CN101300808B - 安全认证的方法和设置 - Google Patents
安全认证的方法和设置 Download PDFInfo
- Publication number
- CN101300808B CN101300808B CN2006800406184A CN200680040618A CN101300808B CN 101300808 B CN101300808 B CN 101300808B CN 2006800406184 A CN2006800406184 A CN 2006800406184A CN 200680040618 A CN200680040618 A CN 200680040618A CN 101300808 B CN101300808 B CN 101300808B
- Authority
- CN
- China
- Prior art keywords
- user
- client
- party
- personal terminal
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
描述了一种将通用个人数据终端用作用于用户认证的安全可靠的认证因素的方法和设置。此外,公开了一种用于在两方即用户和服务提供商之间的安全传送数据的方法,其中用户生成适于用户认证的唯一认证因素(104),称为用户码,并且服务提供商将用户的用户码登记为认证因素。所述方法对于涉及电子通道中的用户和服务提供商的各种安全服务是有用的,其中服务提供商面临着对其服务的用户进行认证的挑战。
Description
技术领域
本发明涉及电子环境中的用户认证的领域,并且更具体地涉及一种使用通用个人数据终端作为安全用户认证因素的设置(arrangment)和方法。
背景技术
电子通道中的服务提供商面临着对其服务的用户进行认证的挑战。对于许多电子服务来说,提供安全用户认证的能力是必须的。
要求强有力的用户认证的服务提供商通常向用户发行一个或多个认证因素,服务提供商之后可使用该因素来认证用户。如果向用户发行了多于一个的认证因素,且要求用户在认证事件时提供所有的认证因素,那么极大地减少了虚假事件的风险。此外,如果认证因素本质上是不同的,各个因素提供对用户的唯一标识,并且所产生的认证数据对于除了该用户和服务提供商之外的其他人是保密的,那么该认证方案成为本领域已知的强有力的多因素认证方案。
通常使用的认证因素是知识因素(“你知道的某事”,像密码或PIN码)和占有因素(“你拥有的某物”,像电子一次性口令生成器、在计算机存储器中或在芯片卡上存储有私人加密密钥的安全客户件、一次性通过码打印列表和其他)。此外,生物特征数据(“你是什么”,像指纹或虹膜扫描的数字表示)有时候也用作认证因素。
占有因素通常是物理性质的,像芯片卡、密码计算器/令牌、或碎片卡(scrap card)。发行物理占有因素通常意味着服务提供商的高成本,并且通常被用户认为是不方便的。因此,服务提供商和用户可能感兴趣的是利用用户手中已有的通常可用的个人数据终端作为安全占有因素。可以引人注目地用作为占有因素的个人终端的示例是移动电话、便携式计算机、诸如PDA和智能电话的手持计算机、以及个人娱乐终端。
已知其中将个人数据终端用于用户认证的若干方法。一个已知的方法如下:服务提供商登记用户的移动用户号,在认证过程中将共享秘密发布到用户的移动终端,要求用户在另一电子通道中返回该共享秘密。该方法的缺点是发送者(服务提供商)不能检验接收方(用户)的身份,在服务器上产生共享秘密;因此在认证响应中不涉及占有因素,并且移动装置仅用作通信终端。最终,认为移动终端不是包含共享秘密的安全环境;例如,共享秘密可能在网络中泄漏,或者由另一方从移动终端读取或从移动终端重发布到另一方。
US 2003/0204726A1提供了这样一种方法,其中将共享秘密或认证响应以加密格式发布到移动终端。然后加密的认证响应从移动终端传送到客户件,客户件持有加密密钥,因此客户件可以解密该认证响应。在US 2003/0204726A1中,在每个认证事件时都在客户件和服务器之间发布加密密钥。其中不是在每个认证事件时都发送加密密钥的方法将意味着安全性改进的方法。
另一方法涉及在个人数据终端存储器中实现安全元素(例如3DES客户件或PKI客户件),该安全元素包含用户敏感数据。该方法中的占有因素是用户敏感数据,例如私有加密密钥。可以由知识因素(PIN或密码)加密安全元素。该方法的一个问题是安全元素可能被复制并且用户敏感数据可能例如通过对知识因素的试错攻击而泄漏。可以产生用户敏感数据的副本,由此减小了该方法作为安全占有因素的可靠性。
GSM标准以及其他的移动终端安装有芯片卡,即SIM卡,移动运营商在其中存储了移动订户认证数据和其他网络数据。SIM卡是防篡改的硬件令牌并且是安全元素的安全存储容器。因此,SIM卡是移动终端中的安全占有因素。使用SIM卡作为服务提供商的占有因素的局限性在于SIM卡不是开放的平台,对SIM的访问需要移动运营商的同意。将SIM开放给其他服务提供商可能将SIM暴露于新的安全威胁,并且/或者,对于服务提供商来说满足移动运营商的安全要求以被允许访问SIM是高成本的。SIM卡提供有限的存储容量以及复杂的供给和生存周期管理。例如,当移动运营商或订户改变SIM时,服务提供商发行的基于SIM的安全元素的使用期限将结束。
IMEI码是与个人终端关联且驻留在个人终端中的唯一码的示例。这种码的其他示例是MAC、处理器号、电子产品码——EPC或SIM序列号——SSN。这些码是与个人终端关联且驻留在个人终端中的唯一码,但它们不是秘密的,并且它们可以被读取且复制到其他环境中。如果将这些码用作用户占有因素的唯一表示,则已经获得这些码的副本的熟练入侵者可以使用这些码来产生虚假事件。在专利申请NO.20050152中描述了这样方法,其中借助可编程用户装置来产生用于用户认证的可再生安全码,在该可编程用户装置中预先存储唯一标识用户装置的设备标识符,并且在用户认证中使用该设备标识符作为占有因素的表示。
在WO 01/31840A1中描述了一种使用移动终端用于用户认证的方法,其中将移动终端的IMEI用作认证方案中的物理元素或占有因素的表示。WO 01/31840A1的方法不包括保护免受基于与个人终端关联且驻留在个人终端中的唯一码的副本来产生虚假事件的威胁的方法,也未描述对设置的始发者和接收者进行真实性控制以进一步保护该方法免受恶意攻击的任何方法。该方法基于在接收端存储且使用用户认证数据,由此增加了将用户认证数据暴露于入侵者的附加风险。最终,该方法依赖于使用时间作为用户认证数据(一次性口令)计算中的唯一未公开元素,时间是相对容易确定的变量,并且其中没有用于将移动终端手机的时钟和其他系统同步的已知方案,这使得难以在移动终端上的用户认证设置中基于时间来产生长的且不可预测的变量。
US 2003/0236981和US 2004/0030906描述了一种方法,其中,使用与个人终端关联且驻留在个人终端中的唯一码,即移动终端的IMEI来保护个人数据终端免受恶意攻击。该方法在向服务提供商产生用户认证的过程中不使用个人数据终端,并且该方法没有考虑到使用IMEI作为安全占有因素的唯一参考的上述威胁。
在US2005/0187882中描述了在短距离通信(RfID)的环境中将移动终端用于电子付费服务的发明,其中向用户发行用于用户认证的单独令牌。利用移动终端作为安全占有因素使得服务提供商能够从移动终端本身上的设置而产生用户认证数据,因此消除了如在US2005/0187882中所述的向用户发送单独的物理令牌的需要。对于从服务提供商预订了几个服务或从几个服务提供商预订了服务的用户来说,避免使用物理令牌是有意义的。
存在利用通常可用的个人数据终端作为用于用户认证的占有因素的若干方法。在不同类型的个人数据终端中预设了与个人终端关联且驻留在个人终端中的唯一码。但是,这些码不是秘密的,它们可以被读取且复制到其他环境中。如果将这些码用作用户占有因素的唯一表示,则获得了这些码的副本的熟练入侵者可能使用这些码来产生虚假事件。
此外,如果占有因素被多于一个的服务提供商使用,则使用上述码作为用户占有因素的唯一表示将不会产生唯一的占有因素。服务提供商不能得知相同的占有因素是否由其他服务提供商重用。如果服务提供商知道从占有因素产生的用户认证数据(例如用户码)仅对于一个用户登记有效,并且相同的用户认证数据没有用于任何其他的服务提供商登记,则将提高对该占有因素的信任度。
使用与个人终端关联且驻留在个人终端中的唯一码作为占有因素的另外的已经意识到的问题是,服务提供商必须确定该码是从真实的个人终端读取的,而不是从另一环境读取的。
在JP2003410949中,公开了生成唯一码并且在移动终端上例如以图片形式显示该码的系统和方法。接着将该码用于访问服务,例如现金提款或付费。除了需要附加的用户交互之外,所述方法的缺点还在于可以从显示器无意地泄漏码。而且,该方法没有与各个服务提供商的登记过程——所以对用户身份的初始检验只能由针对所有标准的公共过程而不是由各个提供商选择的安全标准来进行,例如,只在移动终端和用户位于提供商的办公地点范围内时登记客户件。
