterer
finanssektoren. Der er også vedlagt støtteerklæring fra CFIR, samt fra en
række andre interessenter, herunder Nets som driver NemID. Desuden er
det værd at fremhæve brancheorganisationer som DI/ITEK, og FDIH.
Væsentlige internationale samarbejdspartnere: IBM Research
Zürich og Microsoft Corporate (Cloud Identity & Privacy Services)
Væsentlige danske samarbejdspartnere: Aalborg Universitet (Juridisk
Institut), DI ITEK, FDIH – Foreningen for Dansk Internet Handel,
Finansrådet, CFIR (Copenhagen Finance IT Region), Nets DanID,
Signatur Gruppen, Cryptomathic, IT Crew, Peercraft og
Digitaliseringsstyrelsen. Derudover koordineres med IBIZ-centeret,
særligt omkring videnspredning.
7

Koordinering og
samspil med andre
FoU-aktiviteter
Formidlings- og
spredningseffekt:
International videnhjemtagning: Denne aktivitet beskæftiger sig med
teknologi, hvor det er en fundamental forudsætning at vi samtidigt med
vores nationale fokus på vores målgruppe også har et international fokus.
International videnhjemtagning er derfor fuldstændigt afgørende for alle
dele af projektet. En stor del af denne vil foregå i arbejdspakke 2, men
derudover også igennem de internationale samarbejdspartnere og
Alexandra Instituttets internationale netværk (fx er Lab’ets chef, Jakob I.
Pagter, national delegat i IFIP/TC11 8 ) deltagelse i internationale projekter
som fx ABC4Trust
En del af vores forudgående viden på områedet kommer fra kommercielle
projekter, og en del kommer fra andre FoU projekter både tidligere
projekter, men også EU/FP7-ptojektet ABC4Trust som kører parallelt
med næste RK periode. Tidligere har Alexandra Instituttet deltaget i
ITSCI-projektet (2007-2011, finansieret af Det Strategiske Forskningsråd
- http://itsci.borgernesitsikkerhed.dk).
Vi planlægger at bruge denne aktivitet som medfinanciering af det
eksisterende EU/FP7-projekt ABC4Trust, og derudover vil vi gerne
medfinanciere et nyt EU/FP7-projekt og et nationalt financieret projekt
indenfor emneområdet. Ingen af disse projekter er dog ansøgt pt.
Ifht. Alexandra Instituttets øvrige forslag til aktivitetsplan vil der være
synergieffekter med (mindst) følgende:
Kickstart af Danmark som telemedicinsk foregangsland, hvor der
også er et potentielt behov for viden omkring identitetsstyring.
Formidlingen af den viden vi generere i denne aktivitet vil blive formidlet
gennem forskellige kanaler. Vi vil bruge indlæg og artikler, samt
konferenceoplæg og infooplæg til bredt at sprede viden om aktiviteten og
sprede en bred viden om feltet. For også at sprede en dybere viden og give
mulighed for erfaringsudveksling vil vi: 1) Etablere et dansk netværk på
området og afholde workshops, både med specifikke indlæg, men også
med plads til erfaringsudveksling. 2) I samarbejde med
uddannelsesinstitutioner, herunder både universiteter og erhvervsskoler,
udbyde kurser henvendt til studerende på sidste del af deres respektive
uddannelser. 3) Udbyde specialiserede kurser til industrien.
Artikler
Hvert år vil vi i denne aktivitet stå for 1-2 artikler i danske fagblade, samt
1-2 internationale videnskabelige publikationer.
Netværk og Workshops
Både for at give os brugbar viden fra industrien, for at skabe et forum til
erfaringsudveksling samt at give os en kanal til interesserede
virksomheder vil vi etablere et netværk på området. Desuden vil vi
afholde en årlig event omkring projektet og dets resultater. Desuden vil vi
også formidle om aktiviteten i de workshops som er omtalt i AP1.
For at sikre bredest mulig opbakning til vores arrangementer vil vi søge at
afholde en del af vores arrangementer i samarbejde med organisationer
med et bredt netværk. Det kan fx være CFIR.
