FI110150B - Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan - Google Patents

Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan Download PDF

Info

Publication number
FI110150B
FI110150B FI20000948A FI20000948A FI110150B FI 110150 B FI110150 B FI 110150B FI 20000948 A FI20000948 A FI 20000948A FI 20000948 A FI20000948 A FI 20000948A FI 110150 B FI110150 B FI 110150B
Authority
FI
Finland
Prior art keywords
key code
authentication
network resource
authentication information
user
Prior art date
Application number
FI20000948A
Other languages
English (en)
Swedish (sv)
Other versions
FI20000948A (fi
FI20000948A0 (fi
Inventor
Kimmo Maekinen
Original Assignee
Elisa Comm Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Comm Oyj filed Critical Elisa Comm Oyj
Priority to FI20000948A priority Critical patent/FI110150B/fi
Publication of FI20000948A0 publication Critical patent/FI20000948A0/fi
Publication of FI20000948A publication Critical patent/FI20000948A/fi
Application granted granted Critical
Publication of FI110150B publication Critical patent/FI110150B/fi

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

110150
Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan
Keksinnön kohteena on patenttivaatimuksen 1 johdannon mukainen menetelmä 5 tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan.
Keksinnön kohteena on myös patenttivaatimuksen 15 johdannon mukainen menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen salakirjoittamiseksi.
Tämänkaltaisia menetelmiä käytetään, kun kirjaudutaan tietyille käyttäjille kohden-10 netuille tietoverkkoresursseille, kuten tietoverkkosovelluksille. Kohdennettuja tietoverkkosovelluksia ovat esimerkiksi sähköpostipalvelut ja muut sovellukset, joihin on sisällytetty käyttäjäkohtaisia ominaisuuksia ja asetuksia. Myös sellaisia tietoverk-koresursseja, jotka näkyvät kaikille käyttäjille samanlaisina kohdennetaan rajatuille käyttäjäjoukoille.
15 Tunnetun tekniikan mukaisesti tietoverkkoresurssin käyttäjä voidaan tunnistaa ja todentaa käyttäjän syöttämän ja tietoverkkoresurssin vastaanottaman käyttäjätunnuksen I » ja salasanan perusteella. Kullekin käyttäjätunnukselle määritellään sitä vastaava « · · “·· salasana. Tieto verkkoresurssi tai sen yhteydessä toimiva tietoverkkosovellus vastaan- * · · * · ♦ ’ ottaa käyttäjätunnuksen ja salasanan. Tämän jälkeen verrataan salasanaa käyttäjä- t · ;; | * 20 tunnusta vastaamaan määriteltyyn salasanaan. Jos salasana vastaa määriteltyä salasanaa, » · » » käyttäjä katsotaan todennetuksi. Käyttäjätunnuksen ja salasanan voi vaihtoehtoisesti * » toimittaa tietoverkkoresurssille ja/tai sen yhteydessä toimivalle sovellukselle jokin välityssovellus, joka on asetettu toimimaan käyttäjän ja tietoverkkoresurssin tai sen yhteydessä toimivan tietoverkkosovelluksen välissä. Tällöin käyttäjätunnus-salasanapari 25 on tallennettu välityssovelluksen saataville.
* · · » * ' * »
Tunnetun tekniikan puutteena on se, että kirjautuakseen tietoverkkoresurssille joka on » » * kohdennettu käyttäjätunnuksen ja salasanan avulla, tietoverkkoresurssin käyttäjältä * · « t ,,..; edellytetään sekä käyttäjätunnuksen että salasanan muistamista ja syöttämistä. Tästä aiheutuu käyttäjälle vaivaa varsinkin, jos tällä on käytössään lukuisia salasanan ja 2 110150 käyttäjätunnuksen avulla kohdennettuja tieto verkkoresursseja. Muistamisen helpottamiseksi käyttäjälle voi olla määriteltynä sama tai muuten yhdenmukainen käyttäjätunnus