JP4975762B2 - エンドユーザ認証システム、装置及び方法 - Google Patents

エンドユーザ認証システム、装置及び方法 Download PDF

Info

Publication number
JP4975762B2
JP4975762B2 JP2008553197A JP2008553197A JP4975762B2 JP 4975762 B2 JP4975762 B2 JP 4975762B2 JP 2008553197 A JP2008553197 A JP 2008553197A JP 2008553197 A JP2008553197 A JP 2008553197A JP 4975762 B2 JP4975762 B2 JP 4975762B2
Authority
JP
Japan
Prior art keywords
authentication
challenge
user station
communication channel
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008553197A
Other languages
English (en)
Other versions
JP2009525677A (ja
Inventor
ウルフ シューベルス,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MIDEYE AB
Original Assignee
MIDEYE AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MIDEYE AB filed Critical MIDEYE AB
Publication of JP2009525677A publication Critical patent/JP2009525677A/ja
Application granted granted Critical
Publication of JP4975762B2 publication Critical patent/JP4975762B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Description

本発明は、保護情報、例えば保護リソース又は保護サービス等へのアクセスを要求するユーザ局構成のエンドユーザを認証するシステムであって、アクセスサーバ手段及び認証手段を含み、移動ユーザ局構成が無線ネットワークの第1の通信チャネルを介する認証手段との通信をサポートするシステムに関する。
更に本発明は、アクセスサービング手段インタフェースと、無線ネットワークの第1の通信チャネルを介するユーザ局構成との通信を可能にする少なくとも1つのインタフェースとを具備し、ユーザ局構成から保護情報、保護リソース又は保護サービスへのアクセスを要求するエンドユーザを認証する認証手段に関する。
更に本発明は、認証手段へアクセス要求を送出することにより保護サービス、保護リソース、保護情報等へのアクセスを要求するユーザ局構成のリモートエンドユーザを認証する方法に関する。特に、本発明は、IPネットワーク又は電子アクセスネットワークの他の形態を介して保護リソースへのアクセスを要求するモバイルユーザの認証に関する。
公衆ネットワークを介して保護されるサービス又は一般に保護される機密情報へのリモートアクセスは、保護情報の乱用を回避するため、あるいは保護情報又は保護サービスの不測の流出を防止するために、エンドユーザに対する厳しい認証を必要とする。従来、認証は、エンドユーザに提供されるいわゆる認証トークンを用いて行われる。この場合、保護サービス又は情報へのアクセスが許可される前に、エンドユーザがトークンを所有しているかが検証される。その典型的な例は、いわゆるトークンカードであり、これは、認証サーバにより検証される擬似ランダムワンタイムパスワードをエンドユーザに提供する。
別個の認証トークンの配布に代わるものとして、移動装置の識別モジュール、例えばGSM SIM(加入者識別モジュール)カード又はUMTS(ユニバーサル移動通信システム)USIM(UMTS SIM)がトークンとして利用可能である。識別モジュールは、認証チャレンジに署名するため及びリモートエンドユーザがセキュリティトークンを所有していることを証明するために使用可能な秘密鍵を含んでもよく、そのような実施例において、これは移動装置の識別モジュールから構成される。
今日、移動装置の識別モジュールをセキュリティトークンとして利用するための主な方法が2つある。方法の1つは、モバイルネットワークをセキュリティチャネルとして利用することである。それにより、認証サーバは無線ネットワークを介して移動装置と通信する。以下、これをネットワーク系認証と呼ぶ。認証サーバが、エンドユーザからの最小限の入力のみを用いて、認証対話におけるいくつかのステップを自動的に実行できるため、ネットワーク系認証は非常に使いやすい。しかし、認証が動作するには移動装置が無線有効範囲内に存在する必要があるということは、そのようなネットワーク系認証方法の欠点である。別の欠点は、チャネルが単純に妨害され、それによって認証の実行が妨げられることである。
別の方法は、署名動作を移動装置上で手動で実行することをエンドユーザに要求することに基づく。本明細書において、これは手動入力認証と呼する。
手動入力認証は、エンドユーザとの相当な対話を必要とし、エンドユーザは、例えばアクセスチャネルからのチャレンジを読み取り、これを移動装置に入力し、署名付き応答を毎回返送する必要がある。移動装置が同時にアクセス端末としても使用される場合、これは特に不都合である。しかし、そのような方法は無線有効範囲に依存しない。
米国特許第A5,668,876号公報において、電子サービスへのアクセスを試みるエンドユーザを認証する方法及び装置が説明される。それにより、チャレンジコードが通常の電話と共に使用される移動電話、移動電話又は有線電話等のパーソナルユニットへ送出される。チャンレンジコードはパーソナルユニットへ送信され、ユーザはPIN等を入力し、ユニットは、内部に格納された秘密鍵に基づいて応答コードを生成する。このコードは、例えば電話に入力され、アクセスを許可又は拒否するため、応答と元のチャレンジコード又は期待される応答コードとを比較するために返送される。この文献は、特に、セキュリティシステムの使用を特定の場所に限定する専用端末又はカスタマイズされた端末が必要であるという問題を解決する。しかし、この解決策は、チャンレンジコードの配信の結果を追跡しないという点で不都合であり、これは、特に、無線有効範囲がない場合には認証が失敗することを意味する。
発明の概要
従って、詳細には、可能な限り少ないエンドユーザ対話を必要とする容易で融通性のある方法でエンドユーザ認証が実行されるシステムが必要とされる。詳細には、任意の専用ユニットの使用に限定されないシステムが必要とされる。更に、いわゆるネットワーク系方法を通常はそれに関連する欠点の影響を受けずに利用できるシステムが必要とされる。詳細には、ユーザ局構成が到達可能か否か、すなわち無線ネットワークの有効範囲内にあるか否かに関係なく動作し、その上ユーザにとって使いやすく、所望の程度又は最大限に自動化可能なシステムが必要とされる。詳細には、既存の通信システムにおいて実行が容易であり、新しいシステムにおいても同様に実行が容易なシステムが必要とされる。
また、上述の目的の1つ以上を達成可能な構成又は認証手段が必要とされる。上述の目的の1つ以上が達成可能な更なる方法が必要とされる。更に、上述の目的の1つ以上を達成可能な方法が必要とされる。
従って、最初に説明したように、ユーザ局構成が第2の通信チャネルを介する認証手段との通信を更にサポートするシステムが提供される。認証手段は、ユーザ局構成から保護情報、保護サービス又は保護リソースへのアクセス要求を受信した場合に、ユーザ局構成が第1の通信チャネルを介して認証目的で到達可能であるかを確認し、更に、第1の認証モード及び前記第2の通信チャネルを介する第2の認証モードをサポートするように構成される。認証手段は、保護情報等へのアクセスを要求するユーザ局構成に対して第1の認証モード又は第2の認証モードが起動されるか又は使用されるか、並びに/又はそれが起動されるか又は使用される時期を選択する決定手段を更に具備する。詳細には、決定手段は、使用可能であるか又は使用されるべき認証モードに応じて第1の認証モードと第2の認証モードとを切替える切替え手段を具備するか又はそれと通信する。詳細には、第1の認証モードは第2の認証モードより優先される。これは、第1の認証モードが使用可能な場合はそれが使用されるべきであることを意味する。詳細には、認証手段は、ユーザ局構成が第1の通信チャネルを介して認証目的で到達可能であるか否かを確認する前記決定手段を具備するか又は含む検査手段を具備する。詳細には、第1の通信チャネルは認証チャネルを含み、より詳細には、第2の通信チャネルはアクセスチャネルを含む。
一つの実施形態においては、第2の通信チャネルも第1の無線ネットワークの通信チャネルであり、別の実施形態においては、第2の無線ネットワークの通信チャネルである。しかし、別の有用な実施形態において、第2の通信チャネルは、例えばインターネットアクセス用の又はインターネットアクセスをサポートする固定通信ネットワーク又は有線通信ネットワークの通信チャネルである。
一つの実施形態において、認証手段は、認証サーバ内か又はそれに関連して設けられてもよい認証モジュールを含む。認証モジュールは、アクセス手段内か又はそれに関連して設けられてもよい。他の実施形態において、認証手段は認証サーバを含む。
いくつかの実施形態において、ユーザ局構成は、別個のユニットを形成する移動装置及びアクセス端末を具備する。別の実施形態において、ユーザ局構成は、モバイルアクセス端末を単一ユニットとして具備する。すなわち、移動装置及びアクセス端末は、単一ユニットとして提供される。
上述のような決定手段は、詳細には、組合せユニット又は移動装置のいずれかとしてのユーザ局の構成が第1の無線ネットワークを介して到達可能ではない場合、例えば、ユーザ局の構成が無線有効範囲外であるか又は第1の通信チャネルが妨害される等の場合、第2のモードを選択するように構成される。当然、第2の通信チャネル、詳細にはアクセスチャネルを利用するか又は第2のモードを利用する他の理由があってもよい。