GB2337908描述了一种方法,其中向PC卡寻呼器(card pager)发行主机生成的一次性口令和加密表,并且其中用户通过用来自加密表的加密密钥对认证信息进行加密来进行认证。该方法基于对于每个新认证发行新的一次性口令,并且它在PC卡寻呼器中存储加密列表。因此,该方法暴露于复制加密表和确保一次性口令的发布的威胁。此外,该方法不生成可再生的用户码,该可再生用户码可以多次用作用户身份的占有元素并且可以用于认证、签名和加密目的。
为了从通常可用的个人终端(该个人终端包含与个人终端关联且驻留在个人终端中的一个或更多个唯一码)生成安全占有因素,与个人终端关联的设置必须保证:
——不能再生或复制占有因素;
——占有因素对于服务提供商来说是唯一的,使得服务提供商能够从一个特定登记事件识别发行给用户的唯一占有因素;
——个人终端实际地用于产生占有因素。
发明内容
本发明的主题是利用通常可用的个人数据终端作为用于用户认证的安全且可靠的占有因素的方法和设置。所包含的独立权利要求中限定的特征刻画了该方法和设置。
因此本发明涉及一种用于在两方之间安全传送数据,例如认证或数据加密的方法,所述两方为用户和第二方,所述方法包括以下会话中的至少一个:用于生成适于用户认证的唯一的、可再生的并且新的认证因素/用户码的第一会话;用于在第二方登记用户认证因素/用户码的第二会话;和用于在两方之间进行安全用户认证或数据加密以进行数据传送的第三会话,在第二方登记用户并且第二方是服务提供商,其中,用户至少使用个人终端,该个人终端至少包括中央处理单元、通信装置、和存储在存储装置或部分地存储在存储装置中的适于用户认证的至少一个客户件,其中,所述至少一个客户件包括生成和存储随机数的能力,其中,该第一会话至少包括以下步骤:
——所述至少一个客户件使用在所述至少一个客户件中的生成能力来生成随机数;
—一所述至少一个客户件将该随机数存储在所述至少一个客户件中,并且将所存储的随机数命名为客户件索引;
——所述至少一个客户件取出与个人终端关联且驻留在个人终端中的唯一码,并且所述至少一个客户件取出客户件索引;
——所述至少一个客户件使用在所述至少一个客户件中存储的一个或更多个计算算法,其中将对个人终端的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出,即表示用户对个人终端的占有的用户码。
本发明的另一个目标是将根据本发明的方法而产生的占有因素或用户码与用户的知识因素、通过码相结合,以提供两因素用户认证。
本发明的另一个目标是提供用户认证的方法,其中在两个分立的通信通道中在用户和服务提供商之间交换认证数据。
本发明的另一个目标确定为所述至少一个客户件部分地驻留在个人终端上且部分地在代理服务器上。
本发明的另一个目标是提供一种用户认证和签字的方法,其中,第二方在用户文件中存储了用户的用户名以及该用户的一个或更多个用户码,可以访问与用户的个人终端相同的一个或更多个计算算法,并可以访问信息元素,并且,在个人终端和第二方之间存在至少一个通信通道。在至少一个客户件上将信息元素输入到个人终端,所述至少一个客户件产生用户码,将所述用户码和信息元素输入到一个或更多个计算算法,产生输出,即签字的元素。用户名从用户转发到第二方,并且签字的元素转发到第二方。第二方将用户文件中存储的用户码和信息元素输入到所述一个或更多个计算算法,产生输入,即签字的元素。第二方将从所述一个或更多个计算算法输出的签字的元素与从用户转发的签字的元素相比较,如果这两个元素相等,则对用户的认证成功。
本发明的又一方面是提供在两方之间进行安全用户认证的设置,其中,第一方是用户,所述用户至少使用个人终端,所述个人终端至少包括中央处理单元、通信装置、和适于存储一个或更多个客户件或者适于部分地存储一个或更多个客户件的存储装置,所述客户件适于用户认证,其中,第二方是服务提供商,其中,所述一个或更多个客户件至少包括:
——一个或更多个计算算法;
——来自与个人终端关联且驻留在个人终端中的唯一码的输入参数,所述码例如IMEI号、MAC、处理器号、电子产品码——EPC或SIM序列号——SSN;
——适于在所述一个或更多个客户件中生成且存储随机数的装置;
——适于向第二方标识自己且标识第二方的装置,以及
——用于与服务器进行安全通信的装置。
根据所附专利权利要求中所要求保护的方法和设置来实现这些和其他目标。
附图说明
为了让本发明更容易理解,将参考附图进行下面的描述,在附图中:
图1A和1B示出了个人终端上的本发明的设置和使用代理服务器的本发明的设置。
图2示出了在登记会话中生成用户码的顺序。
图3示出了在个人终端上产生用于用户认证的签字元素和由服务提供商对签字元素进行检验的顺序。
图4示出根据本发明的两通道实施方式。
具体实施方式
下面,将通过参考附图且通过优选实施方式来描述本发明。
此外,为了使本公开易于理解且易读,将通过三个会话描述本方法。第一会话描述生成适于用户认证的唯一的且新的认证因素/用户码的方法,第二会话描述在第二方登记用户认证因素/用户码的方法,第三会话用于在两方之间进行安全用户认证以进行数据传送。因此,第一会话可以是用于在用户个人终端处生成唯一的且新的认证因素/用户码的第一次会话。从而第二会话将是登记会话,其中在服务提供商处将第一会话的“码”用于“第一次”登记。最后的第三会话描述可以使用若干次的认证会话,即,每次用户完成了第一和第二会话并且想在两方之间建立数据的安全传送时;这通常是一旦提供了服务则订阅者与其服务提供商具有的交易的情况。可能存在每个会话类型的另外多个可替换实施方式,因为在本发明的范围内可以有产生用户码的不同方法,例如使用或不使用通过码。
参考图1A,第一优选实施方式描述了用于在两方之间进行安全用户认证的设置,其中第一方是用户,其使用个人终端100,个人终端100至少包括中央处理单元101、通信装置102、和适于存储一个或更多个客户件104或适于部分地存储一个或更多个客户件104的存储装置103,所述客户件104适于用户认证,其中所述一个或更多个客户件包括:
——一个或更多个计算算法105;
——来自与个人终端关联且驻留在个人终端100中的唯一码106的输入参数,所述码106例如IMEI号、MAC、处理器号、电子产品码——EPC或SIM序列号——SSN;
——适于在所述一个或更多个客户件中生成且存储随机数的装置107;
——适于向第二方标识自己且标识第二方的装置108;
——用于与服务器进行安全通信的装置102。
个人终端可以是移动电话、包括通信装置的PDA或手持计算机、包含通信装置的计算机娱乐终端、或包括通信装置的便携式计算机中的一个。个人终端适于使用无线或有线通信装置下载一个或更多个客户件。
第二方是服务提供商。
本发明的第一实施方式
在本发明的第一实施方式中,在服务提供商处登记(第二会话)按设置生成的一个或更多个用户码作为用户的一个或更多个认证因素。服务提供商将根据其建立的安全策略执行登记。登记过程可以包括发布共享秘密,并且登记过程可以由在线或离线过程或其组合组成。
登记过程包括从用户到服务提供商的数据交换。在登记会话中产生的数据,即用户码将在之后用于用户认证。用户码可以仅表示用户的占有因素或者表示用户的占有因素和知识因素两者。一个登记会话(第二会话)可以包括发行仅基于占有因素的用户码和/或基于占有因素和知识因素两者的用户码。
参考图2,用户可以访问根据本发明的设置并且服务提供商根据其建立的安全策略来认证用户的登记会话可以至少包括以下步骤:
——所述至少一个客户件使用在该至少一个客户件中的生成能力生成随机数201,
——所述至少一个客户件将该随机数存储在该至少一个客户件中,并且将所存储的随机数命名为客户件索引202,
——所述至少一个客户件获取与个人终端关联且驻留在个人终端中的唯一码203,所述至少一个客户件获取客户件索引,并且可选地请求用户在个人终端上输入通过码,
——所述至少一个客户件使用在该至少一个客户件中存储的一个或更多个计算算法,其中将对个人终端的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出204,即表示用户对个人终端的占有的用户码,并且,如果用户在个人终端上输入了通过码,
——那么另外还将通过码输入到计算算法,产生输出204,即表示用户对个人终端的占有和通过码的知识的用户码,
——第二方请求用户将用户码登记到第二方的用户数据中,
——所述至少一个客户件为第二方提供所述一个或更多个客户件的认证信息205,和
——终止步骤,其中将所述用户码转发到第二方206,并在第二方处将其存储为与用户关联的用户数据的一部分。
在每个登记会话,基于在所述一个或更多个第二方客户件中的随机或伪随机数生成能力来生成客户件索引。
该客户件索引:
——存储在生成其的一个或更多个客户件中,
——永远不被拷贝或从生成其的一个或更多个客户件转发,
——永远不被显示也不暴露在个人终端上,
——仅用于用户码的计算,
——不为服务提供商所知。
所生成的用户码对登记会话(第二会话)来说是唯一的,因为其基于随机数输入。只能利用存储客户件索引的一个或更多个客户件的特定副本来再现用户码。
在将通过码用作输入之一来计算用户码的登记会话中,可以由通过码加密来存储客户件索引。