ja salasana useille tietoverkkoresursseille. Tämä aiheuttaa turvallisuusriskin, koska taho, joka mahdollisesti saa nämä tiedot, kykenee helpommin käyttämään kaikkia näiden 5 tietojen avulla suojattuja tietoverkkoresursseja. Vaihtoehtoisesti välityssovellusta käytettäessä edellytetään, että sen saataville on tallennettu ainakin yksi käyttäjälle kohdennettu tieto verkkoresurssin käytön mahdollistava käyttäjätunnus - salasanapari. Tällöin arkaluontoisia tietoja on täytynyt levittää ylimääräisten tietoverkkoresurssien saataville ja näiden tietojen riittävän turvalliseen ylläpitämiseen välityssovelluksen 10 saatavilla kuluu tietojenkäsittelyresursseja, kuten muistia ja prosessoriaikaa.
Keksinnön tarkoituksena on ratkaista edellä kuvatut tunnetun tekniikan ongelmat ja tätä tarkoitusta varten aikaansaada aivan uudentyyppinen menetelmä tietoverkkoresurssin käyttäjän tunnistus-ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan.
Keksintö perustuu siihen, että välityssovellus salakirjoittaa asiakasliittymän suunnasta 15 vastaanottamansa käyttäjätunnuksen, salasanan ja avainkoodin. Tämän jälkeen välitys-sovellus lähettää salakirjoitetun tiedon asiakasliittymään sovelluksen middlewaretason osoitteen, esimerkiksi tietyn URL:n, osana. Tietoverkkoresurssin käytön yhteydessä välityssovellus vastaanottaa middlewaretason osoitteen sekä erillisen avainkoodin • * asiakasliittymän suunnasta. Erillinen avainkoodi voidaan vastaanottaa esim.
* * t •. ·20 lomaketoiminnon avulla tai se voidaan sisällyttää erilliseksi osaksi samaan osoitteeseen, jonka mukana tunnistus-ja todennustiedot välitetään. Välityssovellus muuntaa erillisen avainkoodin ja vastaanotetun middlewaretason osoitteen sisältämän salakirjoitetun avainkoodin vertailukelpoiseen muotoon ja suorittaa vertailun. Jos vastaanotettu erillinen avainkoodi vastaa salakirjoitettua avainkoodia, välityssovellus lähettää ... 25 käyttäjätunnuksen ja salasanan kohti tieto verkkoresurssia.
Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoresurssin .: · käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan on
I » « I
: * ‘'; tunnusomaista se, mikä on esitetty patenttivaatimuksen 1 tunnusmerkkiosassa.
I · I
3 110150
Keksinnön mukaiselle menetelmälle tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen salakirjoittamiseksi puolestaan on tunnusomaista se, mikä on esitetty patenttivaatimuksen 15 tunnusmerkkiosassa.
Keksinnön avulla saavutetaan huomattavia etuja. Tietoverkkoresursseille, kuten 5 tietoverkkopalveluihin, kirjautuminen edellyttää käyttäjältä vähemmän toimenpiteitä, sillä käyttäjä voi kirjautua tälle kohdennetuille käyttäjätunnusten ja salasanan avulla suojatuille tietoverkkoresursseille ilman käyttäjätunnusten ja salasanojen muistamista ja syöttämistä. Tällöin käyttäjän tulee syöttää välityssovellukselta vastaanottamansa kirjanmerkki sekä avainkoodi. Keksinnön avulla käyttäjä, kuten WAP-päätelaitteen 10 avulla tietoverkkoon yhteydessä oleva taho, voi autentikoitua eli tunnistautua useille eri tietoverkkoresursseille yhtä avainkoodia käyttämällä ilman vastaavanlaista turvallisuusriskiä, joka aiheutuu yhdenmukaisten käyttäjätunnusten ja salasanojen asettamisesta useille tietoverkkoresursseille. Tällöin myöskään välityssovelluksen saataville ei tarvitse olla tallennettuna tietoverkkoresurssien käytön mahdollistavia 15 käyttäjätunnus - salasanapareja tai niiden osia, jolloin niiden ylläpitämiseen ei kulu tietojenkäsittelyresursseja. Suojattavat tietoverkkoresurssit vastaanottavat perinteisen tyyppiset tunnistetiedot eikä näitä tietoja silti tarvitse tallentaa välityssovelluksen saataville. Tällöin arkaluontoista tietoa ei tallennu ylimääräisten tietoverkkoresurssien •. ·. saataville. Edelleen, pelkän avainkoodin tietämällä ei ole mahdollista käyttää suojattavia 20 tietoverkkoresursseja, jos ei ole tiedossa perinteisiä tunnistetietoja, jotka on ;. salakirjoitettu välityssovelluksen haluamalla tavalla.
