FI117181B - Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi - Google Patents

Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi Download PDF

Info

Publication number
FI117181B
FI117181B FI20030154A FI20030154A FI117181B FI 117181 B FI117181 B FI 117181B FI 20030154 A FI20030154 A FI 20030154A FI 20030154 A FI20030154 A FI 20030154A FI 117181 B FI117181 B FI 117181B
Authority
FI
Finland
Prior art keywords
terminal
service provider
caller
sp
dte
Prior art date
Application number
FI20030154A
Other languages
English (en)
Swedish (sv)
Other versions
FI20030154A (fi
FI20030154A0 (fi
Inventor
Harri Vatanen
Pekka Jelekaeinen
Original Assignee
Qitec Technology Group Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qitec Technology Group Oy filed Critical Qitec Technology Group Oy
Priority to FI20030154A priority Critical patent/FI117181B/fi
Priority to FI20030154 priority
Publication of FI20030154A0 publication Critical patent/FI20030154A0/fi
Publication of FI20030154A publication Critical patent/FI20030154A/fi
Application granted granted Critical
Publication of FI117181B publication Critical patent/FI117181B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0823Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or paths for security, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0853Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using an additional device, e.g. smartcard, SIM or a different communication terminal

Description

117181

MENETELMÄ JA JÄRJESTELMÄ KÄYTTÄJÄN IDENTITEETIN TUNNISTAMISEKSI

KEKSINNÖN ALA

Esillä oleva keksintö liittyy tietoliikenne-5 järjestelmiin. Erityisesti esillä oleva keksintö liittyy uuteen ja edistykselliseen menetelmään ja järjestelmään käyttäjän tunnistamiseksi tietoliikennejärjestelmässä .

10 KEKSINNÖN TAUSTA

Käyttäjän tunnistus on olennaisen menettely internet-ympäristön erilaisissa tehtävissä. Käyttäjän tunnistusta tarvitaan erilaisissa ympäristöissä, esimerkiksi sähköpostin sisäänkirjautumisessa, on-line -15 kaupankäynnissä, on-line -pankkiasioissa jne. On-line -tunnistusmenetelmissä on aina perustavaa laatua oleva ongelma, joka täytyy ratkaista, nimittäin, kuinka varmistua siitä, että henkilö joka tunnistautuu todella on se, joka hän väittää olevansa.

20 Useita ratkaisuja on käytetty ratkaisemaan edellä mainittua ongelmaa tunnistustarkoitusta varten. Perusratkaisu on käyttää käyttäjätunnusta ja salasa-naa. Käyttäjätunnus/salasana -yhdistelmä on usein * * · "* ; riittävä tunnistustarkoituksia varten, mutta ei aina.

25 Nykyään useat palvelut vaativat käyttäjätunnistuksen, • * *·*·* j a tämän vuoksi henkilöllä voi olla kymmeniä erilaisia ** * : ’.· käyttäjätunnus/salasana -pareja tallennettuna jonne- ** * kin, esimerkiksi tietokoneelle tai paperiarkille lipastoon. Sen vuoksi nämä käyttäjätunnus/salasana -pa- ··· 30 rit voivat joskus päätyä ihmisille, joilla ei ole oi- ··** .···. keutta käyttää niitä, esimerkiksi tietokone voi olla e ·] haavoittuva hakkeroinnille tai lipasto on liian ilmei- • · · :·· * nen paikka piilottaa käyttäjätunnus/salasana -parit.

·...· On olemassa myös muita tunnistusratkaisuja, 35 joita käytetään on-line tunnistusratkaisuissa. Käyttä- • 4 · jä voi käyttää yhtä tai useampaa staattista tietoa • « 2 il n m (esimerkiksi käyttäjätunnusta ja/tai salasanaa), mutta myös vaihtuvaa tietoa (esimerkiksi vaihtuva PIN-koodi) tarvitaan. Tällaista ratkaisua käytetään ainakin useissa on-line -pankkiratkaisuissa. Näissä ratkai-5 suissa kukin istunto ja/tai transaktio vaatii ennalta määrätyn muuttuvan käytettävän tunnisteen.

Tämänhetkinen keskustelu tunnistusratkaisuista keskittyy pääasiallisesti Internet-pohjaisiin ratkaisuihin. Tämä on tietenkin tärkeää, koska tietover-10 kot, esimerkiksi Internet-verkko, ovat aina haavoittuvia vihamielisille hyökkäyksille tai hakkereille.

On kuitenkin olemassa joukko on-line tunnistusratkaisuja, joita käytetään puhelinverkoissa. On olemassa useita puhelinpalveluja, joiden kautta voi-15 daan hankkia tai vaihtaa luottamuksellista tietoa, esimerkiksi puhelinpankkipalvelut, erilaiset terveyteen liittyvät palvelut, puhelinoperaattoripalvelut jne. Tällaisissa palveluissa käytetään usein jonkin’ laista tunnistusmenetelmää. Soittava henkilö voidaan 20 tunnistaa esimerkiksi A-numeron (soittavan linjan tunnistus) , asiakkaan tunnistusnumeron, PIN-koodin, käyttäjätunnuksen ja/tai salasanan perusteella jne. Nämä ·:· ratkaisut ovat hyvin samanlaisia niiden ratkaisujen 19*· ; kanssa, joita käytetään Internet-pohjaisissa ratkai- # ♦ » ♦*· * _ _ 25 suissa.

• ... Kaikilla edellä mainituilla ratkaisuilla on * * *···* kuitenkin eräitä ongelmakohtia. Seuraavassa käydään • · · • ·' läpi lyhyesti joitain näistä ongelmakohdista: * * * ·...· Ä-numero (soittavan linjan tunnistus) : A- 30 numero tunnistaa ainoastaan päätelaitteen tai liitty- ·;· män, josta puhelu muodostetaan. A-numero ei välttämät- ···· ;***j tä tunnista soittajaa. On aina mahdollista, että joku • t» ,·, vilpillisesti esiintyy jonakin toisena.

* * * ·*!φ· PIN-koodi: PIN-koodia voidaan käyttää yksi- • « *···" 35 nään tai yhdessä esimerkiksi A-numeron kanssa tunnis- « tuksessa. Voi olla vaikeaa, kuten edellä mainittiin, • 91 muistaa PIN-koodeja, jotka liittyvät kuhunkin palve- 117181 3 luun. Jälleen on mahdollista, että joku vilpillisesti esiintyy jonakin toisena.

Vaihtuva PIN-koodi yhdessä asiakkaan tunnistusnumeron kanssa: Tätä ratkaisua käsiteltiin yllä ly-5 hyesti. Järjestelmät, jotka perustuvat vaihtuvan PIN-koodin käyttämiseen asiakkaan tunnistusnumeron kanssa, ovat itsessään luotettavia, mutta kalliita pystyttää, käyttää ja ylläpitää. Tällaisia ratkaisuja käyttävät ainakin puhelinpankit tai palveluntarjoajat, jotka 10 käyttävät nykyaikaista kanta-asiäkäsjärjestelmää.