本发明可以用于在多个服务提供商处登记用户码。所述一个或更多个客户件可以存储多个客户件索引,并且可以允许用户为每个登记而登记不同的通过码。该方法将会确保在每个登记会话生成的一个或更多个用户码对每个登记会话不同。
当登记会话(第二会话)结束并且在服务提供商处生成并登记了一个或更多个用户码之后,服务提供商可以利用所述一个或更多个用户码来执行对用户的安全服务。
在执行安全服务(例如认证请求即第三会话)时,用户将会在个人终端生成与在登记时生成的用户码相同的用户码,并且服务提供商将会通过比较在登记时存储的用户码和由认证请求生成的用户码来检验用户的认证。当用户在个人终端(100)上收到认证请求时,认证会话至少包括如下步骤:
——所述至少一个客户件获取与个人终端关联且驻留在个人终端中的唯一码,并且所述至少一个客户件获取客户件索引,并且可选地请求用户在个人终端上输入通过码,
——所述至少一个客户件利用存储在该至少一个客户件中的一个或更多个计算算法,其中将对个人终端的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出,即表示用户对个人终端的占有的用户码,并且如果用户在个人终端上输入通过码,那么另外还将通过码输入到计算算法,产生输出,即表示用户对个人终端的占有和通过码的知识的用户码,
——所述至少一个客户件为第二方提供所述一个或更多个客户件的认证信息,以及
——终止步骤,其中将来自个人终端上的所述一个或更多个计算算法的输出转发到第二方。
本发明的第二实施方式
在本发明的第二实施方式中,在用户与服务提供商(第二方)之间的通信中不使用个人终端的通信装置,用户可以从个人终端显示器读取用户码并在第二终端上输入用户码,其中用户与服务提供商通信。在此实施方式中,服务提供商不需要一个或更多个客户件的认证控制,或者实际上可能不知道所述一个或更多个客户件的使用。可以适用离线使用,其中服务提供商对安全性的需求较不迫切,并且用户想要确保用户密码或用户秘密在每个服务提供商都不同。
本发明的第三实施方式
在根据本发明的第三实施方式中,一个或更多个客户件可以部分安装在代理服务器中,部分安装在个人终端上。代理服务器是允许至少一个客户件建立到服务提供商的间接网络连接的服务。参考图1B,在此实施方式中,在个人终端100上执行有限集合的功能,并且剩下的功能在代理服务器109上执行。设置的个人终端部分将包括认证控制108,同时随机数生成能力107和一个或更多个计算算法105存储于代理服务器上。该代理服务器可以在安全且可信的环境中工作。
此实施方式的好处有两部分:
——产生用户码所需要的数据输入分布在两个位置,使入侵者很难得到这两者;
——减少了在个人终端上的所述至少一个客户件的尺寸和复杂性,因此改进了该设置的灵活性和性能,包括基于每个会话将客户件下载到个人终端的实现。
在此实施方式中,代理服务器将至少包括:
——用于接收来自个人终端上的所述一个或更多个客户件的输入参数的装置,
——一个或更多个计算算法105,
——适于在所述一个或更多个客户件生成和存储随机数的装置107,
——适于将自己标识到个人终端上的所述一个或更多个客户件并标识个人终端上的所述一个或更多个客户件的装置110,
——适于向第二方标识自己并标识第二方的装置,
——用于与服务器进行安全通信的装置111。
在此实施方式中,第一、第二和第三会话在个人终端(100)上至少包括如下步骤:
——为代理服务器109提供所述至少一个客户件的认证信息108,以及
——所述至少一个客户件获取与个人终端100关联且驻留在个人终端100中的唯一码,将所述码转发到代理服务器109,并且如果用户被请求输入通过码,那么将所述通过码转发到代理服务器。
在此实施方式中,代理服务器上的第一会话至少包括如下步骤:
——在代理服务器109上的所述至少一个客户件接收来自个人终端100上的所述至少一个客户件的与个人终端100关联且驻留在个人终端100中的唯一码106以及通过码,并且,如果用户被请求在个人终端上输入通过码,
——那么,在代理服务器上的所述至少一个客户件利用在所述至少一个客户件中的生成能力107生成随机数,
——所述至少一个客户件将该随机数存储在所述至少一个客户件中并将所存储的随机数命名为客户件索引,
——所述至少一个客户件利用存储在代理服务器109上的所述至少一个客户件中的一个或更多个计算算法105,其中将对个人终端的唯一码的表示和所述客户件索引输入到所述一个或更多个计算算法,产生输出,即向服务提供商表示用户对个人终端的占有的用户码,并且,如果用户在个人终端上输入了通过码,
——那么,另外还将通过码输入到计算算法,产生输出,即表示用户对个人终端的占有和通过码的知识的用户码。
如很容易理解的,在个人终端和代理服务器之间的任务分布可以改变。例如,可以在个人终端上生成随机数并将其转发到代理服务器。
在此实施方式中,在代理服务器上的第二会话至少包括如下步骤:
——第二方请求用户将用户码登记在第二方的用户数据中,
——代理服务器上的所述至少一个客户件为第二方提供所述至少一个客户件的认证信息110,以及
——终止步骤,其中将所述用户码转发到第二方并在第二方将其存储为与用户关联的用户数据的一部分。
在此实施方式中,代理服务器上的第三会话至少包括如下步骤:
——接收来自个人终端上的所述至少一个客户件的与个人终端关联且驻留在个人终端中的唯一码106和通过码,如果用户被请求输入通过码,
——那么,代理服务器上的所述至少一个客户件获取在用户和第二方之间的第一会话中生成的客户件索引,
——利用存储在代理服务器上的所述至少一个客户件中的一个或更多个计算算法105,其中,将对个人终端的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出,即向服务器提供商表示用户对个人终端的占有的用户码,并且,如果用户在个人终端上输入了通过码,
——那么,另外还将通过码输入到计算算法,产生输出,即表示用户对个人终端的占有和通过码的知识的用户码,
——代理服务器109上的所述至少一个客户件为第二方提供所述一个或更多个客户件的认证信息110,以及
——终止步骤,其中将来自代理服务器上的所述至少一个客户件上的所述一个或更多个计算算法的输出转发到第二方。
本发明的第四实施方式
本发明的第四实施方式公开了一种认证和签名的方法,其中用户通过在一个或更多个客户件上执行计算来向服务提供商(第二方)认证自己,在所述一个或更多个客户件中,用户码是一个输入元素并且另一个输入元素是为认证事件或签名事件而生成的信息元素。所述一个或更多个计算算法的输出是签名的元素,其中服务提供商可以分析签名的元素来检验用户认证或用户签名。对于认证,信息元素也被称为口令(challenge)、变量或现时(nonce),并且签名的元素也被称为一次性口令——OTP。
表示用户对个人终端的占有的用户码可以用于用户认证。表示用户对个人终端的占有和通过码的知识的用户码可以用于认证和签名两者。参考图3,此实施方式可以利用至少包括如下步骤的顺序:
——使得可以在个人终端上获得信息元素301。信息元素可以由服务提供商或第三方生成,其可以在个人终端上生成或由用户输入,
——所述至少一个客户件在所述至少一个客户件上产生所述用户码302,和
——将所述用户码和信息元素输入到所述一个或更多个计算算法,产生输出,即签名的元素303,
——第二方将用户名和该用户的一个或更多个用户码存储在用户文件中,并且可以访问与用户的个人终端相同的一个或更多个计算算法。服务提供商可以访问信息元素,并且在个人终端和第二方之间存在至少一个通信通道,会话还至少包括如下步骤:
——将用户名从用户转发到第二方304,
——将签名的元素转发到第二方304,
——第二方将存储在用户文件中的用户码和信息元素输入到所述一个或更多个计算算法,产生输出305,即签名的元素,
——第二方比较从所述一个或更多个计算算法输出的签名的元素和从用户转发的签名的元素306,并且,如果两个元素相同,那么用户认证成功。
本发明的第五实施方式:公开了使用两个通道的另选方式
参考图4公开了本发明的第五实施方式,其中,用户可以通过两个分立的通信通道与服务提供商(第二方)通信,其中第一通道即通道1404在个人终端401和服务提供商403之间,并且第二通道即通道2405在用户可访问的第二终端402和服务提供商之间。第二终端可以用于单向或双向通信。
通过利用用户和服务提供商之间的两通道通信,获得了用户认证和签名的不同实施方式。
在一个另选方式中,通过通道2405将用户名从用户转发到第二方,通过通道2405将信息元素从第二方转发到用户,并且通过通道1404将签名的元素从第一方转发到第二方。
在第五实施方式的另一另选方式中,通过通道2405将用户名从用户转发到第二方,通过通道1404将信息元素从第二方转发到用户,并且通过通道1404将签名的元素从用户转发到第二方。
在第五实施方式的又一另选方式中,通过通道2405将用户名从用户转发到第二方,通过通道1404将信息元素从第二方转发到用户,并且通过通道2405将签名的元素从用户转发到第二方。
本发明的第六实施方式
