NO332479B1 - Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler - Google Patents
Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler Download PDFInfo
- Publication number
- NO332479B1 NO332479B1 NO20090934A NO20090934A NO332479B1 NO 332479 B1 NO332479 B1 NO 332479B1 NO 20090934 A NO20090934 A NO 20090934A NO 20090934 A NO20090934 A NO 20090934A NO 332479 B1 NO332479 B1 NO 332479B1
- Authority
- NO
- Norway
- Prior art keywords
- otp
- user
- channel
- authentication
- time passwords
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 33
- 238000004590 computer program Methods 0.000 title claims description 5
- 238000012795 verification Methods 0.000 claims description 37
- 238000004891 communication Methods 0.000 claims description 28
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Description
Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler.
Oppfinnelsens anvendelsesområde
Oppfinnelsen er innenfor feltet autentisering av brukere i elektroniske tjenester ved hjelp av OTP (engangs passord), og spesielt bruken av minst to kanaler for verifikasjon av engangspassord mellom tjener og mobil anordning.
Bakgrunn og tidligere kjent teknikk
Tilbydere av tjenester i elektroniske kanaler står ovenfor utfordringene med å autentisere brukerne av deres tjenester. Det å kunne tilby sikker autentisering av brukere er nødvendig for mange elektroniske tjenester.
Tjenestetilbydere som krever sterk brukerautentisering utsteder ofte en eller flere autentiseringsfaktorer til en bruker som tjenestetilbyder senere kan benytte for å autentisere brukeren. Hvis brukeren blir utstyrt med mer enn én autentisering faktor og brukeren må benytte alle autentiserings faktorene i en autentiseringssituasjon, så blir risikoen for feilaktige hendelser sterkt redusert. Hvis autentiseringsfaktorene i tillegg er av forskjellig natur, at hver gir en entydig identifikasjon av brukeren og at de autentiseringsdata som produseres er hemmelig for andre enn brukeren selv og tjenestetilbyderen, så blir løsningen det som i fagmiljøet kalles en sterk flerfaktor autentiserings løsning.
Autentiseringsfaktorer i vanlig bruk er: en kunnskapsfaktor(<A>noe du vet', som et passord eller PIN kode) og en besittelsesfaktor (<A>noe du har', som en elektronisk engangspassord generator, en sikkerhets klient med private krypteringsnøkler lagret i et datamaskinminne eller på et smart-kort, trykte lister med engangs koder, skrapekort eller annet). I tillegg er noen ganger biometriske data ( 'noe du er', som digital representasjon av et fingeravtrykk eller iris skanning) brukt som en autentiseringsfaktor.
Besittelsesfaktorer er ofte av fysisk art, som smart-kort, passord kalkulatorer/dingser eller skrapekort. Det å utstede fysiske besittelsesfaktorer representerer ofte betydelige kostnader for tjenestetilbyderne og betraktes ofte som ubekvemme for brukerne. Det kan derfor være av interesse for tjenestetilbydere å benytte en generell, tilgjengelig brukerterminal som allerede er i brukerens hender, som en sikker besittelsesfaktor. Eksempler på personlige terminaler som det kan være attraktivt å benytte som besittelsesfaktor er utstyr med kommunikasjonsmuligheter slik som mobiltelefoner, bærbare datamaskiner, håndholdte datamaskiner som PDA-er og smart-telefoner og personlige underholdningsterminaler; for alle disse brukes uttrykket "mobil" her som en generisk betegnelse.
Mange fremgangsmåter for bruk av personlige dataterminaler til autentisering av brukere er kjent.
En fremgangsmåte er der en tjenestetilbyder registrerer brukernes mobil-abonnementsnummer og så i en autentiseringsprosess distribuerer en felles hemmelighet til brukerens mobilterminal, samtidig som det kreves at brukeren returnerer denne felles hemmeligheten i en annen elektronisk kanal. Svakheten med denne fremgangsmåten er at senderen (tjenestetilbyder) ikke kan bekrefte identiteten til mottakende part (brukeren), den felles hemmeligheten er produsert på en tjener; og dermed er det ikke noen referanse til en besittelsesfaktor i autentiseringssvaret og mobilenheten er bare brukt som en kommunikasjonsterminal. Og egentlig er mobilterminalen ikke betraktet som et sikkert miljø for oppbevaring av felles hemmeligheter, - for eksempel kan felles hemmeligheter bli avslørt i nettverket eller lest av eller redistribuert til en annen part fra mobilterminalen, og derigjennom redusere den til en annen kunnskapsfaktor i stedet for en besittelsesfaktor - dvs det er nå to kunnskapsfaktorer (passord pluss passord sendt via sms) - noe som ikke er en ekte tofaktor løsning.
IETF RFC 4226 (http://www.ietf.org/rfc/rfc422 6) fra Desember 2005 beskriver en algoritme for å generere engangspassord verdier, basert på Hashed Message Authentication Code, for bruk i tofaktor autentisering på Internet. Internet Utkast "OCRA: OATH Challenge-Response Algorithms draft-mraihi-mutual-oath-hotp-variants-08.txt"
(http://tools.ietf.org/html/draft-mraihi-mutual-oath-hotp-variants-08) beskriver OATH algoritmen for challenge-response autentisering og signaturer. Denne algoritmen er basert på HOTP algoritmen i RFC4226.