Osassa julkisen tahon tai muiden palveluntarjoajien (yksityisten tai kaupallisten) tarjoamia palveluita on tarve toteuttaa merkittävä osa olemassa olevista palveluista puhelinyhteyksien kautta. Tällai-15 set palvelut vaativat kuitenkin asiakkaan tai henkilön luotettavaa tunnistamista ennen palvelun tarjoamista. Lisäksi osa julkisen tahon tai muiden palveluntarjoajien (yksityisten tai kaupallisten) tarjoamista palveluista, jotka välitetään puhelinyhteyksien kautta, 20 vaativat asiakkaalta tai henkilöltä digitaalisen allekirjoituksen.

Tämän vuoksi on olemassa nimenomaisesti il-meinen tarve luotettavalle on-line -puhelintunnistus-ratkaisulle, jonka avulla soittava henkilö voidaan ·;*·· 25 tunnistaa ennen palvelun tarjoamista puhelinyhteyden kautta. Ratkaisu pitäisi olla turvallinen ja ennen • · · ;v. kaikkea helppo käyttää ja ottaa käyttöön ja yleisesti * * \.I saatavilla tarvittaessa.

• * « · ·»·

30 KEKSINNÖN YHTEENVETO

♦ « · « • · ♦

Esillä oleva keksintö esittää menetelmän ja

9 9 J

9 9 *’* järjestelmän ensimmäinen päätelaitteen käyttäjän iden- • · ·.“· ti teet in tunnistamiseksi tietoliikennejärjestelmässä.

:***: Järjestelmä käsittää ainakin tietoliikenneverkon, y*.' 35 soittajapäätelaitteen, joka on liitetty tietoliikenne- 9 9 9 verkkoon, palveluntarjoajan, joka on liitetty tieto- • 9 *···* liikenneverkkoon ja sertif ikaattipalveluntarjoajan.

117181 4

Lisäksi soittajapäätelaite viittaa edullisesti matkaviestimeen.

Menet e1mäs sä muodost et aan puhe1u tietoliikenneverkon kautta soittajapäätelaitteesta 5 palvelutarjoajaan. Palveluntarjoaja viittaa esimerkiksi pankkiin, poliisiin, postiin, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin, kansaneläkelaitokseen jne. Palveluntarjoaja lähettää soittajapäätelaitteen käyttäjän tunnistuspyynnön toi-10 sen tietoliikenneyhteyden kautta, kun puhelu on muodostettuna soittajapäätelaitteen ja palveluntarjoajan välillä, joka toinen tietoliikenneyhteys on muu kuin muodostettu puheluyhteys palveluntarjoajan ja soittajapäätelaitteen välillä. Käyttäjän tunnistuspyyntö 15 vastaanotetaan, kun puhelu on muodostettuna. Pyyntö allekirjoitetaan digitaalisesti ja digitaalisesti allekirjoitettu pyyntö lähetetään toisen tietoliikenneyhteyden kautta. Tämän jälkeen soittaja autentikoi-daan ja digitaalinen allekirjoitus verifioidaan. Jos 20 autentikointi ja verifiointi onnistuivat, soittajalle tarjotaan palveluntarjoajan tarjoamia palveluja puhe-luyhteyden kautta. Käyttäjän tunnistamiseen voidaan käyttää erillistä osapuolta toisen lml\ tietoliikenneyhteyden kautta, joka osapuoli on muu ·:··· 25 kuin soittajapäätelaitteen käyttäjä.

.·*·. Eräässä sovelluksessa tietoliikenneverkko on « * matkaviestinverkko. Eräässä sovelluksessa toinen « * tietolii kenneyht eys viittaa st andardoi tuun GSM-verkon *** tiedonlähetyspiirteeseen, jota voidaan käyttää saman- 30 aikaisesti piirikytkentäisen puheyhteyden aikana. Toi- * * * *·:·* sissa sovelluksissa yhteydet voivat viitata esimerkik- **♦ si GPRS-verkon, UMTS-verkon, WCDMA-verkon, CDMA-·’. : verkon, EDGE-verkon, Bluetooth:in, WLAN-verkon siirto- » M 9 S 9 • * ,*··. kanavaan tai mihin tahansa olemassa olevaan tai tule- • * *·’ 35 vaan tiedonsiirtoverkkoon.

·.· : Esillä olevan keksinnön eräässä sovelluksessa * » * käyttäjän tunnistuspyyntö lähetetään 117181 5 soittajapäätelaitteelle ja vielä edullisemmin käyttämällä turvayhdyskäytävää, joka muodostaa rajapinnan soittajapäätelaitteelle. Pyyntö on edullisesti salattu. Soittajapäätelaite vastaanottaa pyynnön ja purkaa 5 pyynnön salauksen, jos salausta on käytetty. Jotta soittajapäätelaitteen käyttäjän identiteetistä annetaan riittävä osoitus, pyyntö on digitaalisesti allekirjoitettu soittajapäätelaitteella. Eräässä toisessa sovelluksessa käyttäjän tunnistuspyyntö lähetetään 10 toiselle päätelaitteelle.

Digitaalisen allekirjoituksen luomiseksi soittajapäätelaite ja/tai toinen päätelaite sisältää salausavaimen, ja lisäksi digitaalisen allekirjoituksen luomiseksi päätelaitteen käyttäjällä täytyy olla 15 oikea salasana tai PIN-koodi allekirjoituksen luomisen aktivoimiseksi. Allekirjoitettu tunnistuspyyntö lähetetään tämän jälkeen joko suoraan palvelutarjoajalle tai vielä edullisemmin turvayhdyskäytävälle. Allekirjoitettu pyyntö voidaan myös salata 20 soittajapäätelaitteella ja/tai toisella päätelaitteel la.

Tämän jälkeen digitaalinen allekirjoitus ve- ·.!:* rif ioidaan digitaalisen allekirjoituksen luomisessa * * : käytettyä todennusavainta vastaavan sertifikaatin pe- *5": 25 rusteella, joka sertifikaatti on saatu sertifikaatti- palveluntarjoajalta tai toiselta palveluntarjoajalta. Edullisesti palveluntarjoaja tekee verifioinnin, ja * · .**·. vielä edullisemmin turvayhdyskäytävä. Jos käyttäjä au- tentikoidaan asianmukaisesti, ja verifioinnin tulos on 30 positiivinen, palveluntarjoaja voi tarjota » * « I'! soittaj apäätelaitteen käyttäjälle palveluja olemassa *·;·* olevan puheluyhteyden kautta.

» * ί/.: Jostain syystä muodostettu puheluyhteys voi :***: katketa sillä aikaa, kun tunnistus- ja validiointipro- *** 35 sessi on vielä kesken. Sen vuoksi täytyy tarjota me- *[.* nettely validoidun yhteyden uudelleenmuodostamiseksi.

• · *···' Jos puheluyhteys katkeaa verifiointimenettelyn aikana, 117181 6 palveluntarjoaja luo haasteen, esimerkiksi salasanan, ja salaa sen käyttämällä soittajapäätelaitteen käyttäjän julkista salausavainta. Salattu haaste lähetetään tämän jälkeen soittajapäätelaitteelle joko suoraan tai 5 vielä edullisemmin käyttämällä turvayhdyskäytävää. Soittajapäätelaite purkaa salatun haasteen salauksen, muodostaa uuden puheluyhteyden palveluntarjoajaan ja välittää palveluntarjoajalle salauksesta puretun haasteen. Jos haaste on hyväksyttävä, palveluntarjoaja 10 tarjoaa soittajapäätelaitteen käyttäjälle palvelua uu-delleenmuodostetun puheluyhteyden kautta.

