FI117181B - Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi - Google Patents

Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi Download PDF

Info

Publication number
FI117181B
FI117181B FI20030154A FI20030154A FI117181B FI 117181 B FI117181 B FI 117181B FI 20030154 A FI20030154 A FI 20030154A FI 20030154 A FI20030154 A FI 20030154A FI 117181 B FI117181 B FI 117181B
Authority
FI
Finland
Prior art keywords
terminal
service provider
caller
dte
dte2
Prior art date
Application number
FI20030154A
Other languages
English (en)
Swedish (sv)
Other versions
FI20030154A (fi
FI20030154A0 (fi
Inventor
Harri Vatanen
Pekka Jelekaeinen
Original Assignee
Qitec Technology Group Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qitec Technology Group Oy filed Critical Qitec Technology Group Oy
Priority to FI20030154A priority Critical patent/FI117181B/fi
Publication of FI20030154A0 publication Critical patent/FI20030154A0/fi
Priority to US10/544,119 priority patent/US20060262929A1/en
Priority to PCT/FI2004/000043 priority patent/WO2004068782A1/en
Publication of FI20030154A publication Critical patent/FI20030154A/fi
Application granted granted Critical
Publication of FI117181B publication Critical patent/FI117181B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

117181
MENETELMÄ JA JÄRJESTELMÄ KÄYTTÄJÄN IDENTITEETIN TUNNISTAMISEKSI
KEKSINNÖN ALA
Esillä oleva keksintö liittyy tietoliikenne-5 järjestelmiin. Erityisesti esillä oleva keksintö liittyy uuteen ja edistykselliseen menetelmään ja järjestelmään käyttäjän tunnistamiseksi tietoliikennejärjestelmässä .
10 KEKSINNÖN TAUSTA
Käyttäjän tunnistus on olennaisen menettely internet-ympäristön erilaisissa tehtävissä. Käyttäjän tunnistusta tarvitaan erilaisissa ympäristöissä, esimerkiksi sähköpostin sisäänkirjautumisessa, on-line -15 kaupankäynnissä, on-line -pankkiasioissa jne. On-line -tunnistusmenetelmissä on aina perustavaa laatua oleva ongelma, joka täytyy ratkaista, nimittäin, kuinka varmistua siitä, että henkilö joka tunnistautuu todella on se, joka hän väittää olevansa.
20 Useita ratkaisuja on käytetty ratkaisemaan edellä mainittua ongelmaa tunnistustarkoitusta varten. Perusratkaisu on käyttää käyttäjätunnusta ja salasa-naa. Käyttäjätunnus/salasana -yhdistelmä on usein * * · "* ; riittävä tunnistustarkoituksia varten, mutta ei aina.
25 Nykyään useat palvelut vaativat käyttäjätunnistuksen, • * *·*·* j a tämän vuoksi henkilöllä voi olla kymmeniä erilaisia ** * : ’.· käyttäjätunnus/salasana -pareja tallennettuna jonne- ** * kin, esimerkiksi tietokoneelle tai paperiarkille lipastoon. Sen vuoksi nämä käyttäjätunnus/salasana -pa- ··· 30 rit voivat joskus päätyä ihmisille, joilla ei ole oi- ··** .···. keutta käyttää niitä, esimerkiksi tietokone voi olla e ·] haavoittuva hakkeroinnille tai lipasto on liian ilmei- • · · :·· * nen paikka piilottaa käyttäjätunnus/salasana -parit.
·...· On olemassa myös muita tunnistusratkaisuja, 35 joita käytetään on-line tunnistusratkaisuissa. Käyttä- • 4 · jä voi käyttää yhtä tai useampaa staattista tietoa • « 2 il n m (esimerkiksi käyttäjätunnusta ja/tai salasanaa), mutta myös vaihtuvaa tietoa (esimerkiksi vaihtuva PIN-koodi) tarvitaan. Tällaista ratkaisua käytetään ainakin useissa on-line -pankkiratkaisuissa. Näissä ratkai-5 suissa kukin istunto ja/tai transaktio vaatii ennalta määrätyn muuttuvan käytettävän tunnisteen.
Tämänhetkinen keskustelu tunnistusratkaisuista keskittyy pääasiallisesti Internet-pohjaisiin ratkaisuihin. Tämä on tietenkin tärkeää, koska tietover-10 kot, esimerkiksi Internet-verkko, ovat aina haavoittuvia vihamielisille hyökkäyksille tai hakkereille.
On kuitenkin olemassa joukko on-line tunnistusratkaisuja, joita käytetään puhelinverkoissa. On olemassa useita puhelinpalveluja, joiden kautta voi-15 daan hankkia tai vaihtaa luottamuksellista tietoa, esimerkiksi puhelinpankkipalvelut, erilaiset terveyteen liittyvät palvelut, puhelinoperaattoripalvelut jne. Tällaisissa palveluissa käytetään usein jonkin’ laista tunnistusmenetelmää. Soittava henkilö voidaan 20 tunnistaa esimerkiksi A-numeron (soittavan linjan tunnistus) , asiakkaan tunnistusnumeron, PIN-koodin, käyttäjätunnuksen ja/tai salasanan perusteella jne. Nämä ·:· ratkaisut ovat hyvin samanlaisia niiden ratkaisujen 19*· ; kanssa, joita käytetään Internet-pohjaisissa ratkai- # ♦ » ♦*· * _ _ 25 suissa.
• ... Kaikilla edellä mainituilla ratkaisuilla on * * *···* kuitenkin eräitä ongelmakohtia. Seuraavassa käydään • · · • ·' läpi lyhyesti joitain näistä ongelmakohdista: * * * ·...· Ä-numero (soittavan linjan tunnistus) : A- 30 numero tunnistaa ainoastaan päätelaitteen tai liitty- ·;· män, josta puhelu muodostetaan. A-numero ei välttämät- ···· ;***j tä tunnista soittajaa. On aina mahdollista, että joku • t» ,·, vilpillisesti esiintyy jonakin toisena.
* * * ·*!φ· PIN-koodi: PIN-koodia voidaan käyttää yksi- • « *···" 35 nään tai yhdessä esimerkiksi A-numeron kanssa tunnis- « tuksessa. Voi olla vaikeaa, kuten edellä mainittiin, • 91 muistaa PIN-koodeja, jotka liittyvät kuhunkin palve- 117181 3 luun. Jälleen on mahdollista, että joku vilpillisesti esiintyy jonakin toisena.
Vaihtuva PIN-koodi yhdessä asiakkaan tunnistusnumeron kanssa: Tätä ratkaisua käsiteltiin yllä ly-5 hyesti. Järjestelmät, jotka perustuvat vaihtuvan PIN-koodin käyttämiseen asiakkaan tunnistusnumeron kanssa, ovat itsessään luotettavia, mutta kalliita pystyttää, käyttää ja ylläpitää. Tällaisia ratkaisuja käyttävät ainakin puhelinpankit tai palveluntarjoajat, jotka 10 käyttävät nykyaikaista kanta-asiäkäsjärjestelmää.
Osassa julkisen tahon tai muiden palveluntarjoajien (yksityisten tai kaupallisten) tarjoamia palveluita on tarve toteuttaa merkittävä osa olemassa olevista palveluista puhelinyhteyksien kautta. Tällai-15 set palvelut vaativat kuitenkin asiakkaan tai henkilön luotettavaa tunnistamista ennen palvelun tarjoamista. Lisäksi osa julkisen tahon tai muiden palveluntarjoajien (yksityisten tai kaupallisten) tarjoamista palveluista, jotka välitetään puhelinyhteyksien kautta, 20 vaativat asiakkaalta tai henkilöltä digitaalisen allekirjoituksen.
Tämän vuoksi on olemassa nimenomaisesti il-meinen tarve luotettavalle on-line -puhelintunnistus-ratkaisulle, jonka avulla soittava henkilö voidaan ·;*·· 25 tunnistaa ennen palvelun tarjoamista puhelinyhteyden kautta. Ratkaisu pitäisi olla turvallinen ja ennen • · · ;v. kaikkea helppo käyttää ja ottaa käyttöön ja yleisesti * * \.I saatavilla tarvittaessa.
• * « · ·»·
30 KEKSINNÖN YHTEENVETO
♦ « · « • · ♦
Esillä oleva keksintö esittää menetelmän ja
9 9 J
9 9 *’* järjestelmän ensimmäinen päätelaitteen käyttäjän iden- • · ·.“· ti teet in tunnistamiseksi tietoliikennejärjestelmässä.
:***: Järjestelmä käsittää ainakin tietoliikenneverkon, y*.' 35 soittajapäätelaitteen, joka on liitetty tietoliikenne- 9 9 9 verkkoon, palveluntarjoajan, joka on liitetty tieto- • 9 *···* liikenneverkkoon ja sertif ikaattipalveluntarjoajan.
117181 4
Lisäksi soittajapäätelaite viittaa edullisesti matkaviestimeen.
Menet e1mäs sä muodost et aan puhe1u tietoliikenneverkon kautta soittajapäätelaitteesta 5 palvelutarjoajaan. Palveluntarjoaja viittaa esimerkiksi pankkiin, poliisiin, postiin, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin, kansaneläkelaitokseen jne. Palveluntarjoaja lähettää soittajapäätelaitteen käyttäjän tunnistuspyynnön toi-10 sen tietoliikenneyhteyden kautta, kun puhelu on muodostettuna soittajapäätelaitteen ja palveluntarjoajan välillä, joka toinen tietoliikenneyhteys on muu kuin muodostettu puheluyhteys palveluntarjoajan ja soittajapäätelaitteen välillä. Käyttäjän tunnistuspyyntö 15 vastaanotetaan, kun puhelu on muodostettuna. Pyyntö allekirjoitetaan digitaalisesti ja digitaalisesti allekirjoitettu pyyntö lähetetään toisen tietoliikenneyhteyden kautta. Tämän jälkeen soittaja autentikoi-daan ja digitaalinen allekirjoitus verifioidaan. Jos 20 autentikointi ja verifiointi onnistuivat, soittajalle tarjotaan palveluntarjoajan tarjoamia palveluja puhe-luyhteyden kautta. Käyttäjän tunnistamiseen voidaan käyttää erillistä osapuolta toisen lml\ tietoliikenneyhteyden kautta, joka osapuoli on muu ·:··· 25 kuin soittajapäätelaitteen käyttäjä.
.·*·. Eräässä sovelluksessa tietoliikenneverkko on « * matkaviestinverkko. Eräässä sovelluksessa toinen « * tietolii kenneyht eys viittaa st andardoi tuun GSM-verkon *** tiedonlähetyspiirteeseen, jota voidaan käyttää saman- 30 aikaisesti piirikytkentäisen puheyhteyden aikana. Toi- * * * *·:·* sissa sovelluksissa yhteydet voivat viitata esimerkik- **♦ si GPRS-verkon, UMTS-verkon, WCDMA-verkon, CDMA-·’. : verkon, EDGE-verkon, Bluetooth:in, WLAN-verkon siirto- » M 9 S 9 • * ,*··. kanavaan tai mihin tahansa olemassa olevaan tai tule- • * *·’ 35 vaan tiedonsiirtoverkkoon.