Edullinen käyttöympäristö keksinnölle ovat matkaviestimet. Niissä on tyypillisesti pieni ;;; näyttö ja pieni näppäimistö, jolloin käyttäjätunnusten ja salasanojen syöttäminen on käyttäjän kannalta vaivalloista. Keksintöä voidaan käyttää välisovelluksena matkavies-25 timen ja tietoverkkoresurssin välissä, jolloin matkaviestimen käyttäjä voi tallentamansa ! ! kirjanmerkin valitsemalla ja erillisen avainkoodin syöttämällä kirjautua haluamallensa tietoverkkoresurssille. Jos telepäätelaite, kuten WAP-päätelaite, varastetaan, siitä ei ole ·;;; merkittävää vaaraa käyttäjälle, koska tietoverkkoresurssien käyttö edellyttää ”* avainkoodin syöttämistä telepäätelaitteelta. Käyttäjä voi keksinnön avulla autentikoida
v ‘ 30 eli todentaa itsensä tietoverkkoresursseille yksilöllisen avainkoodinsa, kuten WapPIN
koodinsa syöttämällä. Sopivia tietoverkkoresursseja ovat esimerkiksi ’’HTTP Basic 4 110150
AuthenticatiorT-salasanalla suojatut WAP-sivut ja IMAP4- eli sähköpostipalvelu. Keksintöä voidaan käyttää muussakin ympäristössä, kuten TCP/IP-verkkoon kytketystä työasemasta.
Keksintöä tarkastellaan seuraavassa esimerkin avulla oheiseen piirustukseen viitaten.
5 Kuvio 1 esittää yhden keksinnön mukaisen menetelmän tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan, jossa menetelmässä tietoverkkoresurssia käytetään asiakasliittymästä välityssovelluksen avulla.
Kuviossa 1 on seuraavia numeroituja elementtejä: 10 Asiakasliittymä 10 on liittymä pakettivälitteiseen tietoliikenneverkkoon, esim. WAP-matkaviestinliittymä.
| Tieto verkkoresurssi 11 on pakettivälitteisessä tietoliikenneverkossa toimimaan asetettu tietoverkkoresurssi, joka on kohdennettavissa ainakin yhdelle tunnistettavalle ja todennettavalle tieto verkkokäyttäjälle. Tällainen tietoverkkoresurssi voi esimerkiksi olla 15 WAP-käyttöliittymälle asetettu sähköpostipalvelu. Tietoverkkoresurssi on asetettu käynnistymään vasteena oikean käyttäjätunnuksen ja salasanan vastaanottamiselle.
• * Välityssovellus 12 on pakettivälitteisessä tietoliikenneverkossa toimimaan asetettu ···· sovellusohjelma, joka on asetettu välittämään oikea käyttäjätunnus-salasanapari ' tietoverkkoresurssille vasteena vastaanottamalleen tietynlaiselle kirjainmerkille (engl.
20 bookmark) ja avainkoodille.
OTA-palvelin 13 (Over The Air) on välityspalvelin, jolla HTML-muotoisen sivun HTTP-GET-metodin parametri tai parametrit voidaan muuntaa muotoon, jossa · asiakasliittymä 10 kykenee vastaanottamaan ne. Tällainen muoto voi esimerkiksi olla :: SMS-lyhytsanomamuoto.
• · · ·;;; 25 Asiakasliittymän 10 ja välityssovelluksen 12 välissä on yhdyskäytävä 14, kuten WAP- ·;* Gateway, joka huolehtii tarvittavista protokollamuunnoksista asiakasliittymäpään *.· · verkon ja TCP/IP-verkon välillä.
5 110150
Kuvion 1 mukaisessa menetelmässä suoritetaan seuraavia vaiheita. Vaihe 101 suoritetaan tieto verkkokäyttäjän rekisteröimiseksi tietoverkkoresurssille (11).