Derudover vil vi afholde foredrag mv. i regi af IBIZ-centeret.
Kurser
Vi vil også bruge den genererede vide til at udbyde kurser. Vi har positiv
tilkendegivelse fra Datalogisk Institut ved både Aarhus Universitet og
Københavns Universitet omkring et kursus udbudt til studerende. Vi vil
forsøge at udbyde kurset flere steder, og vi vil arbejde med en version
henvendt til erhvervs- og professionshøjskoler.
8 http://www.ifiptc11.org/
8

Milepæle år 1 1. Milepæle år 1
1.1. Arbejdspakke 1
1.1.1. Kompetenceopbygning: White paper om EU's nye
persondataforordning.
1.1.2. Kompetenceopbygning: Katalog over cases og deres
forretningsmæssige og juridiske krav. Mindst 5 cases skal
beskrives.
1.2. Arbejdspakke 2
1.2.1. Kompetenceopbygning: Medlem af mindst to internationale fora
som arbejder med standardisering, fx OAuth, OpenID Connect,
samt mindst et som arbejder med identitet i et bredere perspektiv, fx
Kantara Initiative.
1.2.2. Kompetenceopbygning: Initielt white paper om APIer, standarder
og protokoller med fokus på NemID og OAuth2.0.
1.2.3. Kompetenceopbygning: Gennemførsel af min. en case med dansk
SMV.
1.2.4. Kompetenceopbygning: Initiel version og demonstration af
softwarebibliotek bygget på (de facto) standarder med fokus på
NemID og OAuth2.0.
1.2.5. Kompetenceopbygning: Definition af intielle krav til et testsetup
med NemID, OAuth, Facebook Connect og OpenID Connect m.fl.
1.3. Arbejdspakke 3
1.3.1. Kompetenceopbygning: Initielt white paper om IdMaaS med
overblik over IdMaaS domænet generelt.
1.3.2. Kompetenceopbygning:Software til anvendelse kontekstafhængige
akkreditiver direkte i browsere
1.3.3. Kompetenceopbygning: Definition af case i samarbejde med TDL.
1.3.4. Kompetenceopbygning: IdMaaS-PoC i samarbejde med bl.a.
Microsoft
1.4. Arbejdspakke 4
1.4.1. Kompetenceopbygning: Demonstrator baseret på ITSCIteknologien.
1.4.2. Kompetenceopbygning: Have en kørende prototype baseret på
teknologien fra ITSCI projektet
1.5. Arbejdspakke 5
1.5.1. Dansk videnspredning: Event med deltagere fra 40 virksomheder.
Kan evt co-arrangeres med større national konference (eksempelvis
Dansk ITs: ”Digital Signatur”)
1.5.2. Dansk videnspredning: Nationalt netværk med 2 møder og 20
medlemmer (det ene møde kan kalendermæssigt overlappe med
event)
1.5.3. Dansk videnspredning: 2 artikler i danske fagblade (inkl. online
medier)
1.5.4. Dansk videnspredning: Kursus afholdt på mindst 1
uddannelsesinstitution.
1.5.5. Dansk videnspredning: Kursus revideret på baggrund af feedback
fra afvikling (se milepæl 1.5.4).
1.5.6. Dansk videnspredning: Mindst to foredrag om aktivitetens emne
igennem IBIZ-center.
1.5.7. Dansk videnspredning: Levering af indhold til www.ibiz-center.dk
omkring identitet og sikkerhed på nettet ifht. den i løbet af året
opbyggede faglige viden.
1.6. Generelt:
1.6.1. Kompetenceopbygning: Deltagelse i 2 internationale konferencer
(inluderer generelt ikke præsentation, men det kan være i
9

forbindelse med præsentation af videnskabelig artikel (se milepæl
1.6.2)).
1.6.2. Kompetenceopbygning: 1 international videnskabelige artikel.
Milepæle år 2 2. Milepæle år 2
2.1. Arbejdspakke 1
2.1.1. Kompetenceopbygning: White paper om den EU's nye
persondataforordning udvidet på baggrund af tekniske indsigter fra
det forløbne år 1.
