FI116654B - Menetelmä käyttäjän autentikoimiseksi - Google Patents
Menetelmä käyttäjän autentikoimiseksi Download PDFInfo
- Publication number
- FI116654B FI116654B FI20031558A FI20031558A FI116654B FI 116654 B FI116654 B FI 116654B FI 20031558 A FI20031558 A FI 20031558A FI 20031558 A FI20031558 A FI 20031558A FI 116654 B FI116654 B FI 116654B
- Authority
- FI
- Finland
- Prior art keywords
- message
- user
- authentication server
- card
- smart card
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
116654
5 MENETELMÄ KÄYTTÄJÄN AUTENTIKOIMISEKSI TEKNINEN ALA
io Keksinnön kohteena on menetelmä käyttäjän autentikoimiseksi, erityisesti palvelujen käyttöoikeuksien yhteydessä.
TEKNIIKAN TASO
15
Global System for Mobile Communication (GSM-järjestelmä) on standardina digitaalisessa langattomassa viestinnässä, johon kuuluu palveluja, kuten puheviestintä. GSM, yhdessä muiden tekniikoiden kanssa on osana langattoman mobiilin tietoliikenteen kehityksessä, johon kuuluvat esimerkiksi General Packet Radio System 20 (GPRS) ja Universal Mobile Telecommunications Service (UMTS).
Älykortti on mikä tahansa muovinen kortti (kuten luottokortti), johon on asennettu virtapiiri tiedon tallentamista varten. GSM-puhelimissa oleva Subscriber Identity : Module (SIM-kortti) suunniteltiin alunperin turvalliseksi tavaksi yhdistää yksityinen * : : 25 tilaaja verkkoon ja toimimaan älykorttina joka tallentaa tilaajan henkilöllisyystiedot, i : tilauksen, tilaajaympäristön, radioympäristön ja muuta tietoa. Siinä voi olla myös turvallisuustoimintoja, kuten RSA avaimia, joita kuvataan edempänä.
UMTS on suraavan (3.) sukupolven langattoman viestinnän järjestelmä, joka 30 mahdollistaa laajennetun valikoiman multimediapalveluita, kuten esimerkiksi videon. UMTS on määritellyt USIM:in (universal SIM) käytön SIM:in kehityksenä. GSM- ja UMTS-verkoissa (U)SIM kortti on keskeinen paitsi tilaajan tunnistamisessa myös mahdollistamalla lisäarvoisia palveluja tilaajalle. SIM-kortiksi usein kutsuttu USIM ,,· (UMTS Subscriber Identity Module) on käyttäjän tilaus UMTS mobiiliverkossa. USIM : 35 sisältää oleellista tietoa, joka mahdollistaa pääsyn tilatun operaattorin verkkoon.
2 116654 5 Mobiili laite on erityisesti identifioitu kansainvälisellä matkaviestimen laitetunnuksella (IMEI), joka on ainutlaatuinen koodi, joka vastaa tiettyä GSM-puhelinta. SIM-kortissa on myös kansainvälinen matkaviestintilaajan tunnus (IMSI), joka identifioi tilaajan, salainen avain autentikointia varten ja muita käyttäjätietoja. SIM-kortit sisältävät myös lisätietoja laitteesta Integrated Circuit Card ID:n (ICCID numeron) muodossa. ICCID on ίο valmistuskoodi, joka on kirjoitettu alkuperäiselle kortille, jolloin siitä nähdään kortin sarjanumero. ETSI-standardin mukaan ICCID-koodin täytyy aina olla kirjoitettuna SIM-kortille. ICCID voidaan sekä lukea kortista, että tallentaa elektronisesti. Operaattorit käyttävät ICCID-tietoja esimerkiksi logistisissa järjestelmissään yhdistämään kortti tiettyyn käyttäjään, jolloin ICCID-koodi pitää sisällään viitetietoja.
15
Verkon alajärjestelmän keskeinen osa on mobiilipalveluiden kytkentäkeskus.Tämä toimii tavallisena PTSN.n (Public Switched Telephone Network) tai ISDN.n (Integrated Services Digital Network) kytkentäliitoksena ja yhdistää mobiilin signaalin näihin kiinteisiin verkkoihin. Lisäksi se mahdollistaa kaikki toiminnot, joita tarvitaan 20 mobiilitilaajan käsittelemiseen, kuten rekisteröinnin, autentikoimisen, paikannuksen päivityksen, kanavanvaihdot ja soitonohjauksen liikkuvalle tilaajalle. Mobile Station Integrated Service Digital Network Number, MSISDN, on kansainvälinen standardi puhelinnumero, jota käytetään tietyn tilaajan tunnistamiseen.