101) Rekisteröidään tietoverkkokäyttäjä tietoverkkoresurssin 11 käyttäjäksi eli kohdennetaan tietoverkkoresurssi 11 tietylle käyttäjätunnus-salasanaparille.
5 Tällöin asetetaan joko WML- tai HTML-muotoinen sisäänkiijoittautumis- lomake tietoverkossa toimivalle palvelimelle, jossa tietoverkkoresurssi 11 sijaitsee ja/tai jonka avulla se on asetettu käynnistymään. Sisäänkiqoittautumis-lomakkeelle on asetettu käyttäjätunnuksen ja salasanan syöttöaukot. Käyttäjätunnus ja salasana voivat esimerkiksi olla IMAP4-käyttäjätunnus ja 10 siihen liitetty salasana.
Menetelmän vaiheet 102 - 103 suoritetaan tietoverkkoresurssin käyttäjän tunniste- ja todennustietojen salakirjoittamiseksi.
102) Vastaanotetaan välityssovelluksella 12 tietty käyttäjätunnus-salasanapari sekä 15 WapPIN asiakasliittymän 10 suunnasta yhdyskäytävän 14 kautta ja vasteena vastaanotetuille käyttäjätunnukselle, salasanalle ja WapPIN koodille salataan käyttäjätunnuksen ja salasanan sisältö tietyllä salausalgoritmilla. Tällöin • · voidaan käyttää salausavaimena WapPINiä. Salataan WapPIN määrätyllä • · · ...: yksisuuntaisella salausalgoritmilla, kuten unix crypt():llä.
20 103) Sisällytetään HTTP-GET-metodin parametriin käyttäjätunnus, salasana ja
WapPIN-koodi salattuna. Tätä vastaava URL voi esimerkiksi saada muodon : ’": http://wap.kone.net/login?pin=Ehuw&user=QyweI03872&pwd=uwdjkw.
Lähetetään HTTP-GET-metodi välityssovellukselta 12 asiakasliittymän 10 : suuntaan joko tavalla (103a) tai tavalla (103b-c). Jos sisäänkirjoittautumis- : 25 lomake on WML-lomake niin asiakasliittymän 10 suuntaan lähetetään (103a) WML-sivu. Tämän sivun URL sisältää HTTP-GET metodin parametrissä :' “; käyttäjätunnuksen, salasanan ja WapPIN-koodin salakirjoitettuna eli salattuna.
L, Jos sisäänkirjoittautumislomake on HTML-lomake ja asiakasliittymään on ,,..: kytketty WAP-päätelaite, niin asiakasliittymän 10 suuntaan lähetetään (103 a-b) 30 OTA-palvelimen 13 avulla lyhytsanoma, jonka WAP-selain osaa tulkita tietyksi 6 110150 kirjanmerkiksi. Kirjanmerkki sisältää HTTP-GET metodiin salakirjoitettuna käyttäjätunnuksen, salasanan ja WapPIN:in. Myös HTML-sivu voidaan lähettää sellaisenaan, jos asiakasliittymä 10 kykenee tunnistamaan sen URL:n.
5 Vaiheet 104 - 107 suoritetaan tietoverkkoresurssin (11) käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan.
104) Vastaanotetaan välityssovelluksella 12 asiakasliittymän 10 suunnasta yhdyskäytävän 14 kautta tietty kirjanmerkki oleellisin osin.
105) Vasteena vastaanotetulle kirjanmerkille lähetetään välityssovellukselta 12 10 asiakasliittymän 10 suuntaan WML-lomake, jossa on WapPIN-koodin syöttöaukko. Lomakkeella on kenttä, jossa kysytään käyttäjän WapPIN-koodia. Lisäksi lomake sisältää piilotettuina kenttinä salakirjoitetun käyttäjätunnuksen, salasanan ja WapPIN -koodin.
106) Vastaanotetaan asiakasliittymän 10 suunnasta WapPIN-koodi toisessa 15 muodossa, kuten selväkielisessä muodossa. Ajetaan välityssovelluksen 12 ohjauksessa toisessa muodossa oleva WapPIN-koodi määrätyn yksisuuntaisen salausalgoritmin läpi ja verrataan sitä tietyssä kirjanmerkissä vastaanotettuun .:. WapPIN-koodiin.
' 107) Jos koodit ovat identtiset tai muuten vastaavat halutulla tavalla toisiaan, ί ; *' * · 20 salatutut käyttäjätunnus ja salasana aukaistaan käyttäen purkuavaimena esimerkiksi toisessa muodossa olevaa WAPpiniä, jolloin käyttäjätunnus ja salasana purkautuvat toiseen muotoon. Tämän jälkeen välityssovellus 12 lähettää toisessa muodossa olevat käyttäjätunnuksen ja salasanan tietoverkko-.’!! resurssin 11 suuntaan ja näin auttaa tunnistamaan ja todentamaan tietoverkko- '·’ 25 resurssin käyttäjän.