2.1.2. Kompetenceopbygning: Katalog over cases og deres
forretningsmæssige og juridiske krav. Mindst 10 cases skal
beskrives (inkl. 5 fra år 1)
2.1.3. Udvikling af teknologisk service: Definition af forretningsmodel for
den i arbejdspakken udviklede viden som Business Model Canvas.
2.2. Arbejdspakke 2
2.2.1. Kompetenceopbygning: Aktiv deltagelse i udarbejdelse af
standarder og protokoller i mindst 2 internationale fora.
2.2.2. Kompetenceopbygning: White paper om APIer, protokoller og
standarder. Ifht. milepæl 1.2.4 udvides med OpenID, Facebook
Connect m.fl.
2.2.3. Kompetenceopbygning: Gennemførsel af minimum en case med
dansk SMV.
2.2.4. Udvikling af teknologisk service:Udbygget version af
softwarebibliotek bygget på (de facto) standarder. Ifht. milepæl
1.2.4 udvides med OpenID, Facebook Connect m.fl.
2.2.5. Kompetenceopbygning: Demoudgave af testsetup i drift.
2.2.6. Udvikling af teknologisk service: Forretningsmodel (business
model canvas) for softwarebibliotek bygget på (de facto) standarder
2.2.7. Udvikling af teknologisk service: Forretningsmodel for rådgivning
om APIer, standarder og protokoller som Business Model Canvas.
2.2.8. Udvikling af teknologisk service: Forretningsmodel for testsetup
som on-line service som Business Model Canvas.
2.3. Arbejdspakke 3
2.3.1. Kompetenceopbygning: Endeligt white paper om IdMaaS som ifht.
1.3.1 er udvidet med den specifikke viden udviklet i denne aktivitet.
2.3.2. Udvikling af Teknologisk Service: Forretningsmodel (business
model canvas) for software til anvendelse af kontekstafhængige
akkreditiver direkte i browsere.
2.3.3. Kompetenceopbygning: Gennemførsel af case i samarbejde med
TDL
2.3.4. Kompetenceopbygning: Kravspecifikation på egen IdMaaS-tjeneste.
2.4. Arbejdspakke 4
2.4.1. Kompetenceopbygning: ITSCI løsning i pilotdrift med 1000
brugere.
2.4.2. Kompetenceopbygning: Whitepaper om identitet på smartphones
(iOS, Android, Windows Phone) med fokus på generel viden.
2.4.3. Udvikling af teknologisk service: Forretningsmodel (som business
model canvas) for viden og software fra ITSCI-delen af projektet.
2.4.4. Udvikling af teknologisk service: Software til anvendelse
kontekstafhængige akkreditiver på smartphones (mindst 2 ud af flg
tre platforme: iOS, Android og Windows Phone).
2.5. Arbejdspakke 5
2.5.1. Dansk videnspredning: Event med deltagere fra 40 virksomheder.
Kan evt co-arrangeres med større national konference (eksempelvis
Dansk ITs: ”Digital Signatur”)
10

2.5.2. Dansk videnspredning: Nationalt netværk med 2 møder og 20
medlemmer (det ene møde kan kalendermæssigt overlappe med
event)
2.5.3. Dansk videnspredning: 2 artikler i danske fagblade (inkl. online
medier)
2.5.4. Dansk videnspredning: Revideret (se milepæl 1.5.5) kursus afholdt
på 1 uddannelsesinstitution.
2.5.5. Dansk videnspredning: Kursus revideret på baggrund af milepæl
2.5.4.
2.5.6. Dansk videnspredning: Mindst to foredrag om aktivitetens emne
igennem IBIZ-center.
2.5.7. Dansk videnspredning: Levering af indhold til www.ibiz-center.dk
omkring identitet og sikkerhed på nettet ifht. den i løbet af året
opbyggede faglige viden.
