FI116654B - Menetelmä käyttäjän autentikoimiseksi - Google Patents

Menetelmä käyttäjän autentikoimiseksi Download PDF

Info

Publication number
FI116654B
FI116654B FI20031558A FI20031558A FI116654B FI 116654 B FI116654 B FI 116654B FI 20031558 A FI20031558 A FI 20031558A FI 20031558 A FI20031558 A FI 20031558A FI 116654 B FI116654 B FI 116654B
Authority
FI
Finland
Prior art keywords
message
user
authentication server
card
smart card
Prior art date
Application number
FI20031558A
Other languages
English (en)
Swedish (sv)
Other versions
FI20031558A (fi
FI20031558A0 (fi
Inventor
Samuli Siltanen
Antti Siltanen
Original Assignee
Siltanet Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siltanet Ltd filed Critical Siltanet Ltd
Priority to FI20031558A priority Critical patent/FI116654B/fi
Publication of FI20031558A0 publication Critical patent/FI20031558A0/fi
Priority to PCT/FI2004/000630 priority patent/WO2005041608A1/en
Priority to EP04791422.1A priority patent/EP1680940B1/en
Publication of FI20031558A publication Critical patent/FI20031558A/fi
Application granted granted Critical
Publication of FI116654B publication Critical patent/FI116654B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