IETF RFC 2289 (http://www.ietf.org/rfc/rfc228 9) fra februar 1998 beskriver et One-Time Password System WO/2006/075917 beskriver en fremgangsmåte for å produsere en sikkerhetskode ved hjelp av programmerbart brukerutstyr som kan benyttes til autentisering.
"Using the mobile phone in two-factor authentication" som ble presentert av Anders Hagalisletto og Arne Riiber
(http://www.comp.lancs.ac.uk/iwssi2 007/papers/iwssi2007-05.pdf) viser hvordan man kan bruke en mobiltelefon til å vise et engangspassord.
KR20080011938A beskriver en metode hvor brukerens identitet blir autorisert av en tjener som sender en SMS med en modul for generering av engangspassord når det tastes inn en PIN. WO2009009852A2 beskriver en metode for å overføre tillit ved bruk av et mobilt utstyr for generering av engangspassord som fremvises basert på et personlig passord og koder.
WO2007/145540A beskriver tofaktor autentisering med en separat kanal mot autentiseringssysternet og bruk av et passord på mobilutstyret. Det er foreslått å bruke en trådløs kanal i tillegg, men med samme engangspassord.
DE10102779A1 beskriver et autorisasjonssystem for mobiltelefontransaksjoner som har separate koplinger til separate enheter i samme utstyr.
EP1919123A1 beskriver en tokanal challenge-response autentiseringsmetode der svaret sammenlignes med et underutvalg av autentiseringsbevis som er benyttet ved sesjonens autentiserings challenge.
I " Multi-channel protocols " av Ford-Lang Wong og Frank Stajano i B. Christianson et al. (Eds.): Security Protocols 2005, LNCS (http://www.cl.cam.ac.uk/~fms27/papers/2005-WongSta-multichannel.pdf )diskuteres bruken av flere kanaler. Bruk av et kamera og sending av bilder foreslås som en kanal.
Noen tilleggsproblemer med disse løsningene er:
<*>Sannsynligheten for vellykket autentisering av et falskt autentiseringsforsøk ved en tilfeldig OTP er større enn 1 delt på 10 opphøyet i E (antall siffer) for offline siffer baserte OTP enheter, noe som gjør det mulig å lage automatiske, distribuerte angrep som løper til vellykket autentisering av en tilfeldig OTP.<*>Denial of Service (DOS) - tilgjengelighetsangrep kan igangsettes som låser OTP utstyret på tjenermaskinen, og dermed hindrer adgang selv for brukere med riktig OTP utstyr.<*>Treg nettverkstilgang ved bruk av online mobile OTP enheter (et problem som er relevant ved online flerkanal OTP utstyr) - gjør at bruker må vente på klient/tjener kommunikasjonen før OTP kan vises. (Dette problemet eksisterer ikke ved bruk av off-line OTP utstyr.)<*>MITM (Mann i Midten)angrep i en enkanal online autentiserings løsning, hvor OTP overføres gjennom en antatt sikker datakanal, for eksempel HTTPS.
Når flere kanaler brukes systematisk i et system for autentisering og verifikasjon, er det alltid en mulighet for at en kanal kan ha feil eller kommunikasjonsproblemer, eller at brukeren kan ha problemer med å fremskaffe informasjon i kanalen, for eksempel på grunn av et handikap. Det er da behov for en mer fleksibel behandling av verifikasjonsresultatet enn bare å konstatere at autentiseringen har feilet.
Sammendrag av oppfinnelsen
Oppfinnelsens gjenstand er en fremgangsmåte, arrangement og et dataprogram for bruk av en generelt tilgjengelig personlig dataterminal, en mobil, som en sikker og pålitelig besittelsesfaktor ved brukerautentisering. Trekkene som beskrives i de vedlagte selvstendige kravene karakteriserer denne fremgangsmåten og arrangementet.
Oppfinnelsen inkluderer en lokal OTP generering med samtidig to-/flerkanal verifikasjon.
Kjent teknikk inkluderer:
• Offline OTP utstyr som har lokal OTP generering og enkanal bekreftelse. • Online OTP utstyr som har klient/tjener kommunikasjon f.eks. for å motta en challenge (utfordring), og enkanal verifikasjon når utstyret viser OTP-kode til brukeren.
I en foretrukket versjon av denne oppfinnelsen taster brukeren PIN og dermed produseres en binær-OTP i klienten, denne binær-OTP-en konverteres til en lesbar skjerm-OTP på klienten slik at brukeren kan begynne å lese den og taste den i en annen kanal (kanal 2), samtidig med at binær-OTP-en overføres via mobilkanalen (kanal nr 1). Dette skjer simultant fordi mobilen overfører binær-OTP mens brukeren leser og taster skjerm-OTP på kanal nr 2. Skjerm-OTP er avledet fra binær-OTP. Binær-OTP er i et format som passer for datakommunikasjon og databehandling (f.eks. ren binær, eller kodet, f.eks. i hexadesimal notasjon eller base64, eller Unicode) og skjerm-OTP er egnet til å bli lest på en skjerm av et menneske og tastet inn på et tastatur, f.eks som bokstaver og tall vanligvis brukt av bruker eller tjeneste. Som vist i figurene 2, 3 og 4 blir binær-OTP generert i mobilutstyret, og det er også tilordningen til skjerm-OTP.
Følgende prinsipper gjelder:
• Tokanal verifikasjon av OTP.
Lokal OTP generering, med simultan to- eller flerkanal verifikasjon og besvarelse av OTP verifikasjon på
o mobil kanal(-er), f.eks.