本发明的第六实施方式可以用于将一个或更多个仅用户可以访问的信息元素发行给用户的服务提供商。电子ID或电子钱包是这种信息元素的示例。在此实施方式中,不需要从用户到服务提供商交换用户码。本发明(的一个或更多个客户件)可以用于保护信息元素并确保仅用户可以访问信息元素。在这种情况下,将用户码用作所述信息元素的加密密钥。
仅用户可以访问的信息元素的发行可以至少包括在此描述的如下步骤,其中用户可以访问本发明的设置,并且服务提供商根据其建立的安全策略认证了用户。
——所述至少一个客户件利用在所述至少一个客户件中的生成能力而生成随机数,
——所述至少一个客户件将该随机数存储到所述至少一个客户件中,并将所存储的随机数命名为客户件索引,
——所述至少一个客户件获取与个人终端关联且驻留在个人终端中的唯一码,
——所述至少一个客户件获取客户件索引,并且可选地请求用户在个人终端上输入通过码,
——所述至少一个客户件利用存储在所述至少一个客户件中的一个或更多个计算算法,其中,将对个人终端的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出,即表示用户对个人终端的占有的用户码,并且,如果用户已经在个人终端上输入了通过码,
——那么,另外地将通过码输入到计算算法,产生输出,即表示用户对个人终端的占有和通过码的知识的用户码,
——使得用户可以在个人终端上获得信息元素,
——利用用户码作为加密密钥对信息元素加密,并且将所加密的信息元素存储在用户可以访问的环境中。
本发明的第七实施方式
根据本发明的第七实施方式公开了对至少一个信息元素的加密和解密。在此实施方式中,服务提供商已经将用户的一个或更多个用户码登记在客户文件中,要加密/解密的元素是至少一个信息元素,用户码用作加密密钥,并且使用的加密算法是双向算法。
根据本发明的第七实施方式的方法可以至少包括如下步骤:
——使得可以在个人终端上获得要加密/解密的信息元素,
——用户激活所述一个或更多个客户件上的加密功能,
——一个或更多个客户件生成所述用户码,
——所述一个或更多个客户件利用用户码作为加密密钥对信息元素进行加密/解密。
根据本发明的第七实施方式的顺序在服务提供商处可以看起来如下:
——识别了要加密/解密的信息元素,
——服务提供商从用户的客户文件中查找用户的用户码,
——服务提供商利用用户码作为加密密钥对信息元素进行加密/解密。
可以在服务提供商和用户之间安全地交换加密的信息元素。服务提供商可以利用此方法来向用户安全发布(个人)信息元素;示例为电子门票、电子ID、e钱包、诸如用户健康信息的个人数据记录、以及来自医生的处方等。
对用户进行登记的服务提供商具有需要安全发布给用户的信息元素。
——服务提供商将加密的信息元素发送给用户,或使用户可以获得加密的信息元素,
——用户在个人终端上生成用户码,
——用户利用用户码作为解密密钥对所加密的信息元素进行解密,
——用户可以访问信息元素。
用户可以利用用户码作为加密密钥来保护敏感的或秘密的信息元素。用户还可以将本方法用于对信息元素进行签名,可以由服务提供商来检验签名。
本发明的第八实施方式
在另一实施方式中,本发明可以用于简化当用户改变个人终端时更新认证数据的过程。此实施方式需要个人终端具有多于一个的与个人终端关联且驻留在个人终端中的唯一码,并且需要在新的个人终端中重用这些所述码中的至少一个。包含多于一个的与个人终端关联且驻留在个人终端中的唯一码的个人终端的示例为GSM或UMTS标准的移动电话,其中SIM卡可以在新终端中重用。
在改变过程中,本发明的方法可以用于根据一个或更多个计算算法产生输出,即改变密钥,在所述一个或更多个计算算法中,输入元素中的一个是与个人终端关联且驻留在要重用元素的个人终端中的唯一码,另一个输入元素可以是用户通过码。此外,所述改变密钥可以与用户码一起是给所述一个或更多个算法的输入,产生输出,即签名的元素。所述签名的元素将用户与改变密钥相关联。
此后,在新个人终端中,可以使用本发明的方法来根据一个或更多个计算算法来生成改变密钥,在所述一个或更多个计算算法中,输入元素中的一个是与个人终端关联且驻留在所重用元素的个人终端中的唯一码,另一个输入元素可以是用户通过码。
服务提供商可以使用在新终端上产生的改变密钥来认证新个人终端上的用户。此后,如果希望,则用户和服务提供商可以利用本发明的方法进行在新个人终端上生成和登记新用户码的过程。
缩写
3DES三重数据加密标准
EPC电子产品码
GSM全球移动通信系统
ID身份
IMEI国际移动设备标识码
MAC媒体接入控制
OTP一次性口令
PDA个人数据助理
PIN个人身份号
PKI公钥基础设施
RFID射频标识
SIM订户标识模块
SSN SIM序列号
UMTS通用移动电信系
Claims (29)
1.一种用于在两方之间安全传送数据的方法,所述两方为作为第一方的用户和第二方,所述方法至少包括如下会话之一:用于生成适于用户认证的唯一的且新的认证因素/用户码的第一会话、用于在第二方登记该用户认证因素/用户码的第二会话、和用于在所述两方之间进行安全用户认证以进行数据传送的第三会话,该用户在该第二方登记并且该第二方是服务提供商,其中,该用户至少使用个人终端(100),该个人终端(100)至少包括中央处理单元(101)、通信装置(102)、和存储在存储装置(103)或部分地存储在存储装置(103)中的适于用户认证的至少一个客户件(104),并且其中,所述至少一个客户件包括生成并存储随机数的能力,所述方法的特征在于,该第一会话至少包括以下步骤:
B.1)所述至少一个客户件使用在所述至少一个客户件中的生成能力来生成随机数(107),
C.1)所述至少一个客户件将该随机数存储在所述至少一个客户件中,并且将所存储的随机数命名为客户件索引,
D.1)所述至少一个客户件获取与该个人终端(100)关联且驻留在该个人终端(100)中的唯一码,并且所述至少一个客户件获取该客户件索引,以及
E.1)所述至少一个客户件使用在所述至少一个客户件中存储的一个或更多个计算算法(105),其中将对该个人终端(100)的唯一码的表示和客户件索引输入到所述一个或更多个计算算法,产生输出,即表示用户对该个人终端(100)的占有的用户码。
2.根据权利要求1所述的方法,该方法的特征在于,在该第二方登记该用户码的该第二会话至少包括以下步骤:
A.2)该第二方请求该用户在该第二方的用户数据中登记该用户码,
B.2)向该第二方提供所述一个或更多个客户件的认证信息(205),以及
C.2)终止步骤,其中将所述用户码转发到该第二方(206),并在该 第二方将所述用户码存储为与该用户关联的用户数据的一部分。
3.根据权利要求1所述的方法,该方法的特征在于,该第一会话还包括以下的另选步骤:
步骤D.1)包括请求该用户在该个人终端(100)上选择并输入通过码的附加步骤,以及
步骤E.1)包括以下的附加步骤:将选择的通过码输入该计算算法(105),产生输出,即表示用户对该个人终端(100)的占有和所述通过码的知识的用户码。
4.根据权利要求1所述的方法,该方法的特征在于,该第三会话至少包括以下步骤:
B.3)所述至少一个客户件获取与该个人终端(100)关联且驻留在该个人终端(100)中的唯一码,
C.3)所述至少一个客户件获取在第一方和第二方之间的登记会话中生成的客户件索引,以及
D.3)使用在所述至少一个客户件中存储的一个或更多个计算算法,其中将对该个人终端(100)的唯一的表示和该客户件索引输入所述一个或更多个计算算法,向该服务提供商产生输出,即表示用户对该个人终端(100)的占有的用户码。
5.根据权利要求4所述的方法,该方法的特征在于,该第三会话还至少包括以下的引导步骤:
A.3)向该第二方提供所述一个或更多个客户件的认证信息;以及
E.3)终止步骤,其中将来自该个人终端(100)上的所述一个或更多个计算算法的输出转发到该第二方。
6.根据权利要求4所述的方法,该方法的特征在于,步骤D.3)包括以下的附加步骤:
该第一方在该个人终端(100)输入通过码;将所述通过码用作该计算算法的附加输入,产生输出,即表示该个人终端(100)的用户占有和该通过码的知识的用户码。
7.根据权利要求1至6中的任一项所述的方法,该方法的特征在于, 所述至少一个客户件部分地驻留在该个人终端(100)上,部分地驻留在代理服务器(109)上。
8.根据权利要求7所述的方法,该方法的特征在于,该第一会话、该第二会话和该第三会话在该个人终端(100)上至少包括以下步骤:
A.4)向该代理服务器(109)提供所述至少一个客户件的认证信息,以及
B.4)所述至少一个客户件获取与该个人终端(100)关联且驻留在该个人终端(100)中的唯一码,并且将获取的唯一码转发到该代理服务器(109)。
9.根据权利要求8所述的方法,该方法的特征在于,步骤B.4)包括以下的附加步骤:
该用户在该个人终端(100)输入通过码,将所述通过码转发到该代理服务器(109)。
10.根据权利要求7所述的方法,该方法的特征在于,该第一会话、该第二会话和该第三会话在该代理服务器上至少包括以下步骤:
A.5)从该个人终端(100)上的所述至少一个客户件接收与该个人终端(100)关联且驻留在该个人终端(100)中的该唯一码,
B.5)该代理服务器(109)上的所述至少一个客户件获取在该第一会话中生成的客户件索引,以及