• * # * · • 25 Lisääntyvästi yhdistyvässä maailmassa ja mobiilin tietoliikennetekniikan kehittyessä ·: i liikemaailma ja yksittäiset ihmiset voivat nykyään kommunikoida melkein kaikissa .· asioissa. Eräs seuraus tästä on se, että on syntynyt joukko uusia haasteita tiedon siirron turvallisuuden ja koskemattomuuden takaamiseksi kuten myös sen varmistamiseksi, että kytkeytyneet yksilöt ovat niitä, joita väittävät olevansa.
;;; 30
Erilaisia autentikointiratkaisuja on suunniteltu suojaamaan järjestelmiä näitä uhkia vastaan, kuten myös suojaamaan käyttäjän yksilöllisyyttä (ID) käyttäjäpäätteen ja ; tunnistuspalvelimen kommunikoidessa keskenään. Autentikoiminen on prosessi, jossa • j varmistetaan, että käyttäjä on se, joka hän väittää olevansa. Kulunvalvontaan kuuluu 3 116654 5 tietyn käyttäjän sallitun toiminnan tason määrittäminen. Autentikointia edeltää tyypillisesti kulunvalvonta.
Etätyö käyttämällä elektronisia verkkoja vaatii elimet identifiointi- ja autentikointivälineet ennen yhteyden muodostamista. Tavallisin tapa autentikoida ίο käyttäjä on laittaa käyttäjä kirjoittamaan käyttäjätunnuksensa ja staattisen salasanansa ja kirjoittamalla oikean käyttäjätunnuksen ja salasanan yhdistelmän käyttäjälle suodaan yhteys. Autentikointia varten käyttäjät kirjoittavat käyttäjä ID koodinsa tai PIN koodinsa tai jonkun toisen käyttöoikeuskoodin. Näppäimistöllä kirjoitetut salasanat ja PIN ovat kuitenkin alttiita siepattaviksi monilla tavoin, esimerkiksi kuvaruutua 15 seuraamalla tai suoralla tarkkailulla, mitä kutsutaan myös olan yli surffaamiseksi.
Esimerkiksi tekstiviestipalveluratkaisuja (SMS) käytetään matkapuhelimissa ja se, että mobiilikäyttäjille lähetetään kertakäyttöiset käyttöoikeuskoodit suojaamaan verkkoperäisten sovellusten käyttöä käyttämällä staattisia salasanoja ei ole kovin 20 turvallista ja järjestelmät ja sovellukset, jotka on suojattu vain tämänlaisilla salasanoilla ovat usein alttita hyökkäyksille. On kuitenkin olemassa vahvempia autentikointitapoja, kuten kertakäyttösalasanan käyttäminen ja haaste-vastaus tekniikoita.
: ;·: Vahva autentikointin sisältää yleensä käyttäjän turvamekanismeja (security tokens).
• ; 25 Mobiililaitteiden käyttö turvamekanismina autentikoinnissa on erittäin käytännöllistä.
: : Joidenkin turvallisuuspalvelujen käyttö perustuu salakirjoitukseen. Salakirjoitus tai ‘ salaaminen voidaan jakaa kahteen peruskonseptiin; symmetrisiin tekniikoihin, joissa käytetään salaisia avaimia ja asymmetrisiin tekniikoihin, joissa käytetään julkisen ja : * salaisen avaimien paria.
;·' 30 • «
Erittäin yleinen asymmetrinen algoritmi on RSA. RSA perustuu erittäin suurten alkulukujen matemaattisiin suhteisiin. Asymmetristä salausta kutsutaan myös julkisen : i avaimen salaukseksi (public key encryption). Asymmetristä prosessia käytetään 4 116654 5 yhdessä salaisen ja julkisen avaimen kanssa. Asymmetristä tekniikkaa voidaan käyttää myös digitaalisissa allekirjoituksissa autentikointitarkoituksiin.
Julkisen avaimen salaus perustuu avainpariin (julkinen ja salainen, joilla on matemaattinen suhde). Julkinen avain on aina julkinen ja salainen ei ole koskaan ίο julkinen. Julkisella avaimella salattua asiaa voidaan purkaa vain vastaavalla salaisella avaimella. Digitaalinen allekirjoitus on salaisella avaimella tehdyn salaamisen tulos.
Julkisen avaimen salauksen erittäin käytännöllinen ominaisuus on se, että siinä voidaan päätellä kuka teki mitä, ja tyypillisesti se on käytännöllinen lähettäjän ja 15 vastaanottajan identifioinnissa. Lähettäjä voi allekirjoittaa viestin digitaalisesti, jolloin vastaanottajan on mahdollista varmistaa lähettäjän henkilöllisyys.