Esillä oleva keksintö mahdollistaa luotettavan henkilön tai asiakkaan tunnistamisen puheluyhteyden yli. Esillä oleva keksintö tarjoaa rat-15 kaisun, jossa useat palvelut voivat käyttää samaa turvaratkaisua autentikointia, valtuutusta, hallinnointia ja pääsynhänintaa varten. Lisäksi ratkaisu on kustannustehokas, turvallinen ja helppo toteuttaa olemassa oleviin järjestelmiin.

20

LYHYT KUVALUETTELO

Oheiset piirustukset, jotka on sisällytetty •.ΙΓ antamaan lisäymmärrystä keksinnöstä ja muodostamaan ί osan selityksestä, esittävät keksinnön sovelluksia, ja ««* * 25 yhdessä selityksen kanssa auttava selittämään keksin- ... non perusajatuksia. Piirustuksissa: ’...· kuva 1 on vuokaavio, joka esittää käyttäjän : **: tunnistusmenetelmää esillä olevan keksinnön mukaises- • · ti, 30 kuva 2 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises- * • · * 4_ *

• · · tl I

kuva 3 on vuokaavio, joka esittää uudelleen- β·*β muodostusmenetelmää esillä olevan keksinnön mukaises- ;N 35 ti, :**: kuva 4 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises-v · ti, • * • · »·· 7 1171-81 kuva 5 on vuokaavio, joka esittää uudelleen-muodostusmenetelmää esillä olevan keksinnön mukaises ti, kuva 6 on vuokaavio, joka esittää käyttäjän 5 tunnistusmenetelmää esillä olevan keksinnön mukaises ti, kuva 7 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises ti, 10 kuva 8 on vuokaavio, joka esittää käyttäjän tunnistusmenetelmää esillä olevan keksinnön mukaises ti, ja kuva 9 on lohkokaavio eräästä esillä olevan keksinnön mukaisesta järjestelmästä.

15

KEKSINNÖN YKSITYISKOHTAINEN SELOSTUS

Seuraavassa viitataan yksityiskohtaisesti esillä olevan keksinnön sovelluksiin, joista esitetään esimerkkejä oheisissa piirustuksissa, 20 Seuraavissa esimerkeissä käyttäjän katsotaan olevan käyttäjä, joka puhuu puhelua. On ilmeistä, että puheluyhteys voi olla muu sovelias looginen kanava tai *4« ...ί yhteys (esimerkiksi pakettikytkentäinen kanava tai yh- • « ·.: : teys) käyttäjäpäätelaitteen ja palveluntarjoajan vä- ***** 25 Iillä.

:***: Kuva 1 esittää erään sovelluksen käyttäjän 14« •V. tunnistusmenetelmästä. Puheluyhteys (10) muodostetaan « 1 ,1·, soittajapäätelaitteestä DTE palveluntarjoajan SP pal velunumeroon tietoliikenneverkon NET kautta. Palvelun-, 30 tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, «44 ·;;; postitoimistoon, operaattoriin, luottokorttiyhtiöön, • 1 ’···1 vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelai- • tokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö • 44 · ·"**· tai instituutio, joka tarjoaa palveluja, jotka vaati- #·· 35 vat kiistämätöntä soittajan tunnistusta. Kuvassa 1 9 # *···[ palveluntarjoaja SP käsittää ainakin palveluntarjoajan 1 palvelimen/vaihteen SPS, asiakastietokannan DB ja 117181 8 asiakaspalvelujän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE on edullisesti matkaviestin, joka käsittää tilaa-jaidentiteettimoduulin SIM. Tilaajaidentiteettimoduu-5 Iin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Tilaa jaidentiteettimoduuli SIM tai mikä tahansa muu var-10 kaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen. Edullisessa sovelluksessa tilaajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite sisältää myös 15 muistin salausavaimelle ja/tai salauksen purkuavaimelle. Lisäksi edullisessa sovelluksessa salaamiseen ja salauksen purkamiseen käytetään julkisen avaimen salausta (PKI, Public Key Infrastructure).

Palveluntarjoajan palvelin SPS lähettää soit-20 tajan tunnistuspyynnön (11) turvayhdyskäytävälle GW. Kuvassa 1 tietoliikenneverkon NET operaattori omistaa turvayhdyskäytävän GW, ja turvayhdyskäytävä GW tarjoaa ββ*|· erilaisia turvallisuuteen liittyviä toimintoja, esi- ! ·*· merkiksi salausta ja salauksen purkamista. Pyyntö (11) *i# * 25 välitetään turvayhdyskäytävälle GW turvallisen yhtey- ,··*, den kautta (esimerkiksi SSL-yhteyden (SSL, Secured « * ,ΓΙ Sockets Layer)) esimerkiksi HTTP-protokollan (HTTP,

HyperText Transfer Protocol) , WML-kielen (WML, Wire- * · "*··* less Markup Language) tai XML-kielen (XML, Extensible 30 Markup Language) muodossa.

..!·* On tärkeää huomata, että tässä sovelluksessa puheluyhteys pidetään tunnistusvaiheen aikana yllä.

• ]·. Turvayhdys käytävä GW tunnistaa palveluntar jo- * * · *11·* ajan SP palveluntarjoajan sertifikaatin avulla, purkaa ·" 35 turvallisen yhteyden ja vastaanottaa soittajan tunnis- ·** tuspyynnön selväkielisenä esimerkiksi XML-muodossa, ·!"·; WML-muodossa tai lyhytsanoman muodossa. Soittajan tun- 117181 9 nistuspyyntö muunnetaan tämän jälkeen mobiilin päätelaitteen DTE tilaajaidentiteettimoduulin S IM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mobile communications) symmetrisellä sa-5 lausmenetelmällä. Salattu viesti lähetetään (12) tämän jälkeen matkaviestimelle DTE.

Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen, ja purettu viesti näytetään soittajalle matkaviestimen DTE näy-10 tolia. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soittajan todennusavaimella, ja allekirjoitettu viesti lähe-15 tetään (13) turvayhdyskäytävälle GW. Allekirj oitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography Standards #1) muotoon ja salataan ennen lähettämistä. PKCS#l-standardia kuvataan tarkemmin esimerkiksi verkko-osoitteessa 20 http://www.rsasecurity.com/rsalabs/pkcs/.

Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (14) tilaajaan liittyvän sertifikaatin ·:· sertifikaattiviranomaisen CA sertifikaattihakemistosta ···· | ·*. DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai »*« · 25 useampaa sertifikaattihakemistoa ja sertifikaatin sul- * a β···β kulistaa CLR, joka sisältää tietoa mitätöidyistä ser- • · ,1*1 tifikaateista. Sertifikaatti sisältää tunnistustietoa • · · sertifikaatin omistajasta ja ennen kaikkea omistajan *···* julkisen avaimen. Julkisen avaimen avulla on mahdol- 30 lista verifioida digitaalinen allekirjoitus. Verifi- ..*** ointiprosessi viittaa prosessiin, jonka varmentaja suorittaa joko pian elektronisen allekirjoituksen luo- . misen jälkeen tai myöhemmin, jotta määritetään, onko * · · *11,* elektroninen allekirjoitus pätevä implisiittisesti tai • * *·;·* 35 eksplisiittisesti viitatun allekir joitusmenettelyn kanssa. Verifiointi liittyy erittäin vahvasti termiin ·:··· ' validointidata' . Validointidata viittaa lisätietoon, 117191 10 joka tarvitaan elektronisen allekirjoituksen validoi-miseksi; tämä sisältää esimerkiksi sertifikaatit, mi-tätöimistilatiedon (esimerkiksi sulkulistat) ja luotetut aikaleimat. Lisäksi turvayhdyskäytävä GW luo 5 PKCS#7-viestin ja lähettää (15) viestin palveluntarjoajalle SP edullisesti käyttämällä turvallista yhteyttä. PKCS#7:ää kuvataan tarkemmin esimerkiksi verkko-osoitteessa http://www.reaseourity.com/rsalabs/pkcs/.