■ SMS
■ Near Field Communications (NFC)
■ Wireless LAN (trådløs LAN)
■ Linje- eller pakkesvitsjede
transmisjonsteknologier for mobilnett som
CDMA, WCDMA, GSM, GPRS, 3G, 4G
o annen/andre kanaler, f.eks.
a) en PC med en web kanal brukt til internett banktjenester,
b) adgangskontroll på dører
c) butikkterminaler
d) minibanker
Brukeren trenger ikke å vente på verifikasjonen av binær-OTP. Brukeren kan starte å taste inn øyeblikkelig siden den lokale konverteringen fra binær-OTP til skjerm-OTP i praksis er mye raskere enn overføringstiden i mobilnettverket. Hvis brukeren taster feil PIN eller på annen måte forårsaker en feil binær-OTP, så får brukeren, etter at resultatet av verifikasjonen er ferdig på tjeneren, beskjed på begge kanaler om at autentiseringen har mislyktes.
Hvis binær-OTP er feil, vil verifikasjonen av binær-OTP mislykkes. Verifikasjon av skjerm-OTP vil også mislykkes fordi verifikasjonen av binær-OTP mislyktes.
Hvis en time-out oppstår i Autentiserings tjeneren fordi den ikke har mottatt binær-OTP, så kan verifikasjon av skjerm-OTP mislykkes, siden verifikasjon av binær-OTP ikke har vært vellykket. Time-out kan være forårsaket av naturlige overføringsforsinkelser, eller forårsaket av en angriper.
Det er mulig å sette opp regler og parametre som kan tillate autentisering i spesielle situasjoner som et nettverksbrudd, dvs der det er kjent at en time-out er sannsynlig eller hvis det er kjent at en spesiell bruker har problemer med å taste inn skjerm-OTP, for eksempel på grunn av et handikap.
Det er også mulig å bruke f.eks. tekst-til-stemme og stemme gjenkjennings software eller å benytte "call center", for å gjøre det mulig for handikappede personer å bruke denne oppfinnelsen.
Med den foreliggende oppfinnelse er det mulig å hindre en type DOS- (tjenestenekt-) angrep for tjenester som benytter to-faktor autentisering. I en slik type DOS-angrep forsøker angriperen å sperre tjenesten ved å taste inn en vilkårlig feil OTP et antall ganger i web-kanalen, slik at OTP-enheten låses. Dette forhindres siden en kan se bort fra forsøk på verifikasjon av skjerm-OTP gjennom web-kanalen, hvis ikke binær-OTP gjennom mobil-kanalen har blitt verifisert vellykket.
Verifikasjonen av binær-OTP mellom mobilen og tjener øker sikkerheten knyttet til lengden av OTP, noe som oppfattes som et tilfeldig tall av en MITM (Mann I Midten), fordi en skjerm-OTP er typisk et 4-8 siffer tall som kan kodes som 2-4 bytes, mens binær-OTP-en er et tall på minst 16 bytes, lett utvidbart til 32 bytes eller mer.. Dermed er sannsynligheten for f.eks. gjennom prøving og feiling å finne eller gjette en binær-OTP mye mindre enn sannsynlighet for å finne en skjerm-OTP.
Grensesnitt som er kompatible med tradisjonelle challenge/response offline OTP løsninger kan brukes for å integrere et nytt flerkanal OTP verifikasjonsskjema i henhold til denne oppfinnelsen med en eksisterende enkanal løsning, for eksempel tids/sekvens basert offline OTP utstyr eller challenge-response skrapekort, noe som gjør det mulig å erstatte offline enkanal OTP verifikasjon mekanismer med herværende oppfinnelse.
Det er umulig for en MITM mellom Autentiserings klienten og Autentiserings tjeneren å observere skjerm-OTP på mobilkanalen, fordi denne OTP-en ikke blir overført på dét grensesnittet. Skjerm-OTP-en blir generert av Autentiserings klienten og vises for brukeren, basert på binær-OTP og PIN (Personal Identification Number).
Bruken av PIN kan være en opsjon. Bruken av PIN vil da typisk være tilrettelagt gjennom en konfigurerbar parameter per system eller per enhet. Hvis PIN ikke brukes, er tilordningen mellom binær-OTP og skjerm-OTP enten samme algoritme uten PIN eller en spesiell algoritme for den spesielle klienten, kjent for autentiseringstjeneren, for bruk uten PIN.
Kort beskrivelse av tegninger
Figur 1 gir et eksempel på komponentene involvert i en tokanal verifikasjonssekvens i en versjon bestående av en mobiltelefon og en datamaskin. Figur 2 viser detaljert autentiseringssekvens med tokanals parallell OTP verifikasjon.
Figur 3 viser en sekvens med bruker challenge.
Figur 4 viser en sekvens uten bruker challenge.
Figur 5 viser en alternativ metode for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. Figur 6 viser den foretrukne metoden for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. Figur 7 viser kildekode fra en foretrukket løsning for konvertering av binær-OTP til skjerm-OTP.
Detaljert beskrivelse
Figur 1 viser et eksempel på en realisering av denne oppfinnelsen. Den gir en oversikt over de forskjellige komponenter som er involvert i oppfinnelsen. I denne figuren vises det hvordan en bruker kobler til og logger seg inn hos en tjenestetilbyder.