Tässä ratkaisussa tarvitaan myös digitaalisia sertifikaatteja. Digitaalista sertifikaattia voidaan kuvailla digitaalisena allekirjoituksena, joka todistaa, että henkilön julkinen 20 avain todella kuuluu kyseiselle henkilölle. Täten digitaalinen sertifikaatti on sähköisessä muodossa olevaa tietoa, kuten dokumentti, joka vahvistaa julkisen avaimen omistajuuden. Digitaaliset allekirjoitukset ja sertifikaatit toimivat vain jos : . , osapuolten välillä on yhteisymmärrys sertifikaattiin luottamisesta.
25 Hash-algoritmeissä hyväksytään miten paljon vain syötettyä tietoa ja se tuottaa annetun hash-arvon tulosteena. Tulosteen pituudet ovat 160 bittiä (20 tavua) sha-1:n • « tapauksessa ja 128 bittiä (16 tavua) kun kyseessä on MD 5.Tuloksena saatua hash-arvoa kutsutaan yleensä viestien tiivisteiksi. Hash-prosessi on ainoastaan ’··, yksisuuntainen eikä viestin tiivisteestä voi johtaa alkuperäistä syötettyä tietoa. Hash-30 prosessia ei voida käänteistää. Viestitivisteet (digits) ovat useimpien digitaalisten allekirjoitusten standardien pohjana. Sen sijaan, että allekirjoitettaisiin koko : ‘ ’ dokumentti, vain viestien tiiviste allekirjoitetaan.
116654 5 5 Subscriber Identity Module (SIM) on turvallisuuskomponentti, joka mahdollistaa vahvan autentikoimisen julkisissa mobiiliverkoissa, jotka perustuvat GSM:ään tai sen seuraajiin GPRS:ään tai UMTS:iin. Jokaisella SIM:llä on salainen avain, joka on yhteinen vain alkuperäisen verkon operaattorin autentikointikeskuksen (AUC) kanssa.
Autentikointimenetelmä, jota käytetään SIM:n ja AUC:n välillä perustuu haaste-10 vastausmekanismiin, jossa käytetään satunnaislukuja torjumaan toistohykkäyksiä. SIM saa satunnaisesti jonkun numeron, ja laskee tuloksen käyttämällä erityistä algoritmiä ja avainta. SIM:n vastaus varmistetaan vertaamalla sitä alkuperäisen verkonpitäjän antamaan vastaukseen.
Jos halutaan korkeinta mahdollista turvallisuutta, käytetään digitaalisia allekirjoituksia, is Tunnettujen ratkaisujen haittapuolia, kun käytetään digitaalisia allekirjoituksia, ovat muun muassa monimutkainen signalointi, esimerkiksi tarve käyttää sertifikaatteja lähettäjän tunnistamisessa.
Seuraavat julkaisut on esitetty tekniikan tasona erilaisiin autentikointiratkaisuihin 20 nähden, jotka sisältävät mobiilipäätteitä ja/tai digitaalisia allekirjoituksia.
WOOO/67446 mainitaan tekniikan tason ratkaisuna, joka esittää SIM-pohjaisen . . autentikointimekanismin viestejä varten.
• · : US-patentissa 2002/0169966 asiakas autentikoidaan lähettämällä tai keskittämällä j : tietoliikenneverkon tilaajan autentikointi asiakkaalle laitteesta langattoman yhteyden •: i 25 kautta.
** EP-hakemuksessa 1102157 ratkaisu käsittää menetelmän turvallista * t ’· ·' sisäänkirjautumisjärjestelmää varten, johon kuuluu mobiiliyksikkö, mobiili viestintäverkko, autentikointikeskus, sovelluspalvelin, tietokone ja epäluotettava verkko. Autentikointikeskus lähettää yksinkertaisen token:in palvelimelle, joka lähettää ‘ 30 mainitun token:in käyttäjälle tietoyhteyden yli. Lopulta käyttäjä lukee token:in oman tietokoneensa ruudulta ja lähettää merkin tekstiviestinä mobiilista yksiköstä .* autentikointikeskukseen, joka saa myös matkapuhelimen numeron ja käyttäjän kennon . : identifikaation. Tässä etuna on se, että ylimääräistä PIN-koodia ei tarvita.
6 116654 5 Julkaisussa W001/31840, esitetään ratkaisu, jossa käytetään kertakäyttöistä salasanaa ja laitteelle ominaista identifiointia (IMEI).
KEKSINNÖN TARKOITUS
10
Keksinnön tarkoituksena on kehittää järjestelmä käyttäjän autentikoimiseksi käyttämällä matkapuhelimia ja digitaalisia allekirjoituksia, joka on yksinkertaisempi kuin tekniikan tason menetelmät, mutta jolla silti on korkea turvallisuustaso.