116654
5 MENETELMÄ KÄYTTÄJÄN AUTENTIKOIMISEKSI TEKNINEN ALA
io Keksinnön kohteena on menetelmä käyttäjän autentikoimiseksi, erityisesti palvelujen käyttöoikeuksien yhteydessä.
TEKNIIKAN TASO
15
Global System for Mobile Communication (GSM-järjestelmä) on standardina digitaalisessa langattomassa viestinnässä, johon kuuluu palveluja, kuten puheviestintä. GSM, yhdessä muiden tekniikoiden kanssa on osana langattoman mobiilin tietoliikenteen kehityksessä, johon kuuluvat esimerkiksi General Packet Radio System 20 (GPRS) ja Universal Mobile Telecommunications Service (UMTS).
Älykortti on mikä tahansa muovinen kortti (kuten luottokortti), johon on asennettu virtapiiri tiedon tallentamista varten. GSM-puhelimissa oleva Subscriber Identity : Module (SIM-kortti) suunniteltiin alunperin turvalliseksi tavaksi yhdistää yksityinen * : : 25 tilaaja verkkoon ja toimimaan älykorttina joka tallentaa tilaajan henkilöllisyystiedot, i : tilauksen, tilaajaympäristön, radioympäristön ja muuta tietoa. Siinä voi olla myös turvallisuustoimintoja, kuten RSA avaimia, joita kuvataan edempänä.
UMTS on suraavan (3.) sukupolven langattoman viestinnän järjestelmä, joka 30 mahdollistaa laajennetun valikoiman multimediapalveluita, kuten esimerkiksi videon. UMTS on määritellyt USIM:in (universal SIM) käytön SIM:in kehityksenä. GSM- ja UMTS-verkoissa (U)SIM kortti on keskeinen paitsi tilaajan tunnistamisessa myös mahdollistamalla lisäarvoisia palveluja tilaajalle. SIM-kortiksi usein kutsuttu USIM ,,· (UMTS Subscriber Identity Module) on käyttäjän tilaus UMTS mobiiliverkossa. USIM : 35 sisältää oleellista tietoa, joka mahdollistaa pääsyn tilatun operaattorin verkkoon.
2 116654 5 Mobiili laite on erityisesti identifioitu kansainvälisellä matkaviestimen laitetunnuksella (IMEI), joka on ainutlaatuinen koodi, joka vastaa tiettyä GSM-puhelinta. SIM-kortissa on myös kansainvälinen matkaviestintilaajan tunnus (IMSI), joka identifioi tilaajan, salainen avain autentikointia varten ja muita käyttäjätietoja. SIM-kortit sisältävät myös lisätietoja laitteesta Integrated Circuit Card ID:n (ICCID numeron) muodossa. ICCID on ίο valmistuskoodi, joka on kirjoitettu alkuperäiselle kortille, jolloin siitä nähdään kortin sarjanumero. ETSI-standardin mukaan ICCID-koodin täytyy aina olla kirjoitettuna SIM-kortille. ICCID voidaan sekä lukea kortista, että tallentaa elektronisesti. Operaattorit käyttävät ICCID-tietoja esimerkiksi logistisissa järjestelmissään yhdistämään kortti tiettyyn käyttäjään, jolloin ICCID-koodi pitää sisällään viitetietoja.
15
Verkon alajärjestelmän keskeinen osa on mobiilipalveluiden kytkentäkeskus.Tämä toimii tavallisena PTSN.n (Public Switched Telephone Network) tai ISDN.n (Integrated Services Digital Network) kytkentäliitoksena ja yhdistää mobiilin signaalin näihin kiinteisiin verkkoihin. Lisäksi se mahdollistaa kaikki toiminnot, joita tarvitaan 20 mobiilitilaajan käsittelemiseen, kuten rekisteröinnin, autentikoimisen, paikannuksen päivityksen, kanavanvaihdot ja soitonohjauksen liikkuvalle tilaajalle. Mobile Station Integrated Service Digital Network Number, MSISDN, on kansainvälinen standardi puhelinnumero, jota käytetään tietyn tilaajan tunnistamiseen.
• * # * · • 25 Lisääntyvästi yhdistyvässä maailmassa ja mobiilin tietoliikennetekniikan kehittyessä ·: i liikemaailma ja yksittäiset ihmiset voivat nykyään kommunikoida melkein kaikissa .· asioissa. Eräs seuraus tästä on se, että on syntynyt joukko uusia haasteita tiedon siirron turvallisuuden ja koskemattomuuden takaamiseksi kuten myös sen varmistamiseksi, että kytkeytyneet yksilöt ovat niitä, joita väittävät olevansa.
;;; 30
Erilaisia autentikointiratkaisuja on suunniteltu suojaamaan järjestelmiä näitä uhkia vastaan, kuten myös suojaamaan käyttäjän yksilöllisyyttä (ID) käyttäjäpäätteen ja ; tunnistuspalvelimen kommunikoidessa keskenään. Autentikoiminen on prosessi, jossa • j varmistetaan, että käyttäjä on se, joka hän väittää olevansa. Kulunvalvontaan kuuluu 3 116654 5 tietyn käyttäjän sallitun toiminnan tason määrittäminen. Autentikointia edeltää tyypillisesti kulunvalvonta.