C.5)使用在代理服务器(109)上的所述至少一个客户件中存储的一个或更多个计算算法,其中将对该个人终端(100)的唯一码的表示和该客户件索引输入到所述一个或更多个计算算法,向服务提供商产生输出,即表示用户对该个人终端(100)的占有的用户码。
11.根据权利要求10所述的方法,该方法的特征在于,步骤B.5)包括从该个人终端(100)上的所述至少一个客户件接收通过码的附加步骤,并且步骤C.5)包括以下的附加步骤:将所述通过码用作对该计算算法的附加输入,产生输出,即表示该个人终端(100)的用户占有和该通过码的知识的用户码。
12.根据权利要求1、4、5和6中的任一项所述的方法,该方法的 特征在于,该第三会话至少包括以下步骤:
A.6)将信息元素输入(301)到该个人终端(100)
B.6)在所述至少一个客户件上产生所述用户码(302)
C.6)将所述用户码和该信息元素输入到所述一个或更多个计算算法,产生输出(303),即签名的元素。
13.根据权利要求12所述的方法,该方法的特征在于,其中,该第二方在用户文件中存储了该用户的用户名和一个或更多个用户码,可以访问与该代理服务器(109)或该用户的个人终端(100)上存在的所述一个或更多个客户件相同的一个或更多个计算算法,并可以访问该信息元素,并且,在该个人终端(100)和该第二方之间存在至少一个通信信道,于是,该第三会话还至少包括以下步骤:
D.6)从该用户将该用户名转发(304)到该第二方,
E.6)将该签名的元素转发(304)到该第二方,
F.6)该第二方将该用户文件中存储的该用户码和该信息元素输入到所述一个或更多个计算算法,产生输出(305),即签名的元素,
G.6)该第二方对步骤F.6)中从所述一个或更多个计算算法输出的签名的元素和步骤E.6)中从该用户转发的签名的元素进行比较(306),并且,如果这两个元素相同,那么认证了该用户。
14.根据权利要求12所述的方法,该方法的特征在于,在该第一方和该第二方之间为该第二会话和该第三会话建立两通道通信,其中,第一通道即通道1(404)在该个人终端(100)和该第二方之间,第二通道即通道2(405)在该第一方可访问的第二终端和该第二方之间。
15.根据权利要求14所述的方法,该方法的特征在于,通过通道2(405)将该用户名从该用户转发到该第二方,通过通道2(405)将该信息元素从该第二方转发到该用户,并且通过通道1(404)将步骤C.6)中产生的签名的元素从该第一方转发到该第二方。
16.根据权利要求14所述的方法,该方法的特征在于,通过通道2(405)将该用户名从该用户转发到该第二方,通过通道1(404)将该信息元素从该第二方转发到该用户,并且通过通道1(404)将步骤C.6) 中产生的签名的元素从该用户转发到该第二方。
17.根据权利要求14所述的方法,该方法的特征在于,通过通道2(405)将该用户名从该用户转发到该第二方,通过通道1(404)将该信息元素从该第二方转发到该用户,并且通过通道2(405)将该签名的元素从该用户转发到该第二方。
18.根据权利要求1至6中的任一项所述的方法,该方法的特征在于,使用IMEI号、MAC、处理器号、电子产品码——EPC或SIM序列号——SSN,作为与该个人终端(100)关联且驻留在该个人终端(100)中的该唯一码。
19.根据权利要求1至6中的任一项所述的方法,该方法的特征在于,该用户使用对该个人终端(100)的任何用户输入来作为该通过码。
20.根据权利要求19所述的方法,其中,所述用户输入包括字母数字和数字字符、语音表示或生物特征数据。
21.一种用于在两方之间进行安全用户认证的系统(104),其中,第一方是用户,该用户至少使用个人终端(100),该个人终端(100)至少包括中央处理单元(101)、通信装置(102)、和适于存储一个或更多个客户件(104)或者适于部分地存储一个或更多个客户件(104)的存储装置(103),所述客户件(104)适于用户认证,其中,第二方是服务提供商,所述系统的特征在于,所述一个或更多个客户件至少包括:
——一个或更多个计算算法(105),
——来自与该个人终端(100)关联且驻留在该个人终端(100)中的唯一码(106)的输入参数,
——适于在所述一个或更多个客户件中生成且存储随机数的装置(107);
——适于向该第二方标识自己且标识该第二方的装置(108),以及
——用于与服务器进行安全通信的装置(102);
所述一个或更多个客户件使用所述一个或更多个计算算法(105),其中将对该个人终端(100)的唯一码的表示和所存储的随机数输入到所述一个或更多个计算算法,产生输出,即表示用户对该个人终端(100) 的占有的用户码。
22.根据权利要求21所述的系统,该系统的特征在于,所述系统还包括来自该用户的输入参数。
23.根据权利要求22所述的系统,其中,所述输入参数为字母数字和数字字符、语音表示或生物特征数据。
24.根据权利要求21所述的系统,该系统的特征在于,所述系统还包括用于该用户和该第二方之间的单向或双向通信的第二终端。
25.根据权利要求21至24中的任一项所述的系统,该系统的特征在于,该系统还包括代理服务器,该代理服务器至少包括:
——用于接收来自该个人终端(100)上的所述一个或更多个客户件的输入参数的装置,
——一个或更多个计算算法(105),
——适于在所述一个或更多个客户件中生成并存储随机数的装置(107),
——适于向该个人终端(100)上的所述一个或更多个客户件标识自己并标识该个人终端(100)上的所述一个或更多个客户件的装置(110),
——适于向该第二方标识自己并标识该第二方的装置,
——用于与服务器进行安全通信的装置(111)。
26.根据权利要求21至24中的任一项所述的系统,该系统的特征在于,该个人终端(100)是移动电话、包括通信装置(102)的PDA、包括通信装置(102)的计算机娱乐终端、或包括通信装置(102)的便携式计算机中的一个。
27.根据权利要求26所述的系统,其中,所述移动电话为GSM或UMTS电话。
28.根据权利要求21至24中的任一项所述的系统,该系统的特征在于,该个人终端(100)适于使用无线或有线通信装置(102)下载所述一个或更多个客户件。
29.根据权利要求21所述的系统,其中,所述唯一码为IMEI号、MAC、处理器号、电子产品码——EPC或SIM序列号——SSN。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20054549A NO324315B1 (no) | 2005-10-03 | 2005-10-03 | Metode og system for sikker brukerautentisering ved personlig dataterminal |
| NO20054549 | 2005-10-03 | ||
| PCT/IB2006/002742 WO2007039806A2 (en) | 2005-10-03 | 2006-10-03 | Method and arrangement for secure autentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101300808A CN101300808A (zh) | 2008-11-05 |
| CN101300808B true CN101300808B (zh) | 2013-03-06 |
Family
ID=35307886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800406184A Active CN101300808B (zh) | 2005-10-03 | 2006-10-03 | 安全认证的方法和设置 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8335925B2 (zh) |
| EP (1) | EP1997291B1 (zh) |
| JP (1) | JP2009510644A (zh) |
| CN (1) | CN101300808B (zh) |
| AU (1) | AU2006298507B2 (zh) |
| BR (1) | BRPI0617970A2 (zh) |
| CA (1) | CA2624422A1 (zh) |
| DK (1) | DK1997291T3 (zh) |
| ES (1) | ES2596308T3 (zh) |
| NO (1) | NO324315B1 (zh) |
| RU (1) | RU2434352C2 (zh) |
| WO (1) | WO2007039806A2 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8166547B2 (en) | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| ATE523020T1 (de) | 2006-08-31 | 2011-09-15 | Encap As | Verfahren zur synchronisierung zwischen server und mobiler vorrichtung |