15
KEKSINNÖN SELOSTUS
Keksinnön kohteena on menetelmä käyttäjän autentikoimiseksi verkossa, sisältäen mobiilipäätteen, palveluntarjoajan ja autentikoitipalvelimen. Mobiilipäätteessä on 20 älykortti, jossa on turvallisuustoimintoja ja käyttäjälle/laitteelle ominaisia tietoja. Tässä menetelmässä käyttäjä antaa henkilöllisyystiedot palveluntarjoajalle vastauksena pyynnöstä käyttää palveluntarjoajan tarjoamaa palvelua. Käyttäjän antamat henkilöllisyystiedot lähetetään palveluntarjoajalta autantikointikeskukseen, joka muodostaa satunnaisluvun, joka lähetetään mobiilipäätteen älykorttiin. Älykortti ; 25 muodostaa viestin yhdistämällä kortilla olevia laitteelle ominaisia tietoja sekä kyseisen j’V satunnaisluvun. Älykortti allekirjoittaa viestin digitaalisesti, jonka jälkeen viesti ’".j lähetetään autentikointipalvelimelle. Autentikointipalvelin avaa viestin ja vertaa sen sisältöä alunperin luodun viestin tietoihin. Autentikointipalvelin lähettää vahvistuksen .··. palveluntarjoajalle jos viestin sisältö ja alunperin luodun viestin tiedot vastaavat 30 toisiaan.
* * »· " ,· Keksinnössä edullisilla suoritusmuodoilla on alivaatimusten tunnusmerkit ja niihin on v. lyhyesti viitattu seuraavassa.
Käyttäjän antamiin henkilöllisyystietoihin kuuluu mobiilipäätteen puhelinnumero, joka : : 35 GSM-verkossa koostuu Mobile Station Integrated Service Digital Network numerosta, MSISDN, joka on standardi kansainvälinen puhelinnumero, jota käytetään mainitun 7 116654 5 tilaajan identifioimiseen. Mobiilipäätteen älykortti on sitten Subscriber Identity Module (SIM) kortti tai Universal Subscriber Identity Module (USIM) kortti.
Turvallisuustoiminnot koostuvat asymmetrisistä turvallisuustoiminnoista, kuten RSA julkisista ja salaisista avaimista.
ίο Kun palveluntarjoaja lähettää käyttäjän antamat henkilöllisyystiedot autentikointipalvelimelle, autentikointipalvelin mieluiten tarkistaa onko käyttäjä jo tunnettu, esimerkiksi puhelinnumeron perusteella.
Kun mobiilin päätteen muistikortti saa satunnaisluvun autentikointipalvelimelta, 15 laitetiedot, kuten kortilla oleva mikropiirikortin ID (ICCID) numero, yhdistetään satunnaislukuun. Tämänjälkeen muodostetaan viesti, joka sisältää ylätunnisteen, satunnaisluvun ja ICCID numeron. Viestistä muodostetaan sitten tiiviste, joka allekirjoitetaan älykorttiin tallennetulla yksityisellä avaimella.
20 Allekirjoitettu viesti avataan autentikointipalvelimella olevalla julkisella avaimella ja viestuin sisältöä verrataan alunperin luotuun satunnaislukuun ja/tai ICCID koodiin ja/tai viestin lähettäjän puhelinnumeroon.
.·* Keksinnön ratkaisua on erittäin helppo käyttää verrattuna älykortteihin perustuviin : 25 menetelmiin, koska sitä ei ole sidottu mihinkään erityisiin kortteihin, lukijoihin tai — : ohjelmistoon, joka tukee sitä, eikä edes mihinkään mainittuun tietokoneeseen, joka
I I
pyytää identifiointia. Keksinnössä matkapuhelin on itse lukija ja älykortti koostuu SIM-kortista.
. 30 Keksinnön menetelmän yksi lisäetu on, että yksityinen avain on sidottu allekirjoituksen tuottavaan ympäristöön/mediaan, toisin sanoen SIM-korttiin ICCID-koodin kautta. ! Aikaisemmilla tekniikan tasoilla myös niissä digitaalisen allekirjoituksen menetelmissä ·’·' jotka perustuvat SIM-korttiin, yksityistä avainta ei ole sidottu mihinkään muuhun ; * * tekijään.
· 35 8 116654 5 Seuraavassa keksintöä on kuvattu yksityiskohtaisesti signaalidiagrammien avulla vaiheittain. Tarkoituksena ei ole rajoittaa keksintöä kuvan yksityiskohtiin ja mukanaolevaan tekstiin.