Etätyö käyttämällä elektronisia verkkoja vaatii elimet identifiointi- ja autentikointivälineet ennen yhteyden muodostamista. Tavallisin tapa autentikoida ίο käyttäjä on laittaa käyttäjä kirjoittamaan käyttäjätunnuksensa ja staattisen salasanansa ja kirjoittamalla oikean käyttäjätunnuksen ja salasanan yhdistelmän käyttäjälle suodaan yhteys. Autentikointia varten käyttäjät kirjoittavat käyttäjä ID koodinsa tai PIN koodinsa tai jonkun toisen käyttöoikeuskoodin. Näppäimistöllä kirjoitetut salasanat ja PIN ovat kuitenkin alttiita siepattaviksi monilla tavoin, esimerkiksi kuvaruutua 15 seuraamalla tai suoralla tarkkailulla, mitä kutsutaan myös olan yli surffaamiseksi.
Esimerkiksi tekstiviestipalveluratkaisuja (SMS) käytetään matkapuhelimissa ja se, että mobiilikäyttäjille lähetetään kertakäyttöiset käyttöoikeuskoodit suojaamaan verkkoperäisten sovellusten käyttöä käyttämällä staattisia salasanoja ei ole kovin 20 turvallista ja järjestelmät ja sovellukset, jotka on suojattu vain tämänlaisilla salasanoilla ovat usein alttita hyökkäyksille. On kuitenkin olemassa vahvempia autentikointitapoja, kuten kertakäyttösalasanan käyttäminen ja haaste-vastaus tekniikoita.
: ;·: Vahva autentikointin sisältää yleensä käyttäjän turvamekanismeja (security tokens).
• ; 25 Mobiililaitteiden käyttö turvamekanismina autentikoinnissa on erittäin käytännöllistä.
: : Joidenkin turvallisuuspalvelujen käyttö perustuu salakirjoitukseen. Salakirjoitus tai ‘ salaaminen voidaan jakaa kahteen peruskonseptiin; symmetrisiin tekniikoihin, joissa käytetään salaisia avaimia ja asymmetrisiin tekniikoihin, joissa käytetään julkisen ja : * salaisen avaimien paria.
;·' 30 • «
Erittäin yleinen asymmetrinen algoritmi on RSA. RSA perustuu erittäin suurten alkulukujen matemaattisiin suhteisiin. Asymmetristä salausta kutsutaan myös julkisen : i avaimen salaukseksi (public key encryption). Asymmetristä prosessia käytetään 4 116654 5 yhdessä salaisen ja julkisen avaimen kanssa. Asymmetristä tekniikkaa voidaan käyttää myös digitaalisissa allekirjoituksissa autentikointitarkoituksiin.
Julkisen avaimen salaus perustuu avainpariin (julkinen ja salainen, joilla on matemaattinen suhde). Julkinen avain on aina julkinen ja salainen ei ole koskaan ίο julkinen. Julkisella avaimella salattua asiaa voidaan purkaa vain vastaavalla salaisella avaimella. Digitaalinen allekirjoitus on salaisella avaimella tehdyn salaamisen tulos.
Julkisen avaimen salauksen erittäin käytännöllinen ominaisuus on se, että siinä voidaan päätellä kuka teki mitä, ja tyypillisesti se on käytännöllinen lähettäjän ja 15 vastaanottajan identifioinnissa. Lähettäjä voi allekirjoittaa viestin digitaalisesti, jolloin vastaanottajan on mahdollista varmistaa lähettäjän henkilöllisyys.
Tässä ratkaisussa tarvitaan myös digitaalisia sertifikaatteja. Digitaalista sertifikaattia voidaan kuvailla digitaalisena allekirjoituksena, joka todistaa, että henkilön julkinen 20 avain todella kuuluu kyseiselle henkilölle. Täten digitaalinen sertifikaatti on sähköisessä muodossa olevaa tietoa, kuten dokumentti, joka vahvistaa julkisen avaimen omistajuuden. Digitaaliset allekirjoitukset ja sertifikaatit toimivat vain jos : . , osapuolten välillä on yhteisymmärrys sertifikaattiin luottamisesta.
25 Hash-algoritmeissä hyväksytään miten paljon vain syötettyä tietoa ja se tuottaa annetun hash-arvon tulosteena. Tulosteen pituudet ovat 160 bittiä (20 tavua) sha-1:n • « tapauksessa ja 128 bittiä (16 tavua) kun kyseessä on MD 5.Tuloksena saatua hash-arvoa kutsutaan yleensä viestien tiivisteiksi. Hash-prosessi on ainoastaan ’··, yksisuuntainen eikä viestin tiivisteestä voi johtaa alkuperäistä syötettyä tietoa. Hash-30 prosessia ei voida käänteistää. Viestitivisteet (digits) ovat useimpien digitaalisten allekirjoitusten standardien pohjana. Sen sijaan, että allekirjoitettaisiin koko : ‘ ’ dokumentti, vain viestien tiiviste allekirjoitetaan.