·.· : Esillä olevan keksinnön eräässä sovelluksessa * » * käyttäjän tunnistuspyyntö lähetetään 117181 5 soittajapäätelaitteelle ja vielä edullisemmin käyttämällä turvayhdyskäytävää, joka muodostaa rajapinnan soittajapäätelaitteelle. Pyyntö on edullisesti salattu. Soittajapäätelaite vastaanottaa pyynnön ja purkaa 5 pyynnön salauksen, jos salausta on käytetty. Jotta soittajapäätelaitteen käyttäjän identiteetistä annetaan riittävä osoitus, pyyntö on digitaalisesti allekirjoitettu soittajapäätelaitteella. Eräässä toisessa sovelluksessa käyttäjän tunnistuspyyntö lähetetään 10 toiselle päätelaitteelle.
Digitaalisen allekirjoituksen luomiseksi soittajapäätelaite ja/tai toinen päätelaite sisältää salausavaimen, ja lisäksi digitaalisen allekirjoituksen luomiseksi päätelaitteen käyttäjällä täytyy olla 15 oikea salasana tai PIN-koodi allekirjoituksen luomisen aktivoimiseksi. Allekirjoitettu tunnistuspyyntö lähetetään tämän jälkeen joko suoraan palvelutarjoajalle tai vielä edullisemmin turvayhdyskäytävälle. Allekirjoitettu pyyntö voidaan myös salata 20 soittajapäätelaitteella ja/tai toisella päätelaitteel la.
Tämän jälkeen digitaalinen allekirjoitus ve- ·.!:* rif ioidaan digitaalisen allekirjoituksen luomisessa * * : käytettyä todennusavainta vastaavan sertifikaatin pe- *5": 25 rusteella, joka sertifikaatti on saatu sertifikaatti- palveluntarjoajalta tai toiselta palveluntarjoajalta. Edullisesti palveluntarjoaja tekee verifioinnin, ja * · .**·. vielä edullisemmin turvayhdyskäytävä. Jos käyttäjä au- tentikoidaan asianmukaisesti, ja verifioinnin tulos on 30 positiivinen, palveluntarjoaja voi tarjota » * « I'! soittaj apäätelaitteen käyttäjälle palveluja olemassa *·;·* olevan puheluyhteyden kautta.
» * ί/.: Jostain syystä muodostettu puheluyhteys voi :***: katketa sillä aikaa, kun tunnistus- ja validiointipro- *** 35 sessi on vielä kesken. Sen vuoksi täytyy tarjota me- *[.* nettely validoidun yhteyden uudelleenmuodostamiseksi.
• · *···' Jos puheluyhteys katkeaa verifiointimenettelyn aikana, 117181 6 palveluntarjoaja luo haasteen, esimerkiksi salasanan, ja salaa sen käyttämällä soittajapäätelaitteen käyttäjän julkista salausavainta. Salattu haaste lähetetään tämän jälkeen soittajapäätelaitteelle joko suoraan tai 5 vielä edullisemmin käyttämällä turvayhdyskäytävää. Soittajapäätelaite purkaa salatun haasteen salauksen, muodostaa uuden puheluyhteyden palveluntarjoajaan ja välittää palveluntarjoajalle salauksesta puretun haasteen. Jos haaste on hyväksyttävä, palveluntarjoaja 10 tarjoaa soittajapäätelaitteen käyttäjälle palvelua uu-delleenmuodostetun puheluyhteyden kautta.
Esillä oleva keksintö mahdollistaa luotettavan henkilön tai asiakkaan tunnistamisen puheluyhteyden yli. Esillä oleva keksintö tarjoaa rat-15 kaisun, jossa useat palvelut voivat käyttää samaa turvaratkaisua autentikointia, valtuutusta, hallinnointia ja pääsynhänintaa varten. Lisäksi ratkaisu on kustannustehokas, turvallinen ja helppo toteuttaa olemassa oleviin järjestelmiin.
20
LYHYT KUVALUETTELO
Oheiset piirustukset, jotka on sisällytetty •.ΙΓ antamaan lisäymmärrystä keksinnöstä ja muodostamaan ί osan selityksestä, esittävät keksinnön sovelluksia, ja ««* * 25 yhdessä selityksen kanssa auttava selittämään keksin- ... non perusajatuksia. Piirustuksissa: ’...· kuva 1 on vuokaavio, joka esittää käyttäjän : **: tunnistusmenetelmää esillä olevan keksinnön mukaises- • · ti, 30 kuva 2 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises- * • · * 4_ *
• · · tl I
kuva 3 on vuokaavio, joka esittää uudelleen- β·*β muodostusmenetelmää esillä olevan keksinnön mukaises- ;N 35 ti, :**: kuva 4 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises-v · ti, • * • · »·· 7 1171-81 kuva 5 on vuokaavio, joka esittää uudelleen-muodostusmenetelmää esillä olevan keksinnön mukaises ti, kuva 6 on vuokaavio, joka esittää käyttäjän 5 tunnistusmenetelmää esillä olevan keksinnön mukaises ti, kuva 7 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises ti, 10 kuva 8 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises ti, ja kuva 9 on lohkokaavio eräästä esillä olevan keksinnön mukaisesta järjestelmästä.
15
KEKSINNÖN YKSITYISKOHTAINEN SELOSTUS
Seuraavassa viitataan yksityiskohtaisesti esillä olevan keksinnön sovelluksiin, joista esitetään esimerkkejä oheisissa piirustuksissa, 20 Seuraavissa esimerkeissä käyttäjän katsotaan olevan käyttäjä, joka puhuu puhelua. On ilmeistä, että puheluyhteys voi olla muu sovelias looginen kanava tai *4« ...ί yhteys (esimerkiksi pakettikytkentäinen kanava tai yh- • « ·.: : teys) käyttäjäpäätelaitteen ja palveluntarjoajan vä- ***** 25 Iillä.
:***: Kuva 1 esittää erään sovelluksen käyttäjän 14« •V. tunnistusmenetelmästä. Puheluyhteys (10) muodostetaan « 1 ,1·, soittajapäätelaitteestä DTE palveluntarjoajan SP pal velunumeroon tietoliikenneverkon NET kautta. Palvelun-, 30 tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, «44 ·;;; postitoimistoon, operaattoriin, luottokorttiyhtiöön, • 1 ’···1 vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelai- • tokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö • 44 · ·"**· tai instituutio, joka tarjoaa palveluja, jotka vaati- #·· 35 vat kiistämätöntä soittajan tunnistusta. Kuvassa 1 9 # *···[ palveluntarjoaja SP käsittää ainakin palveluntarjoajan 1 palvelimen/vaihteen SPS, asiakastietokannan DB ja 117181 8 asiakaspalvelujän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE on edullisesti matkaviestin, joka käsittää tilaa-jaidentiteettimoduulin SIM. Tilaajaidentiteettimoduu-5 Iin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Tilaa jaidentiteettimoduuli SIM tai mikä tahansa muu var-10 kaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen. Edullisessa sovelluksessa tilaajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite sisältää myös 15 muistin salausavaimelle ja/tai salauksen purkuavaimelle. Lisäksi edullisessa sovelluksessa salaamiseen ja salauksen purkamiseen käytetään julkisen avaimen salausta (PKI, Public Key Infrastructure).
Palveluntarjoajan palvelin SPS lähettää soit-20 tajan tunnistuspyynnön (11) turvayhdyskäytävälle GW. Kuvassa 1 tietoliikenneverkon NET operaattori omistaa turvayhdyskäytävän GW, ja turvayhdyskäytävä GW tarjoaa ββ*|· erilaisia turvallisuuteen liittyviä toimintoja, esi- ! ·*· merkiksi salausta ja salauksen purkamista. Pyyntö (11) *i# * 25 välitetään turvayhdyskäytävälle GW turvallisen yhtey- ,··*, den kautta (esimerkiksi SSL-yhteyden (SSL, Secured « * ,ΓΙ Sockets Layer)) esimerkiksi HTTP-protokollan (HTTP,
HyperText Transfer Protocol) , WML-kielen (WML, Wire- * · "*··* less Markup Language) tai XML-kielen (XML, Extensible 30 Markup Language) muodossa.
..!·* On tärkeää huomata, että tässä sovelluksessa puheluyhteys pidetään tunnistusvaiheen aikana yllä.
• ]·. Turvayhdys käytävä GW tunnistaa palveluntar jo- * * · *11·* ajan SP palveluntarjoajan sertifikaatin avulla, purkaa ·" 35 turvallisen yhteyden ja vastaanottaa soittajan tunnis- ·** tuspyynnön selväkielisenä esimerkiksi XML-muodossa, ·!"·; WML-muodossa tai lyhytsanoman muodossa. Soittajan tun- 117181 9 nistuspyyntö muunnetaan tämän jälkeen mobiilin päätelaitteen DTE tilaajaidentiteettimoduulin S IM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mobile communications) symmetrisellä sa-5 lausmenetelmällä. Salattu viesti lähetetään (12) tämän jälkeen matkaviestimelle DTE.
Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen, ja purettu viesti näytetään soittajalle matkaviestimen DTE näy-10 tolia. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soittajan todennusavaimella, ja allekirjoitettu viesti lähe-15 tetään (13) turvayhdyskäytävälle GW. Allekirj oitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography Standards #1) muotoon ja salataan ennen lähettämistä. PKCS#l-standardia kuvataan tarkemmin esimerkiksi verkko-osoitteessa 20 http://www.rsasecurity.com/rsalabs/pkcs/.
Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (14) tilaajaan liittyvän sertifikaatin ·:· sertifikaattiviranomaisen CA sertifikaattihakemistosta ···· | ·*. DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai »*« · 25 useampaa sertifikaattihakemistoa ja sertifikaatin sul- * a β···β kulistaa CLR, joka sisältää tietoa mitätöidyistä ser- • · ,1*1 tifikaateista. Sertifikaatti sisältää tunnistustietoa • · · sertifikaatin omistajasta ja ennen kaikkea omistajan *···* julkisen avaimen. Julkisen avaimen avulla on mahdol- 30 lista verifioida digitaalinen allekirjoitus. Verifi- ..*** ointiprosessi viittaa prosessiin, jonka varmentaja suorittaa joko pian elektronisen allekirjoituksen luo- . misen jälkeen tai myöhemmin, jotta määritetään, onko * · · *11,* elektroninen allekirjoitus pätevä implisiittisesti tai • * *·;·* 35 eksplisiittisesti viitatun allekir joitusmenettelyn kanssa. Verifiointi liittyy erittäin vahvasti termiin ·:··· ' validointidata' . Validointidata viittaa lisätietoon, 117191 10 joka tarvitaan elektronisen allekirjoituksen validoi-miseksi; tämä sisältää esimerkiksi sertifikaatit, mi-tätöimistilatiedon (esimerkiksi sulkulistat) ja luotetut aikaleimat. Lisäksi turvayhdyskäytävä GW luo 5 PKCS#7-viestin ja lähettää (15) viestin palveluntarjoajalle SP edullisesti käyttämällä turvallista yhteyttä. PKCS#7:ää kuvataan tarkemmin esimerkiksi verkko-osoitteessa http://www.reaseourity.com/rsalabs/pkcs/.