10 KUVIOT
Kuva 1 esittää erään keksinnön mukaisen menetelmän esimerkin signaalidiagrammina.
15
YKSITYISKOHTAINEN KUVAUS
Kuvassa 1 esitetty menetelmä tapahtuu verkossa, joka koostuu käyttäjästä ja hänen 20 mobiilipäätteestään, autentikointipalvelimesta ja palveluntarjoajasta.
Palveluntarjoaja tarjoaa palveluja esimerkiksi internetin välityksellä autentikoiduille käyttäjille. Yleensä tämä tarkoittaa sitä, että käyttäjän täytyy itse rekisteröityä ennalta, jotta hänellä olisi oikeus käyttää palveluja ja usein myös ehkä maksaa siitä. Täten 25 palveluntarjoaja tarkistaa jokaisen käyttäjän henkilöllisyyden, joka pyytää saada ’ ’ käyttää palveluja.
« I » Käyttäjällä on mobiili pääte, jonka oletetaan tässä sovelluksessa olevan GSM-pääte, jossa on SIM-kortti, johon on elektronisesti tallennettu käyttäjälle ja laitteelle ominaisia 30 tietoja, kuten ICCID-numero. ICCID on valmistuskoodi, joka aiemmissa tekniikan alan «* ;; ratkaisuissa on kirjoitettu alkuperäiselle kortille ainoastaan esittämään kortin sarjanumeroa. SIM-kortilla on myös yksityinen avain, joka on yksi avainparin . ’*.: avaimista, jotka kuuluvat asymmetriseen salausjärjestelmään.
t · 9 116654 5 Autentikointipalvelin valvoo käyttäjien henkilöllisyyksiä perustuen mobiilipäätteiden A-numeroihin. Sillä on myös julkinen avain, joka on toinen mainitun asymmetrisen salausjärjestelmän avainparin avaimista.
Kuva 1 esittää keksinnön menetelmää signaalidiagrammin muodossa.
Vaiheesssa 1 käyttäjä lähettää pyynnön palvelusta palveluntarjoajalle ίο mobiilipäätteestään. Kuvassa 1 on oletettu, että mobiilipäätteessä on Internet-yhteys esimerkiksi Wireless Application Protocol (WAP):n kautta, rajapinta ja voi näin ollen viestiä palveluntarjoajan kanssa. Tämä voi tapahtua esimerkiksi avaamalla palveluntarjoajan Internet-kotisivu, joka saa aikaan sen, että pyyntöviesti palvelun käytöstä lähetetään. Tavallisin tilanne olisi, että käyttäjä lähettää tämän pyynnön 15 kotitietokoneeltaan (PC).
Vastauksena tähän pyyntöön palveluntarjoaja lähettää vastausviestin PC: Ile tai mobiilille päätteelle ja pyytää vaiheessa 2 käyttäjää antamaa salasanan, nimensä ja puhelinnumeronsa, jotta saisi pääsyn palveluun. Pyydetty puhelinnumero on Integrated Service Digital Network Number, MSISDN, joka on standardi kansainvälinen 20 puhelinnumero, jota käytetään mainitun tilaajan tunnistamisessa.
Tämän jälkeen käyttäjä lähettää pyydetyt tiedot palveluntarjoajalle vaiheessa 3 , , mobiilipäätteestä tai PC:ltä näppäilemällä pakolliset tiedot palveluntarjoajalta ; vaiheessa 2 tulleen muotoillun viestin kenttiin.
: . . Vaiheessa 4 palveluntarjoaja lähettää puhelinnumeron autentikointipalvelimelle .. · · 25 tarkistaakseen onko käyttäjä tunnettu ja onko hänellä oikeudet pyydettyyn palveluun.
* · <
* I
Vaiheessa 5 autentikointipalvelin tarkistaa käyttäjän perustuen puhelinnumeroon, jonka avulla se voi identifioida käyttäjän ja jos käyttäjä on tunnett se muodostaa satunnaisluvun. Tämän jälkeen se muodostaa haasteen, joka koostuu ylätunnisteesta, 30 mainitusta luodusta satunnaisluvusta ja mahdollisista lisätiedoista. Ylätunnisteessa on tietoja istunnon ID:stä, viestin tyypistä, viestin lukemasta jne.
♦ * 10 116654 s Lisätieto, joka voidaan lisätä on palvelimen elektroninen (tai digitaalinen) allekirjoitus. Jos tehdään näin, SIM-kortilla täytyy olla palvelimen julkinen avain. Tällöin elektroninen allekirjoittaminen ja sen tarkistus voidaan tehdä molempiin suuntiin. SIM-kortti vahvistaa lähettäjän lähettäjän julkisen avaimen avulla. Jos käytetään tätä lisäominaisuutta, palvelin haastaa myös ICCID-koodin lähettämällä sen viestissä, joka ίο on digitaalisesti allekirjoitettu.