Palveluntarjoaja SP autentikoi soittajan j a 10 verifioi (16) digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifikaatiomenettely oli menestyksellinen, soittajalle voidaan tarjota pyydettyä palvelua. Lisäksi palveluntarjoaja voi luoda tietueen, 15 j oka sisältää soittajatietoa (17) tietokannasta DB, validointitietoa ja puhelulokitietoa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu on ollut olemassa indentifikaatiomenettelyn aikana. Asiakaspalvelua SERV käyttää edullisesti tietokonetta, ja siten 20 hän on automaattisesti varustettu (18) edellä maini tulla tietueella ennen puhumista soittajan kanssa.

Kuva 2 esittää toisen sovelluksen käyttäjän mm*V tunnistusmenetelmästä. Puheluyhteys (20) muodostetaan • ·*· soittajapäätelaitteesta DTE palveluntarjoajan SP pal- • M · 25 velunumeroon tietoliikenneverkon NET kautta. Palvelun- ♦ » .·**. tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, • · •/I postitoimistoon, operaattoriin, luottokorttiyhtiöön, * m vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelai- • · ***** tokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö 30 tai instituutio, joka tarjoaa palveluja, jotka vaati- * ..ΙΓ vat kiistämätöntä soittajan tunnistusta. Kuvassa 2 palveluntarjoaja SP käsittää ainakin palveluntarjoajan ; ,·, palvelimen/vaihteen SPS, asiakastietokannan DB ja * m * *// asiakaspalveli j an SERV. Tietoliikenneverkko NET on

'/ 35 edullisesti matkaviestinverkko. Soittajapäätelaite DTE

on edullisesti matkaviestin, joka käsittää tilaa-*:·*! jaidentiteettimoduulin SIM. Tilaa j aidentiteettimoduu- 11 117161

Iin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Ti-5 laajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen. Edullisessa sovelluksessa tilaajaidentiteettimoduuli SIM tai mikä ta-10 hansa muu varkaudelta suojattu laite sisältää myös muistin salausavaimelle ja/tai salauksen purkuavaimelle. Lisäksi edullisessa sovelluksessa salaamiseen j a salauksen purkamiseen käytetään julkisen avaimen salausta (PKI, Public Key Infrastructure).

15 Palveluntarjoaja S PS lähettää soittaj an tun- nistuspyynnön {21) turvayhdyskäytävälle GW. Kuvassa 2 tietoliikenneverkon NET operaattori omistaa turvayh-dyskäytävän GW ja turvayhdyskäytävä GW tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi 20 salausta ja salauksen purkamista. Pyyntö (21) välitetään turvayhdyskäytävälle GW turvallisen yhteyden kautta (esimerkiksi SSL-yhteyden (SSL, Secured Sockets •j· Layer) ) esimerkiksi HTTP-protokollan (HTTP, HyperText \ Transfer Protocol) , WML-kielen (WML, Wireless Markup • vt · 25 Language) tai XML-kielen (XML, Extensible Markup Lan- * · β...β guage) muodossa.

• * .**1 On tärkeää huomata, että puheluyhteys pide- • · t tään tunnistusvaiheen aikana yllä.

• · ***** Turvayhdyskäytävä GW tunnistaa palveluntarjo- 30 ajan SP sen sertifikaatin avulla, purkaa turvallisen ,.*** yhteyden ja vastaanottaa soittajan tunnistuspyynnön :***: selväkielisenä esimerkiksi XML-muodossa, WML-muodossa • tai lyhytsanoman muodossa. Soittajan tunnistuspyyntö • » *

**;,* muunnetaan tämän jälkeen mobiilin päätelaitteen DTE

• · *·;·* 35 tilaajaidentiteettimoduulin SIM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mo-;··; bile communications) symmetrisellä salausmenetelmällä.

117181 12

Salattu viestin lähetetään (22) tämän jälkeen matkaviestimelle DTE.

Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu 5 viesti näytetään soittajalle matkaviestimen DTE näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta-10 jän todennusavaimella ja allekirjoitettu viesti lähetetään (23) turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography Standards #1) muotoon ja salataan ennen lähettämistä. PKCS#l-standardia ku-15 vataan tarkemmin esimerkiksi verkko-osoitteessa http://www.rsasecurity.com/rsalabs/pkcs/.

Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (24) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta 20 DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useampaa sertifikaattihakemistoa ja sertifikaatin sulkulistaa CLR, joka sisältää tietoa mitätöidyistä ser-tifikaateista. Sertifikaattiviranomainen CA voi lisäksi’: si sisältää tietoa, ketkä käyttäjistä ovat valtuutet- ··*·· 25 tuja yhteen tai useampaan palveluun ja ketkä eivät .·**. ole. Sertifikaatti sisältää tunnistustietoa sertif i- * * ;v. kaatin omistajasta ja ennen kaikkea omistajan julkisen m » *..* avaimen. Julkisen avaimen avulla on mahdollista veri- • * • « fioida digitaalinen allekirjoitus. Turvayhdyskäytävä 30 GW verifioi digitaalisen allekirjoituksen ja tarkistaa •••2 sertifikaatin sulkulistasta CLR, että sertifikaatti on #·· voimassa. Jos verifikaatiomenettely oli menestykselli- ! .*· nen, turvayhdys käytävä GW lähettää (25) positiivisen .···. verifiointiviestin palveluntarjoajalle SP käyttämällä • · ’·* 35 turvallista yhteyttä. Palveluntarjoaja SP tämän jäl- ***** keen luo tietueen, joka sisältää soittajatietoa (26) ♦ tietokannasta DB, validointitietoa ja puhelulokitie- 117181 13 toa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu oli ollut olemassa identifikaatiomenettelyn aikana. Asiakaspalveluja SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varustettu 5 (27) edellä mainitulla tietueella ennen puhumista soittajan kanssa.

Kuva 3 esittää sovelluksen, jossa alun perin muodostettu puheluyhteys vikaantuu ja puheluyhteys muodostetaan uudelleen.

10 Kun palveluntarjoajan palvelin SPS havaitsee, että puheluyhteyttä ei enää ole olemassa, se luo haasteen. Haaste on mikä tahansa tieto, joka sisältää esimerkiksi aakkosnumeerisia merkkejä. Tämän jälkeen haaste salataan käyttämällä soittajan julkista avain-15 ta. Julkinen avain saadaan edellisestä PKCS#7- viestistä, tai jos sellaista viestiä ei ole vastaanotettu, julkisesta sertitikaattihakemistosta. Tämän jälkeen palveluntarjoajan palvelin SPS lähettää (30) salatun haasteen turvayhdyskäytävän GW kautta soitta-20 japäätelaitteelle DTE, joka on edullisesti matkaviestin (31) .