116654 5 5 Subscriber Identity Module (SIM) on turvallisuuskomponentti, joka mahdollistaa vahvan autentikoimisen julkisissa mobiiliverkoissa, jotka perustuvat GSM:ään tai sen seuraajiin GPRS:ään tai UMTS:iin. Jokaisella SIM:llä on salainen avain, joka on yhteinen vain alkuperäisen verkon operaattorin autentikointikeskuksen (AUC) kanssa.
Autentikointimenetelmä, jota käytetään SIM:n ja AUC:n välillä perustuu haaste-10 vastausmekanismiin, jossa käytetään satunnaislukuja torjumaan toistohykkäyksiä. SIM saa satunnaisesti jonkun numeron, ja laskee tuloksen käyttämällä erityistä algoritmiä ja avainta. SIM:n vastaus varmistetaan vertaamalla sitä alkuperäisen verkonpitäjän antamaan vastaukseen.
Jos halutaan korkeinta mahdollista turvallisuutta, käytetään digitaalisia allekirjoituksia, is Tunnettujen ratkaisujen haittapuolia, kun käytetään digitaalisia allekirjoituksia, ovat muun muassa monimutkainen signalointi, esimerkiksi tarve käyttää sertifikaatteja lähettäjän tunnistamisessa.
Seuraavat julkaisut on esitetty tekniikan tasona erilaisiin autentikointiratkaisuihin 20 nähden, jotka sisältävät mobiilipäätteitä ja/tai digitaalisia allekirjoituksia.
WOOO/67446 mainitaan tekniikan tason ratkaisuna, joka esittää SIM-pohjaisen . . autentikointimekanismin viestejä varten.
• · : US-patentissa 2002/0169966 asiakas autentikoidaan lähettämällä tai keskittämällä j : tietoliikenneverkon tilaajan autentikointi asiakkaalle laitteesta langattoman yhteyden •: i 25 kautta.
** EP-hakemuksessa 1102157 ratkaisu käsittää menetelmän turvallista * t ’· ·' sisäänkirjautumisjärjestelmää varten, johon kuuluu mobiiliyksikkö, mobiili viestintäverkko, autentikointikeskus, sovelluspalvelin, tietokone ja epäluotettava verkko. Autentikointikeskus lähettää yksinkertaisen token:in palvelimelle, joka lähettää ‘ 30 mainitun token:in käyttäjälle tietoyhteyden yli. Lopulta käyttäjä lukee token:in oman tietokoneensa ruudulta ja lähettää merkin tekstiviestinä mobiilista yksiköstä .* autentikointikeskukseen, joka saa myös matkapuhelimen numeron ja käyttäjän kennon . : identifikaation. Tässä etuna on se, että ylimääräistä PIN-koodia ei tarvita.
6 116654 5 Julkaisussa W001/31840, esitetään ratkaisu, jossa käytetään kertakäyttöistä salasanaa ja laitteelle ominaista identifiointia (IMEI).
KEKSINNÖN TARKOITUS
10
Keksinnön tarkoituksena on kehittää järjestelmä käyttäjän autentikoimiseksi käyttämällä matkapuhelimia ja digitaalisia allekirjoituksia, joka on yksinkertaisempi kuin tekniikan tason menetelmät, mutta jolla silti on korkea turvallisuustaso.
15
KEKSINNÖN SELOSTUS
Keksinnön kohteena on menetelmä käyttäjän autentikoimiseksi verkossa, sisältäen mobiilipäätteen, palveluntarjoajan ja autentikoitipalvelimen. Mobiilipäätteessä on 20 älykortti, jossa on turvallisuustoimintoja ja käyttäjälle/laitteelle ominaisia tietoja. Tässä menetelmässä käyttäjä antaa henkilöllisyystiedot palveluntarjoajalle vastauksena pyynnöstä käyttää palveluntarjoajan tarjoamaa palvelua. Käyttäjän antamat henkilöllisyystiedot lähetetään palveluntarjoajalta autantikointikeskukseen, joka muodostaa satunnaisluvun, joka lähetetään mobiilipäätteen älykorttiin. Älykortti ; 25 muodostaa viestin yhdistämällä kortilla olevia laitteelle ominaisia tietoja sekä kyseisen j’V satunnaisluvun. Älykortti allekirjoittaa viestin digitaalisesti, jonka jälkeen viesti ’".j lähetetään autentikointipalvelimelle. Autentikointipalvelin avaa viestin ja vertaa sen sisältöä alunperin luodun viestin tietoihin. Autentikointipalvelin lähettää vahvistuksen .··. palveluntarjoajalle jos viestin sisältö ja alunperin luodun viestin tiedot vastaavat 30 toisiaan.