Haaste lähetetään eteenpäin lyhytsanomapalvelukeskuksen (Short Message Service Center, SMSC) kautta käyttäjän mobiilipäätteen SIM-kortille vaiheessa 6. Haaste lähetetään ETSI standardissa luokkaan 2 luokitellun SMS viestin muodossa, joka 15 mahdollistaa sen, että se menee suoraan SIM:lle, joka aloittaa ohjelman, joka suorittaa vaiheet 7 ja 8. Koska viesti menee SMSC:n läpi, numero, josta viesti tuli lisätään aina tietoihin.
Vaiheessa 7 SIM-kortti lukee mobiilipäätteen ICCID-numeron ja luo viestin, joka 20 koostuu mainitusta haasteesta, johon on yhdistetty mainittu ICCID ja viestin ylätunniste. Mainitusta viestistä muodostetaan sitten tiiviste esimerkiksi SHA-1 protokollan avulla, ja tiiviste allekirjoitetaan SIM-kortissa olevalla mainitulla salaisella 5': avaimella.
: Vaiheessa 8 allekirjoitettu tiiviste lähetetään autentikointipalvelimelle.
» 25 Vaiheessa 9 autentikointipalvelin avaa viestin mainitulla julkisella avaimella, joka on , tallennettu autentikointipalvelimelle, kun julkinen avain vastaa mainittua salaista avainta. Autentikointipalvelin vertaa sitten avatun viestin sisältöä mieluiten ainakin alunperin luotuun satunnaislukuun ja/tai tarkistaa vastaako viestin ICCID koodi >;· käyttäjän ICCID-koodia ja/tai tarkistaa lähetettiinkö viesti oikeasta puhelinnumerosta.
* « | » ; ’' ‘: 30 Edullisimmassa sovelluksessa nämä kaikki kolme asiaa tarkistetaan.
1 I f I I 1 1 » J I t
Jos tarkistetut tiedot vastaavat toisiaan, vaiheessa 10 lähetetään vahvistus I » ,; ; palveluntarjoajalle, joka antaa käyttäjälle pääsyn käyttämään palvelua.
1 I f > I
» I
» * *
Claims (13)
1. I ‘. ’ 35 RSA julkisista ja salaisista avaimista. I < * 116654
5. Minkä tahansa patenttivaatimuksen 2 - 4 mukainen menetelmä, tunnettu siitä, että vaiheen a) jälkeen autentikointipalvelin tarkistaa onko käyttäjä tunnettu puhelinnumeron perusteella.
6. Minkä tahansa patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, ίο että vaiheessa b) satunnaisluku lähetetään haasteena sisältäen myös ylätunnisteen ja mahdollisesti vielä lisätietoja.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että mainittu lisätieto koostuu palvelimen digitaalisesta allekirjoituksesta. 15
8. Patenttivaatimuksen 7 mukainen menetelmä, tunnettu siitä, että älykortti tarkistaa palvelimen digitaalisen allekirjoituksen älykortissa olevan palvelimen julkisen avaimen avulla.
9. Patenttivaatimuksen 8 mukainen menetelmä, tunnettu siitä, että kortilla oleva laitteelle ominainen tieto yhdistettynä satunnaislukuun vaiheessa c) on Integrated Circuit Card ID (ICCID) numero. : V: 10. Minkä tahansa patenttivaatimuksen 1-9 mukainen menetelmä, tunnettu siitä, •, I ; 25 että tiiviste muodostetaan viestistä, joka koostuu ylätunnisteesta, satunnaisluvusta * * lii ja vaiheen c) laitetiedoista. 'il» .· 11. Minkä tahansa patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, >että vaiheessa d) viesti allekirjoitetaan älykortissa olevalla salaisella avaimella. 30 ;;; 12. Minkä tahansa patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, ;·* että vaiheessa e) viestin salaus puretaan autentikointipalvelimelle tallennetulla . : julkisella avaimella. ' · * * * » I » 116654
13. Minkä tahansa patenttivaatimuksen 1-12 mukainen menetelmä, tunnettu siitä, että viestin sisältöä verrataan vaiheessa f) alunperin luotuun satunnaislukuun, ICCID-koodiin ja/tai viestin lähettämään puhelinnumeroon. : I · K I 116654
1. Menetelmä käyttäjän autentikoimiseksi verkossa, joka käsittää mobiilipäätteen, palvelun tarjoajan ja autentikointipalvelimen, jolloin mobiilipäätteessä on älykortti, jolla on turvallisuustoimintoja ja käyttäjälle/laitteelle ominaisia tietoja, jossa ίο menetelmässä käyttäjä antaa pyynnöstä henkilöllisyystietoja palveluntarjoajalle palveluntarjoajan tarjoamien palvelujen käyttämisestä, tunnettu siitä, että a) käyttäjän antamat henkilöllisyystiedot lähetetään palveluntarjoajalta autentikointipalvelimelle, b) autentikointipalvelin muodostaa satunnaisluvun, joka lähetetään mobiili 15 päätteen älykorttiin, c) älykortti muodostaa viestin yhdistämällä kortilla olevia laitteelle ominaisia tietoja ja satunnaisluvun, d) älykortti allekirjoittaa viestin digitaalisesti turvallisuustoimintojen avulla ja lähettää sen autentikointipalvelimelle, 20 e) autentikointipalvelin purkaa viestin salauksen ja vertaa sen sisältöä alunperin vaiheessa b) luotuun satunnaislukuun, f) autentikointipalvelin vertaa viestin siältöä ja mainittua alunperin luodun viestin tietoja ja lähettää vahvistuksen palveluntarjoajalle jos nämä vastaavat ,·, toisiaan. ’% 25 > • ' ·
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käyttäjän * a v. vaiheessa a) antamiin tietoihin sisältyy mobiilipäätteen puhelinnnumero.