Käyttäjätunnuksen ja salasanan toinen muoto on sellainen muoto, jota ,·[·_ tietoverkkoresurssi 11 osaa tulkita, kun se vastaanottaa toisessa muodossa olevat ..,.: käyttäjätunnuksen ja salasanan siirtotien kautta välityssovellukselta 12.
7 110150 Välityssovellus 12 voi lähettää lähdeosoitekentässä asiakasliittymän 10 osoitteen ja näin asettaa tietoliikenteen asiakasliittymän 10 ja tietoverkkoresurssin 11 välillä ohjautumaan siten, että se ei kulkeudu välityssovelluksen 12 kautta. Vaihtoehtoisesti välityssovellus 12 voi välittää kokonaan tai osittain asiakasliittymän 10 ja 5 välityssovelluksen 12 välisen tietoliikenteen. Menetelmä voidaan toteuttaa myös niin, että välityssovellus 12 lähettää toisessa muodossa olevan käyttäjätunnuksen ja salasanan asiakasliittymän 10 suuntaan, jonka jälkeen tietoverkkoresurssi 11 vastaanottaa toisessa muodossa olevan käyttäjätunnuksen ja salasanan asiakasliittymän 10 suunnasta.
Keksintöä voidaankin käyttää hyväksi tietoverkkoresurssin käyttäjän tunnistus- ja 10 todennustietojen lähettämisessä tietoverkkoresurssin 11 suuntaan. Tällaisessa menetelmässä tehdään seuraavia toimenpiteitä: - Aluksi välityssovelluksen 12 avulla vastaanotetaan asiakasliittymän 10 suunnasta lähetetyt asiakkaan tunnistustieto, todennustieto sekä ensimmäinen avainkoodi. Nämä tiedot ovat vastaanotettaessa kukin salatussa ensimmäisessä muodossa.
15 Tunnistustiedon, todennustiedon sekä ensimmäisen avainkoodin muoto ja salaus voivat tällöin olla sovelluksesta riippuen keskenään samankaltaiset tai poikkeavat. Esim. tunnistustiedon ensimmäisen muodon salaus voidaan siis tehdä erilaisella algoritmilla kuin esim. ensimmäisen avainkoodin salaus. Tiedot vastaanotetaan • · • ’.' middlewaretason osoitteen osoitekentässä.
« · · 20 - Tunnistustiedon, todennustiedon ja ensimmäisen avainkoodin lisäksi vastaanotetaan myös toinen avainkoodi. Toinen avainkoodi on ensimmäisen avainkoodin salatusta ensimmäisestä muodosta poikkeavassa muodossa, esim. soveltuvassa • t » : ’' ’: salaamattomassa muodossa.
- Tämän jälkeen ensimmäinen avainkoodi ja toinen avainkoodi muunnetaan » -! _ 25 keskenään vertailukelpoiseen muotoon ja verrataan koodeja toisiinsa.
• |· - Mikäli koodit vastaavat toisiaan, puretaan tunnistus- ja todennustietojen salaus.
Tällöin tunnistus- ja todennustiedot muunnetaan salatusta ensimmäisestä muodosta . ·: ·. poikkeavaan toiseen muotoon. Tämä toinen muoto voi olla esim. soveltuva .,,.: salaamaton muoto tai tietoverkkoresurssin 11 kanssa käytävää tiedonvaihtoa varten 30 määritelty salattu muoto.
8 110150 - Muunnoksen jälkeen tunnistus ja todennustiedot lähetetään tietoverkkoresurssin 11 suuntaan tässä toisessa muodossa, jota tieto verkkoresurssi 11 kykenee tietoverkosta vastaanotettuaan (siirtotien aiheuttaman mahdollisen muunnoksen jälkeen) tulkitsemaan.
5 Keksinnön puitteissa voidaan ajatella myös yllä kuvatuista sovellusmuodoista poikkeavia ratkaisuja. Välityssovelluksen avulla voidaan esim. rajoittaa tietoverkko- resurssin 11 käyttöoikeuksia avainkoodin, kuten WapPIN koodin perusteella.
Tarvittaessa rajoituksessa voidaan käyttää hyväksi myös jotakin WapPIN-koodiin liitettyä lisämäärettä, esim. kirjanmerkkiin kirjoitettuja tietoja. Käyttöoikeuksia 10 rajoitettaessa tietoverkkoresurssin 11 edellyttämiä käyttäjätunnuksia ja salasanoja ei tarvitse vaihtaa, kun halutaan estää joltakulta tietoverkkoasiakkaalta tietoverkko- resurssin 11 käyttöoikeus pysyvästi tai tilapäisesti., vaan tietoverkkoresurssin käyttöoikeuksia voidaan rajoittaa välityssovelluksella WapPIN koodin perusteella.