* * »· " ,· Keksinnössä edullisilla suoritusmuodoilla on alivaatimusten tunnusmerkit ja niihin on v. lyhyesti viitattu seuraavassa.
Käyttäjän antamiin henkilöllisyystietoihin kuuluu mobiilipäätteen puhelinnumero, joka : : 35 GSM-verkossa koostuu Mobile Station Integrated Service Digital Network numerosta, MSISDN, joka on standardi kansainvälinen puhelinnumero, jota käytetään mainitun 7 116654 5 tilaajan identifioimiseen. Mobiilipäätteen älykortti on sitten Subscriber Identity Module (SIM) kortti tai Universal Subscriber Identity Module (USIM) kortti.
Turvallisuustoiminnot koostuvat asymmetrisistä turvallisuustoiminnoista, kuten RSA julkisista ja salaisista avaimista.
ίο Kun palveluntarjoaja lähettää käyttäjän antamat henkilöllisyystiedot autentikointipalvelimelle, autentikointipalvelin mieluiten tarkistaa onko käyttäjä jo tunnettu, esimerkiksi puhelinnumeron perusteella.
Kun mobiilin päätteen muistikortti saa satunnaisluvun autentikointipalvelimelta, 15 laitetiedot, kuten kortilla oleva mikropiirikortin ID (ICCID) numero, yhdistetään satunnaislukuun. Tämänjälkeen muodostetaan viesti, joka sisältää ylätunnisteen, satunnaisluvun ja ICCID numeron. Viestistä muodostetaan sitten tiiviste, joka allekirjoitetaan älykorttiin tallennetulla yksityisellä avaimella.
20 Allekirjoitettu viesti avataan autentikointipalvelimella olevalla julkisella avaimella ja viestuin sisältöä verrataan alunperin luotuun satunnaislukuun ja/tai ICCID koodiin ja/tai viestin lähettäjän puhelinnumeroon.
.·* Keksinnön ratkaisua on erittäin helppo käyttää verrattuna älykortteihin perustuviin : 25 menetelmiin, koska sitä ei ole sidottu mihinkään erityisiin kortteihin, lukijoihin tai — : ohjelmistoon, joka tukee sitä, eikä edes mihinkään mainittuun tietokoneeseen, joka
I I
pyytää identifiointia. Keksinnössä matkapuhelin on itse lukija ja älykortti koostuu SIM-kortista.
. 30 Keksinnön menetelmän yksi lisäetu on, että yksityinen avain on sidottu allekirjoituksen tuottavaan ympäristöön/mediaan, toisin sanoen SIM-korttiin ICCID-koodin kautta. ! Aikaisemmilla tekniikan tasoilla myös niissä digitaalisen allekirjoituksen menetelmissä ·’·' jotka perustuvat SIM-korttiin, yksityistä avainta ei ole sidottu mihinkään muuhun ; * * tekijään.
· 35 8 116654 5 Seuraavassa keksintöä on kuvattu yksityiskohtaisesti signaalidiagrammien avulla vaiheittain. Tarkoituksena ei ole rajoittaa keksintöä kuvan yksityiskohtiin ja mukanaolevaan tekstiin.
10 KUVIOT
Kuva 1 esittää erään keksinnön mukaisen menetelmän esimerkin signaalidiagrammina.
15
YKSITYISKOHTAINEN KUVAUS
Kuvassa 1 esitetty menetelmä tapahtuu verkossa, joka koostuu käyttäjästä ja hänen 20 mobiilipäätteestään, autentikointipalvelimesta ja palveluntarjoajasta.
Palveluntarjoaja tarjoaa palveluja esimerkiksi internetin välityksellä autentikoiduille käyttäjille. Yleensä tämä tarkoittaa sitä, että käyttäjän täytyy itse rekisteröityä ennalta, jotta hänellä olisi oikeus käyttää palveluja ja usein myös ehkä maksaa siitä. Täten 25 palveluntarjoaja tarkistaa jokaisen käyttäjän henkilöllisyyden, joka pyytää saada ’ ’ käyttää palveluja.
« I » Käyttäjällä on mobiili pääte, jonka oletetaan tässä sovelluksessa olevan GSM-pääte, jossa on SIM-kortti, johon on elektronisesti tallennettu käyttäjälle ja laitteelle ominaisia 30 tietoja, kuten ICCID-numero. ICCID on valmistuskoodi, joka aiemmissa tekniikan alan «* ;; ratkaisuissa on kirjoitettu alkuperäiselle kortille ainoastaan esittämään kortin sarjanumeroa. SIM-kortilla on myös yksityinen avain, joka on yksi avainparin . ’*.: avaimista, jotka kuuluvat asymmetriseen salausjärjestelmään.
t · 9 116654 5 Autentikointipalvelin valvoo käyttäjien henkilöllisyyksiä perustuen mobiilipäätteiden A-numeroihin. Sillä on myös julkinen avain, joka on toinen mainitun asymmetrisen salausjärjestelmän avainparin avaimista.