Kuvassa 3 esitetty esimerkki olettaa, että ··· soittajan identiteetti oli aikaisemmin tunnistettu ja • ·«· : validoitu ja että alkuperäinen puheluyhteys katkesi.

ι·ι « 25 Sen vuoksi, kun salattu haaste on lähetetty soittajat- * · le, palveluntarjoajan palvelin SPS asettaa validoidun .··· tunnistustiedon pidätettyyn tilaan.

* ·

Matkaviestin DTE ja/tai matkaviestimen sisäl- • m *··.* tämä tilaajaidentiteettimoduuli SIM tai vastaava pur- 30 kaa salatun haasteen salauksen ja muodostaa (32) uuden puheluyhteyden palveluntarjoajaan SP. Vaihde SPS ohjaa (33) puhelun asiakaspalvelijalle SERV ja varustaa ; asiakaspalvelijan SERV aiemmin validoidulla tunnistus- ·*·.* tiedolla ja soittajalle lähetetyllä haasteella. Jos • · *···* 35 soittaja tämän jälkeen antaa oikean haasteen asiakas- palvelijalle, soittajalle voidaan tarjota kyseessä *;··· olevaa palvelua.

117181 14

Kuva 4 esittää erään toisen sovelluksen käyttäjän tunnistusmenetelmästä. Puhelu (40) muodostetaan soittajapäätelaitteesta DTE palveluntarjoajan SP palvelunumeroon tietoliikenneverkon NET kautta. Palvelun-5 tarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, postitoimistoon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaati-10 vat kiistämätöntä soittajan tunnistusta. Kuvassa 4 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palvelimen/vaihteen SPS, asiakastietokannan DB ja asiakaspalvelijän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE 15 on edullisesti matkaviestin, joka käsittää tilaa- jaidentiteettimoduulin SIM. Tilaajaidentiteettimoduu-lin SIM sijasta voidaan käyttää langatonta identiteet-timoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai 20 mitä tahansa muuta varkaudelta suojattua laitetta. Ti- laajaidentiteettimoduuli SIM tai mikä tahansa muu varkaudelta suojattu laite mahdollistaa informaation sa-lauksen ja salauksen purkamisen ja lisäksi digitaali- • Ml ; sen allekirjoituksen muodostamisen.

• 4 * 1 25 Palveluntar joa j an vaihde SPS yhdistää (41) ... puhelun vapaalle asiakaspalvelijalle SERV. Tämän jäi- ]···* keen asiakaspalveli ja SERV lähettää (42) soitta j an • * · : .* tunnistuspyynnön turvayhdyskäytävälle GW. Kuvassa 4 * * tietoliikenneverkon NET operaattori omistaa turvayh-30 dyskäytävan GW ja turvayhdyskäytävä GW tarjoaa erilai- **· siä turvallisuuteen liittyviä toimintoja, esimerkiksi

MM

.***. salausta ja salauksen purkamista. Pyyntö välitetään ··· . \ turvayhdyskäytävälle GW turvallisen yhteyden kautta * * · : (esimerkiksi SSL-yhteyden (SSL, Secured Sockets 35 Layer) ) esimerkiksi HTTP-protokollan (HTTP, HyperText

Transfer Protocol), WML-kielen (WML, Wireless Markup « 117181 15

Language) tai XML-kielen (XML, Extensible Markup Language) muodossa.

On tärkeää huomata, että puheluyhteys pidetään tunnistusvaiheen aikana yllä.

5 Turvayhdyskäytävä GW tunnistaa palveluntarjo ajan SP palveluntarjoajan sertifikaatin avulla, purkaa turvallisen yhteyden ja vastaanottaa soittajan tunnis-tuspyynnön selväkielisenä esimerkiksi XML-muodossa, WML-muodossa tai lyhytsanoman muodossa. Soittajan tun-10 nistuspyyntö muunnetaan tämän jälkeen mobiilin päätelaitteen DTE tilaajaidentiteettimoduulin SIM ymmärtämään muotoon ja salataan GSM-järjestelmän (GSM, Global System for Mobile communications) symmetrisellä salausmenetelmällä. Salattu viestin lähetetään (43) tä-15 män jälkeen matkaviestimelle DTE.

Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu viesti näytetään soittajalle matkaviestimen DTE näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää se-20 laimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta-··· jän todennusavaimella ja allekirjoitettu viesti lähe- ttf < : .'· tetään (44) turvayhdyskäytävälle GW. Allekirjoitettu 25 viesti muunnetaan edullisesti PKCS#l-standardin * · (PKCS#1, Public-Key Cryptography Standards #1) muotoon • * ,**; ja salataan ennen lähettämistä. PKCS#l-standardia ku- « i · • ·* vataan tarkemmin esimerkiksi verkko-osoitteessa • ·· « · *··.* http: //www. rsasecurity. com/rsalabs/pkcs/ .

30 Turvayhdyskäytävä GW purkaa viestin salauk- ..*·* sen ja hakee (45) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta «9« ; \m DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useampaa sertifikaattihakemistoa ja sertifikaatin sul- • 9 **;·* 35 kulistaa CLR, joka sisältää tietoa mitätöidyistä ser- i : tifikaateista. Sertifikaattiviranomainen CA voi lisäk- ·· · *;··· si sisältää tietoa, ketkä käyttäjistä ovat valtuutet- 117181 16 tuja yhteen tai useampaan palveluun ja ketkä eivät ole. Termi valtuuttaminen viittaa prosessiin, jossa annetaan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omis-5 tajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdollista verifioida digitaalinen allekirjoitus. Lisäksi turvayhdyskäytävä GW luo PKCS#7-viestin ja lähettää (46) viestin suoraan asiakaspalvelijalle SERV edullisesti käyttämällä tur-10 vallista yhteyttä. PKCS#7:ää kuvataan tarkemmin esimerkiksi verkko-osoitteessa http://www.reasecurity.com/rsalabs/pkcs/.

Asiakaspalvelija SERV verifioi (47) digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sul-15 kulistasta CLR, että sertifikaatti on voimassa. Jos verifikaatiomenettely oli menestyksellinen, soittajalle voidaan tarjota pyydettyä palvelua sen jälkeen, kun asiakastietokannasta DB on haettu (48) soittajaan liittyvää tietoa.

20 Kuten kuvassa 4 on esitetty, verifiointipro- sessi ja soittajan validiointi voivat toisessa sovelluksessa olla kokonaan toteutettu turvayhdyskäytävässä gw.

t»»· : Kuva 5 esittää sovelluksen, jossa alun perin « 25 muodostettu puheluyhteys katkeaa ja puheluyhteys muo- • * ... dostetaan uudelleen.

• ·

Kun asiakaspalvelija SERV havaitsee, että pu- • * # ·>β·" heluyhteyttä ei enää ole olemassa, hän luo haasteen.