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu siitä, että ··· 30 mobiilipäätteen älykortti on Subscriber Identity Module (SIM)-kortti tai Universal I I I > :' | *: Subscriber Identity Module (USIM)-kortti.
> » · , . 4. Minkä tahansa patenttivaatimuksen 1-3 mukainen menetelmä, tunnettu siitä, . että turvallisuustoiminnot koostuvat asymmetrisistä turvallisuustoiminnoista, kuten
5 PATENTKRAV
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20031558A FI116654B (fi) | 2003-10-23 | 2003-10-23 | Menetelmä käyttäjän autentikoimiseksi |
PCT/FI2004/000630 WO2005041608A1 (en) | 2003-10-23 | 2004-10-22 | Method of user authentication |
EP04791422.1A EP1680940B1 (en) | 2003-10-23 | 2004-10-22 | Method of user authentication |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20031558A FI116654B (fi) | 2003-10-23 | 2003-10-23 | Menetelmä käyttäjän autentikoimiseksi |
FI20031558 | 2003-10-23 |
Publications (3)
Publication Number | Publication Date |
---|---|
FI20031558A0 FI20031558A0 (fi) | 2003-10-23 |
FI20031558A FI20031558A (fi) | 2005-04-24 |
FI116654B true FI116654B (fi) | 2006-01-13 |
Family
ID=29225995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI20031558A FI116654B (fi) | 2003-10-23 | 2003-10-23 | Menetelmä käyttäjän autentikoimiseksi |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP1680940B1 (fi) |
FI (1) | FI116654B (fi) |
WO (1) | WO2005041608A1 (fi) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100652125B1 (ko) * | 2005-06-03 | 2006-12-01 | 삼성전자주식회사 | 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치 |
DE102005041871A1 (de) * | 2005-09-02 | 2007-03-08 | Allmobility Deutschland Gmbh | Verfahren zum Registrieren von Mobilfunkdaten und Datenträgeranordnung zur Ausführung eines derartigen Verfahrens |
CN100429957C (zh) * | 2006-03-09 | 2008-10-29 | 北京握奇数据系统有限公司 | 电信智能卡与终端的认证方法 |
DE102006034535A1 (de) * | 2006-07-26 | 2008-01-31 | Carl Zeiss Meditec Ag | Verfahren zur Generierung eines Einmal-Zugangscodes |
WO2008069401A1 (en) * | 2006-12-07 | 2008-06-12 | Electronics And Telecommunications Research Institute | Authentication method and apparatus for accessing third-generation mobile communication network by using a portable memory |
CN101282505B (zh) * | 2007-04-04 | 2011-10-05 | 中国电信股份有限公司 | 在电信系统中对业务进行管理的方法 |
FR2915337B1 (fr) | 2007-04-19 | 2009-06-05 | Bouygues Telecom Sa | Procede et systeme de securisation d'acces interne de telephone mobile, telephone mobile et terminal correspondants. |
BRPI0802251A2 (pt) | 2008-07-07 | 2011-08-23 | Tacito Pereira Nobre | sistema, método e dispositivo para autenticação em relacionamentos por meios eletrÈnicos |
DE102011118367B4 (de) * | 2011-08-24 | 2017-02-09 | Deutsche Telekom Ag | Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm |
US9053304B2 (en) | 2012-07-13 | 2015-06-09 | Securekey Technologies Inc. | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
US9202016B2 (en) * | 2012-08-15 | 2015-12-01 | Verizon Patent And Licensing Inc. | Management of private information |
EP2725758A1 (fr) * | 2012-10-29 | 2014-04-30 | Gemalto SA | Procédé d'authentification mutuelle entre un terminal et un serveur distant par l'intermédiaire d'un portail d'un tiers |
EP2940618A1 (en) * | 2014-04-29 | 2015-11-04 | Deutsche Telekom AG | Method, system, user equipment and program for authenticating a user |
EP3817280A4 (en) * | 2018-06-26 | 2022-03-16 | Japan Communications, Inc. | SYSTEM FOR PROVIDING ONLINE SERVICES, IC CHIP AND APPLICATION PROGRAM |