認証手段は、詳細には、検査手段を含む認証実行手段を具備する。認証実行手段は、第1の認証モードが使用可能であるか又はユーザ局構成が第1の無線ネットワークを介して到達可能であるかを確認するために、第1の通信チャネル、例えば第1の無線ネットワークを介して、ユーザ局構成との事前の認証対話を開始するように構成される。
更に詳細には、認証手段は、検査ステップを構成するとも言える事前の認証対話を実行するために、チャレンジコードを含む第1のチャレンジメッセージを生成し且つそれを第1の通信ネットワークを介してユーザ局構成へ送信し、第1のチャレンジメッセージのチャレンジコードの配信が検証される場合は、チャレンジプロンプトを含む第2のチャレンジメッセージをユーザ局構成に提供することにより第1の認証モードの第1の認証対話を開始するように構成される。更に、認証手段は、チャレンジコードの配信が検証されない場合は、チャレンジコード及びチャレンジプロンプトを同一メッセージ内に含む組合せチャレンジメッセージを生成し且つそれを第2の通信チャネルを介してユーザ局構成へ送出することにより第2の認証モードの第2の認証対話を開始し、検査の結果に応じて保護情報/サービスへのアクセスを許可するか又はアクセスを拒否するために、チャレンジコードが適切に署名されて返送され且つ送出されたチャレンジコード又は送出されたチャレンジコードに対する期待される応答に対応するかを検査するように構成される。検査及び許可/拒否手順は、第1のモードが使用されるか又は第2のモードが使用されるかに関係なく同一である。
特定の実施形態において、検査手段は、例えばSMS−C(ショートメッセージサービスセンタ)を介して、第1のチャレンジメッセージをSMS(ショートメッセージサービス)として送出するように構成される。最も詳細には、チャレンジコードは、任意の適切な方法で生成された乱数を含む。
認証手段は、ユーザ局構成に対する公開鍵等のユーザ情報を保持するユーザデータ格納手段と、各ユーザ局構成の認証モジュールに格納された各秘密鍵に対応するユーザ局構成の公開鍵を使用して返送された署名付き(暗号化)チャレンジコードを復号化し、返送された復号化チャレンジコードとユーザ局構成へ送出された元のチャレンジコード又は期待される応答とを比較することにより、復号化返送チャレンジコードが元のチャレンジコード又は期待される応答に対応する場合はアクセス要求を許可し、対応しない場合はアクセス要求を拒否するように構成される認証検証手段とを更に具備するか又はそれらと通信する。
最も詳細には、RADIUSチャレンジ応答機構等はシステムによりサポートされる。
一つの実施形態において、移動装置で(自動的に)署名され且つ移動装置上に提示されているチャレンジコードをアクセスクライアントに入力するようにエンドユーザに求める第2のチャレンジメッセージ、例えば第1のモードのチャレンジプロンプトが第2の通信チャネルを介して送出される。あるいは、秘密鍵を用いる署名は、手動で実行されるか又は手動署名を含む。あるいは、ユーザ局が、例えば上述のような組合せユーザ局構成(1つのエンティティ)である場合又はアクセス端末(クライアント)及び移動装置が別個のユニットであるがBluetoothプロトコル等により接続される場合、それは、署名付きチャレンジコードの自動入力に提供されてもよい。
第2のモードが実行されるか又は実行される必要がある場合、アクセスコードがプロンプトと共に第2の通信チャネルを介してアクセス端末へ代わりに送出され、エンドユーザは、移動装置上で署名機能を手動で選択し且つチャレンジコード(アクセス端末上に提示される)を移動装置に入力することにより移動装置を用いてチャレンジコードに署名し、その後、署名付きチャレンジコード(移動装置上に提示される)をアクセス端末に入力するように求められる。また、この場合、組合わせユーザ局構成に対しては部分的又は完全な自動化が可能である。
従って、本発明によると、最初に説明されたように、第2の通信チャネルを介するユーザ局構成との通信もサポートするように構成され、且つ保護アクセスを要求するユーザ局構成が第1の通信チャネルを介して認証目的で到達可能であるかを確認する検査手段を含む認証実行手段を更に具備する認証手段が更に提案される。認証手段は、第1の認証モードと、第2の通信チャネル(のみ)を使用する第2の認証モードとをサポートするように構成され、検査手段は、第1の認証モード又は第2の認証モードを選択する決定手段を具備する。詳細には、決定手段は、第1の認証モードと第2の認証モードとを切替える切り替え手段を具備するか又はそれと通信する。最も詳細には、第1の認証モードは第2の認証モードより優先され、詳細には前記第2のモードは、ユーザ局構成が第1の通信チャネルを介して認証目的で到達可能ではない場合にのみ使用される。特定の実施形態において、第1の通信チャネルは認証チャネルを含み、第2の通信チャネルはアクセスチャネルを含む。最も詳細には、第1の通信チャネルは、第1の無線ネットワークの無線ネットワーク通信チャネルであり、第2の通信チャネルは、例えばインターネットアクセス用固定通信ネットワークの通信チャネル、前記第1の無線ネットワークの第1の無線ネットワーク通信チャネル以外の無線ネットワーク通信チャネル又は第2の無線ネットワークの無線ネットワーク通信チャネルである。一つの実施形態において、認証手段は認証サーバを含む。
あるいは、認証手段は、認証サーバ、アクセスサーバ、又は組合せ認証アクセスサーバに関連付けられるか又はその内部に設けられるように構成される認証モジュールを含む。あるいは、認証モジュールが含まれるか又は関連付けられることにより、組合せアクセス認証サーバが形成される。
最も詳細には、検査手段は、ユーザ局構成が第1の通信チャネルを介して到達可能であるかを確認するために、特に、チャレンジコードを第1の通信チャネルを介して例えばSMSとして送出することにより、所定の判定基準が満たされるかを検査し、ユーザ局構成を介する利用可能性に関する直接的又は間接的な配信確認がユーザ局構成又は無線ネットワーク側から取得されるかを検査するように構成される。最も詳細には、所定の判定基準が満たされる場合、検査手段は、第1のモードにおいて認証実行手段を起動するように構成される。第1のモードにおいて、認証実行手段は、第1のチャレンジメッセージで送出されたチャレンジコード、好ましくはユーザ局構成の移動装置において自動的に署名されたチャレンジコードをアクセスクライアントに(手動で)入力すること及び前記署名付きチャレンジコードを認証手段に返送することを求めるチャレンジプロンプトを含む第2のチャレンジメッセージを送出するように構成される。前記認証実行手段は、署名付きチャレンジコードを復号化し、返送された復号化チャレンジコードと最初に送出されたチャレンジコード(又は、期待される応答)とを比較し、元のチャレンジコード(期待される応答)と復号化返送チャレンジコードとが一致する場合にはアクセス要求を許可し、一致しない場合にはアクセス要求を拒否する検証手段を更に具備する。
詳細には、検証手段は、第1のモード及び第2のモードにおいて、外部格納手段又は内部格納手段に格納されたユーザ局構成に関係し且つ署名に使用されるユーザ局構成の秘密鍵に対応する公開鍵を取得するように構成される。更に詳細には、認証手段は、配信確認が受信されない場合又は第1のモードの実行においてアクセス要求が拒否された場合、移動装置上で署名し且つアクセスクライアントに入力するためのチャレンジコード及びチャレンジプロンプトの双方を含む組合せチャレンジメッセージをユーザ局構成へ送出し、返送された署名付きチャレンジコードを復号化し、返送された復号化チャレンジコードと元の送出チャレンジコード(期待される応答)とを比較し、元のチャレンジコードと復号化返送チャレンジコードとが一致する場合にアクセス要求を許可し、一致しない場合にアクセス要求を拒否するように構成される。詳細には、アクセス端末上に提示されるチャレンジコードの入力後、手動署名が移動装置上で要求され、署名付きチャレンジコードの手動入力がアクセスクライアント上で要求される。
詳細には、第1のチャレンジメッセージ、例えばチャレンジコードは、ランダムチャレンジコードを含む。
上述の問題の1つ以上を解決し、且つ本出願において前述された目的の1つ以上を実行するために、ユーザ局構成が(第1の)無線ネットワークの第1の通信チャネルを介して認証目的で到達可能であるかを確認するために、認証手段において検査ステップを実行するステップと、到達可能である場合に第1の認証モードを開始するステップと、到達可能ではない場合に第2の通信チャネルを介して第2の認証モードを開始するステップとから成る最初に説明されたような方法が更に提供される。
詳細には、検査ステップは、第1のチャレンジメッセージを認証手段において生成するステップと、第1のチャレンジメッセージをユーザ局構成又はユーザ局構成を扱う無線ネットワークノードへ送出するステップと、認証手段において、所定の判定基準が満たされるか、例えば第1のメッセージの配信確認が所定の期間内に受信されるかを検査するステップと、所定の判定基準が満たされる場合、ユーザ局構成において署名された第1のチャレンジメッセージ要求する第2のチャレンジメッセージを送出することにより前記第1の認証モードを開始するステップと、所定の判定基準が満たされない場合、組合せチャレンジメッセージを生成し且つ前記組合せチャレンジメッセージを第2の通信チャネルを介して前記ユーザ局構成に送信することにより前記第2のモードを開始するステップとを含む。最も詳細には、第1のチャレンジメッセージはチャレンジコード、例えばランダムコードを含み、第2のチャレンジメッセージはチャレンジプロンプトを含み、組合せチャレンジメッセージはチャレンジコード及びチャレンジプロンプトを含む。
より詳細には、第1の認証モード及び前記第2の認証モードは、いずれにしても、認証手段において、返送される署名付きチャレンジコード又は暗号化チャレンジコードを受信するステップと、返送された暗号化チャレンジコードを復号化するステップと、最初に送出されたチャレンジコード又は期待される応答と返送された復号化チャレンジコードとを比較するステップと、返送された復号化チャレンジコードが元の送出チャレンジコード又は期待される応答に対応する場合にアクセス要求を許可するステップと、対応しない場合にアクセス要求を拒否するステップとを含む。