• · *·..* Haaste on mikä tahansa tieto, joka sisältää esimerkik- 30 si aakkosnumeerisia merkkejä. Tämän jälkeen haaste sa- lataan käyttämällä soittajan julkista avainta. Julki- ;***; nen avain saadaan edellisestä PKCS#7-viestistä, tai .*. jos sellaista viestiä ei ole vastaanotettu, julkisesta ***,· sertifikaattihakemistosta. Tämän jälkeen salattu haas- • » ’*·** 35 te lähetetään (50) turvayhdys käytävän GW kautta soit- tajapäätelaitteelle DTE (51), joka on edullisesti mat-·;**♦ kaviestin.

17

Kuvassa 5 esitetty esimerkki olettaa, että soittajan identiteetti oli aikaisemmin tunnistettu ja validoitu ja että alkuperäinen puheluyhteys katkesi tämän jälkeen. Sen vuoksi, kun salattu haaste on lähe-5 tetty soittajalle, asiakaspalvelija SERV asettaa vali-doidun tunnistustiedon pidätettyyn tilaan.

Matkaviestin DTE ja/tai matkaviestimen sisältämä tilaajaidentiteettimoduuli SIM tai vastaava purkaa salatun haasteen salauksen ja muodostaa (52) uuden 10 puheluyhteyden suoraan asiakaspalvelijaan SERV. Jos soittaja tämän jälkeen antaa oikean haasteen asiakas-palvelijalle, soittajaan liittyvää tietoa haetaan (53) tietokannasta ja soittajalle voidaan tarjota kyseessä olevaa palvelua.

15 Kuva 6 esittää erään toisen sovelluksen käyt täjän tunnistusmenetelmästä. Kuvassa 6 turvayhdyskäytävä GW on palveluntarjoajan SP omaisuutta.

Puhelu (60) muodostetaan soittajapäätelait-teesta DTE palveluntarjoajan SP palvelunumeroon tieto-20 liikenneverkon NET kautta. Palveluntarjoaja SP viittaa esimerkiksi pankkiin, poliisiin, postitoimistoon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, pu-·;* helinpankkiin tai kansaneläkelaitokseen. Se voi kui- • * * a : .·. tenkin olla mikä tahansa muu yhtiö tai instituutio, 25 joka tarjoaa palveluja, jotka vaativat kiistämätöntä • Λ

soittajan tunnistusta. Kuvassa 6 palveluntarjoaja SP

• a .VI käsittää ainakin palveluntarjoajan palvelimen/vaihteen « e i SPS, turvayhdyskäytävän GW, asiakastietokannan DB ja • · *···* asiakaspalveli jän SERV. Tietoliikenneverkko NET on 30 edullisesti matkaviestinverkko. Soittajapäätelaite DTE on edullisesti matkaviestin, joka käsittää tilaaja: jaidentiteettimoduulin SIM, langattoman identiteetti- • \m moduulin (WIM, Wireless Identity Module), UMTS- • · · tilaajaidentiteettimoduulin (USIM), turvamoduulin tai **"* 35 minkä tahansa muun varkaudelta suojatun laitteen. Ti- : : laajaidentiteettimoduuli SIM tai mikä tahansa muu var- ·:*·; kaudelta suojattu laite mahdollistaa informaation sa- 117181 18 lauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen.

Soittaja täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista soittajalle.

5 Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää soittajan tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä GE tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. 10 Pyyntö (61) välitetään matkaviestimelle DTE turvallisen yhteyden kautta (esimerkiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esimerkiksi HTTP-protokollan (HTTP, HyperText Transfer Protocol), WML-kielen (WML, Wireless Markup Language) tai XML-kielen (XML, Exten-15 sible Markup Language) muodossa tai minkä tahansa muun viestin muodossa, joka voidaan turvata tai salata. Käytetty salausmenetelmä voi olla symmetrinen tai asymmetrinen.

On tärkeää huomata, että puheluyhteys pide-20 tään tunnistusvaiheen aikana yllä.

Matkaviestin DTE ja/tai tilaajaidentiteetti-moduuli SIM purkavat viestin salauksen ja purettu viesti näytetään soittajalle matkaviestimen DTE näy- • töllä. Tilaajaidentiteettimoduuli SIM voi sisältää se-*#* * 25 laimen, joka muuntaa viestin SIM Toolkit -komennoiksi .···. ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti soitta- * · jän todennusavaimella ja allekirjoitettu viesti lähe- • * *"** tetään (62) takaisin turvayhdyskäytävälle GW. Allekir- 30 joitettu viesti muunnetaan edullisesti PKCS#1- standardin (PKCS#1, Public-Key Cryptography Standards « * « #1) muotoon ja salataan ennen lähettämistä.

: [·. Kuvan 6 toisessa sovelluksessa matkaviestin * * · itse luo PKCS#7-viestin ja lähettää (62) sen turvayh- * T 35 dyskäytävälle GW. Viesti voidaan lisäksi salata ennen ·„/· lähettämistä.

i 117181 19

Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (63) tilaajaan liittyvän sertifikaatin sertifikaattiviranomaisen CA sertifikaattihakemistosta DIR. Sertifikaattiviranomainen CA ylläpitää yhtä tai useam-5 paa sertifikaattihakemistoa ja sertifikaatin sulkulistaa CLR, joka sisältää tietoa mitätöidyistä tai käyttökelvottomista sertifikaateista. Sertifikaattiviranomainen CA voi lisäksi sisältää tietoa, ketkä käyttäjistä ovat valtuutettuja yhteen tai useampaan palve-10 luun ja ketkä eivät ole. Termi valtuuttaminen viittaa prosessiin, jossa annetaan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omistajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdol-15 lista verifioida digitaalinen allekirjoitus.

Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-20 daan tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin SPS voi luoda tietueen, joka sisältää soittajatietoa (64) tietokannasta DB, validointitietoa ··· j a puheluloki tietoa. Puhelulokitieto yksinkertaisesti * * * « : ilmaisee, että puhelu oli ollut olemassa identifikaa- ·*· » 25 tiomenettelyn aikana. Asiakaspalveluja SERV käyttää • · ... edullisesti tietokonetta, ja siten hän on automaatti- • « • * ,*** sesti varustettu (65) edellä mainitulla tietueella en- t » · :β<·* nen puhumista soittajan kanssa.

• · *···* Kuva 7 esittää erään toisen sovelluksen käyt- 30 täjän tunnistusmenetelmästä. Kuvassa 7 turvayhdyskäy-„*·“ tävä GW on palveluntarjoajan SP omaisuutta. Lisäksi kuvassa 7 soittajan tunnistetaan toisen osapuolen toi- • *. mesta.

• I » • · · ***,* Puhelu (70) muodostetaan soittajapäätelait- • · ***** 35 teestä DTE palveluntarjoajan SP palvelunumeroon tieto- liikenneverkon NET kautta. Palveluntarjoaja SP viittaa *:*·· esimerkiksi pankkiin, poliisiin, postitoimistoon, ope- 117181 20 raattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, pu-helinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaativat kiistämätöntä 5 soittajan tunnistusta. Kuvassa 7 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palvelimen/vaihteen SPS, turvayhdyskäytävän GW, asiakastietokannan DB ja asiakaspalvelijän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Soittajapäätelaite DTE 10 on edullisesti tavallinen puhelin tai matkaviestin, joka käsittää tilaajaidentiteettimoduulin, langattoman identiteettimoduulin, UMTS-tilaajaidentiteettimoduu-lin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen.