Näinollen jostakin toisesta asiakasliittymästä voidaan edelleen käyttää tietoverkko- 15 resurssia 11 rajoituksen jälkeenkin. Tällöin täytyy kuitenkin huolehtia siitä, että välityssovellus 12 ei anna salakiijoituttaa saman päätelaitteen suunnasta tulevia käyttäjätunnus-salasanapareja liian monella avainkoodilla. Näin tietoverkkoresurssin 11 käyttöoikeuden saaminen arvaamalla WapPIN-koodi oikein saadaan riittävän epätodennäköiseksi. HTTP-GET parametrissä voidaan myös välittää tietoverkko- ··· 20 resurssin 11 tai käytettävän salausalgoritmin identifioiva tieto. Tällä voidaan ohjata ;' · ‘: välityssovellusta 12 käyttämään tapauskohtaisesti tiettyä salausalgoritmia tai rekisteröi- : tymään tietylle tietoverkkoresurssille 11. Useiden salausalgoritmien käytöllä voidaan : : myös vähentää avainkoodin ja salauslogiikan oikein päättelemisen tai arvaamisen • · · : mahdollisuutta.
•.. 25 Keksintöä voidaan soveltaa myös siten, että asiakasliittymästä välityssovelluksen kautta tietoverkkoresurssia käyttävä taho ei edes tiedä selväkielisiä käyttäjätunnuksia ja salasanoja. Tällöin esimerkiksi yritys voi taijota työntekijöilleen yhden käyttäjätunnus-y! salasanaparin takana olevan tietoverkkoresurssin käyttöoikeuden esimerkiksi ':' väliaikaista käyttöä varten siten, että kullakin käyttäjällä on oma avainkoodinsa. Tällöin 30 yrityksen käyttäjätunnusta ja salasanaa ei tarvitse vaihtaa, kun käyttöoikeus lopetetaan 9 110150 tietyltä käyttäjältä. Käyttöoikeus voidaan lopettaa välityssovelluksen avulla estämällä tietoverkkoresurssin käyttö tietyn käyttäjän kirjanmerkillä ja WapPIN:llä.
Seuraavassa on selittetty, mitä eräillä käsitteillä tarkoitetaan tässä patenttihakemuksessa.
Tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen 5 kytkettyä päätelaitetta, tietoverkossa ajettavaa sovellusohjelmaa tai sen instanssia.
Välityssovelluksen saataville tallentamisella tarkoitetaan sitä, että välityssovellus omalla toiminnallisuudellaan kykenee hakemaan välityssovelluksen saataville tallennetun datan tarvitessaan sitä.
Middlewaretason osoitteilla tarkoitetaan ISO:n OSI-mallin mukaisiin tietoliikenteen 10 protokollakerroksiin 4 -7 rinnastettavissa olevia tietoverkkoresurssin nimiä ja osoitteita, kuten URL.
WapPIN on Wap-päätelaitteen käynnistyessään kysymä koodi tai muu tiettyyn käyttäjään, Wap-päätelaitteeseen tai tilaajaliittymään yhdistetty numerosarja tai muu merkkijono.
15 Avainkoodi on merkkijono, joka voidaan salakirjoittaa tietyllä yksisuuntaisella salausalgoritmilla muotoon, josta sitä ei voi yksiselitteisesti päätellä tiettyä . ‘.: salausalgoritmia käyttämättä tai sen ominaisuuksia tuntematta.
;·. Tunnistustieto on digitaalisessa muodossa olevaa informaatiota, jota riittävästi ' · \ vastaanotettuaan tietoverkkoresurssi on asetettu tunnistamaan käyttäjänsä.
20 Todennustieto on digitaalisessa muodossa olevaa informaatiota, jota riittävästi vastaanotettuaan tietoverkkoresurssi on asetettu todentamaan tunnistamansa käyttäjän.
: Tietojenkäsittelyresursseilla tarkoitetaan laitteistoja ja ohjelmistoja, jotka kykenevät : : käsittelemään digitaalisessa muodossa olevaa informaatiota, näiden laitteistojen ja ohjelmistojen prosessointiaikaa sekä näitä laitteistoja ja ohjelmistoja käyttävien : : 25 henkilöiden työaikaa.