最も詳細には、方法は、ユーザ局構成において、第1のモードの場合、第1のチャレンジメッセージとして送出されたチャレンジコードに移動装置内の秘密鍵を用いて自動的に署名するステップと、ユーザ局構成の移動装置のディスプレイに署名付きチャレンジコードを提示するステップと、配信確認を認証手段へ送出するステップと、チャレンジプロンプトを受信した場合にユーザ局構成のアクセスクライアントに署名付きチャレンジコードを入力するステップとを含む。例えば、ユーザ局構成が移動装置及びアクセス端末(クライアント)を具備する1つの単一ユニットを具備する場合か又は例えば、移動装置とアクセス端末との間にBluetooth通信が提供される場合、入力は自動的に実行される。入力が自動的に実行されない場合、入力は、エンドユーザにより手動で実行されるか又はIR転送を介して実行される。
詳細には、方法は、ユーザ局構成において、第1のチャレンジメッセージを用いて、ユーザ局構成の移動装置に秘密ユーザコード、例えばPINコードを入力するようにエンドユーザに求めるステップと、ユーザ局構成の識別モジュール、例えばSIMカードに格納された秘密鍵を用いてチャレンジコードに署名するステップと、ユーザ局構成の移動装置のディスプレイに署名付きチャレンジコードを提示するステップと、配信確認を認証手段へ送出するステップとを含む。
詳細には、方法は、認証手段おいて配信確認を受信した場合に、移動装置のディスプレイに提示される署名付きチャレンジコードをアクセスクライアントに入力するようにエンドユーザに要求する第2のチャレンジメッセージ又はチャレンジプロンプトをユーザ局構成のアクセスクライアントへ送出するステップと、署名付きチャレンジコードをアクセスクライアントから認証手段に返送するステップとを含む。
詳細には、復号化ステップは、移動装置の認証モジュールに格納された秘密鍵に対応する公開鍵を格納手段から取得することと、署名付きチャレンジコードを公開鍵を用いて復号化することとを含む。格納手段は、認証手段に含まれてもよく、認証モジュール又は認証手段に含まれてもよく、認証手段と通信する外部格納手段に含まれてもよい。
最も詳細には、方法は、チャレンジコード及びオプションでユーザパスワード、例えばPINをユーザ局構成の移動装置に入力するようにエンドユーザに要求することにより移動装置上でチャレンジコードに手動で署名するようにエンドユーザに指示する生成された組合せアクセスチャレンジをユーザ局構成のアクセスクライアントへ送出することと、移動装置のセキュリティモジュールに格納された秘密鍵を用いてチャレンジコードに署名することと、署名付きチャレンジコードを移動装置のディスプレイに提示することと、署名付きチャレンジコードをアクセスクライアントに入力するようにエンドユーザに要求することと、署名付きチャレンジコードをアクセスクライアントから認証手段に返送することとにより、第2の認証モードを実行するステップを含む。
2つの異なる認証モード(チャネル)が利用可能であること及び可能であれば無線ネットワークチャネルが使用され、無線ネットワークチャネルを使用できない場合は他のチャネル、例えばアクセスネットワークが使用されることは本発明の利点である。また、詳細には、無線チャネルが使用される場合は相当な程度まで手順は自動化されるが、第2のモードにおいても異なる程度まで手順が自動化されること及び認証は可能な限り無線ネットワークである認証チャネルを介して実行され、これらを介した実行が動作しない場合にのみアクセスチャネルが使用されることも利点である。無線有効範囲があるか否か又はユーザ局構成が無線ネットワークの無線有効範囲内にあるか否かに関係なく、あるいは無線チャネルが妨害されるか等に関係なく認証が行われることも利点である。
図1は、本発明の概念が実行されるシステムの一例を概略的に示すブロック図である。ユーザ局構成10がシステムに含まれる。本例において、ユーザ局構成10は、例えば移動電話又はハンドヘルドコンピュータ等である別個の移動装置11と、例えばパーソナルコンピュータ(PC)又はハンドヘルドコンピュータ等を含むアクセス端末12とを具備する。アクセス端末12は、アクセスチャネルを含む第2の通信チャネルを介してアクセスサーバ20と通信する。アクセスチャネルは、保護情報、保護サービス又は保護リソースに到達する際に介するチャネルである。アクセスサーバ20は、認証サーバ30と通信状態にある。本例においては移動装置11であり、上述のように通常は移動電話であるが他の任意の種類の移動通信装置、例えばハンドヘルドコンピュータ又はラップトップコンピュータであってもよいユーザ局構成10は、無線ネットワーク(RAN、無線アクセスネットワーク)を介して、例えば移動電話システムである移動通信システム40に接続される。移動装置11と移動通信システム40との間の通信は、第1の通信チャネルであって、本例においては認証チャネルとも呼ばれる第1の無線ネットワーク通信チャネルを介して提供される。本例において、エンドユーザ1は、アクセス端末12を介してアクセスサーバ20へのアクセスを試みると考えられる。保護情報又は保護サービスへのアクセスを許可又は拒否できるようにするために、アクセスサーバ20は、(アクセス端末又はアクセスクライアント12からの)アクセス要求をエンドユーザ1のアイデンティティを検証する役割を有する認証サーバ30に転送する。この特定の実施形態において、これは、エンドユーザ1により実行される移動装置11内のセキュリティモジュールを利用することにより行われる。本実施形態において、移動装置11は、通常、無線ネットワークRAN及び移動通信システム40を介して到達される必要がある。この特定の実施形態において、ユーザ構成10の移動装置11及びアクセス端末12は別個のユニットである。ユーザ構成が、双方の機能性を含む1つの単一装置から構成されてもよいことは明らかである。ユーザ構成10が1つの単一ユニットから構成される場合、すなわち、移動装置11及びアクセス端末12が同一装置である場合、無線ネットワーク/電話システム40はアクセスチャネルとして機能してもよい。識別モジュール及び移動装置11は、通常、GSM/3GSM SIMカード又はUMTS USIMカード、あるいは識別モジュール、ハードウェア又はソフトウェアの他の任意の形態である。本発明の概念によると、識別の目的で、第1の通信チャネルを介する第1の識別モードが使用可能であるか、すなわち、移動装置11が第1の通信チャネル又は無線ネットワークチャネルを介して到達可能であるかが最初に確認される。到達可能である場合、以下に更に詳細に説明する第1の認証モードが使用される。移動装置11に到達できない場合又は移動装置11が到達可能ではなく認証サーバ30に配信レポートを提供できない場合、第2の通信チャネルを介して第2の認証モードが開始される。通常、第2のモードは第1の認証モードより多くのユーザ対話を必要とするため、可能な限り第1の認証モードが使用されるのが好ましい。
図2は、本発明に係るシステムの別の実施例を示す別のブロック図である。本実施例においても、ユーザ局構成10Aは移動装置11A及びアクセス端末12Aから構成されると考えられる。しかし、本実施形態においても、図1を参照して上述したように、ユーザ局構成10Aが単一装置から構成されてもよいことは明らかである。移動装置12Aは、無線ネットワークの第1の通信チャネルを介して移動通信システム40Aに接続され、アクセス端末12Aは、第2の通信チャネルを介してアクセスサーバ20Aと通信する。しかし、本実施形態において、認証手段は、アクセスサーバ20A内か又はそれに関連して設けられる認証モジュール30Aとして実行されると考えられる。他の面において、機能は、図1を参照して説明した機能と同様であり、図2は、認証手段がアクセスサーバ20A内か又はそれに関連して(又は、従来の認証サーバに関連して)設けられる別個の認証手段、認証サーバ又は認証モジュールとして実行可能であることを単に示すことを意図する。
図3は、本発明に係るシステムの実施例を示す更に別のブロック図である。本実施例において、ユーザ局構成10Bは、1つの単一ユニットであるモバイルアクセスクライアントから構成されると考えられる。ユーザ局構成10Bは、第1の無線ネットワーク通信チャネルを介して移動通信システム40Bと通信し且つ第2の通信チャネルを介してアクセスサーバ20Bと通信すると考えられる。アクセスサーバ20Bは、例えば本発明の概念を実行する認証モジュール30Bを含む従来の種類の認証サーバ300と通信する。認証モジュール30Bは、認証サーバ300と通信状態にある別個のユニットとして設けられてもよい。当然、ユーザ局構成10Bが、本実施形態において説明されるような認証手段を有する2つの別個のユニットである1つの移動装置及びアクセス端末から構成されてもよいことは明らかである。
従って、認証サーバは、非常に一般的な場合において、スタンドアロン認証サーバとして実行されてもよく、あるいは特定用途向けの場合において、例えばアクセスサーバ内の認証モジュールとして実行されてもよい。
図4は、本発明の概念をサポートする認証サーバ30’の主な機能又は構成要素を示す概念図である。認証サーバ30’は、アクセスサーバがインタフェース可能な1つ以上のアクセスサーバインタフェースモジュールを含むと考えられる。そのようなインタフェースの一例はRADIUSプロトコルであり、その場合、認証サーバアクセスは、RADIUSサーバ(RFC、Request For comments 2865)第2.1節及び第4.4節として機能し、アクセスサーバはRADIUSクライアントとして機能する。RFC2865において特定されるようなRADIUSは、一般に、認証サーバとアクセスサーバとをインタフェースするためのユーザプロトコルである。アクセス要求に対する応答としてチャレンジプロンプトがエンドユーザに提示される認証方式をサポートするために、RADIUSにおけるチャレンジ応答機構が使用される。RADIUSチャレンジ応答は、RFC2865の上述の節で説明される。本発明の概念は、RADIUSチャレンジ応答機構のサポートに限定されず、同様の機構をサポートする必要がある。