JP7470313B2 (ja) | 2018-06-26 | 2024-04-18 | 日本通信株式会社 | オンラインサービス提供システム |
WO2020004486A1 (ja) | 2018-06-26 | 2020-01-02 | 日本通信株式会社 | オンラインサービス提供システム、アプリケーションプログラム |
CN114666786A (zh) * | 2020-12-04 | 2022-06-24 | 中国联合网络通信集团有限公司 | 一种基于电信智能卡的身份认证方法及系统 |
CN115696329B (zh) * | 2022-10-27 | 2024-06-25 | 中国联合网络通信集团有限公司 | 零信任认证方法及装置、零信任客户端设备和存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0998073B1 (en) * | 1998-10-30 | 2006-06-14 | Matsushita Electric Industrial Co., Ltd. | Method and system for inter-equipment authentication and key delivery |
FI109864B (fi) * | 2000-03-30 | 2002-10-15 | Nokia Corp | Tilaajan autentikaatio |
EP1314278A2 (en) * | 2000-08-30 | 2003-05-28 | Telefonaktiebolaget LM Ericsson (publ) | End-user authentication independent of network service provider |
-
2003
- 2003-10-23 FI FI20031558A patent/FI116654B/fi not_active IP Right Cessation
-
2004
- 2004-10-22 WO PCT/FI2004/000630 patent/WO2005041608A1/en active Application Filing
- 2004-10-22 EP EP04791422.1A patent/EP1680940B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP1680940A1 (en) | 2006-07-19 |
FI20031558A (fi) | 2005-04-24 |
FI20031558A0 (fi) | 2003-10-23 |
WO2005041608A1 (en) | 2005-05-06 |
EP1680940B1 (en) | 2016-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI116654B (fi) | Menetelmä käyttäjän autentikoimiseksi | |
FI112418B (fi) | Menetelmä datan eheyden tarkastamiseksi, järjestelmä ja matkaviestin | |
FI115098B (fi) | Todentaminen dataviestinnässä | |
US7444513B2 (en) | Authentication in data communication | |
US20060262929A1 (en) | Method and system for identifying the identity of a user | |
US20090119759A1 (en) | Method and Arrangement for Secure Authentication | |
US20080141352A1 (en) | Secure password distribution to a client device of a network | |
US20080130879A1 (en) | Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment | |
CN1842993B (zh) | 提供证书 | |
KR20090005340A (ko) | 이동 통신 장치들에 대한 전화-번호 발견 및 전화-번호 인증 방법 및 시스템 | |
US8156340B1 (en) | System and method for securing system content by automated device authentication | |
US6795924B1 (en) | Sat back channel security solution | |
Nyamtiga et al. | Enhanced security model for mobile banking systems in Tanzania | |
Saxena et al. | Enhancing security system of short message service for m-commerce in GSM | |
Castiglione et al. | Do you trust your phone? | |
EP2439970A1 (en) | Method of obtaining authorization for accessing a service | |
IES20020779A2 (en) | MMSC access control | |
WO2007018476A1 (en) | Hybrid cryptographic approach to mobile messaging | |
EP1919157A1 (en) | Authentication based on a single message | |
Chikomo et al. | Security of mobile banking | |
US20130337773A1 (en) | Method and device for transmitting a verification request to an identification module | |
Pashalidis et al. | Using GSM/UMTS for single sign-on | |
Al-juaifari | Secure SMS Mobile Transaction with Peer to Peer Authentication Design for Mobile Government | |
MacDonald et al. | Overcoming channel bandwidth constraints in secure SIM applications | |
Zefferer et al. | Harnessing electronic signatures to improve the security of SMS-based services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FG | Patent granted |
Ref document number: 116654 Country of ref document: FI |
|
PC | Transfer of assignment of patent |
Owner name: TECTIA OYJ Free format text: TECTIA OYJ |
|
MM | Patent lapsed |