Når brukeren skal gjennomføre en transaksjon kobler tjenestetilbyderen seg til autentiseringstjeneren som igjen starter en autentisering via brukerens mobil som har installert den spesielle softwaren fra Autentiserings autoriteten. Denne softwaren kan være implementert på mange måter f.eks. avhengig av mobilens operativsystem. En foretrukket realisering av softwaren er implementert basert på Java for mobilterminaler (MIDP2/J2ME) fra Sun. Tjeneren er i den foretrukne realiseringen basert Java enterprise serverplattform (J2EE).
Når autentiseringstjeneren starter autentiseringsprosessen skal brukeren taste PIN på mobilen, softwaren i telefonen generer en OTP (skjerm-OTP) og en binær-OTP, binær-OTP-en blir sendt til autentiseringstjeneren og brukeren må taste inn den tilhørende OTP (skjerm-OTP) i applikasjonen som kommuniserer med tjenestetilbyderen, vanligvis en web-side. Tjenestetilbyderen sender skjerm-OTP til autentiseringstjeneren som verifiserer skjerm-OTP-en. Autentiseringstjeneren verifiserer også binær-OTP-en som ble mottatt fra mobilen. Autentiseringstjeneren genererer resultatet av de to verifisér OTP operasjonene i henhold til regler og parametere, og sender svaret til tjenestetilbyderen som igjen sender verifikasjonssvaret til brukeren, vanligvis via web kanalen ved hjelp av den resulterende web siden, og sender også svaret til mobilen via mobilkanalen, normalt til skjermen på mobilen, skjønt det kan også suppleres med eller erstattes av for eksempel lyd eller følbar tilbakemelding.
Hvis autentiseringen er initiert av en push-melding, kan autentiseringstjeneren sende challenge (utfordringen) til autentiseringsklienten i den samme meldingen. I en alternativ realisering blir challenge sendt i mer enn én kanal.
Det vises hvordan autentisering og kommunikasjon skjer via to forskjellige kommunikasjons kanaler, noe som gjør det vanskelig for en fremmed part å bryte inn i kommunikasjonen fordi vedkommende da må snappe opp kommunikasjonen på to forskjellige typer kommunikasjonsforbindelser. Den eneste muligheten en fremmed part har til å blande seg inn i transaksjonen, er at han har mulighet til å bryte inn i begge kommunikasjonssesjoner eller at de har stjålet både brukerens datamaskin og mobiltelefon og kjenner PIN koden og innloggingsinformasjonen. Begge disse scenariene er vanskelige å gjennomføre.
Figur 2 er en detaljert beskrivelse av
autentiseringssekvensen i et challenge/response scenario.
Brukeren taster brukerlD på web innloggings siden og sender siden til Tjenestetilbyder.
Bruker ID kan være en hvilken som helst bruker spesifikk informasjon som en PIN-kode, et telefonnummer, personnummer, et selvvalgt eller systemgenerert ID, en kode eller til og med biometrisk input. Bruker ID er unik for den enkelte bruker. En bruker må ikke nødvendigvis være én enkelt person, men bruker ID kan også være brukt av en gruppe personer, men i den foretrukne realiseringen vil Bruker ID entydig identifisere én person.
Tjenestetilbydere slår opp mobiltelefonnummeret (msisdn) til brukeren og sender en forespørsel om en "challenge" (et tilfeldig tall) til Autentiseringstjeneren. Challenge blir sendt via web siden (eller i kode via web siden) til Brukeren. Challenge inneholder eller initierer tekst som instruerer Brukeren om å taste inn OTP-en fra en annen applikasjon som også ligger på mobilen. En challenge ID assosiert med innloggingsforsøket blir også returnert i web siden (eller i kode gjennom web siden) til Brukeren, dette tillater flere utestående ikke-fullførte innlogginger i en challenge/response løsning, men flerkanal verifikasjon fungerer også uten slik challenge ID.
Autentiseringstjeneren sender en push start autentiserings melding til Autentiseringsklienten på brukerens mobil. Autentiseringstjeneren kjenner noe i Autentiserings klienten som kan brukes til å generere OTP. I den foretrukne løsningen gjøres dette som beskrevet i WO/2006/075917 og ved bruk av challenge.
Autentiseringsklienten ber om en challenge fra Autentiseringstjeneren, hvis denne ikke var inkludert i den initiale meldingen, og ber brukeren om å taste PIN. Autentiseringsklienten generer binær-OTP, konverterer den til en menneskelig lesbar skjerm-OTP, viser denne, og starter overføring av binær-OTP til Autentiseringstjeneren. Forsinkelse i overføringen som er vanlig i en typisk mobilkanal med liten båndbredde, er antydet i figuren gjennom å utsette meldingen "verifisér binær-OTP" til etter at web-leseren har sendt OTP (skjerm-OTP).
Brukeren taster skjerm-OTP i web-leseren og sender den til Autentiseringstjeneren via Tjenestetilbyderen.
Autentiseringstjeneren venter i en konfigurerbar tidsperiode inntil binær-OTP blir verifisert, eller har gått ut på tid .