更に、認証手段は、1つ以上のモバイルネットワークがインタフェースする1つ以上のモバイルネットワークインタフェースモジュールを含むと考えられる。そのようなインタフェースの一例は、SMPP等のSMSC(ショートメッセージサービスセンタ)外部インタフェースプロトコルであり、これによって、移動装置はSMSを介して到達される。モバイルネットワークへのインタフェースは、別個のゲートウェイノード(不図示)においても対応可能であり、この場合、認証サーバは、このゲートウェイノードへのインタフェースをサポートするだけでよい。
更に、認証手段は、1つ又は複数のユーザデータ格納手段又はリポジトリがインタフェース可能な1つ以上のユーザデータ格納手段インタフェースモジュールを含むと考えられる。例えば、必要なユーザ情報は、電話番号及び当該エンドユーザの移動装置に対応する公開鍵を含む。このデータは、専用データベース又はLDAP(軽量ディレクトリアクセスプロトコル)カタログに格納される。
認証サーバ手段30’は、従来の態様でサーバを動作、管理及び保守するための管理インタフェースを更に含む。更に、認証サーバ手段30’は、この概念ブロック図においてサーバのコア認証機能を含むサーバコアとして示されるものを含む。これらの機能は、ユーザリポジトリからユーザ証明書を検索し且つそれらとエンドユーザにより提供される証明書とを照合する機能と、移動装置の識別モジュールに格納された秘密鍵を用いて署名されるチャレンジコード(好ましくは、ランダムチャレンジコード)(及びプロンプト)を生成する機能とを含む。更に、認証サーバ手段30’は、モバイルネットワーク、すなわち第1の通信チャネルを介して移動装置に配信されるチャレンジコードの配信状態を追跡する機能を有し、配信が成功せず検証されない場合、代わりに第2の通信チャネル又はアクセスチャネルを介してチャレンジコードを提示し、移動装置を用いてチャレンジに手動で署名するようにエンドユーザに指示する。最後に、認証サーバ手段30’は、エンドユーザにより返送された署名付きアクセスチャレンジが正しいかを確認する機能を有する。例えば、認証サーバ手段30’は、署名付きアクセスチャレンジと元のチャレンジコードとを比較し、それらの間に対応関係があるかを調べ、それによって保護情報へのアクセス要求を許可又は拒否する。
本発明の概念をサポートするために、移動装置及び対応する識別モジュール、例えばSIMカードは、モバイルネットワークを介してチャレンジコードを例えばショートメッセージとして受信する機能性をサポートし、SIMカード等の識別モジュールに格納された秘密鍵を用いてチャレンジコードに署名し、署名付きチャレンジコードを移動装置のディスプレイに提示する必要がある。オプションとして、エンドユーザは、署名付きチャレンジコードがユーザに提示される前に、秘密PIN等を入力するように要求されてもよい。キーパッド又は例えば移動装置の音声始動制御手段を介するチャレンジコードの手動入力が、本実施形態においてサポートされるべきである。その後ユーザは、例えばメニューから署名機能を選択し、署名されるチャレンジコードを入力するように求められる。オプションとして、ユーザは、署名付きチャレンジコードがユーザに提示される前に、秘密PINを入力するように要求されてもよい。本出願において上述されたように、これらの機能のうちのいくつかは、少なくともある程度自動化されてもよい。
図5は、本発明の概念の実行に特に関連するそれらの機能又は手段を示す認証手段30の一実施形態を示す概略ブロック図である。本実施形態において、認証手段30は、第1の通信チャネルに対する第1の無線ネットワークインタフェースと、第2の通信チャネル又はアクセスチャネルに対するアクセスサーバインタフェースとを具備する。認証サーバは、第1の認証モードが使用可能かを確認するために、チャレンジメッセージ生成手段34により生成されたチャレンジコードを含む第1のチャレンジメッセージを第1の通信チャネルで送出する検査手段32を含む認証実行手段31を具備する。検査手段32は、無線ネットワーク又は第1の通信チャネルを介する利用可能性を認める配信確認又は配信レポートがユーザエンド局構成から受信されたか、すなわちチャレンジコードがユーザ局構成により適切に受信されたかを確認し、第1の認証モードが使用されるか又は第2の認証モードが使用されるかを決定する決定手段33を具備する。
確認が正しく受信された場合、すなわち無線ネットワークの利用可能性を確認が認めている場合、チャレンジメッセージ生成手段34は、第2のチャレンジメッセージであるチャレンジプロンプトを生成する。チャレンジプロンプトは、第1の認証モードが実行される場合、アクセスチャネルを介して送出される。(プロンプトは、検査手段32により直接提供されてもよい)。
あるいは、第2の認証モードが実行される場合、必要であれば、前のチャレンジコードの取消しを要求するメッセージが送出される。チャレンジコード及びチャレンジプロンプトを含む組合わせチャレンジメッセージは、チャレンジ生成手段34により生成される。チャレンジ生成手段34は、組合わせチャレンジメッセージを第2の通信チャネルを介してアクセスクライアントへ送出する。暗号化又は署名されたチャレンジコードは、検証手段35で受信される。検証手段35において、ユーザデータ格納手段38に格納されたユーザ局構成に関係する公開鍵を取得した復号化手段37における復号化後、受信されたチャレンジコードは送出されたチャレンジコードと比較手段36において比較される。復号化チャレンジコードが最初に生成されたチャレンジコード(又は、期待される応答)に対応する場合、アクセスは許可される。対応しない場合、アクセスは拒否される。
検証手段35における手順は、第1の認証モードが実行されるか又は第2の認証手段が実行されるかに関係なく実行される。ユーザデータ格納手段38が、認証サーバ内の専用格納手段、認証サーバに設けられる既存のユーザデータ格納手段又は従来のユーザデータ格納手段の一部、あるいは認証サーバ外部の別個の格納手段として提供されてもよいことは明らかである。ユーザデータ格納手段38は、特定の発明を実行するために特化された任意の適切な種類であってもよく、あるいは関連するユーザデータを保持する従来の格納手段を含んでもよい。
図6は、本発明の概念を非常に概略的に示すフローチャートである。図6において、エンドユーザがアクセス端末にユーザ証明書を入力することにより、保護情報、保護サービス又は保護リソースへのアクセスを要求すると(100)、処理が開始されると考えられる。通常、ユーザ証明書はユーザアイデンティティを含み、場合によってはユーザパスワードも含む。これは、アクセス要求の通常の手順に対応する。まず、アクセス要求はアクセスサーバに提供され、アクセスサーバは要求を認証サーバに転送する(101)。ネットワークに基づく認証対話を開始する(102)ために、すなわち第1の認証モードを実行することが可能かを確認するために、認証サーバは、無線ネットワークを介して移動装置に到達しようと試みる(102)。例えば、移動装置へ送出されたメッセージ、例えばチャレンジコードに対する配信レポートを要求してそれを待つ(103)ことにより、移動装置が無線ネットワークを介して到達可能であることを認証サーバが検証する(103)ことが不可欠である。この検証ステップが他の方法でも実行可能であることは明らかである。移動装置が到達可能であることが検証される場合、第1の認証モード、すなわちネットワークに基づく認証手順は開始される(104A)。これは、以下により完全に説明されるように、種々の方法で実行可能である。
一方、移動装置が到達可能ではない場合、事前に設定された期間内、例えば規定のタイマが期限切れになるまでに配信レポートが返送されない場合、認証サーバは、第2の認証モード、特に手動入力を必要とする認証対話を代わりに開始する(104B)。これは、以下に説明するように種々の方法で実行されてもよい。実行される認証モード又は認証対話に関係なく、認証サーバは、例えば送出されたチャレンジコードと返送された署名付きチャレンジコード(復号化後)とを比較することにより、認証が成功したかを判定し(105)、認証が成功した場合、アクセスは許可される(106A)。認証が成功しなかった場合、アクセスは拒否される(106B)。
図7は、本発明の概念の一実施例をより詳細に示すフローチャートである。一般に、保護サービス又は保護情報へのアクセス要求は、ユーザ局構成、特にアクセスクライアントから認証手段に提供される(201)と考えられる。検査の目的で、すなわち、無線ネットワークを介した利用可能性を検証するために、チャレンジコードを含む第1のチャレンジメッセージが認証手段において生成され、第1の無線ネットワーク通信チャネル又は第1の通信チャネルを介して、ユーザ局構成、特に移動装置へ送出される(202)。特に、タイマT1がx秒に設定される。その後、T1が期限切れになる前に第1のチャレンジメッセージに関する配信レポートが認証手段において受信されたかが検査される(203)。(既に、この段階において、チャレンジコードは、移動装置を用いて自動的に又は手動で署名されてもよい)。配信レポートが受信された場合、チャレンジコードの署名をアクセスクライアントに入力することを要求する第2のチャレンジメッセージであるチャンレンジプロンプトを提供することにより、第1の認証モードが開始され、このプロンプトは、第2の通信チャネルを介して送出される(204A)。移動装置上で秘密鍵を用いて自動的に又は手動で署名されたチャレンジコードは、その後、例えばアクセスクライアントに手動で入力される(205A)。次に、署名付きチャレンジコードは、アクセスチャネルとも示される第2の通信チャネルを介して、アクセスクライアントから認証手段に返送される(209)。署名又は暗号化チャレンジコードは、認証手段において受信される(210)。認証手段は、署名付きチャレンジコードを復号化するために、ユーザ局構成の秘密鍵に対応する公開鍵を格納手段から取得する(211)。その後、送出されたチャレンジコードが返送された復号化チャレンジコードに対応するかが検証される(212)。対応する場合、アクセスは許可される(212A)。対応しない場合、アクセスは拒否される(212B)。