Claims (16)

10 110150
1. Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin (11) suuntaan, 5 tunnettu siitä, että vastaanotetaan (104) välityssovelluksella (12) asiakasliittymän (10) suunnasta middlewaretason osoitteen osoitekentässä tunnistustieto, todennustieto sekä ensimmäinen avainkoodi salatussa ensimmäisessä muodossa, vastaanotetaan (106) toinen avainkoodi ensimmäisen avainkoodin salatusta 10 ensimmäisestä muodosta poikkeavassa muodossa, - muunnetaan (106) ensimmäinen avainkoodi ja toinen avainkoodi keskenään vertailukelpoiseen muotoon, - verrataan (106) ensimmäistä avainkoodia toiseen avainkoodiin, koodien vastatessa toisiaan puretaan (106) tunnistus- ja todennustietojen 15 salaus, ja muunnetaan tunnistus- ja todennustiedot salatusta ensimmäisestä » · ' '. * muodosta poikkeavaan muotoon, ja j ':'. - lähetetään (106) tunnistus- ja todennustiedot tietoverkkoresurssin (11) suuntaan ; ’ ‘ ‘: salatusta ensimmäisestä muodosta poikkeavassa muodossa. I I ·
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tunnistus- ja >: todennustiedot sisältävät salasanan oleellisin osin. :1 “; 3. Jonkin patenttivaatimuksen 1 - 2 mukainen menetelmä, tunnettu siitä, että tunnistus- . · >, ja todennustiedot sisältävät käyttäjätunnuksen oleellisin osin. 25 Π 110150
4. Jonkin patenttivaatimuksen 1 - 3 mukainen menetelmä, tunnettu siitä, että toinen avainkoodi on ensimmäinen avainkoodi toisessa muodossa.
5. Jonkin patenttivaatimuksen 1 - 4 mukainen menetelmä, tunnettu siitä, että käytetään 5 avainkoodina WapPIN:iä.
6. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että vastaanotetaan (104) tunnistus- ja todennustietoa salatussa muodossa middlewaretason osoitekentässä URL:n osana. 10
7. Jonkin patenttivaatimuksen 1 - 6 mukainen menetelmä, tunnettu siitä, että vastaanotetaan toinen avainkoodi toisessa muodossa WML- tai HTML-lomakkeella.
8. Jonkin patenttivaatimuksen 1 - 6 mukainen menetelmä, tunnettu siitä, että toinen 15 avainkoodi vastaanotetaan middlewaretason osoitteen osoitekentässä. • » « > I «
9. Jonkin patenttivaatimuksen 1 - 8 mukainen menetelmä, tunnettu siitä, että välityssovellus (12) on asetettu tulkitsemaan asiakasliittymästä (10) vastaanottamaansa ' osoitekenttään, kuten URLiään, sisällytetty määrittely tietoverkkoresurssin (11) verkko- 20 osoitteeksi tai nimeksi.
10. Jonkin patenttivaatimuksen 1 - 9 mukainen menetelmä, tunnettu siitä, että välityssovellus (12) on asetettu valitsemaan käyttämänsä salaus- tai purkualgoritmi ; *' vasteena vastaanottamaansa osoitekenttään, kuten URL:ään sisällytetylle määrittelylle. 25 12 110150
11. Jonkin patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, että välityssovellukselta (12) tietoverkkoresurssille (11) lähetetään lähettäjäosoitteena asiakasliittymän (10) osoite.
12. Jonkin patenttivaatimuksen 1-11 mukainen menetelmä, tunnettu siitä, että - vastaanotetaan (102) välityssovelluksella (12) asiakasliittymän (10) suunnasta tunnistus- ja todennustiedot, jotka sisältävät käyttäjätunnuksen ja siihen liittyvän salasanan oleellisin osin, sekä avainkoodin, - salakirjoitetaan (102) tunnistus- ja todennustietoa sekä avainkoodi, ja 10. lähetetään (103) tunnistus-ja todennustiedot sekä avainkoodi salakirjoitettuina asiakasliittymän (10) suuntaan välityssovelluksen (12) middlewaretason osoitteen, kuten tietyn URL:n, osana.
13. Patenttivaatimuksen 12 mukainen menetelmä, tunnettu siitä, että lähetetään (103) 15 asiakasliittymän (10) suuntaan salakirjoitettua tunnistus- ja todennustietoa, kuten käyttäjätunnus, salasana ja avainkoodi, HTTP-GET-metodin tai HTTP-POST-metodin • · · parametriin sisällytettynä.
14. Jonkin patenttivaatimuksen 1-13 mukainen menetelmä, tunnettu siitä, että I * · , t: 20 middlewaretason osoitteen osoitekentässä lähetettävä ja/tai vastaanotettava tunnistus- ja todennustieto vastaanotetaan (102) OTA-palvelimen suunnasta ja/tai lähetetään (103) ,.·* OTA-palvelimen suuntaan. ; : 25 13 110150
15. Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen salakirjoittamiseksi, tunnettu siitä, että - vastaanotetaan (102) välityssovelluksella (12) asiakasliittymän (10) suunnasta tunnistus- ja todennustiedot, jotka sisältävät käyttäjätunnuksen ja siihen 5 liittyvän salasanan oleellisin osin, sekä avainkoodin, salakirjoitetaan (102) tunnistus- ja todennustietoa sekä avainkoodi, ja lähetetään (103) tunnistus-ja todennustiedot sekä avainkoodi salakirjoitettuina asiakasliittymän (10) suuntaan välityssovelluksen (12) middlewaretason osoitteen, kuten tietyn URL:n, osana. 10
16. Patenttivaatimuksen 15 mukainen menetelmä, tunnettu siitä, että - vastaanotetaan asiakasliittymän (10) suunnasta tietoverkkoresurssin (11) verkko-osoite ja/tai nimi, ja - lähetetään (103) tietoverkkoresurssin (11) verkko-osoite ja/tai nimi 15 salakirjoitettuina asiakasliittymän (10) suuntaan välityssovelluksen (12) V. middlewaretason osoitteen, kuten tietyn URL:n, osana. 14 110150
FI20000948A 2000-04-19 2000-04-19 Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan FI110150B (fi)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FI20000948A FI110150B (fi) 2000-04-19 2000-04-19 Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20000948 2000-04-19
FI20000948A FI110150B (fi) 2000-04-19 2000-04-19 Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan

Publications (3)

Publication Number Publication Date
FI20000948A0 FI20000948A0 (fi) 2000-04-19
FI20000948A FI20000948A (fi) 2001-10-20
FI110150B true FI110150B (fi) 2002-11-29

Family

ID=8558260

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20000948A FI110150B (fi) 2000-04-19 2000-04-19 Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan

Country Status (1)

Country Link
FI (1) FI110150B (fi)

Also Published As

Publication number Publication date
FI20000948A (fi) 2001-10-20
FI20000948A0 (fi) 2000-04-19

Similar Documents

Publication Publication Date Title
EP1602194B1 (en) Methods and software program product for mutual authentication in a communications network
US10237732B2 (en) Mobile device authentication in heterogeneous communication networks scenario
CA2463286C (en) Multi-factor authentication system
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
US9768961B2 (en) Encrypted indentifiers in a wireless communication system
JP4331848B2 (ja) 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法
EP1179244B1 (en) Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
US7844834B2 (en) Method and system for protecting data, related communication network and computer program product
CN1842993B (zh) 提供证书
EP2544117A1 (en) Method and system for sharing or storing personal data without loss of privacy
WO2002019593A2 (en) End-user authentication independent of network service provider
US8458468B2 (en) Method and system for protecting information exchanged during communication between users
US7913096B2 (en) Method and system for the cipher key controlled exploitation of data resources, related network and computer program products
GB2505211A (en) Authenticating a communications device
FI110150B (fi) Menetelmä tietoverkkoresurssin käyttäjän tunnistus- ja todennustietojen lähettämiseksi tietoverkkoresurssin suuntaan
KR100697344B1 (ko) 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
Ajvazi et al. SOAP messaging to provide quality of protection through Kerberos Authentication
CN115767503A (zh) 一种应用于物联网的eSIM芯片
Curran et al. Wireless handheld devices become trusted network devices