15 Soittaja täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista soittajalle. Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää soittajan tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä 20 GE tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. Pyyntö (71) välitetään tämän jälkeen toiselle pääte-··· laitteelle DTE2 turvallisen yhteyden kautta {esimer- :kiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esi-25 merkiksi HTTP-protokollan (HTTP, HyperText Transfer • * β···β Protocol), WML-kielen (WML, Wireless Markup Language) ,·*· tai XML-kielen (XML, Extensible Markup Language) muo- * + » • dossa tai minkä tahansa muun viestin muodossa, joka * * voidaan turvata tai salata. Käytetty salausmenetelmä 30 voi olla symmetrinen tai asymmetrinen. Toinen pääte- m ee*j# laite DTE" on edullisesti matkaviestin, joka käsittää tilaajaidentiteettimoduulin, langattoman identiteetti- *** ; moduulin, UMTS-tilaajaidentiteettimoduulin, turvamo- duulin tai minkä tahansa muun varkaudelta suojatun Φ φ **··’ 35 laitteen. Toinen päätelaite DTE2 voi kuitenkin viitata mihin tahansa muuhun päätelaitteeseen, esimerkiksi «*··· tietokoneeseen tai PDA-laitteeseen (PDA, Personal Di- 117181 21 gital Assistant), jota voidaan käyttää soittajan identiteetin tunnistamisessa. Toisen päätelaitteen täytyy sen vuoksi käsittää välineet viestien salaamiseksi ja/tai allekirjoittamiseksi.

5 Toinen matkaviestin DTE2 ja/tai tilaajaiden- titeettimoduuli S IM purkavat viestin salauksen ja purettu viesti näytetään soittajalle toisen matkaviestimen DTE2 näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -10 komennoiksi ennen viestin näyttämistä näytöllä. Näytetty viesti allekirjoitetaan tämän jälkeen digitaalisesti käyttäjän todennusavaimella ja allekirjoitettu viesti lähetetään (72) takaisin turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti 15 PKCS#l-standardin (PKCS#1, Public-Key Cryptography

Standards #1) muotoon ja salataan ennen lähettämistä.

Kuvan 7 toisessa sovelluksessa matkaviestin itse luo PKCS#7-viestin ja lähettää (72) sen turvayh-dyskäytävälle GW. Viesti voidaan lisäksi salata ennen 20 lähettämistä.

Turvayhdyskäytävä GW purkaa viestin salauksen ja hakee (73) toisen matkapuhelimen DTE2 käyttäjään

·;· liittyvän sertifikaatin sertifikaattiviranomaisen CA

««*# : sertifikaattihakemistosta DIR. Sertifikaattiviranomai- • * · ··« * 25 nen CA ylläpitää yhtä tai useampaa sertifikaattihake- • * mistoa ja sertifikaatin sulkulistaa CLR, joka sisältää • » tietoa mitätöidyistä tai käyttökelvottomista sertifi- • * · : ·* kasteista. Sertifikaattiviranomainen CA voi lisäksi *»·** sisältää tietoa, ketkä käyttäj istä ovat valtuutettuja 30 yhteen tai useampaan palveluun ja ketkä eivät ole.

Termi valtuuttaminen viittaa prosessiin, jossa anne-taan jollekin lupa tehdä tai saada jotain. Sertifi- • · · *\ kaatti sisältää tunnistustietoa sertifikaatin omista- • · » • · · *·*.* jasta ja ennen kaikkea omistajan julkisen avaimen.

* * *···* 3 5 Julkisen avaimen avulla on mahdollista verifioida di- gitaalinen allekirjoitus.

• * 117181 22

Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-5 daan tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin S PS voi luoda tietueen, joka sisältää soittajatietoa (74) tietokannasta DB, validointitietoa j a puhelulokitietoa. Puhelulokitieto yksinkertaisesti ilmaisee, että puhelu oli ollut olemassa identifikaa-10 tiomenettelyn aikana. Asiakaspalvelija SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varustettu (75) edellä mainitulla tietueella ennen puhumista soittajan kanssa.

Kuten kuvassa 7 esitetään, soittaja verifioi-15 daan toisen henkilön toimesta loogisen kanavan kautta. Edullisessa sovelluksessa ensimmäinen looginen kanava on olemassa sillä aikaa, kun ensimmäisen päätelaitteen käyttäjän identiteettiä tunnistetaan toisen loogisen kanavan kautta. Sen vuoksi on mahdollista, että todel-20 linen soittaja voi käytännössä olla kuka tahansa, mutta tunnistaminen täytyy saada ennalta määrätyltä osapuolelta.

*:· Eräässä toisessa kuvan 7 sovelluksessa ensim- • mäinen looginen kanava ensimmäisen päätelaitteen ja I·· * 25 palveluntarjoajan välillä ei ole olemassa sillä aikaa, ,*·*. kun ensimmäisen päätelaitteen DTE käyttäjän identitee- • * •I” tin tunnistamismenettelyä tehdään toisen loogisen ka-

* S

navan kautta. Eräässä sovelluksessa ensimmäisen pääte-*···* laitteen DTE käyttäjä lähettää palvelupyynnön {70} 30 palveluntarjoajalle SP. Palvelupyyntö on esimerkiksi * pankkitapahtumapyyntö. Pyyntöä ei hyväksytä ennen kuin vastaanotetaan toiselta päätelaitteelta DTE2 valtuu-

j *·. tus. Valtuutuksen hankkimiseksi palveluntarjoaja SP

• · · lähettää ensimmäisen päätelaitteen DTE käyttäjän tun- τ' 35 nistuspyynnön toiselle päätelaitteelle DTE2 (71) .

• ·· Käyttäjän tunnistuspyyntö allekirjoitetaan digitaali-·:··: sesti toisella päätelaitteella DTE2 ja/tai tilaa-

1171 SI

23 jaidentiteettimoduulilla ja allekirjoitettu viesti lähetetään takaisin palveluntarjoajalle SP (72). Jos digitaalisen allekirjoituksen verifiointiprosessi (73, 74) on hyväksyttävä, ensimmäisen päätelaitteen DTE 5 käyttäjän asettama palvelupyyntö voidaan hyväksyä (75) .

Tässä sovelluksessa ensimmäinen päätelaite DTE viittaa esimerkiksi tavalliseen puhelimeen, matkaviestimeen, tietokoneeseen tai PDA-laitteeseen (PDA, 10 Personal Digital Assistant). Sen vuoksi edellä mainit tu palvelupyyntö voidaan tehdä puhelulla, sähköpostilla, lyhytsanomalla tai millä tahansa muulla viestijär-jestelmällä. Toinen päätelaite DTE2 on edullisesti matkaviestin, joka käsittää tilaajaidentiteettimoduu-15 Iin, langattoman identiteettimoduulin, UMTS- tilaa- jaidentiteettimoduulin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen. Toinen päätelaite DTE2 voi kuitenkin viitata mihin tahansa muuhun päätelaitteeseen, esimerkiksi tietokoneeseen tai PDA-20 laitteeseen, jota voidaan käyttää soittajan identitee tin tunnistamiseen. Toisen päätelaitteen DTE2 täytyy sen vuoksi käsittää välineet viestien salaamiseksi ja/tai allekirjoittamiseksi.