しかし、上記のステップ203において、配信レポートが時宜を得て受信されなかった場合、認証手段は、前に送出されたチャレンジコードを取消すために、取消し要求をモバイルネットワーク(例えば、SMS−C)へ送出する(204B)。例えば、チャレンジがユーザ局構成に到達していない場合等、取消すものがない場合があるため、これは破線で示される。しかし、いずれにしても、要求が送出される必要がある。次に、チャレンジコード及びチャレンジプロンプトを含む組合わせチャレンジメッセージを生成し且つそれをアクセスチャネルを介してユーザ局構成のアクセス端末(クライアント)へ送出することにより、第2の認証モードを開始する(205B)。移動装置を用いてチャレンジコードに署名することが要求される(206B)。特に、エンドユーザは、チャレンジコードを移動装置に手動で入力し、それに署名する(207B)。その後、署名付きチャレンジは、アクセス端末(クライアント)に手動で(又は自動的に)入力され(208B)、第1の認証モードと同様に、ステップ209等に進む。
一つの実施形態においては、事前認証モードにおいて、エンドユーザはユーザ証明書を入力するように要求されると考えられる(不図示)。証明書が正しい場合、認証サーバはランダムチャレンジコードを生成し、これはモバイルネットワークを介して移動装置へ送出される。チャレンジは、移動装置のセキュリティモジュールに格納される秘密鍵を用いて暗号化され、そのようにして署名されたチャレンジコードは、移動装置のディスプレイに提示される。オプションとして、ユーザは、署名付きチャレンジが表示される前に、PINを入力するように要求される。チャレンジコードが移動装置に適切に配信された場合、第1のモジュールが使用され、認証サーバは、アクセスサーバを介して、署名付きチャレンジをアクセスクライアントに入力するようにエンドユーザに要求するチャレンジプロンプトをエンドユーザに提示する。正しいチャレンジコードが返送されたかが上述のように移動装置上の秘密鍵に対応する公開鍵を用いて復号化する手段により検証され、正しいチャレンジコードが返送された場合、アクセスは許可される。
一方、チャレンジコードが移動装置に配信されないことを認証サーバがなんらかの方法で報知される場合、すなわち所定の期間内に確認が受信されない場合、認証サーバは、アクセスサーバを介してチャレンジコード及びチャレンジプロンプトをエンドユーザに提示する。これは、ランダムチャレンジコード及びプロンプトを含む組合わせチャレンジメッセージとしても示される。このプロンプトは、移動装置を用いてランダムチャレンジコードに署名し、その後それをアクセスクライアント(端末)に入力するという要求を含む。特に、ユーザはその後、移動装置のメニュー上で署名機能を選択し、チャレンジコードを入力してもよい。その後、チャレンジコードは、移動装置のセキュリティモジュールに格納された秘密鍵を用いて暗号化される必要があり、署名付きチャレンジは、移動装置のディスプレイに提示される。オプションとして、ユーザは、署名付きチャレンジコードが表示される前に、PINを入力するように要求される。その後、ユーザは、署名付きチャレンジコードをアクセス端末に入力し、それは認証サーバに返送される。正しいチャレンジコードが返送されたかが上述のように公開鍵を用いてチャレンジコードを復号化する手段により検証され、正しいチャレンジコードが返送された場合、アクセスは許可される。
これが1つの特定の実施形態に関することは明らかである。図8の信号伝送図を参照して、同様の実施例を更に説明し、それに関連して別の実施例も示す。
図8は、本発明の概念の一つの実施形態を示す信号伝送図である。まず、ユーザ証明書を含む最初のアクセス要求がアクセスクライアントからアクセスサーバへ送出されると考えられる(301)。このアクセス要求は、例えばRADIUSプロトコルを使用して、アクセスサーバから認証サーバに転送される(302)。受信されたユーザ証明書に基づいて、認証サーバは、例えば、内部データベースを調べるか又はLDAPディレクトリ等の任意の信用される外部ソースを調べることにより、移動装置が当該ユーザに対して登録されているかを確認する。通常、移動装置に対する参照情報は、エンドユーザの移動電話番号である。別の実施例において、エンドユーザは、ユーザの名前として電話番号等の参照情報を移動電話に直接入力してもよく、この場合、認証サーバは、この参照情報を求めて内部又は外部のデータ格納手段を調べる必要がない。
次に、認証サーバは、ランダムチャレンジコードを生成し、移動電話システム又は他の任意の同様の無線通信ネットワークを介して、特に移動装置上で事前認証対話をまず開始するメッセージと共にランダムチャレンジコードを移動装置又はエンドユーザへ送出する(303)。一実施例において、この初期メッセージは、事前認証手順とも呼ばれ、エンドユーザの移動装置上でSIMツールキット対話を開始するショートメッセージ又はSMSを含む。次に、認証サーバは、例えばタイマを設定することにより、チャレンジコードが移動装置に適切に配信されたというネットワークからの確認を所定の期間の間待つ(304A)。この確認は、配信レポートとも示される。一実施例において、これは、SMSが移動装置に配信されたという配信レポートの形態であってもよい。移動装置に配信されると、初期メッセージ又は例えばチャレンジコードを含む第1のチャレンジメッセージは、認証対話をトリガしてもよい。一実施例において、これは、秘密PINを電話に入力し、正しいPINが入力された場合にSIMカード(又は同等の識別モジュール)に格納された秘密鍵を用いてチャレンジコードに署名し、その結果、すなわち署名付きチャレンジを移動装置のディスプレイに提示することをエンドユーザに求める(入力が自動的に行われていない場合)ことにより行われる。別の実施例において、ユーザはPINを入力する必要がなく、チャレンジは、秘密鍵を用いて自動的に署名され、移動装置のディスプレイに提示される。
認証サーバが、移動装置に到達したという確認又は配信レポートをネットワークから受信した場合、認証サーバは、チャレンジプロンプトとして構成される第2のチャレンジメッセージ(305A)をエンドユーザに提示するようにアクセスサーバに要求する。一実施例において、これは、RADIUSアクセスチャレンジメッセージの形態である。アクセスサーバは、この要求、すなわちチャレンジプロンプトをアクセスクライアントに転送し(306A)、そこでエンドユーザは、移動装置のディスプレイに提示される署名付きチャレンジ(307A)をアクセス端末(クライアント)に入力するように求められる。
次に、署名付きチャレンジは、アクセスチャネルを介してアクセスサーバに返送され(308A)、認証サーバに更に転送される(309A)。その後、認証サーバは、移動装置の認証モジュールに格納された秘密鍵に対応する公開鍵を用いて、署名付きチャレンジコードを復号化する。公開鍵は、認証サーバの内部データベースに格納されるか、又は例えばLDAPクエリを介して外部ソースから要求される。次に、認証サーバは、返送された復号化チャレンジコードと移動装置へ送出された元のチャレンジコードとを比較する。2つのチャレンジコードが一致する場合、認証サーバは、アクセス許可メッセージ(310A)でアクセスサーバに返答し、アクセスクライアントに対してアクセスを許可する(311A)。一方、誤ったチャレンジコードが返送された場合、認証サーバは代わりにアクセス拒否で返答する(310A、311A)。
配信レポート(304A)が所定の期間内に返送されなかった場合、認証サーバは、第2の認証モードを用いて続行する。
まず、認証サーバは、例えば取消しメッセージをネットワークへ送出する(304B)ことにより、保留中のアクセスチャレンジコードを無線ネットワークから取除く。次に、認証サーバは、コードが移動装置を用いて(手動で)署名される必要があるというユーザに対する指示と共に、チャレンジコード及びプロンプトをアクセスサーバへ送出する。一実施例において、これは、RADIUSチャレンジコードメッセージとして行われる。次に、アクセスサーバは、移動装置を用いてチャレンジに署名し且つ署名付きチャレンジコードを返送するようエンドユーザに求める組合せチャレンジをアクセスクライアントに転送する(306B)。エンドユーザは、アクセスクライアント上のチャレンジコードを読み取り、移動装置上で署名機能を手動で選択する。次に、移動装置は、チャレンジコードを入力するようにエンドユーザに要求し(307B)、オプションでプライベートPINを入力するよう要求する。その後、チャレンジは、移動装置のセキュリティモジュールに格納された秘密鍵を用いて署名される。その結果得られる署名付きチャレンジは、移動装置のディスプレイに提示され、エンドユーザによってアクセスクライアントに(手動で)入力される(308B)。この署名付きコードは認証サーバに返送され(309B、310B)、認証サーバは、上記のメッセージ308A〜311Aを参照して上述したのと同一の方法でチャレンジを検証する。
別の実施形態において、図8を参照して説明した手動ステップ、例えば307A、307B、308Bの一部又は全部は、例えばBluetooth無線プロトコルを使用して、アクセスクライアントを移動装置に接続することにより自動化される。また、アクセスクライアント及び移動装置が同一ユニットである場合、ステップは自動化される。
移動装置と認証サーバとの間にネットワークノード、例えばSMS−C(図中に破線で示される)が含まれることは明らかである。
本出願において説明されたような概念が、非対称鍵の代わりに対称鍵が使用される実施例にも適用可能であることは明らかである。その場合、公開鍵として示される鍵は、実際には秘密鍵でもある。
更に、セキュリティモジュールは、SIMカード等の代わりに、移動装置ハードウェア内のソフトウェアとして実行されてもよい。
本発明が、多くの他の面において、添付の請求の範囲の範囲内で多くの方法により変更可能であること及び本発明が特定して示された実施形態に限定されないことは明らかである。
本発明の第1の実施形態に係るシステムを概略的に示す図である。 本発明の第2の実施形態に係るシステムを概略的に示す図である。 本発明の第3の実施形態に係るシステムを概略的に示す図である。 本発明の概念を実行するのに必要とされる認証手段の機能的を概略的に示す図である。 認証手段の単純化された実施形態を示す図である。 本発明にかかる方法の処理を概略的に示すフローチャートである。 本発明にかかる方法の処理を詳細に示すフローチャートである。 本発明の実施形態に係るメッセージ送信の流れを示すシーケンス図である。