Palveluntarjoaja SP autentikoi soittajan j a 10 verifioi (16) digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifikaatiomenettely oli menestyksellinen, soittajalle voidaan tarjota pyydettyä palvelua. Lisäksi palveluntarjoaja voi luoda tietueen, 15 j oka sisältää soittajatietoa (17) tietokannasta DB, validointitietoa ja puhelulokitietoa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu on ollut olemassa indentifikaatiomenettelyn aikana. Asiakaspalvelua SERV käyttää edullisesti tietokonetta, ja siten 20 hän on automaattisesti varustettu (18) edellä maini tulla tietueella ennen puhumista soittajan kanssa.
Kuva 2 esittää toisen sovelluksen käyttäjän mm*V tunnistusmenetelmästä. Puheluyhteys (20) muodostetaan • ·*· soittajapäätelaitteesta DTE palveluntarjoajan SP pal- • M · 25 velunumeroon tietoliikenneverkon NET kautta. Palvelun- ♦ » .·**. tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, • · •/I postitoimistoon, operaattoriin, luottokorttiyhtiöön, * m vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelai- • · ***** tokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö 30 tai instituutio, joka tarjoaa palveluja, jotka vaati- * ..ΙΓ vat kiistämätöntä soittajan tunnistusta. Kuvassa 2 palveluntarjoaja SP käsittää ainakin palveluntarjoajan ; ,·, palvelimen/vaihteen SPS, asiakastietokannan DB ja * m * *// asiakaspalveli j an SERV. Tietoliikenneverkko NET on
'/ 35 edullisesti matkaviestinverkko. Soittajapäätelaite DTE
on edullisesti matkaviestin, joka käsittää tilaa-*:·*! jaidentiteettimoduulin SIM. Tilaa j aidentiteettimoduu- 11 117161
Iin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Ti-5 laajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen. Edullisessa sovelluksessa tilaajaidentiteettimoduuli SIM tai mikä ta-10 hansa muu varkaudelta suojattu laite sisältää myös muistin salausavaimelle ja/tai salauksen purkuavaimelle. Lisäksi edullisessa sovelluksessa salaamiseen j a salauksen purkamiseen käytetään julkisen avaimen salausta (PKI, Public Key Infrastructure).
15 Palveluntarjoaja S PS lähettää soittaj an tun- nistuspyynnön {21) turvayhdyskäytävälle GW. Kuvassa 2 tietoliikenneverkon NET operaattori omistaa turvayh-dyskäytävän GW ja turvayhdyskäytävä GW tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi 20 salausta ja salauksen purkamista. Pyyntö (21) välitetään turvayhdyskäytävälle GW turvallisen yhteyden kautta (esimerkiksi SSL-yhteyden (SSL, Secured Sockets •j· Layer) ) esimerkiksi HTTP-protokollan (HTTP, HyperText \ Transfer Protocol) , WML-kielen (WML, Wireless Markup • vt · 25 Language) tai XML-kielen (XML, Extensible Markup Lan- * · β...β guage) muodossa.
• * .**1 On tärkeää huomata, että puheluyhteys pide- • · t tään tunnistusvaiheen aikana yllä.
• · ***** Turvayhdyskäytävä GW tunnistaa palveluntarjo- 30 ajan SP sen sertifikaatin avulla, purkaa turvallisen ,.*** yhteyden ja vastaanottaa soittajan tunnistuspyynnön :***: selväkielisenä esimerkiksi XML-muodossa, WML-muodossa • tai lyhytsanoman muodossa. Soittajan tunnistuspyyntö • » *
**;,* muunnetaan tämän jälkeen mobiilin päätelaitteen DTE
• · *·;·* 35 tilaajaidentiteettimoduulin SIM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mo-;··; bile communications) symmetrisellä salausmenetelmällä.
117181 12
Salattu viestin lähetetään (22) tämän jälkeen matkaviestimelle DTE.
Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu 5 viesti näytetään soittajalle matkaviestimen DTE näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta-10 jän todennusavaimella ja allekirjoitettu viesti lähetetään (23) turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography Standards #1) muotoon ja salataan ennen lähettämistä. PKCS#l-standardia ku-15 vataan tarkemmin esimerkiksi verkko-osoitteessa http://www.rsasecurity.com/rsalabs/pkcs/.
Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (24) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta 20 DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useampaa sertifikaattihakemistoa ja sertifikaatin sulkulistaa CLR, joka sisältää tietoa mitätöidyistä ser-tifikaateista. Sertifikaattiviranomainen CA voi lisäksi’: si sisältää tietoa, ketkä käyttäjistä ovat valtuutet- ··*·· 25 tuja yhteen tai useampaan palveluun ja ketkä eivät .·**. ole. Sertifikaatti sisältää tunnistustietoa sertif i- * * ;v. kaatin omistajasta ja ennen kaikkea omistajan julkisen m » *..* avaimen. Julkisen avaimen avulla on mahdollista veri- • * • « fioida digitaalinen allekirjoitus. Turvayhdyskäytävä 30 GW verifioi digitaalisen allekirjoituksen ja tarkistaa •••2 sertifikaatin sulkulistasta CLR, että sertifikaatti on #·· voimassa. Jos verifikaatiomenettely oli menestykselli- ! .*· nen, turvayhdys käytävä GW lähettää (25) positiivisen .···. verifiointiviestin palveluntarjoajalle SP käyttämällä • · ’·* 35 turvallista yhteyttä. Palveluntarjoaja SP tämän jäl- ***** keen luo tietueen, joka sisältää soittajatietoa (26) ♦ tietokannasta DB, validointitietoa ja puhelulokitie- 117181 13 toa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu oli ollut olemassa identifikaatiomenettelyn aikana. Asiakaspalveluja SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varustettu 5 (27) edellä mainitulla tietueella ennen puhumista soittajan kanssa.
Kuva 3 esittää sovelluksen, jossa alun perin muodostettu puheluyhteys vikaantuu ja puheluyhteys muodostetaan uudelleen.
10 Kun palveluntarjoajan palvelin SPS havaitsee, että puheluyhteyttä ei enää ole olemassa, se luo haasteen. Haaste on mikä tahansa tieto, joka sisältää esimerkiksi aakkosnumeerisia merkkejä. Tämän jälkeen haaste salataan käyttämällä soittajan julkista avain-15 ta. Julkinen avain saadaan edellisestä PKCS#7- viestistä, tai jos sellaista viestiä ei ole vastaanotettu, julkisesta sertitikaattihakemistosta. Tämän jälkeen palveluntarjoajan palvelin SPS lähettää (30) salatun haasteen turvayhdyskäytävän GW kautta soitta-20 japäätelaitteelle DTE, joka on edullisesti matkaviestin (31) .
Kuvassa 3 esitetty esimerkki olettaa, että ··· soittajan identiteetti oli aikaisemmin tunnistettu ja • ·«· : validoitu ja että alkuperäinen puheluyhteys katkesi.
ι·ι « 25 Sen vuoksi, kun salattu haaste on lähetetty soittajat- * · le, palveluntarjoajan palvelin SPS asettaa validoidun .··· tunnistustiedon pidätettyyn tilaan.
* ·
Matkaviestin DTE ja/tai matkaviestimen sisäl- • m *··.* tämä tilaajaidentiteettimoduuli SIM tai vastaava pur- 30 kaa salatun haasteen salauksen ja muodostaa (32) uuden puheluyhteyden palveluntarjoajaan SP. Vaihde SPS ohjaa (33) puhelun asiakaspalvelijalle SERV ja varustaa ; asiakaspalvelijan SERV aiemmin validoidulla tunnistus- ·*·.* tiedolla ja soittajalle lähetetyllä haasteella. Jos • · *···* 35 soittaja tämän jälkeen antaa oikean haasteen asiakas- palvelijalle, soittajalle voidaan tarjota kyseessä *;··· olevaa palvelua.
117181 14
Kuva 4 esittää erään toisen sovelluksen käyttäjän tunnistusmenetelmästä. Puhelu (40) muodostetaan soittajapäätelaitteesta DTE palveluntarjoajan SP palvelunumeroon tietoliikenneverkon NET kautta. Palvelun-5 tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, postitoimistoon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaati-10 vat kiistämätöntä soittajan tunnistusta. Kuvassa 4 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palvelimen/vaihteen SPS, asiakastietokannan DB ja asiakaspalvelijän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE 15 on edullisesti matkaviestin, joka käsittää tilaa- jaidentiteettimoduulin SIM. Tilaajaidentiteettimoduu-lin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai 20 mitä tahansa muuta varkaudelta suojattua laitetta. Ti- laajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite mahdollistaa informaation sa-lauksen ja salauksen purkamisen ja lisäksi digitaali- • Ml ; sen allekirjoituksen muodostamisen.
• 4 * 1 25 Palveluntar joa j an vaihde SPS yhdistää (41) ... puhelun vapaalle asiakaspalvelijalle SERV. Tämän jäi- ]···* keen asiakaspalveli ja SERV lähettää (42) soitta j an • * · : .* tunnistuspyynnön turvayhdyskäytävälle GW. Kuvassa 4 * * tietoliikenneverkon NET operaattori omistaa turvayh-30 dyskäytävan GW ja turvayhdyskäytävä GW tarjoaa erilai- **· siä turvallisuuteen liittyviä toimintoja, esimerkiksi
MM
.***. salausta ja salauksen purkamista. Pyyntö välitetään ··· . \ turvayhdyskäytävälle GW turvallisen yhteyden kautta * * · : (esimerkiksi SSL-yhteyden (SSL, Secured Sockets 35 Layer) ) esimerkiksi HTTP-protokollan (HTTP, HyperText