| TWI435272B (zh) * | 2007-12-07 | 2014-04-21 | Ibm | 基於行動智慧卡之鑑認 |
| GB2458470A (en) * | 2008-03-17 | 2009-09-23 | Vodafone Plc | Mobile terminal authorisation arrangements |
| BRPI0917067A2 (pt) | 2008-12-03 | 2016-02-16 | Entersect Internat Ltd | método de autenticação de uma transação segura e sistema para autenticar uma transação segura |
| US20100324934A1 (en) * | 2009-06-23 | 2010-12-23 | Sony Corporation | Electronic Backbone for Medicine Infrastructure |
| US8825548B2 (en) * | 2009-06-30 | 2014-09-02 | Ebay Inc. | Secure authentication between multiple parties |
| US8358784B2 (en) * | 2010-01-04 | 2013-01-22 | Tata Consultancy Services Limited | System and method for a secure synchronization between a wireless communication device and a server |
| US8683564B2 (en) | 2010-06-27 | 2014-03-25 | King Saud University | One-time password authentication with infinite nested hash claims |
| US8842833B2 (en) * | 2010-07-09 | 2014-09-23 | Tata Consultancy Services Limited | System and method for secure transaction of data between wireless communication device and server |
| US9112905B2 (en) * | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| CN102034041A (zh) * | 2010-12-07 | 2011-04-27 | 华为终端有限公司 | 一种验证绑定数据卡和移动主机的方法、装置及系统 |
| US11063920B2 (en) | 2011-02-03 | 2021-07-13 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US8817984B2 (en) | 2011-02-03 | 2014-08-26 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US8739260B1 (en) * | 2011-02-10 | 2014-05-27 | Secsign Technologies Inc. | Systems and methods for authentication via mobile communication device |
| US9542545B2 (en) * | 2011-03-21 | 2017-01-10 | Webcetera, L.P. | System, method and computer program product for access authentication |
| US9237017B2 (en) * | 2011-03-21 | 2016-01-12 | Microsoft Technology Licensing, Llc | Lightweight authentication for on-premise rich clients |
| DE102011108775A1 (de) * | 2011-07-29 | 2013-01-31 | Continental Automotive Gmbh | Verfahren und System zur Kontrolldatenübertragung zwischen einem Fahrzeugdatenaufzeichnungsgerät und einem Prüfgerät |
| EP2595122A1 (en) * | 2011-11-15 | 2013-05-22 | Gemalto SA | Method for enrolling and authenticating a cardholder |
| JP5973224B2 (ja) * | 2012-05-10 | 2016-08-23 | 株式会社東海理化電機製作所 | 電子キー登録方法 |
| EP2665295B1 (en) * | 2012-05-14 | 2018-02-21 | Uros Technology S.à r.l. | Security code(s) of apparatus having at least one SIM |
| JP6066586B2 (ja) * | 2012-05-22 | 2017-01-25 | キヤノン株式会社 | 情報処理システム、その制御方法、およびそのプログラム。 |
| JP5990406B2 (ja) * | 2012-06-06 | 2016-09-14 | 株式会社東海理化電機製作所 | 電子キー登録方法 |
| JP5985894B2 (ja) * | 2012-06-06 | 2016-09-06 | 株式会社東海理化電機製作所 | 電子キー登録方法 |
| CN104113838A (zh) * | 2013-04-19 | 2014-10-22 | 沈志松 | 一种wifi间的统一身份验证方法 |
| WO2015076846A1 (en) | 2013-11-25 | 2015-05-28 | Mcafee, Inc. | Secure proxy to protect private data |
| JP6114716B2 (ja) * | 2014-05-28 | 2017-04-12 | 株式会社日立製作所 | 情報処理端末、情報処理システム、および情報処理方法 |
| US10057240B2 (en) * | 2014-08-25 | 2018-08-21 | Sap Se | Single sign-on to web applications from mobile devices |
| GB2543780B (en) * | 2015-10-27 | 2020-01-22 | Trustonic Ltd | Cryptographic program diversification |
| RU2653229C2 (ru) * | 2016-03-14 | 2018-05-07 | Валерий Валерьевич Слепичко | Компактное автономное сетевое устройство хранения и просмотра данных |
| JP2020509625A (ja) * | 2017-03-07 | 2020-03-26 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 乱数に基づくデータメッセージ認証 |
| JP2018067327A (ja) * | 2017-12-01 | 2018-04-26 | マカフィー, エルエルシー | プライベートデータを保護するセキュアプロキシ |
| US11240030B2 (en) * | 2018-12-27 | 2022-02-01 | Paypal, Inc. | Token management layer for automating authentication during communication channel interactions |
| US11016789B2 (en) * | 2019-10-11 | 2021-05-25 | UiPath, Inc. | Robot browser embedding |