Claims (27)

  1. 保護リソース又は保護サービスを有する保護情報へのアクセスを要求するユーザ局構成(10;10A;10B)のエンドユーザを認証するシステムであり、アクセスサーバ手段(20;20A;20B)及び認証装置(30;30A;30B)を具備し、前記ユーザ局構成(10;10A;10B)が無線ネットワーク(40)の第1の通信チャネルを介する前記認証装置(30;30A;30B)との通信をサポートするシステムであって、
    前記ユーザ局構成(10;10A;10B)は、第2の通信チャネルを介する前記認証装置(30;30A;30B)との通信を更にサポートし、前記認証装置(30;30A;30B)は、ユーザ局構成(10;10A;10B)から保護情報へのアクセス要求を受信した場合に、前記ユーザ局構成(10;10A;10B)が前記第1の通信チャネルを介して到達可能であるかを確認するように構成され、前記認証装置(30;30A;30B)は、前記第1の通信チャネルを介する第1の認証モード及び前記第2の通信チャネルを介する第2の認証モードをサポートするように構成され、前記認証装置(30;30A;30B)は、保護情報、保護リソース又は保護サービスへのアクセスを要求するユーザ局構成(10;10A;10B)に対して前記第1の認証モード又は前記第2の認証モード使用を選択する決定手段(33)と、
    前記第1の認証モードが使用可能であるかを確認する事前認証のために、チャレンジコードを含む第1のチャレンジメッセージを生成し、且つ、前記第1のチャレンジメッセージを前記第1の通信ネットワークを介して前記ユーザ局構成(10;10A;10B)へ送信する検査手段(32)を含む認証実行手段(31)と、を備え、
    前記検査手段(32)が前記第1のチャレンジメッセージに対応する配信確認を所定期間内に受信した場合に、前記決定手段(33)は前記第1の認証モードを選択し、前記検査手段(32)が前記配信確認を前記所定期間内に受信できない場合に、前記決定手段(33)は前記第2の認証モードを選択することを特徴とするシステム。
  2. 前記決定手段(33)は、前記選択に応じて前記第1の認証モードと前記第2の認証モードとを切替える切替え手段を具備するか又はそれと通信することを特徴とする請求項1に記載のシステム。
  3. 前記第1の認証モードは、前記第2の認証モードより優先され、前記認証装置(30;30A;30B)は、前記ユーザ局構成(10;10A;10B)が前記第1の通信チャネルを介して所定期間内に到達可能であるかを確認する前記決定手段(33)を含む検査手段(32)を具備することを特徴とする請求項1又は2に記載のシステム。
  4. 前記第1の通信チャネルは認証チャネルを含み、前記第2の通信チャネルはアクセスチャネルを含むことを特徴とする請求項1乃至3のいずれか1項に記載のシステム。
  5. 前記第2の通信チャネルは、前記第1の無線ネットワーク又は第2の無線ネットワークの通信チャネルであることを特徴とする請求項1乃至4のいずれか1項に記載のシステム。
  6. 前記第2の通信チャネルは、インターネットをサポートする固定通信ネットワークの通信チャネルであることを特徴とする請求項1乃至4のいずれか1項に記載のシステム。
  7. 前記認証装置は、認証サーバ内か又はそれに関連して設けられるか、あるいはアクセスサーバ内か又はそれに関連して設けられる認証モジュール(30A;30B)を含むことを特徴とする請求項1乃至6のいずれか1項に記載のシステム。
  8. 前記認証装置は認証サーバ(30)を含むことを特徴とする請求項1乃至6のいずれか1項に記載のシステム。
  9. 前記ユーザ局構成(10;10A)は、別個のユニットを形成する、移動装置(11;11A)及びアクセス端末又はアクセスクライアント(12;12A)を具備することを特徴とする請求項1乃至8のいずれか1項に記載のシステム。
  10. 前記決定手段(33)は、前記ユーザ局構成が前記第1の無線ネットワークを介して到達可能ではない場合であって、前記ユーザ局構成が無線有効範囲外にあるか又は前記第1の通信チャネルが妨害される場合に前記第2の認証モードを開始するように構成されることを特徴とする請求項1乃至9のいずれか1項に記載のシステム。
  11. 前記認証装置(30;30A;30B)は、検査手段(32)を含む認証実行手段(31)を具備し、前記認証実行手段(31)は、
    前記第1の認証モードが使用可能であるかを確認するために、前記第1の通信チャネルとして、前記第1の無線ネットワークを介して、前記ユーザ局構成(10;10A;10B)との事前認証対話を開始するように構成されることを特徴とする請求項1乃至10のいずれか1項に記載のシステム。
  12. 前記認証実行手段(31)は、
    (i)前記決定手段(33)によって前記第1の認証モードが選択された場合、チャレンジコードの署名をアクセスクライアントに入力することを要求する第2のチャレンジメッセージを前記ユーザ局構成に提供することにより前記第1の認証モードの第1の認証対話を開始し、
    (ii)前記決定手段(33)によって前記第2の認証モードが選択された場合、チャレンジコード及びチャレンジプロンプトを含む組合せチャレンジメッセージを生成し且つそれを前記第2の通信チャネルを介して前記ユーザ局構成(10;10A;10B)へ送出することにより前記第2の認証モードの第2の認証対話を開始し、
    前記第1の認証対話又は前記第2の認証対話に対して、前記第1の認証モード又は前記第2の認証モードを使用して前記保護情報/サービスへのアクセスを許可又は拒否するために、前記チャレンジコードが適切に署名されて返送されたかを検査するように構成されることを特徴とする請求項11に記載のシステム。
  13. 前記検査手段(32)は、SMS−Cを介して、前記第1のチャレンジメッセージをSMSとして送出するように構成されることを特徴とする請求項11に記載のシステム。
  14. 前記認証装置(30)は、公開鍵を含むユーザ情報を保持するユーザデータ格納手段(38)と、前記ユーザ局構成の認証モジュールに格納された秘密鍵に対応するユーザ局構成の前記公開鍵を使用して、前記第1の認証対話又は前記第2の認証対話によって返送された署名付きチャレンジコードを復号化し、前記復号化したチャレンジコードと前記ユーザ局構成へ送出された元のチャレンジコードとを比較し、前記元のチャレンジコードが前記返送された復号化チャレンジコード又は期待される応答コードに対応する場合は前記アクセス要求を許可し、対応しない場合は前記アクセス要求を拒否するように構成される認証検証手段と、を具備するか又はそれらと通信することを特徴とする請求項12または13に記載のシステム。
  15. 前記第2のチャレンジメッセージは、前記第1のチャレンジメッセージで提供された前記チャレンジコードに秘密鍵を用いて自動的に又は手動で署名すること及び署名付きチャレンジコードをアクセス端末に入力することを要求するように構成され、前記組合せチャレンジメッセージは、添付のチャレンジコードに移動装置上で署名すること及び前記署名付きチャレンジコードを前記アクセス端末に入力することを要求するように構成されることを特徴とする請求項12乃至14のいずれか1項に記載のシステム。
  16. ユーザ局構成(10;10A;10B)から保護情報、保護リソース又は保護サービスへのアクセスを要求するエンドユーザを認証する認証装置(30;30A;30B)であり、アクセスサービング手段インタフェースと、無線ネットワークの第1の通信チャネルを介する前記ユーザ局構成との通信を可能にする少なくとも1つのインタフェースとを具備する認証装置(30;30A;30B)であって、
    第2の通信チャネルを介する前記ユーザ局構成(10;10A;10B)との通信をサポートするように更に構成され、前記ユーザ局構成が前記第1の通信チャネルを介して到達可能であるかを確認する事前認証のために、チャレンジコードを含む第1のチャレンジメッセージを生成し、且つ、前記第1のチャレンジメッセージを前記第1の通信ネットワークを介して前記ユーザ局構成(10;10A;10B)へ送信する検査手段(32)を含む認証実行手段(31)
    前記検査手段(32)が前記第1のチャレンジメッセージに対応する配信確認を所定期間内に受信した場合に、前記第1の通信チャネルを介する第1の認証モードを選択し、前記検査手段(32)が前記配信確認を前記所定期間内に受信できない場合に、前記第2の通信チャネルを介する第2の認証モードを選択する決定手段(33)と、
    を具備することを特徴とする認証装置。
  17. 前記決定手段(33)は、前記選択に応じて前記第1の認証モードと前記第2の認証モードとを切替える切替え手段を具備するか又はそれと通信することを特徴とする請求項16に記載の認証装置。
  18. 前記第1の認証モードは、前記第2の認証モードより優先され、前記第2の認証モードは、前記ユーザ局構成が前記第1の通信チャネルを介して所定期間内に認証目的で到達可能ではない場合にのみ使用されることを特徴とする請求項16又は17に記載の認証装置。
  19. 前記第1の通信チャネルは認証チャネルを含み、前記第2の通信チャネルはアクセスチャネルを含むことを特徴とする請求項16、17、又は18のうちいずれか1項に記載の認証装置。
  20. 認証サーバ(30)を含むことを特徴とする請求項16乃至19のいずれか1項に記載の認証装置。
  21. 認証サーバ(300)又はアクセスサーバ(20A)に関連付けられるか又はそれらの内部に提供されるように構成される認証モジュール(30A;30B)を含むことを特徴とする請求項16乃至19のいずれか1項に記載の認証装置。
  22. 前記検査手段(32)は、前記ユーザ局構成(10;10A;10B)が前記第1の通信チャネルを介して到達可能であるかを確認するために、チャレンジコードを含む第1のチャレンジメッセージを前記第1の通信チャネルを介して、SMSとして送出することにより、所定の判定基準として前記配信確認を所定期間内に受信したか否かを検査し、ユーザ局構成の利用可能性に関する直接的又は間接的な配信確認が認証目的で取得されるかを検査するように構成されることを特徴とする請求項16乃至21のいずれか1項に記載の認証装置。
  23. 前記所定の判定基準が満たされる場合、前記検査手段(32)は、前記第1の認証モードにおいて前記認証実行手段(31)を起動するように構成され、前記第1の認証モードにおいて、前記認証実行手段(31)は、移動装置(11;11A;10B)を用いて署名された前記チャレンジコードをアクセスクライアントに手動で又は自動的に入力すること及び署名付きチャレンジコードを返送することを求めるチャレンジプロンプトを含む第2のチャレンジメッセージを生成及び送出するように構成され、
    前記認証実行手段(31)は、前記署名付きチャレンジコードを復号化し、前記返送された復号化チャレンジコードと最初に送出されたチャレンジコード又は期待される応答コードとを比較し、元のチャレンジコード又は期待される応答コードと復号化返送チャレンジコードとが一致する場合にはアクセス要求を許可し、一致しない場合には前記アクセス要求を拒否する検証手段(35)を更に具備することを特徴とする請求項22に記載の認証装置。
  24. 前記検証手段(35)は、前記第1の認証モード及び前記第2の認証モードの場合、外部格納手段又は外部格納手段(38)に格納され且つ署名に使用される前記ユーザ局構成(10;10A;10B)の秘密鍵に対応する公開鍵を取得するように構成されることを特徴とする請求項23に記載の認証装置。
  25. 認証装置へアクセス要求を送出することにより保護サービス、保護リソース又は保護情報へのアクセスを要求するユーザ局構成のリモートエンドユーザを認証する方法であって
    前記ユーザ局構成が無線ネットワークの第1の通信チャネルを介して認証目的で到達可能であるか否かを確認する事前認証のために、前記認証装置においてチャレンジコードを含む第1のチャレンジメッセージを生成するステップと、
    前記第1のチャレンジメッセージを前記第1の通信チャンネルを介して前記ユーザ局構成へ送信するステップと、
    前記第1のチャレンジメッセージに対応する配信確認を所定期間内に受信されるか否かを検査するステップと、
    前記検査するステップの検査結果により、前記配信確認が所定期間内に受信された場合に、前記第1の通信チャネルを介して第1の認証モードを選択するステップと、
    前記検査するステップの検査結果により、前記配信確認が所定期間内に受信されない場合に、同一又は別の通信ネットワークの第2の通信チャネルを介して第2の認証モードを選択するステップと、
    前記第1の認証モードまたは前記第2に認証モードにより、前記ユーザ局構成のリモートエンドユーザを認証する認証ステップと、
    を有することを特徴とする方法。
  26. 前記第1の認証モードが選択された場合、前記第1の認証モードを選択するステップでは、チャレンジコードの署名をアクセスクライアントに入力することを要求する第2のチャレンジメッセージであるチャンレンジプロンプトを前記ユーザ局構成に提供することにより前記第1の認証モードの第1の認証対話を開始し
    前記第2の認証モードが選択された場合、前記第2の認証モードを選択するステップでは、
    チャレンジコード及び前記ユーザ局構成において前記チャレンジコードに署名することを要求するチャレンジプロンプトを含む組合せチャレンジメッセージを生成し、且つ、組合せチャレンジメッセージを前記第2の通信チャネルを介して前記ユーザ局構成へ送出することにより前記第2の認証モードの第2の認証対話を開始することを特徴とする請求項25に記載の方法。
  27. 前記第1の認証モード及び前記第2の認証モードは、
    前記認証装置において、
    返送される暗号化署名付きチャレンジコードを受信するステップと、
    前記返送された暗号化チャレンジコードを復号化するステップと、
    元の送出チャレンジコード又は期待されるコードと前記返送された復号化チャレンジコードとを比較するステップと、
    前記返送された復号化チャレンジコードが前記元の送出チャレンジコード又は前記期待される応答コードに対応する場合、前記アクセス要求を許可するステップと、
    対応しない場合、前記アクセス要求を拒否するステップと、を含み、
    前記ユーザ局構成において、
    確認手段に配信確認を送出するステップと、
    前記第1の認証モードにおいて、
    前記第1の通信チャネルを介して前記認証装置と通信する前記ユーザ局構成の移動装置を用いて、前記移動装置に提供される前記チャレンジコードに秘密鍵を用いて自動的に署名するステップと、
    前記第2のチャレンジメッセージを受信した場合に、
    前記第2の通信チャネルを介して前記認証装置と通信する前記ユーザ局構成のアクセス端末に前記署名付きチャレンジコードを入力するステップとを含むことを特徴とする請求項26に記載の方法。
JP2008553197A 2006-02-03 2006-02-03 エンドユーザ認証システム、装置及び方法 Active JP4975762B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2006/000157 WO2007089179A1 (en) 2006-02-03 2006-02-03 A system, an arrangement and a method for end user authentication