Transfer Protocol), WML-kielen (WML, Wireless Markup « 117181 15
Language) tai XML-kielen (XML, Extensible Markup Language) muodossa.
On tärkeää huomata, että puheluyhteys pidetään tunnistusvaiheen aikana yllä.
5 Turvayhdyskäytävä GW tunnistaa palveluntarjo ajan SP palveluntarjoajan sertifikaatin avulla, purkaa turvallisen yhteyden ja vastaanottaa soittajan tunnis-tuspyynnön selväkielisenä esimerkiksi XML-muodossa, WML-muodossa tai lyhytsanoman muodossa. Soittajan tun-10 nistuspyyntö muunnetaan tämän jälkeen mobiilin päätelaitteen DTE tilaajaidentiteettimoduulin SIM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mobile communications) symmetrisellä salausmenetelmällä. Salattu viestin lähetetään (43) tä-15 män jälkeen matkaviestimelle DTE.
Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu viesti näytetään soittajalle matkaviestimen DTE näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää se-20 laimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta-··· jän todennusavaimella ja allekirjoitettu viesti lähe- ttf < : .'· tetään (44) turvayhdyskäytävälle GW. Allekirjoitettu 25 viesti muunnetaan edullisesti PKCS#l-standardin * · (PKCS#1, Public-Key Cryptography Standards #1) muotoon • * ,**; ja salataan ennen lähettämistä. PKCS#l-standardia ku- « i · • ·* vataan tarkemmin esimerkiksi verkko-osoitteessa • ·· « · *··.* http: //www. rsasecurity. com/rsalabs/pkcs/ .
30 Turvayhdyskäytävä GW purkaa viestin salauk- ..*·* sen ja hakee (45) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta «9« ; \m DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useampaa sertifikaattihakemistoa ja sertifikaatin sul- • 9 **;·* 35 kulistaa CLR, joka sisältää tietoa mitätöidyistä ser- i : tifikaateista. Sertifikaattiviranomainen CA voi lisäk- ·· · *;··· si sisältää tietoa, ketkä käyttäjistä ovat valtuutet- 117181 16 tuja yhteen tai useampaan palveluun ja ketkä eivät ole. Termi valtuuttaminen viittaa prosessiin, jossa annetaan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omis-5 tajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdollista verifioida digitaalinen allekirjoitus. Lisäksi turvayhdyskäytävä GW luo PKCS#7-viestin ja lähettää (46) viestin suoraan asiakaspalvelijalle SERV edullisesti käyttämällä tur-10 vallista yhteyttä. PKCS#7:ää kuvataan tarkemmin esimerkiksi verkko-osoitteessa http://www.reasecurity.com/rsalabs/pkcs/.
Asiakaspalvelija SERV verifioi (47) digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sul-15 kulistasta CLR, että sertifikaatti on voimassa. Jos verifikaatiomenettely oli menestyksellinen, soittajalle voidaan tarjota pyydettyä palvelua sen jälkeen, kun asiakastietokannasta DB on haettu (48) soittajaan liittyvää tietoa.
20 Kuten kuvassa 4 on esitetty, verifiointipro- sessi ja soittajan validiointi voivat toisessa sovelluksessa olla kokonaan toteutettu turvayhdyskäytävässä gw.
t»»· : Kuva 5 esittää sovelluksen, jossa alun perin « 25 muodostettu puheluyhteys katkeaa ja puheluyhteys muo- • * ... dostetaan uudelleen.
• ·
Kun asiakaspalvelija SERV havaitsee, että pu- • * # ·>β·" heluyhteyttä ei enää ole olemassa, hän luo haasteen.
• · *·..* Haaste on mikä tahansa tieto, joka sisältää esimerkik- 30 si aakkosnumeerisia merkkejä. Tämän jälkeen haaste sa- lataan käyttämällä soittajan julkista avainta. Julki- ;***; nen avain saadaan edellisestä PKCS#7-viestistä, tai .*. jos sellaista viestiä ei ole vastaanotettu, julkisesta ***,· sertifikaattihakemistosta. Tämän jälkeen salattu haas- • » ’*·** 35 te lähetetään (50) turvayhdys käytävän GW kautta soit- tajapäätelaitteelle DTE (51), joka on edullisesti mat-·;**♦ kaviestin.
17
Kuvassa 5 esitetty esimerkki olettaa, että soittajan identiteetti oli aikaisemmin tunnistettu ja validoitu ja että alkuperäinen puheluyhteys katkesi tämän jälkeen. Sen vuoksi, kun salattu haaste on lähe-5 tetty soittajalle, asiakaspalvelija SERV asettaa vali-doidun tunnistustiedon pidätettyyn tilaan.
Matkaviestin DTE ja/tai matkaviestimen sisältämä tilaajaidentiteettimoduuli SIM tai vastaava purkaa salatun haasteen salauksen ja muodostaa (52) uuden 10 puheluyhteyden suoraan asiakaspalvelijaan SERV. Jos soittaja tämän jälkeen antaa oikean haasteen asiakas-palvelijalle, soittajaan liittyvää tietoa haetaan (53) tietokannasta ja soittajalle voidaan tarjota kyseessä olevaa palvelua.
15 Kuva 6 esittää erään toisen sovelluksen käyt täjän tunnistusmenetelmästä. Kuvassa 6 turvayhdyskäytävä GW on palveluntarjoajan SP omaisuutta.
Puhelu (60) muodostetaan soittajapäätelait-teesta DTE palveluntarjoajan SP palvelunumeroon tieto-20 liikenneverkon NET kautta. Palveluntarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, postitoimistoon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, pu-·;* helinpankkiin tai kansaneläkelaitokseen. Se voi kui- • * * a : .·. tenkin olla mikä tahansa muu yhtiö tai instituutio, 25 joka tarjoaa palveluja, jotka vaativat kiistämätöntä • Λ
soittajan tunnistusta. Kuvassa 6 palveluntarjoaja SP
• a .VI käsittää ainakin palveluntarjoajan palvelimen/vaihteen « e i SPS, turvayhdyskäytävän GW, asiakastietokannan DB ja • · *···* asiakaspalveli jän SERV. Tietoliikenneverkko NET on 30 edullisesti matkaviestinverkko. Soittajapäätelaite DTE on edullisesti matkaviestin, joka käsittää tilaaja: jaidentiteettimoduulin SIM, langattoman identiteetti- • \m moduulin (WIM, Wireless Identity Module), UMTS- • · · tilaajaidentiteettimoduulin (USIM), turvamoduulin tai **"* 35 minkä tahansa muun varkaudelta suojatun laitteen. Ti- : : laajaidentiteettimoduuli SIM tai mikä tahansa muu var- ·:*·; kaudelta suojattu laite mahdollistaa informaation sa- 117181 18 lauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen.
Soittaja täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista soittajalle.
5 Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää soittajan tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä GE tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. 10 Pyyntö (61) välitetään matkaviestimelle DTE turvallisen yhteyden kautta (esimerkiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esimerkiksi HTTP-protokollan (HTTP, HyperText Transfer Protocol), WML-kielen (WML, Wireless Markup Language) tai XML-kielen (XML, Exten-15 sible Markup Language) muodossa tai minkä tahansa muun viestin muodossa, joka voidaan turvata tai salata. Käytetty salausmenetelmä voi olla symmetrinen tai asymmetrinen.
On tärkeää huomata, että puheluyhteys pide-20 tään tunnistusvaiheen aikana yllä.
Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu viesti näytetään soittajalle matkaviestimen DTE näy- • töllä. Tilaajaidentiteettimoduuli SIM voi sisältää se-*#* * 25 laimen, joka muuntaa viestin SIM Toolkit -komennoiksi .···. ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta- * · jän todennusavaimella ja allekirjoitettu viesti lähe- • * *"** tetään (62) takaisin turvayhdyskäytävälle GW. Allekir- 30 joitettu viesti muunnetaan edullisesti PKCS#1- standardin (PKCS#1, Public-Key Cryptography Standards « * « #1) muotoon ja salataan ennen lähettämistä.
: [·. Kuvan 6 toisessa sovelluksessa matkaviestin * * · itse luo PKCS#7-viestin ja lähettää (62) sen turvayh- * T 35 dyskäytävälle GW. Viesti voidaan lisäksi salata ennen ·„/· lähettämistä.
i 117181 19
Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (63) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useam-5 paa sertifikaattihakemistoa ja sertifikaatin sulkulistaa CLR, joka sisältää tietoa mitätöidyistä tai käyttökelvottomista sertifikaateista. Sertifikaattiviranomainen CA voi lisäksi sisältää tietoa, ketkä käyttäjistä ovat valtuutettuja yhteen tai useampaan palve-10 luun ja ketkä eivät ole. Termi valtuuttaminen viittaa prosessiin, jossa annetaan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omistajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdol-15 lista verifioida digitaalinen allekirjoitus.
Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-20 daan tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin SPS voi luoda tietueen, joka sisältää soittajatietoa (64) tietokannasta DB, validointitietoa ··· j a puheluloki tietoa. Puhelulokitieto yksinkertaisesti * * * « : ilmaisee, että puhelu oli ollut olemassa identifikaa- ·*· » 25 tiomenettelyn aikana. Asiakaspalveluja SERV käyttää • · ... edullisesti tietokonetta, ja siten hän on automaatti- • « • * ,*** sesti varustettu (65) edellä mainitulla tietueella en- t » · :β<·* nen puhumista soittajan kanssa.
• · *···* Kuva 7 esittää erään toisen sovelluksen käyt- 30 täjän tunnistusmenetelmästä. Kuvassa 7 turvayhdyskäy-„*·“ tävä GW on palveluntarjoajan SP omaisuutta. Lisäksi kuvassa 7 soittajan tunnistetaan toisen osapuolen toi- • *. mesta.