Kuva 1 esittää keksinnön menetelmää signaalidiagrammin muodossa.
Vaiheesssa 1 käyttäjä lähettää pyynnön palvelusta palveluntarjoajalle ίο mobiilipäätteestään. Kuvassa 1 on oletettu, että mobiilipäätteessä on Internet-yhteys esimerkiksi Wireless Application Protocol (WAP):n kautta, rajapinta ja voi näin ollen viestiä palveluntarjoajan kanssa. Tämä voi tapahtua esimerkiksi avaamalla palveluntarjoajan Internet-kotisivu, joka saa aikaan sen, että pyyntöviesti palvelun käytöstä lähetetään. Tavallisin tilanne olisi, että käyttäjä lähettää tämän pyynnön 15 kotitietokoneeltaan (PC).
Vastauksena tähän pyyntöön palveluntarjoaja lähettää vastausviestin PC: Ile tai mobiilille päätteelle ja pyytää vaiheessa 2 käyttäjää antamaa salasanan, nimensä ja puhelinnumeronsa, jotta saisi pääsyn palveluun. Pyydetty puhelinnumero on Integrated Service Digital Network Number, MSISDN, joka on standardi kansainvälinen 20 puhelinnumero, jota käytetään mainitun tilaajan tunnistamisessa.
Tämän jälkeen käyttäjä lähettää pyydetyt tiedot palveluntarjoajalle vaiheessa 3 , , mobiilipäätteestä tai PC:ltä näppäilemällä pakolliset tiedot palveluntarjoajalta ; vaiheessa 2 tulleen muotoillun viestin kenttiin.
: . . Vaiheessa 4 palveluntarjoaja lähettää puhelinnumeron autentikointipalvelimelle .. · · 25 tarkistaakseen onko käyttäjä tunnettu ja onko hänellä oikeudet pyydettyyn palveluun.
* · <
* I
Vaiheessa 5 autentikointipalvelin tarkistaa käyttäjän perustuen puhelinnumeroon, jonka avulla se voi identifioida käyttäjän ja jos käyttäjä on tunnett se muodostaa satunnaisluvun. Tämän jälkeen se muodostaa haasteen, joka koostuu ylätunnisteesta, 30 mainitusta luodusta satunnaisluvusta ja mahdollisista lisätiedoista. Ylätunnisteessa on tietoja istunnon ID:stä, viestin tyypistä, viestin lukemasta jne.
♦ * 10 116654 s Lisätieto, joka voidaan lisätä on palvelimen elektroninen (tai digitaalinen) allekirjoitus. Jos tehdään näin, SIM-kortilla täytyy olla palvelimen julkinen avain. Tällöin elektroninen allekirjoittaminen ja sen tarkistus voidaan tehdä molempiin suuntiin. SIM-kortti vahvistaa lähettäjän lähettäjän julkisen avaimen avulla. Jos käytetään tätä lisäominaisuutta, palvelin haastaa myös ICCID-koodin lähettämällä sen viestissä, joka ίο on digitaalisesti allekirjoitettu.
Haaste lähetetään eteenpäin lyhytsanomapalvelukeskuksen (Short Message Service Center, SMSC) kautta käyttäjän mobiilipäätteen SIM-kortille vaiheessa 6. Haaste lähetetään ETSI standardissa luokkaan 2 luokitellun SMS viestin muodossa, joka 15 mahdollistaa sen, että se menee suoraan SIM:lle, joka aloittaa ohjelman, joka suorittaa vaiheet 7 ja 8. Koska viesti menee SMSC:n läpi, numero, josta viesti tuli lisätään aina tietoihin.
Vaiheessa 7 SIM-kortti lukee mobiilipäätteen ICCID-numeron ja luo viestin, joka 20 koostuu mainitusta haasteesta, johon on yhdistetty mainittu ICCID ja viestin ylätunniste. Mainitusta viestistä muodostetaan sitten tiiviste esimerkiksi SHA-1 protokollan avulla, ja tiiviste allekirjoitetaan SIM-kortissa olevalla mainitulla salaisella 5': avaimella.
: Vaiheessa 8 allekirjoitettu tiiviste lähetetään autentikointipalvelimelle.
» 25 Vaiheessa 9 autentikointipalvelin avaa viestin mainitulla julkisella avaimella, joka on , tallennettu autentikointipalvelimelle, kun julkinen avain vastaa mainittua salaista avainta. Autentikointipalvelin vertaa sitten avatun viestin sisältöä mieluiten ainakin alunperin luotuun satunnaislukuun ja/tai tarkistaa vastaako viestin ICCID koodi >;· käyttäjän ICCID-koodia ja/tai tarkistaa lähetettiinkö viesti oikeasta puhelinnumerosta.
* « | » ; ’' ‘: 30 Edullisimmassa sovelluksessa nämä kaikki kolme asiaa tarkistetaan.
1 I f I I 1 1 » J I t
Jos tarkistetut tiedot vastaavat toisiaan, vaiheessa 10 lähetetään vahvistus I » ,; ; palveluntarjoajalle, joka antaa käyttäjälle pääsyn käyttämään palvelua.
1 I f > I
» I
» * *