Autentiseringstjeneren mottar "verifisér binær OTP" meldingen, verifiserer binær- og skjerm-OTP, og returnerer resultatet i begge kanaler. Figur 3 illustrerer autentiseringssekvensen for en OTP enhet der brukeren mottar challenge fra web siden, starter klienten,og taster challenge inn i klienten. Figur 4 illustrerer autentiseringssekvensen for en OTP enhet uten challenge. Brukeren starter klienten manuelt. Figur 5 illustrerer en fremgangsmåte for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. En tilsvarende prosess finner sted i autentiseringsklienten. I denne løsningen genereres skjerm-OTP og binær-OTP ved hjelp av forskjellige algoritmer og kunne også ha vært basert på to sett av data som var lagret sammen med brukerprofilen. En algoritme som kunne ha vært brukt er en oppslagstabell som beskrevet i [RFC2289]. Figur 6 viser den foretrukne fremgangsmåten for generering av skjerm-OTP og binær-OTP i autentiseringstjeneren. En tilsvarende prosess finner sted i autentiseringsklienten. Skjerm-OTP blir utledet ved å benytte binær-OTP kombinert med en algoritme. I denne foretrukne løsningen er følgende algoritmer benyttet: • for genererering av binær-OTP: challenge response som vist i by WO/2006/075917 • for generering av skjerm-OTP: GenerateOTP() metoden fra RFC4226, med: o binær-OTP som nøkkel (i stedet for HMAC-SHA1 som
er beskrevet i RFC4226) , og
o challenge som movingFactor, og
o konfigurerbart antall siffer som skal vises
Figur 7 illustrerer dette med kildekode for dette steget i den foretrukne løsningen. Her er binær-OTP 16 byte og skjerm-OTP er 6 siffer, normalt/tilsvarende 3 byte. Dette sikrer en brukervennlig skjerm-OTP og en lengre, sterkere binær-OTP.
Near Field Communication (NFC) er en kortholds høy-frekvent trådløs kommunikasjonsteknologi som tillater utveksling av data mellom utstyr på opp til 10 centimeters avstand, som dermed har mye kortere rekkevidde enn for eksempel Bluetooth (Blåtann) eller andre kortholds radiokommunikasjonforbindelser. NFC er tilgjengelig i mobiltelefoner som Nokia 3220 og i nyere modeller fra denne og andre leverandører. NFC er velegnet for autentiseringsformål som en besittelsesfaktor som må holdes svært nær til den andre enheten og radiokanalen er dermed vanskelig å koble seg inn på.
I en annen realisering blir binær-OTP som genereres på mobilutstyret overført til en tjenestetilbyder gjennom bruk av NFC.
I nok en annen realisering blir binær-OTP som genereres på mobilen overført til en tjenestetilbyder ved bruk av en kortholds radiooverføringsforbindelse som Bluetooth.
I nok en annen realisering er OTP utstyret og besittelsesfaktoren med autentiseringsklienten i form av dataminne, for eksempel på et smartkort knyttet til mobiltelefonen eller PC (vertsutstyr) som har skjermen, behandlingsenheten og kommunikasjonskanalene som er nødvendige. Kortet kan for eksempel være en Subscriber Identity Module (SIM), et USB masselagringskort eller et SD kort. I denne løsningen må vertsutstyret skille mellom de to kommunikasjonskanalene.
Claims (15)
1. En fremgangsmåte for flerkanalsverifikasjon av engangs passord(OTP) mellom to parter bestående av en tjenestetilbyder og en bruker, hvor nevnte bruker har tilgang til minst to kommunikasjonskanaler, og hvor nevnte bruker logger på mot nevnte tjenestetilbyder med en brukerlD via én kommunikasjonskanal, og nevnte tjenestetilbyder har mulighet til å kommunisere med en autentiserings tjener som igjen har mulighet til å kommunisere med nevnte bruker via minst én annen kommunikasjonskanal enn tjenestetilbyder, og hvor nevnte fremgangsmåte videre erkarakterisert vedat: • en autentiseringsklient genererer minst to forskjellige engangspassord, det første med lengde typisk over 16 bytes beregnet på behandling i maskiner, benevnt binær-OTP, og et andre avledet av det første på en form beregnet på å oppfattes av mennesker med lengde typisk 2-4 bytes, benevnt skjerm-OTP, • nevnte autentiseringsklient overfører binær-OTP til nevnte autentiseringstjener ved bruk av en første kommunikasj onskåna1, • nevnte bruker taster skjerm-OTP som sendes i en andre kommunikasjonskanal og sender det til nevnte autentiserings tjener gjennom nevnte tjenestetilbyder.
Når binær-OTP og skjerm-OTP er mottatt av
autentiseringstjeneren blir de gjenstand for verifikasj on.
2. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte autentiserings klient ber om en utfordring fra nevnte autentiserings tjener og ber nevnte bruker å taste PIN.
3. En fremgangsmåte for flerkanalsverifikasjon av engangspassord (OTP) i følge krav 1,karakterisert vedat nevnte autentiseringstjener mottar binær-OTP meldingen, verifiserer binær og/eller skjerm-OTP, og returnerer resultatet i minst én kanal.
4. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 2,karakterisert vedat genereringen av engangspassord bli gjort både med eller uten PIN og med eller uten utfordring (challenge)
5. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat minst én kommunikasjonskanal bruker et mobilutstyr.
6. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte bruker logger på mot tjenestetilbyder via en nettleser.
7. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte bruker taster bruker ID i innloggingssiden på web og sender siden til Tjenestetilbyder.
8. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) blir returnert i web-siden.
9. En fremgangsmåte for flerkanalsverifikasjon av engangpassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) inneholder eller initierer tekst som instruerer Brukeren om å taste OTP fra en annen applikasjon som finnes på mobilen.
10. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordringsID (challenge ID) assosiert med innloggingsforsøket også blir returnert i web-siden.
11. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) er inneholdt i en start push autentiseringsmelding til autentiseringsklienten på brukerens mobil.
12. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte binær-OTP generert på nevnte mobilutstyr blir overført både til autentiseringstjeneren via én kommunikasjonskanal og til tjenestetilbyder via den andre kommunikasjonskanalen.
13. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 1,karakterisert vedat én kommunikasjonskanal benytter Near Field Communication eller kortholds radiooverføring.
14. Dataprogram som kan lastes inn i internminnet i en behandlingsenhet i et datamaskinbasert system, omfattende programkodedeler for utføring av autentiseringen av nevnte bruker ifølge hvilke som helst av kravene 1 til 13.
15. Dataprogramprodukt lagret på et datamaskinlesbart medium, omfattende et lesbart program som forårsaker at behandlingsenheten i et datamaskinsystem kontrollerer en utførelse av autentisering av nevnte bruker ifølge hvilke som helst av kravene 1 til 13.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20090934A NO332479B1 (no) | 2009-03-02 | 2009-03-02 | Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler |
| US13/254,199 US20120066749A1 (en) | 2009-03-02 | 2010-03-02 | Method and computer program for generation and verification of otp between server and mobile device using multiple channels |
| EP10712588A EP2404255A1 (en) | 2009-03-02 | 2010-03-02 | Method and computer program for generation and verification of otp between server and mobile device using multiple channels |
| PCT/NO2010/000084 WO2010101476A1 (en) | 2009-03-02 | 2010-03-02 | Method and computer program for generation and verification of otp between server and mobile device using multiple channels |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20090934A NO332479B1 (no) | 2009-03-02 | 2009-03-02 | Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| NO20090934L NO20090934L (no) | 2010-09-03 |
| NO332479B1 true NO332479B1 (no) | 2012-09-24 |
Family
ID=42272068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20090934A NO332479B1 (no) | 2009-03-02 | 2009-03-02 | Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120066749A1 (no) |
| EP (1) | EP2404255A1 (no) |
| NO (1) | NO332479B1 (no) |
| WO (1) | WO2010101476A1 (no) |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9277403B2 (en) * | 2010-03-02 | 2016-03-01 | Eko India Financial Services Pvt. Ltd. | Authentication method and device |
| US8468584B1 (en) * | 2010-04-02 | 2013-06-18 | Wells Fargo Bank, N.A. | Authentication code with associated confirmation words |
| EP2490165A1 (en) * | 2011-02-15 | 2012-08-22 | Mac Express Sprl | Method for authorising a transaction |
| FR2976437B1 (fr) * | 2011-06-08 | 2014-04-18 | Genmsecure | Procede de securisation d'une action qu'un dispositif actionneur doit accomplir a la demande d'un utilisateur |
| US9075979B1 (en) * | 2011-08-11 | 2015-07-07 | Google Inc. | Authentication based on proximity to mobile device |
| US9954578B2 (en) | 2011-09-08 | 2018-04-24 | Yubico Inc. | Devices and methods for identification, authentication and signing purposes |
| GB2499360B8 (en) | 2011-10-12 | 2016-01-27 | Technology Business Man Ltd | Secure ID authentication |
| CN102542452A (zh) * | 2011-11-09 | 2012-07-04 | 王筱雨 | 一种对pos机终端的交易密码进行验证的方法和系统 |
| US20130139222A1 (en) * | 2011-11-29 | 2013-05-30 | Rawllin International Inc. | Authentication of mobile device |
| US9237146B1 (en) | 2012-01-26 | 2016-01-12 | United Services Automobile Association | Quick-logon for computing device |
| US10282531B1 (en) | 2012-01-26 | 2019-05-07 | United Services Automobile Association (Usaa) | Quick-logon for computing device |
| US8875283B2 (en) * | 2012-04-10 | 2014-10-28 | Blackberry Limited | Restricted access memory device providing short range communication-based security features and related methods |
| US9756115B2 (en) * | 2012-11-08 | 2017-09-05 | Gpvtl Canada Inc. | System and method of secure file sharing using P2P |
| CN103856472B (zh) * | 2012-12-06 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种账户登录的方法及装置 |
| US20140222671A1 (en) * | 2013-02-07 | 2014-08-07 | Aurelio Elias | System and method for the execution of third party services transaction over financial networks through a virtual integrated automated teller machine on an electronic terminal device. |
| US20140359069A1 (en) * | 2013-06-04 | 2014-12-04 | Diego MATUTE | Method for securely sharing a url |
| US9100392B2 (en) * | 2013-09-20 | 2015-08-04 | Verizon Patent And Licensing Inc. | Method and apparatus for providing user authentication and identification based on a one-time password |
| JP6378870B2 (ja) * | 2013-11-15 | 2018-08-22 | 株式会社野村総合研究所 | 認証システム、認証方法および認証プログラム |
| US9232402B2 (en) | 2013-11-21 | 2016-01-05 | At&T Intellectual Property I, L.P. | System and method for implementing a two-person access rule using mobile devices |
| US9928358B2 (en) * | 2013-12-09 | 2018-03-27 | Mastercard International Incorporated | Methods and systems for using transaction data to authenticate a user of a computing device |