| CN111586023B (zh) * | 2020-04-30 | 2022-05-31 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1201545A (zh) * | 1995-09-18 | 1998-12-09 | 艾利森电话股份有限公司 | 用于用户认证的方法和装置 |
| GB2337908A (en) * | 1998-03-13 | 1999-12-01 | Nec Corp | Accessing a network host computer from outside the network with improved security |
| CN1527577A (zh) * | 2000-04-06 | 2004-09-08 | ���ŷ�����ͨϵͳ�����о��� | 采用ip传输网络的终端至终端通信连接控制方法 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5293029A (en) * | 1989-01-17 | 1994-03-08 | Kabushiki Kaisha Toshiba | System for mutually certifying an IC card and an IC card terminal |
| US5809230A (en) * | 1996-01-16 | 1998-09-15 | Mclellan Software International, Llc | System and method for controlling access to personal computer system resources |
| KR100213188B1 (ko) * | 1996-10-05 | 1999-08-02 | 윤종용 | 사용자 인증 장치 및 방법 |
| US6175869B1 (en) * | 1998-04-08 | 2001-01-16 | Lucent Technologies Inc. | Client-side techniques for web server allocation |
| JP4020520B2 (ja) * | 1998-12-28 | 2007-12-12 | 富士通株式会社 | 接続装置 |
| FI19992343A (fi) * | 1999-10-29 | 2001-04-30 | Nokia Mobile Phones Ltd | Menetelmä ja järjestely käyttäjän luotettavaksi tunnistamiseksi tietokonejärjestelmässä |
| JP3565490B2 (ja) * | 1999-11-09 | 2004-09-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | クライアントサーバシステム、サーバ、クライアント、プロキシサーバ制御方法、プロキシサーバ機能提供方法および記憶媒体 |
| JP3719896B2 (ja) * | 2000-02-15 | 2005-11-24 | アルゼ株式会社 | 従業員カードシステム |
| US6993658B1 (en) * | 2000-03-06 | 2006-01-31 | April System Design Ab | Use of personal communication devices for user authentication |
| US6934848B1 (en) * | 2000-07-19 | 2005-08-23 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests within a certificate-based host session |
| JP2002132736A (ja) * | 2000-10-26 | 2002-05-10 | Pumpkin House:Kk | コンテンツ配信システムにおけるクライアント・コンピュータの制御方法およびクライアント・コンピュータ |
| JP3494998B2 (ja) * | 2001-01-25 | 2004-02-09 | 株式会社ソニー・コンピュータエンタテインメント | 情報通信システム、情報処理装置、通信特定情報の保存方法、通信特定情報の保存プログラムを記録したコンピュータ読み取り可能な記録媒体、通信特定情報の保存プログラム |
| JP3642044B2 (ja) * | 2001-11-06 | 2005-04-27 | 日本電気株式会社 | パスワード管理装置、パスワード管理システム、パスワード管理方法、およびそのプログラム |
| JP3697212B2 (ja) * | 2002-01-16 | 2005-09-21 | 株式会社エヌ・ティ・ティ・ドコモ | ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体 |
| US6880079B2 (en) * | 2002-04-25 | 2005-04-12 | Vasco Data Security, Inc. | Methods and systems for secure transmission of information using a mobile device |
| CA2502134A1 (en) * | 2002-06-19 | 2004-03-04 | Secured Communications, Inc. | Inter-authentication method and device |
| JP2004102552A (ja) * | 2002-09-06 | 2004-04-02 | Cybozu Inc | ライセンスキー発行装置、ライセンスキー生成方法、プログラム実行装置、プログラム実行装置の制御方法及びプログラム |
| US7502933B2 (en) * | 2002-11-27 | 2009-03-10 | Rsa Security Inc. | Identity authentication system and method |
| US7319757B2 (en) * | 2003-01-02 | 2008-01-15 | Intel Corporation | Wireless communication device and method for over-the-air application service |
| JP2005027292A (ja) * | 2003-06-10 | 2005-01-27 | Seiko Epson Corp | 画像データ構造、画像記録装置及び画像再生システム |
| JP2005085009A (ja) * | 2003-09-09 | 2005-03-31 | Alps Electric Co Ltd | 識別情報生成装置および識別情報生成方法 |
| WO2005041474A1 (ja) * | 2003-10-28 | 2005-05-06 | The Foundation For The Promotion Of Industrial Science | 認証システム及び遠隔分散保存システム |
| JPWO2005055089A1 (ja) * | 2003-12-05 | 2007-06-28 | 松下電器産業株式会社 | 情報通知装置および情報通知方法 |
| JP4540353B2 (ja) * | 2004-01-23 | 2010-09-08 | 三菱電機株式会社 | 認証システム及び端末装置 |
| JP4587158B2 (ja) * | 2004-01-30 | 2010-11-24 | キヤノン株式会社 | セキュア通信方法、端末装置、認証サービス装置、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体 |
| US7764795B2 (en) * | 2004-10-20 | 2010-07-27 | Oracle International Corporation | Key-exchange protocol using a password-derived prime |
| US7690026B2 (en) * | 2005-08-22 | 2010-03-30 | Microsoft Corporation | Distributed single sign-on service |
| WO2010031840A1 (en) * | 2008-09-22 | 2010-03-25 | Thomson Licensing | Methods for the reduction of difference in phase following disconnection of a phase locked loop and devices implementing such methods |