Claims (13)

116654 5 PATENTTIVAATIMUKSET
1. I ‘. ’ 35 RSA julkisista ja salaisista avaimista. I < * 116654
5. Minkä tahansa patenttivaatimuksen 2 - 4 mukainen menetelmä, tunnettu siitä, että vaiheen a) jälkeen autentikointipalvelin tarkistaa onko käyttäjä tunnettu puhelinnumeron perusteella.
6. Minkä tahansa patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, ίο että vaiheessa b) satunnaisluku lähetetään haasteena sisältäen myös ylätunnisteen ja mahdollisesti vielä lisätietoja.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että mainittu lisätieto koostuu palvelimen digitaalisesta allekirjoituksesta. 15
8. Patenttivaatimuksen 7 mukainen menetelmä, tunnettu siitä, että älykortti tarkistaa palvelimen digitaalisen allekirjoituksen älykortissa olevan palvelimen julkisen avaimen avulla.
9. Patenttivaatimuksen 8 mukainen menetelmä, tunnettu siitä, että kortilla oleva laitteelle ominainen tieto yhdistettynä satunnaislukuun vaiheessa c) on Integrated Circuit Card ID (ICCID) numero. : V: 10. Minkä tahansa patenttivaatimuksen 1-9 mukainen menetelmä, tunnettu siitä, •, I ; 25 että tiiviste muodostetaan viestistä, joka koostuu ylätunnisteesta, satunnaisluvusta * * lii ja vaiheen c) laitetiedoista. 'il» .· 11. Minkä tahansa patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, >että vaiheessa d) viesti allekirjoitetaan älykortissa olevalla salaisella avaimella. 30 ;;; 12. Minkä tahansa patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, ;·* että vaiheessa e) viestin salaus puretaan autentikointipalvelimelle tallennetulla . : julkisella avaimella. ' · * * * » I » 116654
13. Minkä tahansa patenttivaatimuksen 1-12 mukainen menetelmä, tunnettu siitä, että viestin sisältöä verrataan vaiheessa f) alunperin luotuun satunnaislukuun, ICCID-koodiin ja/tai viestin lähettämään puhelinnumeroon. : I · K I 116654
1. Menetelmä käyttäjän autentikoimiseksi verkossa, joka käsittää mobiilipäätteen, palvelun tarjoajan ja autentikointipalvelimen, jolloin mobiilipäätteessä on älykortti, jolla on turvallisuustoimintoja ja käyttäjälle/laitteelle ominaisia tietoja, jossa ίο menetelmässä käyttäjä antaa pyynnöstä henkilöllisyystietoja palveluntarjoajalle palveluntarjoajan tarjoamien palvelujen käyttämisestä, tunnettu siitä, että a) käyttäjän antamat henkilöllisyystiedot lähetetään palveluntarjoajalta autentikointipalvelimelle, b) autentikointipalvelin muodostaa satunnaisluvun, joka lähetetään mobiili 15 päätteen älykorttiin, c) älykortti muodostaa viestin yhdistämällä kortilla olevia laitteelle ominaisia tietoja ja satunnaisluvun, d) älykortti allekirjoittaa viestin digitaalisesti turvallisuustoimintojen avulla ja lähettää sen autentikointipalvelimelle, 20 e) autentikointipalvelin purkaa viestin salauksen ja vertaa sen sisältöä alunperin vaiheessa b) luotuun satunnaislukuun, f) autentikointipalvelin vertaa viestin siältöä ja mainittua alunperin luodun viestin tietoja ja lähettää vahvistuksen palveluntarjoajalle jos nämä vastaavat ,·, toisiaan. ’% 25 > • ' ·
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käyttäjän * a v. vaiheessa a) antamiin tietoihin sisältyy mobiilipäätteen puhelinnnumero.
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu siitä, että ··· 30 mobiilipäätteen älykortti on Subscriber Identity Module (SIM)-kortti tai Universal I I I > :' | *: Subscriber Identity Module (USIM)-kortti.
> » · , . 4. Minkä tahansa patenttivaatimuksen 1-3 mukainen menetelmä, tunnettu siitä, . että turvallisuustoiminnot koostuvat asymmetrisistä turvallisuustoiminnoista, kuten
5 PATENTKRAV
FI20031558A 2003-10-23 2003-10-23 Menetelmä käyttäjän autentikoimiseksi FI116654B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20031558A FI116654B (fi) 2003-10-23 2003-10-23 Menetelmä käyttäjän autentikoimiseksi
PCT/FI2004/000630 WO2005041608A1 (en) 2003-10-23 2004-10-22 Method of user authentication
EP04791422.1A EP1680940B1 (en) 2003-10-23 2004-10-22 Method of user authentication