2.6. Generelt:
2.6.1. Kompetenceopbygning: Deltagelse i 2 internationale konferencer
om emnet (inluderer generelt ikke præsentation, men det kan være i
forbindelse med præsentation af videnskabelig artikel (se milepæl
2.6.2)).
2.6.2. Kompetenceopbygning: 1 international videnskabelige artikel
Milepæle år 3 3. Milepæle år 3
3.1. Arbejdspakke 1
3.1.1. Udvikling af teknologisk service: Rådgivningsydelse om juridiske
og forretningsmæssige aspekter udbydes.
3.2. Arbejdspakke 2
3.2.1. Kompetenceopbygning: Aktiv deltagelse i udarbejdelse af
standarder og protokoller i mindst 2 internationale fora.
3.2.2. Udvikling af teknologisk service: Forretningsmodel (business
model canvas) for rådgivningsydelse om APIer, protokoller og
standarder. Ydelse udbudt.
3.2.3. Kompetenceopbygning: Gennemførsel af minimum en case med
dansk SMV.
3.2.4. Udvikling af teknologisk service: Udbygget version af
softwarebibliotek bygget på (de facto) standarder. Ifht. milepæl
2.2.4 udvides med understøttelse af de nævnte standarder på mobile
platforme (mindst 2 ud af følgende 3: iOS, Android, Windows
Phone).
3.2.5. Udvikling af teknologisk service: Softwarebibliotek i drift
3.2.6. Udvikling af teknologisk service: Testsetup for APIer, standarder og
protokoller i drift
3.3. Arbejdspakke 3
3.3.1. Kompetenceopbygning: Demonstrator af egen IdMaaS-tjeneste i
samarbejde med blandt andre IBM.
3.3.2. Udvikling af Teknologisk Service: Forretningsmodel (business
model canvas) for egen IdMaaS-tjeneste.
3.3.3. Udvikling af teknologisk service: Forretningsmodel (business
model canvas) for rådgivning om IdMaaS. Ydelse udbudt.
3.4. Arbejdspakke 4
3.4.1. Kompetenceopbygning: Revideret whitepaper som ifht. 2.4.2 er
udvidet med specifik viden opbygget i denne aktivitet.
3.4.2. Kompetenceopbygning: Gennemførsel af case omkring mobil ID
3.4.3. Udvikling af teknologisk service: Forretningsmodel (som business
model canvas) for rådgivning om mobil ID
3.4.4. Udvikling af teknologisk service: Forretningsmodel (som business
model canvas) for software til anvendelse kontekstafhængige
11

Titel ved præsentation
på BedreInnovation.dk
akkreditiver på smartphones.
3.5. Arbejdspakke 5
3.5.1. Dansk videnspredning: Event med deltagere fra 40 virksomheder.
Kan evt co-arrangeres med større national konference (eksempelvis
Dansk ITs: ”Digital Signatur”)
3.5.2. Dansk videnspredning: Nationalt netværk med 2 møder og 20
medlemmer (det ene møde kan kalendermæssigt overlappe med
event)
3.5.3. Dansk videnspredning: 2 artikler i danske fagblade (inkl. online
medier)
3.5.4. Dansk videnspredning: Revideret (se milepæl 2.5.5) kursus afholdt
på 1 uddannelsesinstitution.
3.5.5. Dansk videnspredning: Kursus revideret på baggrund af milepæl
3.5.4.
3.5.6. Dansk videnspredning: Mindst to foredrag om aktivitetens emne
igennem IBIZ-center.
3.5.7. Dansk videnspredning: Levering af indhold til www.ibiz-center.dk
omkring identitet og sikkerhed på nettet ifht. den i løbet af året
opbyggede faglige viden.
3.6. Generelt:
3.6.1. Kompetenceopbygning: Deltagelse i 2 internationale konferencer
(inluderer generelt ikke præsentation, men det kan være i
forbindelse med præsentation af videnskabelig artikel (se milepæl
3.6.2)).
3.6.2. Kompetenceopbygning: 1 international videnskabelig artikel
Identitet på nettet i et globalt perspektiv
12