Publications (2)

Publication Number Publication Date
JP2009525677A JP2009525677A (ja) 2009-07-09
JP4975762B2 true JP4975762B2 (ja) 2012-07-11

Family

ID=38327670

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008553197A Active JP4975762B2 (ja) 2006-02-03 2006-02-03 エンドユーザ認証システム、装置及び方法

Country Status (11)

Country Link
US (1) US8296823B2 (ja)
EP (1) EP1987627B1 (ja)
JP (1) JP4975762B2 (ja)
KR (1) KR101300414B1 (ja)
CN (1) CN101366234B (ja)
AU (1) AU2006337227B2 (ja)
BR (1) BRPI0621299A2 (ja)
CA (1) CA2641418C (ja)
DK (1) DK1987627T3 (ja)
MX (1) MX2008009745A (ja)
WO (1) WO2007089179A1 (ja)

Families Citing this family (141)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100988950B1 (ko) * 2005-08-30 2010-10-20 패슬로지 가부시키가이샤 사이트 확인 방법
WO2008082337A1 (en) * 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for integration of different authentication infrastructures
US7818571B2 (en) * 2007-02-09 2010-10-19 Microsoft Corporation Securing wireless communications between devices
ATE447304T1 (de) * 2007-02-27 2009-11-15 Lucent Technologies Inc Drahtloses kommunikationsverfahren zur steuerung eines mittels sicherheitsvorrichtung gewährten zugangs
US8533821B2 (en) 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
AU2008294354A1 (en) * 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
KR101615472B1 (ko) 2007-09-24 2016-04-25 애플 인크. 전자 장치 내의 내장형 인증 시스템들
US11190936B2 (en) * 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10181055B2 (en) * 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US10783232B2 (en) * 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
US8600120B2 (en) 2008-01-03 2013-12-03 Apple Inc. Personal computing device control using face detection and recognition
US20090282251A1 (en) * 2008-05-06 2009-11-12 Qualcomm Incorporated Authenticating a wireless device in a visited network
US20090320089A1 (en) * 2008-06-20 2009-12-24 Microsoft Corporation Policy-based user brokered authorization
FR2935511B1 (fr) * 2008-08-28 2010-12-10 Oberthur Technologies Procede d'echange de donnees entre deux entites electroniques
CN101686572B (zh) * 2008-09-26 2012-07-04 中国移动通信集团公司 无线终端机卡互锁的方法、系统和管理平台
US10818119B2 (en) * 2009-02-10 2020-10-27 Yikes Llc Radio frequency antenna and system for presence sensing and monitoring
US20100269162A1 (en) * 2009-04-15 2010-10-21 Jose Bravo Website authentication
US9628297B2 (en) * 2009-04-23 2017-04-18 International Business Machines Corporation Communication authentication using multiple communication media
CH701050A1 (fr) * 2009-05-07 2010-11-15 Haute Ecole Specialisee Bernoise Technique Inf Procédé d'authentification.
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
CN102026171B (zh) * 2009-09-17 2013-06-12 国基电子(上海)有限公司 安全控制远程无线设备的方法
US8458774B2 (en) * 2009-11-02 2013-06-04 Authentify Inc. Method for secure site and user authentication
US8719905B2 (en) * 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8745699B2 (en) 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
US10581834B2 (en) 2009-11-02 2020-03-03 Early Warning Services, Llc Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US20110107410A1 (en) * 2009-11-02 2011-05-05 At&T Intellectual Property I,L.P. Methods, systems, and computer program products for controlling server access using an authentication server
US8806592B2 (en) * 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8549601B2 (en) * 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8789153B2 (en) * 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US8590031B2 (en) * 2009-12-17 2013-11-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
EP2539872A1 (de) * 2010-02-22 2013-01-02 Easy Axess GmbH I.G. System und verfahren zum elektronischen bereitstellen einer zutrittsberechtigung
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
WO2011121566A1 (en) * 2010-03-31 2011-10-06 Paytel Inc. A method for mutual authentication of a user and service provider
US20130037708A1 (en) 2010-04-26 2013-02-14 Nippon Shokubai Co., Ltd. Polyacrylic acid (salt), polyacrylic acid (salt)-based water-absorbing resin, and process for producing same
BR112012027407B1 (pt) 2010-04-26 2020-04-07 Nippon Catalytic Chem Ind resina absorvedora de água tipo ácido poliacrílico (sal), material sanitário contendo a mesma, método para produzir e identificar a mesma e método para produzir ácido poliacrílico (sal)
CA2804869C (en) * 2010-07-09 2016-05-24 Research In Motion Limited Microcode-based challenge/response process
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
US9009793B2 (en) * 2011-03-31 2015-04-14 Infosys Limited Dynamic pin dual factor authentication using mobile device
FI20115313A0 (fi) 2011-03-31 2011-03-31 Meontrust Oy Autentikointimenetelmä ja -järjestelmä
US9832183B2 (en) 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
FR2977418B1 (fr) * 2011-06-28 2013-06-28 Alcatel Lucent Systeme d'authentification via deux dispositifs de communication
US8769624B2 (en) * 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
GB2495474B (en) * 2011-10-03 2015-07-08 Barclays Bank Plc User authentication
US8984276B2 (en) 2012-01-10 2015-03-17 Jpmorgan Chase Bank, N.A. System and method for device registration and authentication
TWI469613B (zh) * 2012-03-02 2015-01-11 Univ Nat Cheng Kung 雲端認證系統及方法
CN103078892B (zh) * 2012-05-09 2015-07-29 腾讯科技(深圳)有限公司 短消息内容智能识别的方法、客户端、服务器及系统
US9716691B2 (en) 2012-06-07 2017-07-25 Early Warning Services, Llc Enhanced 2CHK authentication security with query transactions
US10025920B2 (en) 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
GB2505211B (en) * 2012-08-22 2014-10-29 Vodafone Ip Licensing Ltd Communications device authentication
CN102811228B (zh) * 2012-08-31 2016-07-06 中国联合网络通信集团有限公司 网络业务登录方法、设备和系统
US8738049B1 (en) * 2012-11-05 2014-05-27 International Business Machines Corporation Converged dialog in hybrid mobile applications
US9591339B1 (en) 2012-11-27 2017-03-07 Apple Inc. Agnostic media delivery system
US9774917B1 (en) 2012-12-10 2017-09-26 Apple Inc. Channel bar user interface
US10200761B1 (en) 2012-12-13 2019-02-05 Apple Inc. TV side bar user interface
US9532111B1 (en) 2012-12-18 2016-12-27 Apple Inc. Devices and method for providing remote control hints on a display
US10521188B1 (en) 2012-12-31 2019-12-31 Apple Inc. Multi-user TV user interface
US20140204539A1 (en) * 2013-01-24 2014-07-24 Bradley Dean Loomis Package and tray system for interchanging device components
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
FI20135275A (fi) * 2013-03-22 2014-09-23 Meontrust Oy Tapahtumien auktorisointimenetelmä ja -järjestelmä
CN109040409B (zh) * 2013-06-19 2023-03-24 华为终端有限公司 一种数据和消息处理的方法及装置
US9898642B2 (en) 2013-09-09 2018-02-20 Apple Inc. Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs
US20150088760A1 (en) * 2013-09-20 2015-03-26 Nuance Communications, Inc. Automatic injection of security confirmation
KR101444305B1 (ko) * 2013-12-13 2014-09-26 (주)세이퍼존 다중 otp를 사용한 보안키, 보안 서비스 장치 및 보안 시스템
US9065824B1 (en) * 2014-03-17 2015-06-23 Google Inc. Remote authorization of access to account data
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US20150324943A1 (en) * 2014-05-07 2015-11-12 Sang Hee Han System and method for remote presence monitoring
US9690924B2 (en) * 2014-05-15 2017-06-27 Microsoft Technology Licensing, Llc Transparent two-factor authentication via mobile communication device
US9324067B2 (en) 2014-05-29 2016-04-26 Apple Inc. User interface for payments
US9967401B2 (en) 2014-05-30 2018-05-08 Apple Inc. User interface for phone call routing among devices
JP6328797B2 (ja) 2014-05-30 2018-05-23 アップル インコーポレイテッド 1つのデバイスの使用から別のデバイスの使用への移行
AU2015280256A1 (en) 2014-06-24 2016-10-13 Apple Inc. Column interface for navigating in a user interface
US10339293B2 (en) 2014-08-15 2019-07-02 Apple Inc. Authenticated device used to unlock another device
JP6228093B2 (ja) * 2014-09-26 2017-11-08 Kddi株式会社 システム
US9706401B2 (en) * 2014-11-25 2017-07-11 Microsoft Technology Licensing, Llc User-authentication-based approval of a first device via communication with a second device
US20160189151A1 (en) * 2014-12-31 2016-06-30 Ebay Enterprise, Inc. Distributed authentication for mobile devices
WO2017009743A1 (en) * 2015-07-10 2017-01-19 Comviva Technologies Limited Method and system for enhancing security of card based financial transaction
CN106469260A (zh) * 2015-08-20 2017-03-01 中兴通讯股份有限公司 一种访问移动终端的方法及装置