• I » • · · ***,* Puhelu (70) muodostetaan soittajapäätelait- • · ***** 35 teestä DTE palveluntarjoajan SP palvelunumeroon tieto- liikenneverkon NET kautta. Palveluntarjoaja SP viittaa *:*·· esimerkiksi pankkiin, poliisiin, postitoimistoon, ope- 117181 20 raattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, pu-helinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaativat kiistämätöntä 5 soittajan tunnistusta. Kuvassa 7 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palvelimen/vaihteen SPS, turvayhdyskäytävän GW, asiakastietokannan DB ja asiakaspalvelijän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE 10 on edullisesti tavallinen puhelin tai matkaviestin, joka käsittää tilaajaidentiteettimoduulin, langattoman identiteettimoduulin, UMTS-tilaajaidentiteettimoduu-lin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen.
15 Soittaja täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista soittajalle. Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää soittajan tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä 20 GE tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. Pyyntö (71) välitetään tämän jälkeen toiselle pääte-··· laitteelle DTE2 turvallisen yhteyden kautta {esimer- :kiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esi-25 merkiksi HTTP-protokollan (HTTP, HyperText Transfer • * β···β Protocol), WML-kielen (WML, Wireless Markup Language) ,·*· tai XML-kielen (XML, Extensible Markup Language) muo- * + » • dossa tai minkä tahansa muun viestin muodossa, joka * * voidaan turvata tai salata. Käytetty salausmenetelmä 30 voi olla symmetrinen tai asymmetrinen. Toinen pääte- m ee*j# laite DTE" on edullisesti matkaviestin, joka käsittää tilaajaidentiteettimoduulin, langattoman identiteetti- *** ; moduulin, UMTS-tilaajaidentiteettimoduulin, turvamo- duulin tai minkä tahansa muun varkaudelta suojatun Φ φ **··’ 35 laitteen. Toinen päätelaite DTE2 voi kuitenkin viitata mihin tahansa muuhun päätelaitteeseen, esimerkiksi «*··· tietokoneeseen tai PDA-laitteeseen (PDA, Personal Di- 117181 21 gital Assistant), jota voidaan käyttää soittajan identiteetin tunnistamisessa. Toisen päätelaitteen täytyy sen vuoksi käsittää välineet viestien salaamiseksi ja/tai allekirjoittamiseksi.
5 Toinen matkaviestin DTE2 ja/tai tilaajaiden- titeettimoduuli S IM purkavat viestin salauksen ja purettu viesti näytetään soittajalle toisen matkaviestimen DTE2 näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -10 komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti käyttäjän todennusavaimella ja allekirjoitettu viesti lähetetään (72) takaisin turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti 15 PKCS#l-standardin (PKCS#1, Public-Key Cryptography
Standards #1) muotoon ja salataan ennen lähettämistä.
Kuvan 7 toisessa sovelluksessa matkaviestin itse luo PKCS#7-viestin ja lähettää (72) sen turvayh-dyskäytävälle GW. Viesti voidaan lisäksi salata ennen 20 lähettämistä.
Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (73) toisen matkapuhelimen DTE2 käyttäjään
·;· liittyvän sertifikaatin sertifikaattiviranomaisen CA
««*# : sertifikaattihakemistosta DIR. Sertifikaattiviranomai- • * · ··« * 25 nen CA ylläpitää yhtä tai useampaa sertifikaattihake- • * mistoa ja sertifikaatin sulkulistaa CLR, joka sisältää • » tietoa mitätöidyistä tai käyttökelvottomista sertifi- • * · : ·* kasteista. Sertifikaattiviranomainen CA voi lisäksi *»·** sisältää tietoa, ketkä käyttäj istä ovat valtuutettuja 30 yhteen tai useampaan palveluun ja ketkä eivät ole.
Termi valtuuttaminen viittaa prosessiin, jossa anne-taan jollekin lupa tehdä tai saada jotain. Sertifi- • · · *\ kaatti sisältää tunnistustietoa sertifikaatin omista- • · » • · · *·*.* jasta ja ennen kaikkea omistajan julkisen avaimen.
* * *···* 3 5 Julkisen avaimen avulla on mahdollista verifioida di- gitaalinen allekirjoitus.
• * 117181 22
Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-5 daan tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin S PS voi luoda tietueen, joka sisältää soittajatietoa (74) tietokannasta DB, validointitietoa j a puhelulokitietoa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu oli ollut olemassa identifikaa-10 tiomenettelyn aikana. Asiakaspalvelija SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varustettu (75) edellä mainitulla tietueella ennen puhumista soittajan kanssa.
Kuten kuvassa 7 esitetään, soittaja verifioi-15 daan toisen henkilön toimesta loogisen kanavan kautta. Edullisessa sovelluksessa ensimmäinen looginen kanava on olemassa sillä aikaa, kun ensimmäisen päätelaitteen käyttäjän identiteettiä tunnistetaan toisen loogisen kanavan kautta. Sen vuoksi on mahdollista, että todel-20 linen soittaja voi käytännössä olla kuka tahansa, mutta tunnistaminen täytyy saada ennalta määrätyltä osapuolelta.
*:· Eräässä toisessa kuvan 7 sovelluksessa ensim- • mäinen looginen kanava ensimmäisen päätelaitteen ja I·· * 25 palveluntarjoajan välillä ei ole olemassa sillä aikaa, ,*·*. kun ensimmäisen päätelaitteen DTE käyttäjän identitee- • * •I” tin tunnistamismenettelyä tehdään toisen loogisen ka-
* S
navan kautta. Eräässä sovelluksessa ensimmäisen pääte-*···* laitteen DTE käyttäjä lähettää palvelupyynnön {70} 30 palveluntarjoajalle SP. Palvelupyyntö on esimerkiksi * pankkitapahtumapyyntö. Pyyntöä ei hyväksytä ennen kuin vastaanotetaan toiselta päätelaitteelta DTE2 valtuu-
j *·. tus. Valtuutuksen hankkimiseksi palveluntarjoaja SP
• · · lähettää ensimmäisen päätelaitteen DTE käyttäjän tun- τ' 35 nistuspyynnön toiselle päätelaitteelle DTE2 (71) .
• ·· Käyttäjän tunnistuspyyntö allekirjoitetaan digitaali-·:··: sesti toisella päätelaitteella DTE2 ja/tai tilaa-
1171 SI
23 jaidentiteettimoduulilla ja allekirjoitettu viesti lähetetään takaisin palveluntarjoajalle SP (72). Jos digitaalisen allekirjoituksen verifiointiprosessi (73, 74) on hyväksyttävä, ensimmäisen päätelaitteen DTE 5 käyttäjän asettama palvelupyyntö voidaan hyväksyä (75) .
Tässä sovelluksessa ensimmäinen päätelaite DTE viittaa esimerkiksi tavalliseen puhelimeen, matkaviestimeen, tietokoneeseen tai PDA-laitteeseen (PDA, 10 Personal Digital Assistant). Sen vuoksi edellä mainit tu palvelupyyntö voidaan tehdä puhelulla, sähköpostilla, lyhytsanomalla tai millä tahansa muulla viestijär-jestelmällä. Toinen päätelaite DTE2 on edullisesti matkaviestin, joka käsittää tilaajaidentiteettimoduu-15 Iin, langattoman identiteettimoduulin, UMTS- tilaa- jaidentiteettimoduulin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen. Toinen päätelaite DTE2 voi kuitenkin viitata mihin tahansa muuhun päätelaitteeseen, esimerkiksi tietokoneeseen tai PDA-20 laitteeseen, jota voidaan käyttää soittajan identitee tin tunnistamiseen. Toisen päätelaitteen DTE2 täytyy sen vuoksi käsittää välineet viestien salaamiseksi ja/tai allekirjoittamiseksi.
• ;'· Kuva 8 esittää erään sovelluksen käyttäjän *·· *
·«·.: 25 tunnistusmenetelmästä. Kuvassa 8 turvayhdyskäytävä GW
.···, on palveluntarjoajan SP omaisuutta. Lisäksi kuvassa 8 * * ,1*1 soittaja tunnistetaan toisen osapuolen toimesta.
< I
Puhelu (80) muodostetaan tai viesti lähete- • * *···' tään käyttäjäpäätelaitteesta DTE palveluntarjoajalle 30 SP tietoliikenneverkon NET kautta. Palvelupyyntö teh- * ..li* dään puhelun tai viestin kautta. Tässä sovelluksessa
ensimmäinen looginen kanava käyttäjäpäätelaitteen DTE
; ja palveluntarjoajan SP välillä ei välttämättä ole * * * olemassa sillä aikaa, kun ensimmäisen päätelaitteen ··"* 3 5 DTE käyttäjän identiteetin tunnistusmenettelyä tehdään • »a toisen looginen kanavan kautta. Palveluntarjoaja SP ·;··; viittaa esimerkiksi pankkiin, poliisiin, postitoimis- 24 1171*1 toon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaativat kiistä-5 mätöntä soittajan tunnistusta. Kuvassa 8 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palveli-men/vaihteen SPS, turvayhdyskäytävän GW, asiakastieto-kannan DB ja asiakaspalvelujän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Käyttä-10 jäpäätelaite DTE on esimerkiksi tavallinen puhelin tai vielä edullisemmin matkaviestin, joka käsittää tilaa-jaidentiteettimoduulin, langattoman identiteettimoduu-lin, UMTS- tilaajaidentiteettimoduulin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen.
15 Käyttäjä täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista käyttäjälle. Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää käyttäjän tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä 20 GW tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. Pyyntö {81) välitetään tämän jälkeen toiselle pääte-*·· laitteelle DTE2 turvallisen yhteyden kautta (esimer- j ·“· kiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esi- i*i « 25 merkiksi HTTP-protokollan (HTTP, HyperText Transfer • m #···β Protocol), WML-kielen {WML, Wireless Markup Language) * · .."I tai XML-kielen (XML, Extensible Markup Language) muo- • I * \e‘ dossa tai minkä tahansa muun viestin muodossa, joka • * *··** voidaan turvata tai salata. Toinen päätelaite DTE2 on 30 edullisesti matkaviestin, joka käsittää tilaajaidenti-./·* teettimoduulin, langattoman identiteettimoduulin, • 99 • · UMTS-tilaa jaidentiteettimoduulin, turvamoduulin tai ; minkä tahansa muun varkaudelta suojatun laitteen. Käy- « · * *11/ tetty salausmenetelmä voi olla symmetrinen tai asym- *;** 35 metrinen.