| US9424410B2 (en) * | 2013-12-09 | 2016-08-23 | Mastercard International Incorporated | Methods and systems for leveraging transaction data to dynamically authenticate a user |
| EP2894891B1 (en) * | 2013-12-20 | 2016-10-26 | Verisec AB | Mobile token |
| US9529987B2 (en) * | 2014-05-09 | 2016-12-27 | Behaviometrics Ab | Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior |
| US10440019B2 (en) * | 2014-05-09 | 2019-10-08 | Behaviometrics Ag | Method, computer program, and system for identifying multiple users based on their behavior |
| US10212136B1 (en) | 2014-07-07 | 2019-02-19 | Microstrategy Incorporated | Workstation log-in |
| US9430630B2 (en) | 2014-07-31 | 2016-08-30 | Textpower, Inc. | Credential-free identification and authentication |
| TWI559165B (zh) * | 2014-10-13 | 2016-11-21 | 優仕達資訊股份有限公司 | 無線驗證系統及其方法 |
| US10298400B2 (en) | 2015-02-06 | 2019-05-21 | eStorm Co., LTD | Authentication method and system |
| US10178088B2 (en) * | 2015-03-12 | 2019-01-08 | Tejas Networks Ltd. | System and method for managing offline and online password based authentication |
| US10250594B2 (en) | 2015-03-27 | 2019-04-02 | Oracle International Corporation | Declarative techniques for transaction-specific authentication |
| US10701067B1 (en) | 2015-04-24 | 2020-06-30 | Microstrategy Incorporated | Credential management using wearable devices |
| DE102015006751A1 (de) * | 2015-05-26 | 2016-12-01 | Giesecke & Devrient Gmbh | Verfahren zur Bereitstellung eines persönlichen Identifikationscodes eines Sicherheitsmoduls |
| TWI603222B (zh) * | 2015-08-06 | 2017-10-21 | Chunghwa Telecom Co Ltd | Trusted service opening method, system, device and computer program product on the internet |
| US10225283B2 (en) | 2015-10-22 | 2019-03-05 | Oracle International Corporation | Protection against end user account locking denial of service (DOS) |
| US10164971B2 (en) | 2015-10-22 | 2018-12-25 | Oracle International Corporation | End user initiated access server authenticity check |
| US10257205B2 (en) | 2015-10-22 | 2019-04-09 | Oracle International Corporation | Techniques for authentication level step-down |
| CN108351927B (zh) | 2015-10-23 | 2021-11-09 | 甲骨文国际公司 | 用于访问管理的无密码认证 |
| US10122719B1 (en) * | 2015-12-31 | 2018-11-06 | Wells Fargo Bank, N.A. | Wearable device-based user authentication |
| US10855664B1 (en) | 2016-02-08 | 2020-12-01 | Microstrategy Incorporated | Proximity-based logical access |
| US10231128B1 (en) | 2016-02-08 | 2019-03-12 | Microstrategy Incorporated | Proximity-based device access |
| US10057249B2 (en) * | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
| US10057255B2 (en) * | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
| US10148646B2 (en) * | 2016-07-20 | 2018-12-04 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
| KR101924610B1 (ko) * | 2016-11-30 | 2018-12-03 | 유아스시스템즈(주) | 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템 |
| TWI615734B (zh) * | 2016-12-12 | 2018-02-21 | Chunghwa Telecom Co Ltd | 虛擬智慧卡應用於行動裝置之金鑰管控方法 |
| US20180212958A1 (en) * | 2017-01-26 | 2018-07-26 | Teltech Systems, Inc. | Two Factor Authentication Using SMS |
| US10771458B1 (en) | 2017-04-17 | 2020-09-08 | MicoStrategy Incorporated | Proximity-based user authentication |
| US10657242B1 (en) | 2017-04-17 | 2020-05-19 | Microstrategy Incorporated | Proximity-based access |
| US11140157B1 (en) | 2017-04-17 | 2021-10-05 | Microstrategy Incorporated | Proximity-based access |
| EP3502998A1 (en) | 2017-12-19 | 2019-06-26 | Mastercard International Incorporated | Access security system and method |
| US11715099B2 (en) * | 2017-12-20 | 2023-08-01 | Mastercard International Incorporated | Method and system for trust-based payments via blockchain |
| US10360367B1 (en) * | 2018-06-07 | 2019-07-23 | Capital One Services, Llc | Multi-factor authentication devices |
| US10992477B2 (en) | 2018-10-02 | 2021-04-27 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11677742B2 (en) * | 2019-09-13 | 2023-06-13 | The Toronto-Dominion Bank | Systems and methods for creating multi-applicant account |
| WO2021113034A1 (en) * | 2019-12-05 | 2021-06-10 | Identité, Inc. | Full-duplex password-less authentication |
| US20230222233A1 (en) * | 2022-01-10 | 2023-07-13 | Pratt & Whitney Canada Corp. | System and method for data access from an aircraft |
| CN116319103B (zh) * | 2023-05-22 | 2023-08-08 | 拓尔思天行网安信息技术有限责任公司 | 一种网络可信接入认证方法、装置、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007145540A2 (en) * | 2006-06-14 | 2007-12-21 | Fronde Anywhere Limited | Authentication methods and systems |
| KR20080011938A (ko) * | 2006-08-01 | 2008-02-11 | 인포섹(주) | 이동통신 단말기를 이용한 일회용 패스워드 방식의 사용자인증 방법 |
| WO2009009852A2 (en) * | 2007-07-19 | 2009-01-22 | Itautec S.A. - Grupo Itautec | A system and a method for transferring credits using a mobile device |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| AU2001283949A1 (en) * | 2000-08-15 | 2002-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Network authentication by using a wap-enabled mobile phone |
| DE10102779A1 (de) | 2001-01-22 | 2002-08-29 | Utimaco Safeware Ag | Verfahren zur Autorisierung in Datenübertragungssystemen |