US10148631B1 (en) * 2015-09-29 2018-12-04 Symantec Corporation Systems and methods for preventing session hijacking
US10263981B1 (en) 2015-12-02 2019-04-16 United Services Automobile Association (Usaa) Public authentication systems and methods
GB2546340A (en) * 2016-01-18 2017-07-19 Isis Innovation Improving security protocols
US10552823B1 (en) 2016-03-25 2020-02-04 Early Warning Services, Llc System and method for authentication of a mobile device
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10621581B2 (en) 2016-06-11 2020-04-14 Apple Inc. User interface for transactions
DK201670581A1 (en) 2016-06-12 2018-01-08 Apple Inc Device-level authorization for viewing content
DK201670582A1 (en) 2016-06-12 2018-01-02 Apple Inc Identifying applications on which content is available
DK201670622A1 (en) 2016-06-12 2018-02-12 Apple Inc User interfaces for transactions
TWI612793B (zh) * 2016-07-04 2018-01-21 Chunghwa Telecom Co Ltd 經電話網路提供一次性密碼之系統與方法
US20180068313A1 (en) 2016-09-06 2018-03-08 Apple Inc. User interfaces for stored-value accounts
US10496808B2 (en) 2016-10-25 2019-12-03 Apple Inc. User interface for managing access to credentials for use in an operation
US11966560B2 (en) 2016-10-26 2024-04-23 Apple Inc. User interfaces for browsing content from multiple content applications on an electronic device
JP6635323B2 (ja) * 2016-12-15 2020-01-22 日本電気株式会社 アクセストークンシステム、情報処理装置、情報処理方法および情報処理プログラム
US10650153B2 (en) * 2017-01-31 2020-05-12 Ent. Services Development Corporation Lp Electronic document access validation
US10362022B2 (en) 2017-04-13 2019-07-23 Ubs Business Solutions Ag System and method for facilitating multi-connection-based authentication
US10992795B2 (en) 2017-05-16 2021-04-27 Apple Inc. Methods and interfaces for home media control
US11431836B2 (en) 2017-05-02 2022-08-30 Apple Inc. Methods and interfaces for initiating media playback
CN111343060B (zh) 2017-05-16 2022-02-11 苹果公司 用于家庭媒体控制的方法和界面
US20220279063A1 (en) 2017-05-16 2022-09-01 Apple Inc. Methods and interfaces for home media control
EP3955617A1 (en) 2017-05-30 2022-02-16 Belgian Mobile ID SA/NV Mobile device authentication using different channels
US10621839B2 (en) * 2017-07-31 2020-04-14 Comcast Cable Communications, Llc Next generation monitoring system
JP6736686B1 (ja) 2017-09-09 2020-08-05 アップル インコーポレイテッドApple Inc. 生体認証の実施
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
US10650130B2 (en) * 2017-11-06 2020-05-12 Ubs Business Solutions Ag System and method for facilitating authentication via a short-range wireless token
US10833859B2 (en) * 2017-12-07 2020-11-10 International Business Machines Corporation Automating verification using secure encrypted phone verification
JP7245999B2 (ja) * 2018-02-14 2023-03-27 パナソニックIpマネジメント株式会社 制御情報取得システム、及び、制御情報取得方法
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
US11799866B2 (en) * 2018-09-18 2023-10-24 Aleksey Vladimirovich Burlitskiy Method and system of multi-channel user authorization
US11100349B2 (en) 2018-09-28 2021-08-24 Apple Inc. Audio assisted enrollment
US10860096B2 (en) 2018-09-28 2020-12-08 Apple Inc. Device control using gaze information
CN113940088A (zh) 2019-03-24 2022-01-14 苹果公司 用于查看和访问电子设备上的内容的用户界面
US11683565B2 (en) 2019-03-24 2023-06-20 Apple Inc. User interfaces for interacting with channels that provide content that plays in a media browsing application
EP3928194A1 (en) 2019-03-24 2021-12-29 Apple Inc. User interfaces including selectable representations of content items
CN113906419A (zh) 2019-03-24 2022-01-07 苹果公司 用于媒体浏览应用程序的用户界面
KR20240049648A (ko) 2019-05-31 2024-04-16 애플 인크. 오디오 미디어 제어를 위한 사용자 인터페이스
US11863837B2 (en) 2019-05-31 2024-01-02 Apple Inc. Notification of augmented reality content on an electronic device
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
US11797606B2 (en) 2019-05-31 2023-10-24 Apple Inc. User interfaces for a podcast browsing and playback application
US11637831B2 (en) 2019-10-09 2023-04-25 Salesforce, Inc. Application programmer interface platform with direct data center access
US11431500B2 (en) * 2019-11-26 2022-08-30 Salesforce, Inc. Authorization code management for published static applications
US11843838B2 (en) 2020-03-24 2023-12-12 Apple Inc. User interfaces for accessing episodes of a content series
US11816194B2 (en) 2020-06-21 2023-11-14 Apple Inc. User interfaces for managing secure operations
US11899895B2 (en) 2020-06-21 2024-02-13 Apple Inc. User interfaces for setting up an electronic device
SE544580C2 (en) 2020-09-04 2022-07-26 Mideye Ab Methods and authentication server for authentication of users requesting access to a restricted data resource
US11392291B2 (en) 2020-09-25 2022-07-19 Apple Inc. Methods and interfaces for media control with dynamic feedback
US11720229B2 (en) 2020-12-07 2023-08-08 Apple Inc. User interfaces for browsing and presenting content
US11934640B2 (en) 2021-01-29 2024-03-19 Apple Inc. User interfaces for record labels
US11847378B2 (en) 2021-06-06 2023-12-19 Apple Inc. User interfaces for audio routing
US11784956B2 (en) 2021-09-20 2023-10-10 Apple Inc. Requests to add assets to an asset account
CN116032591A (zh) * 2022-12-23 2023-04-28 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及系统
CN116319103B (zh) * 2023-05-22 2023-08-08 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05336108A (ja) * 1992-06-04 1993-12-17 Toshiba Corp 無線通信システム
US5668876A (en) 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7100200B2 (en) * 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
SE0104325D0 (sv) * 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
TW564627B (en) * 2002-04-08 2003-12-01 Quanta Comp Inc System and method for authentication in public networks
KR20040104580A (ko) * 2002-04-22 2004-12-10 콸콤 인코포레이티드 액세스 네트워크 인증을 위한 방법 및 장치
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
JP4022121B2 (ja) * 2002-10-07 2007-12-12 松下電器産業株式会社 統合無線通信システム、移動体通信システム、交換装置及び無線端末、並びに通信方法
ATE394748T1 (de) * 2003-06-18 2008-05-15 Ericsson Telefon Ab L M Anordnung und verfahren in bezug auf ip- netzwerkzugang
DE10341873A1 (de) * 2003-09-05 2005-04-07 Local-Web Ag Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
HK1062792A2 (en) * 2004-06-16 2004-11-05 Pccw Hkt Datacom Services Ltd Dual-path pre-approval authentication method
US8812840B2 (en) * 2005-02-07 2014-08-19 France Telecom Method for fast pre-authentication by distance recognition

Also Published As

Publication number Publication date
US8296823B2 (en) 2012-10-23
MX2008009745A (es) 2008-10-17
AU2006337227A1 (en) 2007-08-09
EP1987627B1 (en) 2016-11-16
US20090119754A1 (en) 2009-05-07
BRPI0621299A2 (pt) 2012-10-09
CN101366234A (zh) 2009-02-11
KR101300414B1 (ko) 2013-08-26
CA2641418C (en) 2014-02-25
EP1987627A4 (en) 2014-07-09
AU2006337227B2 (en) 2010-09-09
KR20080091382A (ko) 2008-10-10
WO2007089179A1 (en) 2007-08-09
DK1987627T3 (en) 2017-02-20
CA2641418A1 (en) 2007-08-09
EP1987627A1 (en) 2008-11-05
JP2009525677A (ja) 2009-07-09
CN101366234B (zh) 2011-11-16

Similar Documents

Publication Publication Date Title
JP4975762B2 (ja) エンドユーザ認証システム、装置及び方法
US10651984B2 (en) Method for controlling access to an in-vehicle wireless network
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
US20070178885A1 (en) Two-phase SIM authentication
CN108471610B (zh) 蓝牙连接控制系统
JP2010114912A (ja) 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置
DK2924944T3 (en) Presence authentication
KR20090022425A (ko) 다중인증 접속 시스템 및 그 방법
US11848926B2 (en) Network authentication
EP1530315A1 (en) System and method for authentication of applications in a non-trusted network environment
JP2013541908A (ja) ユーザアカウント回復
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
US20210256102A1 (en) Remote biometric identification
US9648495B2 (en) Method and device for transmitting a verification request to an identification module
JP3914152B2 (ja) 認証サーバ、認証システムおよび認証プログラム
EP3864878B1 (en) Method for accessing data or a service from a first user device and corresponding second user device, server and system
RU2395911C2 (ru) Система, устройство и способ для аутентификации конечного пользователя
IL193016A (en) System, arrangement and method for end user authentication
CN115994344A (zh) 存储装置的认证方法、存储装置及存储装置认证系统
JP2006338161A (ja) 認証システム及び認証方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110812

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4975762

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250