Toinen matkaviestin DTE2 ja/tai tilaajaiden-•l“i titeettimoduuli SIM purkavat viestin salauksen ja pu- 25 117181 rettu viesti näytetään käyttäjälle toisen matkaviestimen DTE2 näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytet-5 ty viesti allekirjoitetaan tämän jälkeen digitaalisesti käyttäjän todennusavaimella ja allekirjoitettu viesti lähetetään (82) takaisin turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography 10 Standards #1) muotoon ja salataan ennen lähettämistä.
Kuvan 8 eräässä toisessa sovelluksessa toinen matkaviestin DTE2 itse luo PKCS#7-viestin ja lähettää (82) sen turvayhdyskäytävälle GW. Viesti voidaan lisäksi salata ennen lähettämistä.
15 Kun viesti on allekirj oitettu ja lähetetty palveluntarjoajalle SP, toisen matkaviestimen DTE2 käyttäjä välittää haasteen ensimmäisen päätelaitteen DTE käyttäjälle (83) . Haaste välitetään ensimmäisen päätelaitteen DTE käyttäjälle esimerkiksi puhelulla, 20 lyhytsanomalla, sähköpostilla jne. Jos alkuperäistä yhteyttä (80) ei ole enää olemassa, ensimmäisen päätelaitteen DTE käyttäjä muodostaa uuden puhelun (84) tai ··· lähettää toisen viestin palveluntarjoajalle SP tieto- • t·· : .·. liikenneverkon NET kautta. Käyttäjän täytyy välittää ··♦ 4 25 palveluntarjoajalle haaste, joka on saatu toisen mat- • « β...β kaviestimen DTE2 käyttäjältä.
Turvayhdyskäytävä GW purkaa viestin salauksen • » ♦ ja hakee (85) toisen matkapuhelimen DTE2 käyttäjään • ·
*···* liittyvän sertifikaatin sertifikaattiviranomaisen CA
30 sertifikaattihakemistosta DIR. Sertifikaattiviranomai- .,*·* nen CA ylläpitää yhtä tai useampaa sertifikaattihake- mistoa ja sertifikaatin sulkulistaa CLR, joka sisältää . tietoa mitätöidyistä tai käyttökelvottomista sertifi- * # * *11/ kaateista. Sertifikaattiviranomainen CA voi lisäksi • · ’*;** 35 sisältää tietoa, ketkä käyttäjistä ovat valtuutettuja yhteen tai useampaan palveluun ja ketkä eivät ole.
·:·· Termi valtuuttaminen viittaa prosessiin, jossa anne- 117181 26 taan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omistajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdollista verifioida di-5 gitaalinen allekirjoitus.
Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-10 daan nyt tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin SPS voi luoda tietueen, joka sisältää käyttäjätietoa (86) tietokannasta DB ja validoin-titietoa. Asiakaspalvelija SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varus-15 tettu (87) edellä mainitulla tietueella ennen puhumista soittajan kanssa.
Tässä sovelluksessa ensimmäinen päätelaite viittaa esimerkiksi tavalliseen puhelimeen, matkaviestimeen, tietokoneeseen tai PDA-laitteeseen (PDA, Per-20 sonal Digital Assistant). Sen vuoksi edellä mainittu palvelupyyntö voidaan tehdä puhelulla, sähköpostilla, lyhytsanomalla tai millä tahansa muulla viestijärjes- ·;· telmällä. Toinen päätelaite DTE2 on edullisesti matka- ···· • ·*· viestin, joka käsittää tilaajaidentiteettimoduulin, **« * 25 langattoman identiteettimoduulin, UMTS-tilaaj aidenti- ,··*# teettimoduulin, turvamoduulin tai minkä tahansa muun • · .Γ* varkaudelta suojatun laitteen. Toinen päätelaite DTE2 ·..·* voi kuitenkin viitata mihin tahansa muuhun päätelait- • * *···* teeseen, esimerkiksi tietokoneeseen tai PDA-lait- 30 teeseen, jota voidaan käyttää ensimmäisen päätelait-teen käyttäjän identiteetin tunnistamiseen. Toisen ··· päätelaitteen DTE2 täytyy sen vuoksi käsittää välineet • viestien salaamiseksi ja/tai allekirjoittamiseksi.
• * · *11/ Kuva 9 esittää erään edullisen esimerkin kek- • · ·;·* 35 sinnön mukaisesta järjestelmästä. Järjestelmä käsittää ··· ίβββ5 tietoliikenneverkon NET, soitta japäätelaitteen DTE, ·:··· joka on liitetty tietoliikenneverkkoon NET ja palve- 117181 27 luntarjoajan SP, joka on liitetty tietoliikenneverkkoon NET. Soittajapäätelaite DTE on edullisesti matkaviestin ja tietoliikenneverkko NET GSM-verkko, GSM-verkko GPRS-piirteellä tai UMTS-verkko.
5 Järjestelmä edelleen käsittää palveluntarjo ajan palvelimen/vaihteen SPS ja asiakaspalvelijan SERV. Asiakaspalvelija SERV tarjoaa soittajalle palvelua. Lisäksi järjestelmä käsittää turvayhdyskäytävän GW, jota käytetään tuottamaan erilaisia turvatoiminto-10 ja järjestelmässä, esimerkiksi salausta ja salauksen purkamista. Järjestelmä käsittää myös sertifikaattiviranomainen CA, jolla on pääsy sekä sertifikaattihake-mistoon että sertifikaattien sulkulistaan CLR.
Palveluntarjoajan palvelimeen/vaihteeseen SPS 15 on järjestetty lähetysvälineet SM soittajan tunnistus-pyynnön lähettämiseksi. Palveluntarjoajan palve-lin/vaihde SPS lisäksi käsittää ensimmäiset salausvä-lineet ENl tiedon salaamiseksi, ensimmäiset salauksen purkuvälineet DE1 tiedon salauksen purkamiseksi ja 20 tunnistusvälineet ID soittajan tunnistamiseksi sen
jälkeen, kun puhelu on muodostettu ennen palvelujen tarjoamista soittajalle sertifikaattiviranomaisen CA
·:· välittämän tiedon perusteella. Edellä mainitut lähe- * · · * ϊ tysvälineet SM on lisäksi järjestetty lähettämään ♦ ** * 25 haaste soittajapäätelaitteelle DTE siinä tapauksessa, • * että puheluyhteys soittajapäätelaitteen DTE ja palve- • · .1" luntarjoajan SP välillä katkeaa. Eräässä sovelluksessa * * * edellä mainitut lähetysvälineet SM on järjestetty lä- • · '*·.* hettämään haaste myös toiselle päätelaitteelle DTE2.
30 Turvayhdyskäytävä GW käsittää lähetysvälineet * ..*·* SM soittajan tunnistuspyynnön lähettämiseksi, tunnis- tusvälineet ID soittajan tunnistamiseksi puhelunmuo- ; dostuksen jälkeen ennen palvelujen tarjoamista soitta- * · · jalle informaation perusteella, jonka tarjoaa sertifi- * * *···* 35 kaattiviranomainen CA, toiset salausvälineet EN2 tie- don salaamiseksi ja toiset salauksen purkuvälineet DE2 *;·** tiedon salauksen purkamiseksi.
117181 28
Soittajapäätelaite DTE käsittää tilaajaiden-titeettimoduulin SIM, kolmannet salausvälineet SM3 tiedon salaamiseksi ja kolmannet salauksen purkuväli-neet DE3 tiedon salauksen purkamiseksi. Tilaajaidenti-5 teettimoduulin SIM sijasta voidaan käyttää langatonta identiteettimoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Tilaajaidentiteettimoduuli SIM tai mikä tahansa muu 10 varkaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen.
Edellä mainitut välineet on toteutettu esimerkiksi ohjelmistolla ja/tai laitteistolla tavalla, 15 joka on tunnettu alan ammattimiehelle, ja siten niitä ei kuvata tarkemmin.
Kuvat 1-9 esittävät erilaisia konfiguraatioita esillä olevan keksinnön mukaisesta järjestelmästä. Kuvissa 1-9 sertifikaattiviranomainen CA toimii serti-20 fikaattipalveluntarjoajana. Huomattakoon, että mikä tahansa sovelias osapuoli voi yhtä lailla toimia ser-tifikaattipalveluntarjoajana. On myös mahdollista, ·;· vaikka sitä ei kuvissa esitetäkään, että palveluntar- : .·. joa ja hallinnoi turvayhdyskäytävää ja että palvelun- ·· t 25 tarjoaja tarjoaa itse sertif ikaattipalveluntar joaja- • 1 toiminnot. Lisäksi on mahdollista, että palveluntar- « · .Π joaja toimii myös sertifikaattipalveluntarjoajana, ja • 2 1 * * ·2 siten ei tarvita erillistä luotettavaa kolmatta osa- • · » 2 • 9 117181 29
Esillä oleva keksinnön esittää keksinnön, jossa muodostetaan looginen kanava (esimerkiksi puhe-luyhteys) soittajapäätelaitteen ja palveluntarjoajan välille. Ongelmana on se, miten luotettavasti verifi-5 oida soittajan identiteetti. Sen vuoksi esillä olevan keksinnön mukaisesti soittaja autentikoidaan toisen edullisesti turvallisen loogisen kanavan kautta palveluntarjoajan ja soittajapäätelaitteen välillä ennen palvelujen tarjoamista soittajalle muodostetun puhelu-10 yhteyden kautta. Siirtokanava itsessään on tunnettu alan ammattimiehelle ja viittaa esimerkiksi yhteydettömään pakettidatayhteyteen matkaviestinverkon kautta tai pakettiyhteyteen käyttämällä turvallista ja standardoitua GSM-verkon piirrettä, joka on esitetty esi-15 merkiksi julkaisussa ETSI TS 101 183 V8.8.0 (2001-12). Siirtokanava voi kuitenkin viitata myös piirikytkentäiseen yhteyteen.
Lisäksi esillä oleva keksintö tarjoaa turvallisen ratkaisun käyttäjän tunnistamista, autentikoin-20 tia, validointia ja valtuuttamista varten kahden loogisen kanavan kautta.
On ilmeistä alan ammattimiehelle, että tekno- ·;* logian kehittyessä esillä olevan keksinnön perusidea * · * · : ·\ voidaan toteuttaa eri tavoilla. Keksintöä ia sen so- 9 9 9 25 velluksia ei siten rajata edellä esitettyihin esimerk- • * keihin, vaan ne voivat poiketa patenttivaatimusten • 4 esittämän suojapiirin puitteissa.
* « < 9 « • 4 • 44 9 m 9 9 ··· 4 • 4* • ··· * 999 9 9 9 9 999 9 9 9 9 9 9 • 99 • 99 9 99m 9 9 • 9 999 9 999 » 9 • 9 94· 9 * 9