| WO2003062969A1 (en) * | 2002-01-24 | 2003-07-31 | Activcard Ireland, Limited | Flexible method of user authentication |
| US7606918B2 (en) * | 2004-04-27 | 2009-10-20 | Microsoft Corporation | Account creation via a mobile device |
| AU2005318933B2 (en) * | 2004-12-21 | 2011-04-14 | Emue Holdings Pty Ltd | Authentication device and/or method |
| NO20050152D0 (no) | 2005-01-11 | 2005-01-11 | Dnb Nor Bank Asa | Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne |
| US20060294023A1 (en) * | 2005-06-25 | 2006-12-28 | Lu Hongqian K | System and method for secure online transactions using portable secure network devices |
| US7748031B2 (en) * | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
| US8245292B2 (en) * | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
| US7818264B2 (en) * | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
| US8006300B2 (en) | 2006-10-24 | 2011-08-23 | Authernative, Inc. | Two-channel challenge-response authentication method in random partial shared secret recognition system |
| US8281375B2 (en) * | 2007-01-05 | 2012-10-02 | Ebay Inc. | One time password authentication of websites |
| EP2034458A3 (en) * | 2007-03-09 | 2009-09-02 | ActivIdentity, Inc. | One-time passwords |
| US8407463B2 (en) * | 2007-10-30 | 2013-03-26 | Telecom Italia S.P.A. | Method of authentication of users in data processing systems |
-
2009
- 2009-03-02 NO NO20090934A patent/NO332479B1/no not_active IP Right Cessation
-
2010
- 2010-03-02 EP EP10712588A patent/EP2404255A1/en not_active Withdrawn
- 2010-03-02 US US13/254,199 patent/US20120066749A1/en not_active Abandoned
- 2010-03-02 WO PCT/NO2010/000084 patent/WO2010101476A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007145540A2 (en) * | 2006-06-14 | 2007-12-21 | Fronde Anywhere Limited | Authentication methods and systems |
| KR20080011938A (ko) * | 2006-08-01 | 2008-02-11 | 인포섹(주) | 이동통신 단말기를 이용한 일회용 패스워드 방식의 사용자인증 방법 |
| WO2009009852A2 (en) * | 2007-07-19 | 2009-01-22 | Itautec S.A. - Grupo Itautec | A system and a method for transferring credits using a mobile device |
Non-Patent Citations (1)
| Title |
|---|
| Using the mobile phone in two-factor authentication [Foredrag på IWSSI 2007 -First international Workshop on Security for spontaneousInteraction Program] Forfatter Anders Hagalisletto . Arne Riiber [lastet fra internett 2009.07.01] [Hentet fra http://www.comp.lancs.ac.uk/ iwssi2007/][http://www.comp.lancs.ac.uk/ iwssi2007/papers/iwssi2007-05.pdf] , Dated: 01.01.0001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| NO20090934L (no) | 2010-09-03 |
| WO2010101476A1 (en) | 2010-09-10 |
| US20120066749A1 (en) | 2012-03-15 |
| EP2404255A1 (en) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO332479B1 (no) | Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler | |
| US9141782B2 (en) | Authentication using a wireless mobile communication device | |
| US20180295137A1 (en) | Techniques for dynamic authentication in connection within applications and sessions | |
| EP2932428B1 (en) | Method of allowing establishment of a secure session between a device and a server | |
| US20160337351A1 (en) | Authentication system | |
| CN101102194B (zh) | 一种otp设备及利用该设备进行身份认证的方法 | |
| JP2009510955A (ja) | ユーザ認証の方法およびデバイス | |
| CN109716725B (zh) | 数据安全系统及其操作方法和计算机可读存储介质 | |
| EP2514135B1 (en) | Systems and methods for authenticating a server by combining image recognition with codes | |
| Rao et al. | Authentication using mobile phone as a security token | |
| US20100257366A1 (en) | Method of authenticating a user | |
| CN104869121A (zh) | 一种基于802.1x的认证方法及装置 | |
| WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
| Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
| Khan et al. | Offline OTP based solution for secure internet banking access | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| EP3101609A1 (en) | Dual-channel identity authentication selection device, system and method | |
| Xu et al. | Qrtoken: Unifying authentication framework to protect user online identity | |
| EP2224665B1 (en) | Authentication using a wireless mobile communication device | |
| WO2017158376A1 (en) | Methods, user devices, access control equipments, computer software, computer program products and systems for facilitating authentication or access control | |
| Saxena | Dynamic authentication: Need than a choice | |
| KR101945945B1 (ko) | 다이내믹 아이디를 이용한 인증방법 및 그 인증방법이 구현된 장치 | |
| US8850518B2 (en) | Method and device for user authentication | |
| US20110231656A1 (en) | System and methods for authenticating a receiver in an on-demand sender-receiver transaction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| CREP | Change of representative |
Representative=s name: IP.COOP (IPR SA), POSTBOKS 27, 1629 |
|
| CHAD | Change of the owner's name or address (par. 44 patent law, par. patentforskriften) |
Owner name: ALLCLEAR ID, US |
|
| CREP | Change of representative |
Representative=s name: BRYN AARFLOT AS, POSTBOKS 449 SENTRUM, 0104 OSLO |
|
| MM1K | Lapsed by not paying the annual fees |