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20031558A FI116654B (fi) 2003-10-23 2003-10-23 Menetelmä käyttäjän autentikoimiseksi
FI20031558 2003-10-23

Publications (3)

Publication Number Publication Date
FI20031558A0 FI20031558A0 (fi) 2003-10-23
FI20031558A FI20031558A (fi) 2005-04-24
FI116654B true FI116654B (fi) 2006-01-13

Family

ID=29225995

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20031558A FI116654B (fi) 2003-10-23 2003-10-23 Menetelmä käyttäjän autentikoimiseksi

Country Status (3)

Country Link
EP (1) EP1680940B1 (fi)
FI (1) FI116654B (fi)
WO (1) WO2005041608A1 (fi)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100652125B1 (ko) * 2005-06-03 2006-12-01 삼성전자주식회사 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치
DE102005041871A1 (de) * 2005-09-02 2007-03-08 Allmobility Deutschland Gmbh Verfahren zum Registrieren von Mobilfunkdaten und Datenträgeranordnung zur Ausführung eines derartigen Verfahrens
CN100429957C (zh) * 2006-03-09 2008-10-29 北京握奇数据系统有限公司 电信智能卡与终端的认证方法
DE102006034535A1 (de) * 2006-07-26 2008-01-31 Carl Zeiss Meditec Ag Verfahren zur Generierung eines Einmal-Zugangscodes
WO2008069401A1 (en) * 2006-12-07 2008-06-12 Electronics And Telecommunications Research Institute Authentication method and apparatus for accessing third-generation mobile communication network by using a portable memory
CN101282505B (zh) * 2007-04-04 2011-10-05 中国电信股份有限公司 在电信系统中对业务进行管理的方法
FR2915337B1 (fr) 2007-04-19 2009-06-05 Bouygues Telecom Sa Procede et systeme de securisation d'acces interne de telephone mobile, telephone mobile et terminal correspondants.
BRPI0802251A2 (pt) 2008-07-07 2011-08-23 Tacito Pereira Nobre sistema, método e dispositivo para autenticação em relacionamentos por meios eletrÈnicos
DE102011118367B4 (de) * 2011-08-24 2017-02-09 Deutsche Telekom Ag Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm
US9053304B2 (en) 2012-07-13 2015-06-09 Securekey Technologies Inc. Methods and systems for using derived credentials to authenticate a device across multiple platforms
US9202016B2 (en) * 2012-08-15 2015-12-01 Verizon Patent And Licensing Inc. Management of private information
EP2725758A1 (fr) * 2012-10-29 2014-04-30 Gemalto SA Procédé d'authentification mutuelle entre un terminal et un serveur distant par l'intermédiaire d'un portail d'un tiers
EP2940618A1 (en) * 2014-04-29 2015-11-04 Deutsche Telekom AG Method, system, user equipment and program for authenticating a user
EP3817280A4 (en) * 2018-06-26 2022-03-16 Japan Communications, Inc. SYSTEM FOR PROVIDING ONLINE SERVICES, IC CHIP AND APPLICATION PROGRAM
JP7470313B2 (ja) 2018-06-26 2024-04-18 日本通信株式会社 オンラインサービス提供システム
WO2020004486A1 (ja) 2018-06-26 2020-01-02 日本通信株式会社 オンラインサービス提供システム、アプリケーションプログラム
CN114666786A (zh) * 2020-12-04 2022-06-24 中国联合网络通信集团有限公司 一种基于电信智能卡的身份认证方法及系统
CN115696329B (zh) * 2022-10-27 2024-06-25 中国联合网络通信集团有限公司 零信任认证方法及装置、零信任客户端设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0998073B1 (en) * 1998-10-30 2006-06-14 Matsushita Electric Industrial Co., Ltd. Method and system for inter-equipment authentication and key delivery
FI109864B (fi) * 2000-03-30 2002-10-15 Nokia Corp Tilaajan autentikaatio
EP1314278A2 (en) * 2000-08-30 2003-05-28 Telefonaktiebolaget LM Ericsson (publ) End-user authentication independent of network service provider

Also Published As

Publication number Publication date
EP1680940A1 (en) 2006-07-19
FI20031558A (fi) 2005-04-24
FI20031558A0 (fi) 2003-10-23
WO2005041608A1 (en) 2005-05-06
EP1680940B1 (en) 2016-03-09

Similar Documents

Publication Publication Date Title
FI116654B (fi) Menetelmä käyttäjän autentikoimiseksi
FI112418B (fi) Menetelmä datan eheyden tarkastamiseksi, järjestelmä ja matkaviestin
FI115098B (fi) Todentaminen dataviestinnässä
US7444513B2 (en) Authentication in data communication
US20060262929A1 (en) Method and system for identifying the identity of a user
US20090119759A1 (en) Method and Arrangement for Secure Authentication
US20080141352A1 (en) Secure password distribution to a client device of a network
US20080130879A1 (en) Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment
CN1842993B (zh) 提供证书
KR20090005340A (ko) 이동 통신 장치들에 대한 전화-번호 발견 및 전화-번호 인증 방법 및 시스템
US8156340B1 (en) System and method for securing system content by automated device authentication
US6795924B1 (en) Sat back channel security solution
Nyamtiga et al. Enhanced security model for mobile banking systems in Tanzania
Saxena et al. Enhancing security system of short message service for m-commerce in GSM
Castiglione et al. Do you trust your phone?
EP2439970A1 (en) Method of obtaining authorization for accessing a service
IES20020779A2 (en) MMSC access control
WO2007018476A1 (en) Hybrid cryptographic approach to mobile messaging
EP1919157A1 (en) Authentication based on a single message
Chikomo et al. Security of mobile banking
US20130337773A1 (en) Method and device for transmitting a verification request to an identification module
Pashalidis et al. Using GSM/UMTS for single sign-on
Al-juaifari Secure SMS Mobile Transaction with Peer to Peer Authentication Design for Mobile Government
MacDonald et al. Overcoming channel bandwidth constraints in secure SIM applications
Zefferer et al. Harnessing electronic signatures to improve the security of SMS-based services

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 116654

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: TECTIA OYJ

Free format text: TECTIA OYJ

MM Patent lapsed