Claims (28)

117181
1. Menetelmä soittajan autentikoimiseksi tietoliikennejärjestelmässä, tunnettu siitä, että menetelmä käsittää 5 vaiheet: muodostetaan puhelu tietoliikenneverkon (NET) kautta soittajapäätelaitteen (DTE) ja palvelutarjoajan (SP) välille; ja lähetetään soittajapäätelaitteen (DTE) käyttäjän 10 tunnistuspyyntö palveluntarjoajalta (SP) toisen tietoliikenneyhteyden kautta, kun puhelu on muodostettuna soittajapäätelaitteen (DTE) ja palveluntarjoajan (SP) välillä, joka toinen tietoliikenneyhteys on muu kuin muodostettu puheluyhteys palveluntarjoajan (SP) ja 15 soittajapäätelaitteen välillä; vastaanotetaan käyttäjän tunnistuspyyntö, kun puhelu on muodostettuna; allekirjoitetaan pyyntö digitaalisesti; lähetetään digitaalisesti allekirjoitettu pyyntö 20 toisen tietoliikenneyhteyden kautta; autentikoidaan soittaja ja verifioidaan digitaali- . nen allekirjoitus; ja • · · ··*! tarjotaan soittajalle palveluntarjoajan (SP) tar- : joamia palveluja puheluyhteyden kautta.
2. Patenttivaatimuksen 1 mukainen menetelmä, * · tunnettu siitä, että muodostetaan toinen tieto- Γ·1: liikenneyhteys soittajapäätelaitteeseen (DTE) .
• · ·***· 3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että muodostetaan toinen tieto- . 30 liikenneyhteys toiseen päätelaitteeseen (DTE2) . * * · Hl
4. Patenttivaatimuksen 1 mukainen menetelmä, • * ' tunnettu siitä, että menetelmä edelleen käsittää • * vaiheet: s]]]: lähetetään käyttäjän tunnistuspyyntö soittajasta 35 palveluntarjoajalta (SP) toiselle päätelaitteelle « · · l.. (DTE2) toisen tietoliikenneyhteyden kautta, joka käyt- • · 2 2 täjän tunnistuspyyntö sisältää myös haasteen; 117181 vastaanotetaan haasteen sisältämä käyttäjän tun-, nistuspyyntö toisella päätelaitteella (DTE2); s allekirjoitetaan haasteen sisältämä pyyntö digitaalisesti; 5 välitetään soittajalle haaste toisella päätelait teella (DTE2); välitetään palveluntarjoajalle (SP) haaste, joka on saatu toisen päätelaitteen (DTE2) käyttäjältä; verrataan toiselta päätelaitteelta (DTE2) saatua 10 digitaalisesti allekirjoitetussa viestissä olevaa haastetta soittajalta saatuun haasteeseen; ja jos haasteet vastaavat toisiaan, autentikoidaan toisen päätelaitteen (DTE2) käyttäjä ja verifioidaan digitaalinen allekirjoitus; ja 15 tarjotaan soittajalle palveluntarjoajan (SP) tar joamia palveluja puheluyhteyden kautta.
5. Patenttivaatimuksen 1, 2, 3 tai 4 mukainen menetelmä, tunnettu siitä, että toinen tietoliikenneyhteys viittaa pakettikytkentäiseen yhteyteen.
6. Patenttivaatimuksen 1, 2, 3 tai 4 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: „11' järjestetään turvayhdyskäytävä (GW) muodostamaan rajapinta soittajapäätelaitteelle (DTE) ja/tai toisel-*:··; 25 le päätelaitteelle (DTE2) .
.*·*. 7. Patenttivaatimuksen 6 mukainen menetelmä, ··« :v. tunnettu siitä, että menetelmä edelleen käsittää • · vaiheet: • · • · *** tunnistetaan palveluntarjoaja (SP) turvayhdyskäy- 30 tävän (GW) avulla; • · · lähetetään käyttäjän tunnistuspyyntö turvayhdys-*...· käytävältä (GW) soittajapäätelaitteelle (DTE) toisen tietoliikenneyhteyden kautta; .···. vastaanotetaan tunnistuspyyntö soitta japäätelait- 35 teella (DTE); ··♦ • ♦ ♦ V * allekirjoitetaan pyyntö digitaalisesti; ··· • · 1 · 117181 lähetetään digitaalisesti allekirjoitettu pyyntö turvayhdyskäytavaile (GW) toisen tietoliikenneyhteyden kautta; noudetaan soittajaan liittyvä sertifikaatti; 5 autentikoidaan soittaja ja verifioidaan digitaali nen allekirjoitus; ja tarjotaan soittajalle palveluntarjoajan (SP) tarjoama palvelu olemassa olevan puheluyhteyden kautta.
8. Patenttivaatimuksen 7 mukainen menetelmä, 10 tunnettu siitä, että menetelmä edelleen käsittää vaiheet: tunnistetaan palveluntarjoaja (SP) turvayhdyskäy-tävän (GW) avulla; lähetetään soittajan tunnistuspyyntö palveluntar-15 joajalta (SP) turvayhdyskäytävälle (GW); lähetetään käyttäjän tunnistuspyyntö turvayhdys-käytävältä (GW) toiselle päätelaitteelle (DTE2) toisen tietoliikenneyhteyden kautta; vastaanotetaan tunnistuspyyntö toisella päätelaite 20 teella (DTE2); allekirjoitetaan pyyntö digitaalisesti; lähetetään digitaalisesti allekirjoitettu pyyntö turvayhdyskäytävälle (GW) toisen tietoliikenneyhteyden : kautta; ···** 25 noudetaan toisen päätelaitteen (DTE2) käyttäjään liittyvä sertifikaatti; ;v. autentikoidaan toisen päätelaitteen (DTE2) käyttä- * * jän identiteetti ja verifioidaan digitaalinen allekir-joitus; ja 30 tarjotaan soittajalle palveluntarjoajan (SP) tar- joama palvelu olemassa olevan puheluyhteyden kautta.
·.„* 9. Patenttivaatimuksen 1, 2, 3, 4, 7 tai 8 : mukainen menetelmä, tunnettu siitä, että menetel- 4 44 .·*·[ mä edelleen käsittää vaiheet: • 4 V 35 salataan soittajapäätelaitteelle (DTE) ja/tai toi- • * · V: selle päätelaitteelle (DTE2) lähetetty käyttäjän tun- 944 • 4 • 4 ··· 117181 nistuspyyntö käyttämällä symmetristä tai asymmetristä salausta; ja salataan soittajapäätelaitteelta (DTE) ja/tai toiselta päätelaitteelta (DTE2) lähetetty digitaalisesti 5 allekirjoitettu tunnistuspyynto käyttämällä symmetristä tai asymmetristä salausta.
10. Patenttivaatimuksen 7 tai 8 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: 10 salataan turvayhdyskäytävälle (GW) lähetetty digi taalisesti allekirjoitettu käyttäjän tunnistuspyynto käyttämällä symmetristä tai asymmetristä salausta.
11. Patenttivaatimuksen 7 tai 8 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen IS käsittää vaiheet: noudetaan turvayhdyskäytäväliä (GW) soittajapääte-laitteen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttäjään liittyvä sertifikaatti; luodaan ja lähetetään varmennusviesti palveluntar-20 joajalle (SP); ja varmennetaan soittajapäätelaitteen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttäjä varmennusviestin ja varmennus informaation perusteella.
: 12. Patenttivaatimuksen 7 tai 8 mukainen me- *·« * ·;*·* 25 netelmä, tunnettu siitä, että menetelmä edelleen .*·. käsittää vaiheet: noudetaan turvayhdyskäytävällä (GW) varmennus in- • · formaatiota, joka sisältää ainakin soittajapäätelait-*** teen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttä- 30 jään liittyvän sertifikaatin; *·:·' autentikoidaan soittajapäätelaitteen (DTE) ja/tai ·· · toisen päätelaitteen (DTE2) käyttäjän identiteetti :\J turvayhdyskäytävällä (GW) varmennusinformaation perus- « * .*·*. teella; ja 4 * 35 lähetetään positiivinen varmennusviesti palvelun- : tarjoajalle (SP) , jos varmennuksen tulos oli positii- « · * vinen. 117181
13. Patenttivaatimuksen 1 mukainen menetelmä, , tunnettu siitä, että jos puhelu katkeaa varmen-nusmenettelyn aikana, menetelmä edelleen käsittää vaiheet : 5 luodaan haaste; salataan haaste soittajan julkisen salausavaimen avulla; lähetetään salattu haaste soittajapäätelaitteelle (DTE); 10 puretaan salatun haasteen salaus soittajapääte- laitteessa (DTE); muodostetaan uusi puhelu palvelutarjoajaan (SP); välitetään palveluntarjoajalle (SP) salauksesta purettu haaste; ja jos haaste on hyväksyttävä, 15 tarjotaan soittajalle palveluntarjoajan (SP) tar joama palvelu puheluyhteyden kautta.
14. Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: 20 lähetetään salattu haaste soittajapäätelaitteelle (DTE) turvayhdyskäytävän (GW) kautta.
15. Järjestelmä soittajan autentikoimiseksi tietoliikennejärjestelmässä, joka käsittää: : tietoliikenneverkon (NET) , ··· * ·***· 25 soittajapäätelaitteen (DTE) , joka on liitetty tie- .··*. toliikenneverkkoon (NET) puheluyhteydellä, :V. palveluntarjoajan (SP), joka on liitetty tietolii- • * kenneverkkoon (NET) , * ! sertifikaattipalveluntarjoajan (CA), 30 tunnettu siitä, että järjestelmä edel- leen käsittää: * · * lähetysvälineet (SM) käyttäjän tunnistuspyynnön lähettämiseksi soittajapäätelaitteelle (DTE) tai toi- .·*** selle päätelaitteelle (DTE2) toisen tietoliikenneyh- * * *1* 35 teyden kautta, joka toinen tietoliikenneyhteys on muu • ft* V ! kuin muodostettu puheluyhteys palveluntarjoajan (SP) • ** ja soittajapäätelaitteen (DTE) välillä; ja 117181 kolmannet salauksenpurkuvälineet (DE3) salatun tiedon salauksen purkamiseksi soittajapäätelaitteessa (DTE) tai toisessa päätelaitteessa (DTE2); kolmannet salausvälineet (EN3) tiedon salaamiseksi 5 ja digitaalisen allekirjoituksen muodostamiseksi soittajapäätelaitteessa (DTE) tai toisessa päätelaitteessa (DTE2); ja tunnistusvälineet (ID) soittajapäätelaitteen (DTE) käyttäjän identiteetin tunnistamiseksi puhelun muodos-10 tamisen jälkeen toisen tietoliikenneyhteyden kautta, joka toisen tietoliikenneyhteyden on muu kuin muodostettu puhelu palveluntarjoajan (SP) ja soittajapääte-laitteen (DTE) välillä ennen palvelujen tarjoamista soittajalle sertifikaattipalveluntarjoajän (CA) välit-15 tämän tiedon perusteella.
16. Patenttivaatimuksen 15 mukainen järjestelmä, tunnettu siitä, että järjestelmä edelleen käsittää: palveluntarjoajaan (SP) ja sertifikaattipalvelun-20 tarjoajaan (CA) liitetyn turvayhdyskäytävän (GW).
17. Patentt ivaatimuksen 16 mukainen j ärj es-telmä, tunnettu siitä, että turvayhdyskäytävää (GW) hallinnoi palveluntarjoaja (SP) .
: 18. Patenttivaatimuksen 16 mukainen järjes- ·:**; 25 telmä, tunnettu siitä, että turvayhdyskäytävää (GW) hallinnoi kolmas osapuoli. ··· :v.
19. Patenttivaatimuksen 15 mukainen järjes- telmä, t u n n e t t u siitä, että mainitut lähetysväli-neet (SM) on järjestetty palveluntarjoajaan (SP).
20. Patenttivaatimuksen 15 tai 16 mukainen * · « järjestelmä, tunnettu siitä, että mainitut lähe-tysvälineet (SM) on järjestetty palveluntarjoajaan (SP) ja turvayhdy s käytävään (GW) .
* * .··*, 21. Patenttivaatimuksen 15 tai 16 mukainen • * 35 järjestelmä, tunnettu siitä, että mainitut lähe- ·." · tysvälineet (SM) on järjestetty palveluntarjoajaan (SP) ja/tai turvayhdyskäytävään (GW) . 1171 m
22. Patenttivaatimuksen 15 mukainen järjestelmä, tunnettu siitä, että palveluntarjoaja (SP) käsittää: ensimmäiset salausvälineet (ENl) tiedon salaami-5 seksi; ja ensimmäiset salauksenpurkuvälineet (DE1) salatun tiedon salauksen purkamiseksi.
23. Patenttivaatimuksen 16 mukainen järjestelmä, tunnettu siitä, että turvayhdyskäytävä 10 (GW) käsittää: toiset salausvälineet (EN2) tiedon salaamiseksi; ja toiset salauksenpurkuvälineet (DE2) salatun tiedon salauksen purkamiseksi.
24. Patenttivaatimuksen 19 tai 20 mukainen järjestelmä, tunnettu siitä, että mainitut lähe-tysvälineet (SM) on järjestetty lähettämään haaste soittajapäätelaitteelle (DTE) silloin, jos soittaja-päätelaitteen (DTE) ja palveluntarjoajan (SP) välille 20 muodostettu puhelu katkeaa.
25. Patenttivaatimuksen 19 tai 20 mukainen järjestelmä, tunnettu siitä, että mainitut lähe- tysvälineet (SM) on järjestetty lähettämään haaste : toiselle päätelaitteelle (DTE2) . ··* · ·;·*· 25
26. Jonkin patenttivaatimuksista 15 - 25 mu- .·**. kainen järjestelmä, tunnettu siitä, että tieto- :v. liikenneverkko (NET) on GSM-verkko. * «
27. Jonkin patenttivaatimuksista 15 - 25 mu- * · kainen järjestelmä, tunnettu siitä, että tieto-30 liikenneverkko (NET) on GSM-verkko, jossa on GPRS- • * * ’·!.* ominaisuus.
28. Jonkin patenttivaatimuksista 15 - 25 mu-kainen järjestelmä, tunnettu siitä, että tieto-liikenneverkko (NET) on UMTS-, CDMA-, WCDMA-, EDGE-, • ' * *·* 35 Bluetooth- tai WLAN-verkko. # · * «ti . 4 • · · • · 117181
FI20030154A 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi FI117181B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi
US10/544,119 US20060262929A1 (en) 2003-01-31 2004-01-29 Method and system for identifying the identity of a user
PCT/FI2004/000043 WO2004068782A1 (en) 2003-01-31 2004-01-29 Method and system for identifying the identity of a user