-
2005
- 2005-10-03 NO NO20054549A patent/NO324315B1/no unknown
-
2006
- 2006-10-03 BR BRPI0617970-3A patent/BRPI0617970A2/pt not_active IP Right Cessation
- 2006-10-03 WO PCT/IB2006/002742 patent/WO2007039806A2/en active Application Filing
- 2006-10-03 US US12/083,006 patent/US8335925B2/en active Active
- 2006-10-03 CN CN2006800406184A patent/CN101300808B/zh active Active
- 2006-10-03 AU AU2006298507A patent/AU2006298507B2/en not_active Ceased
- 2006-10-03 CA CA002624422A patent/CA2624422A1/en not_active Abandoned
- 2006-10-03 DK DK06808930.9T patent/DK1997291T3/da active
- 2006-10-03 JP JP2008534102A patent/JP2009510644A/ja active Pending
- 2006-10-03 ES ES06808930.9T patent/ES2596308T3/es active Active
- 2006-10-03 RU RU2008115074/09A patent/RU2434352C2/ru active
- 2006-10-03 EP EP06808930.9A patent/EP1997291B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1201545A (zh) * | 1995-09-18 | 1998-12-09 | 艾利森电话股份有限公司 | 用于用户认证的方法和装置 |
| GB2337908A (en) * | 1998-03-13 | 1999-12-01 | Nec Corp | Accessing a network host computer from outside the network with improved security |
| CN1527577A (zh) * | 2000-04-06 | 2004-09-08 | ���ŷ�����ͨϵͳ�����о��� | 采用ip传输网络的终端至终端通信连接控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007039806A3 (en) | 2007-07-05 |
| WO2007039806A2 (en) | 2007-04-12 |
| NO20054549L (no) | 2007-04-04 |
| CA2624422A1 (en) | 2007-04-12 |
| EP1997291B1 (en) | 2016-07-13 |
| US20090119759A1 (en) | 2009-05-07 |
| CN101300808A (zh) | 2008-11-05 |
| RU2008115074A (ru) | 2009-10-27 |
| JP2009510644A (ja) | 2009-03-12 |
| NO20054549D0 (no) | 2005-10-03 |
| AU2006298507A1 (en) | 2007-04-12 |
| BRPI0617970A2 (pt) | 2011-08-09 |
| ES2596308T3 (es) | 2017-01-05 |
| RU2434352C2 (ru) | 2011-11-20 |
| NO324315B1 (no) | 2007-09-24 |
| DK1997291T3 (da) | 2016-12-19 |
| AU2006298507B2 (en) | 2010-11-25 |
| EP1997291A2 (en) | 2008-12-03 |
| US8335925B2 (en) | 2012-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101300808B (zh) | 安全认证的方法和设置 | |
| JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
| US7362869B2 (en) | Method of distributing a public key | |
| CN102017578B (zh) | 用于在令牌与验证器之间进行认证的网络助手 | |
| EP1277301B1 (en) | Method for transmitting payment information between a terminal and a third equipement | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN100447798C (zh) | 使用便携式计算设备作为智能密钥设备的方法和系统 | |
| CN101010903B (zh) | 用于生成并验证电子签名的方法 | |
| US20080201576A1 (en) | Information Processing Server And Information Processing Method | |
| CN103001940A (zh) | 由wtru使用的用于建立安全本地密钥的方法 | |
| CN1910531B (zh) | 数据资源的密钥控制使用的方法和系统以及相关网络 | |
| CN106878245A (zh) | 图形码信息提供、获取方法、装置及终端 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN109600296A (zh) | 一种证件链即时通讯系统及其使用方法 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| WO2000039958A1 (en) | Method and system for implementing a digital signature | |
| CN106022081A (zh) | 一种身份证读卡终端的读卡方法、身份证读卡终端和系统 | |
| CN105635164B (zh) | 安全认证的方法和装置 | |
| JP2005122567A (ja) | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム | |
| CN106027256B (zh) | 一种身份证读卡响应系统 | |
| KR100726074B1 (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
| CN106027482B (zh) | 一种身份证读卡响应方法及装置 | |
| JP2005123996A (ja) | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム | |
| Dass et al. | Security framework for addressing the issues of trust on mobile financial services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1124191 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1124191 Country of ref document: HK |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160902 Address after: American Texas Patentee after: Austria Collier ID company Address before: Oslo Patentee before: Encap AS |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211012 Address after: Oslo Patentee after: ENCAP A/S Address before: American Texas Patentee before: Austria Collier ID Co. |