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20030154 2003-01-31
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi

Publications (3)

Publication Number Publication Date
FI20030154A0 FI20030154A0 (fi) 2003-01-31
FI20030154A FI20030154A (fi) 2004-08-01
FI117181B true FI117181B (fi) 2006-07-14

Family

ID=8565507

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi

Country Status (3)

Country Link
US (1) US20060262929A1 (fi)
FI (1) FI117181B (fi)
WO (1) WO2004068782A1 (fi)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070198432A1 (en) 2001-01-19 2007-08-23 Pitroda Satyan G Transactional services
US9400589B1 (en) 2002-05-30 2016-07-26 Consumerinfo.Com, Inc. Circular rotational interface for display of consumer credit information
US9710852B1 (en) 2002-05-30 2017-07-18 Consumerinfo.Com, Inc. Credit report timeline user interface
US7792715B1 (en) 2002-09-21 2010-09-07 Mighty Net, Incorporated Method of on-line credit information monitoring and control
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
JP4433171B2 (ja) * 2004-05-14 2010-03-17 日本電気株式会社 電話番号変更通知方法および電話番号変更通知システム
US8732004B1 (en) 2004-09-22 2014-05-20 Experian Information Solutions, Inc. Automated analysis of data to generate prospect notifications based on trigger events
JP4654006B2 (ja) 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US8175889B1 (en) 2005-04-06 2012-05-08 Experian Information Solutions, Inc. Systems and methods for tracking changes of address based on service disconnect/connect data
US20110288976A1 (en) * 2005-06-28 2011-11-24 Mark Ellery Ogram Total computer security
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
US20130332343A1 (en) 2005-10-06 2013-12-12 C-Sam, Inc. Multi-tiered, secure mobile transactions ecosystem enabling platform comprising a personalization tier, a service tier, and an enabling tier
TWI307235B (en) * 2005-12-30 2009-03-01 Ind Tech Res Inst Method for applying certificate
US8036979B1 (en) 2006-10-05 2011-10-11 Experian Information Solutions, Inc. System and method for generating a finance attribute from tradeline data
US7657569B1 (en) 2006-11-28 2010-02-02 Lower My Bills, Inc. System and method of removing duplicate leads
US7778885B1 (en) 2006-12-04 2010-08-17 Lower My Bills, Inc. System and method of enhancing leads
US8606666B1 (en) 2007-01-31 2013-12-10 Experian Information Solutions, Inc. System and method for providing an aggregation tool
US8606626B1 (en) 2007-01-31 2013-12-10 Experian Information Solutions, Inc. Systems and methods for providing a direct marketing campaign planning environment
WO2008147918A2 (en) 2007-05-25 2008-12-04 Experian Information Solutions, Inc. System and method for automated detection of never-pay data sets
US9990674B1 (en) 2007-12-14 2018-06-05 Consumerinfo.Com, Inc. Card registry systems and methods
US8127986B1 (en) 2007-12-14 2012-03-06 Consumerinfo.Com, Inc. Card registry systems and methods
US8060748B2 (en) * 2007-12-21 2011-11-15 Telefonaktiebolaget Lm Ericsson (Publ) Secure end-of-life handling of electronic devices
WO2009138969A1 (en) * 2008-05-16 2009-11-19 Nxp B.V. Video telephony
US10373198B1 (en) 2008-06-13 2019-08-06 Lmb Mortgage Services, Inc. System and method of generating existing customer leads
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US7991689B1 (en) 2008-07-23 2011-08-02 Experian Information Solutions, Inc. Systems and methods for detecting bust out fraud using credit data
US9256904B1 (en) 2008-08-14 2016-02-09 Experian Information Solutions, Inc. Multi-bureau credit file freeze and unfreeze
CN101662765B (zh) * 2008-08-29 2013-08-07 深圳富泰宏精密工业有限公司 手机短信保密系统及方法
US9112910B2 (en) * 2008-10-14 2015-08-18 International Business Machines Corporation Method and system for authentication
US8060424B2 (en) 2008-11-05 2011-11-15 Consumerinfo.Com, Inc. On-line method and system for monitoring and reporting unused available credit
US8467512B2 (en) * 2009-07-30 2013-06-18 International Business Machines Corporation Method and system for authenticating telephone callers and avoiding unwanted calls
US9652802B1 (en) 2010-03-24 2017-05-16 Consumerinfo.Com, Inc. Indirect monitoring and reporting of a user's credit data
US10453093B1 (en) 2010-04-30 2019-10-22 Lmb Mortgage Services, Inc. System and method of optimizing matching of leads
US8931058B2 (en) 2010-07-01 2015-01-06 Experian Information Solutions, Inc. Systems and methods for permission arbitrated transaction services
US8744956B1 (en) 2010-07-01 2014-06-03 Experian Information Solutions, Inc. Systems and methods for permission arbitrated transaction services
US8782217B1 (en) 2010-11-10 2014-07-15 Safetyweb, Inc. Online identity management
US8484186B1 (en) 2010-11-12 2013-07-09 Consumerinfo.Com, Inc. Personalized people finder
US9147042B1 (en) 2010-11-22 2015-09-29 Experian Information Solutions, Inc. Systems and methods for data verification
WO2012112781A1 (en) 2011-02-18 2012-08-23 Csidentity Corporation System and methods for identifying compromised personally identifiable information on the internet
US9607336B1 (en) 2011-06-16 2017-03-28 Consumerinfo.Com, Inc. Providing credit inquiry alerts
US9483606B1 (en) 2011-07-08 2016-11-01 Consumerinfo.Com, Inc. Lifescore
US9106691B1 (en) 2011-09-16 2015-08-11 Consumerinfo.Com, Inc. Systems and methods of identity protection and management
CA2852059C (en) 2011-10-12 2021-03-16 C-Sam, Inc. A multi-tiered secure mobile transactions enabling platform
US8738516B1 (en) 2011-10-13 2014-05-27 Consumerinfo.Com, Inc. Debt services candidate locator
US11030562B1 (en) 2011-10-31 2021-06-08 Consumerinfo.Com, Inc. Pre-data breach monitoring
US9413867B2 (en) 2012-01-06 2016-08-09 Blackberry Limited Communications system providing caller identification features based upon near field communication and related methods
US20130294611A1 (en) * 2012-05-04 2013-11-07 Sony Computer Entertainment Inc. Source separation by independent component analysis in conjuction with optimization of acoustic echo cancellation
US9853959B1 (en) 2012-05-07 2017-12-26 Consumerinfo.Com, Inc. Storage and maintenance of personal data
US8812837B2 (en) * 2012-06-01 2014-08-19 At&T Intellectual Property I, Lp Apparatus and methods for activation of communication devices
US9654541B1 (en) 2012-11-12 2017-05-16 Consumerinfo.Com, Inc. Aggregating user web browsing data
US8856894B1 (en) 2012-11-28 2014-10-07 Consumerinfo.Com, Inc. Always on authentication
US9916621B1 (en) 2012-11-30 2018-03-13 Consumerinfo.Com, Inc. Presentation of credit score factors
US10255598B1 (en) 2012-12-06 2019-04-09 Consumerinfo.Com, Inc. Credit card account data extraction
US20140165170A1 (en) * 2012-12-10 2014-06-12 Rawllin International Inc. Client side mobile authentication
US8972400B1 (en) 2013-03-11 2015-03-03 Consumerinfo.Com, Inc. Profile data management
US10102570B1 (en) 2013-03-14 2018-10-16 Consumerinfo.Com, Inc. Account vulnerability alerts
US9870589B1 (en) 2013-03-14 2018-01-16 Consumerinfo.Com, Inc. Credit utilization tracking and reporting
US8812387B1 (en) 2013-03-14 2014-08-19 Csidentity Corporation System and method for identifying related credit inquiries
US9406085B1 (en) 2013-03-14 2016-08-02 Consumerinfo.Com, Inc. System and methods for credit dispute processing, resolution, and reporting
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US10685398B1 (en) 2013-04-23 2020-06-16 Consumerinfo.Com, Inc. Presenting credit score information
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US9477737B1 (en) 2013-11-20 2016-10-25 Consumerinfo.Com, Inc. Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules
US10262362B1 (en) 2014-02-14 2019-04-16 Experian Information Solutions, Inc. Automatic generation of code for attributes
US9288062B2 (en) 2014-02-20 2016-03-15 International Business Machines Corporation Telephone caller authentication
USD760256S1 (en) 2014-03-25 2016-06-28 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759689S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759690S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
US9892457B1 (en) 2014-04-16 2018-02-13 Consumerinfo.Com, Inc. Providing credit data in search results
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
US10637819B2 (en) * 2014-06-26 2020-04-28 Orange Context based multi-model communication in customer service
US10339527B1 (en) 2014-10-31 2019-07-02 Experian Information Solutions, Inc. System and architecture for electronic fraud detection
US10445152B1 (en) 2014-12-19 2019-10-15 Experian Information Solutions, Inc. Systems and methods for dynamic report generation based on automatic modeling of complex data structures
US11151468B1 (en) 2015-07-02 2021-10-19 Experian Information Solutions, Inc. Behavior analysis using distributed representations of event data
US10447668B1 (en) 2016-11-14 2019-10-15 Amazon Technologies, Inc. Virtual cryptographic module with load balancer and cryptographic module fleet
US10461943B1 (en) * 2016-11-14 2019-10-29 Amazon Technologies, Inc. Transparently scalable virtual hardware security module
US10063699B1 (en) * 2017-04-18 2018-08-28 EMC IP Holding Company LLC Method, apparatus and computer program product for verifying caller identification in voice communications
US10699028B1 (en) 2017-09-28 2020-06-30 Csidentity Corporation Identity security architecture systems and methods
US10896472B1 (en) 2017-11-14 2021-01-19 Csidentity Corporation Security and identity verification system and architecture
WO2019095328A1 (zh) * 2017-11-17 2019-05-23 上海诺基亚贝尔股份有限公司 用于数据复制的方法、设备以及计算机可读介质
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
US11265324B2 (en) 2018-09-05 2022-03-01 Consumerinfo.Com, Inc. User permissions for access to secure data at third-party
US11315179B1 (en) 2018-11-16 2022-04-26 Consumerinfo.Com, Inc. Methods and apparatuses for customized card recommendations
US11238656B1 (en) 2019-02-22 2022-02-01 Consumerinfo.Com, Inc. System and method for an augmented reality experience via an artificial intelligence bot
US11941065B1 (en) 2019-09-13 2024-03-26 Experian Information Solutions, Inc. Single identifier platform for storing entity data

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU1756992A (en) * 1991-03-26 1992-11-02 Litle & Co Confirming identity of telephone caller
FI117366B (fi) * 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6381696B1 (en) * 1998-09-22 2002-04-30 Proofspace, Inc. Method and system for transient key digital time stamps
AU5488301A (en) * 2000-04-19 2001-08-14 Magicaxess Electronic payment method and device
US20020012329A1 (en) * 2000-06-02 2002-01-31 Timothy Atkinson Communications apparatus interface and method for discovery of remote devices
JP2002082910A (ja) * 2000-09-08 2002-03-22 Pioneer Electronic Corp ユーザ認証システム及びユーザ認証方法
US7000115B2 (en) * 2001-06-19 2006-02-14 International Business Machines Corporation Method and apparatus for uniquely and authoritatively identifying tangible objects
US6987986B2 (en) * 2001-06-21 2006-01-17 Boesen Peter V Cellular telephone, personal digital assistant with dual lines for simultaneous uses

Also Published As

Publication number Publication date
FI20030154A (fi) 2004-08-01
FI20030154A0 (fi) 2003-01-31
US20060262929A1 (en) 2006-11-23
WO2004068782A1 (en) 2004-08-12

Similar Documents

Publication Publication Date Title
FI117181B (fi) Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi
US10284555B2 (en) User equipment credential system
EP1025675B1 (en) Security of data connections
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
US7020778B1 (en) Method for issuing an electronic identity
US7707412B2 (en) Linked authentication protocols
US7793102B2 (en) Method for authentication between a portable telecommunication object and a public access terminal
US20060059344A1 (en) Service authentication
US20040236965A1 (en) System for cryptographical authentication
US7844834B2 (en) Method and system for protecting data, related communication network and computer program product
CN1842993B (zh) 提供证书
US20080137859A1 (en) Public key passing
US8458468B2 (en) Method and system for protecting information exchanged during communication between users
EP1680940B1 (en) Method of user authentication
US8085937B1 (en) System and method for securing calls between endpoints
CN112565294A (zh) 一种基于区块链电子签名的身份认证方法
Hwang et al. On the security of an enhanced UMTS authentication and key agreement protocol
Narendiran et al. Performance evaluation on end-to-end security architecture for mobile banking system
Chikomo et al. Security of mobile banking
US20170331793A1 (en) Method and a system for managing user identities for use during communication between two web browsers
Pashalidis et al. Using GSM/UMTS for single sign-on
Lunde et al. Using SIM for strong end-to-end Application Authentication
RU2282311C2 (ru) Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам
Jønvik et al. Strong authentication using dual SIM
CN118590250A (zh) 一种通信方法、终端、设备及介质

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 117181

Country of ref document: FI

MM Patent lapsed