• ;'· Kuva 8 esittää erään sovelluksen käyttäjän *·· *

·«·.: 25 tunnistusmenetelmästä. Kuvassa 8 turvayhdyskäytävä GW

.···, on palveluntarjoajan SP omaisuutta. Lisäksi kuvassa 8 * * ,1*1 soittaja tunnistetaan toisen osapuolen toimesta.

< I

Puhelu (80) muodostetaan tai viesti lähete- • * *···' tään käyttäjäpäätelaitteesta DTE palveluntarjoajalle 30 SP tietoliikenneverkon NET kautta. Palvelupyyntö teh- * ..li* dään puhelun tai viestin kautta. Tässä sovelluksessa

ensimmäinen looginen kanava käyttäjäpäätelaitteen DTE

; ja palveluntarjoajan SP välillä ei välttämättä ole * * * olemassa sillä aikaa, kun ensimmäisen päätelaitteen ··"* 3 5 DTE käyttäjän identiteetin tunnistusmenettelyä tehdään • »a toisen looginen kanavan kautta. Palveluntarjoaja SP ·;··; viittaa esimerkiksi pankkiin, poliisiin, postitoimis- 24 1171*1 toon, operaattoriin, luottokorttiyhtiöön, vakuutusyhtiöön, puhelinpankkiin tai kansaneläkelaitokseen. Se voi kuitenkin olla mikä tahansa muu yhtiö tai instituutio, joka tarjoaa palveluja, jotka vaativat kiistä-5 mätöntä soittajan tunnistusta. Kuvassa 8 palveluntarjoaja SP käsittää ainakin palveluntarjoajan palveli-men/vaihteen SPS, turvayhdyskäytävän GW, asiakastieto-kannan DB ja asiakaspalvelujän SERV. Tietoliikenneverkko NET on edullisesti matkaviestinverkko. Käyttä-10 jäpäätelaite DTE on esimerkiksi tavallinen puhelin tai vielä edullisemmin matkaviestin, joka käsittää tilaa-jaidentiteettimoduulin, langattoman identiteettimoduu-lin, UMTS- tilaajaidentiteettimoduulin, turvamoduulin tai minkä tahansa muun varkaudelta suojatun laitteen.

15 Käyttäjä täytyy kuitenkin asianmukaisesti tunnistaa ennen palvelujen tarjoamista käyttäjälle. Sen vuoksi palveluntarjoajan palvelimen SPS yhteydessä oleva turvayhdyskäytävä GW lähettää käyttäjän tunnis-tuspyynnön turvayhdyskäytävälle GW. Turvayhdyskäytävä 20 GW tarjoaa erilaisia turvallisuuteen liittyviä toimintoja, esimerkiksi salausta ja salauksen purkamista. Pyyntö {81) välitetään tämän jälkeen toiselle pääte-*·· laitteelle DTE2 turvallisen yhteyden kautta (esimer- j ·“· kiksi SSL-yhteyden (SSL, Secured Sockets Layer)) esi- i*i « 25 merkiksi HTTP-protokollan (HTTP, HyperText Transfer • m #···β Protocol), WML-kielen {WML, Wireless Markup Language) * · .."I tai XML-kielen (XML, Extensible Markup Language) muo- • I * \e‘ dossa tai minkä tahansa muun viestin muodossa, joka • * *··** voidaan turvata tai salata. Toinen päätelaite DTE2 on 30 edullisesti matkaviestin, joka käsittää tilaajaidenti-./·* teettimoduulin, langattoman identiteettimoduulin, • 99 • · UMTS-tilaa jaidentiteettimoduulin, turvamoduulin tai ; minkä tahansa muun varkaudelta suojatun laitteen. Käy- « · * *11/ tetty salausmenetelmä voi olla symmetrinen tai asym- *;** 35 metrinen.

Toinen matkaviestin DTE2 ja/tai tilaajaiden-•l“i titeettimoduuli SIM purkavat viestin salauksen ja pu- 25 117181 rettu viesti näytetään käyttäjälle toisen matkaviestimen DTE2 näytöllä. Tilaajaidentiteettimoduuli SIM voi sisältää selaimen, joka muuntaa viestin SIM Toolkit -komennoiksi ennen viestin näyttämistä näytöllä. Näytet-5 ty viesti allekirjoitetaan tämän jälkeen digitaalisesti käyttäjän todennusavaimella ja allekirjoitettu viesti lähetetään (82) takaisin turvayhdyskäytävälle GW. Allekirjoitettu viesti muunnetaan edullisesti PKCS#l-standardin (PKCS#1, Public-Key Cryptography 10 Standards #1) muotoon ja salataan ennen lähettämistä.

Kuvan 8 eräässä toisessa sovelluksessa toinen matkaviestin DTE2 itse luo PKCS#7-viestin ja lähettää (82) sen turvayhdyskäytävälle GW. Viesti voidaan lisäksi salata ennen lähettämistä.

15 Kun viesti on allekirj oitettu ja lähetetty palveluntarjoajalle SP, toisen matkaviestimen DTE2 käyttäjä välittää haasteen ensimmäisen päätelaitteen DTE käyttäjälle (83) . Haaste välitetään ensimmäisen päätelaitteen DTE käyttäjälle esimerkiksi puhelulla, 20 lyhytsanomalla, sähköpostilla jne. Jos alkuperäistä yhteyttä (80) ei ole enää olemassa, ensimmäisen päätelaitteen DTE käyttäjä muodostaa uuden puhelun (84) tai ··· lähettää toisen viestin palveluntarjoajalle SP tieto- • t·· : .·. liikenneverkon NET kautta. Käyttäjän täytyy välittää ··♦ 4 25 palveluntarjoajalle haaste, joka on saatu toisen mat- • « β...β kaviestimen DTE2 käyttäjältä.

Turvayhdyskäytävä GW purkaa viestin salauksen • » ♦ ja hakee (85) toisen matkapuhelimen DTE2 käyttäjään • ·

*···* liittyvän sertifikaatin sertifikaattiviranomaisen CA

30 sertifikaattihakemistosta DIR. Sertifikaattiviranomai- .,*·* nen CA ylläpitää yhtä tai useampaa sertifikaattihake- mistoa ja sertifikaatin sulkulistaa CLR, joka sisältää . tietoa mitätöidyistä tai käyttökelvottomista sertifi- * # * *11/ kaateista. Sertifikaattiviranomainen CA voi lisäksi • · ’*;** 35 sisältää tietoa, ketkä käyttäjistä ovat valtuutettuja yhteen tai useampaan palveluun ja ketkä eivät ole.

·:·· Termi valtuuttaminen viittaa prosessiin, jossa anne- 117181 26 taan jollekin lupa tehdä tai saada jotain. Sertifikaatti sisältää tunnistustietoa sertifikaatin omistajasta ja ennen kaikkea omistajan julkisen avaimen. Julkisen avaimen avulla on mahdollista verifioida di-5 gitaalinen allekirjoitus.

Turvayhdyskäytävä GW verifioi digitaalisen allekirjoituksen ja tarkistaa sertifikaatin sulkulistasta CLR, että sertifikaatti on voimassa. Jos verifi-kaatiomenettely oli menestyksellinen, soittajalle voi-10 daan nyt tarjota pyydettyä palvelua. Lisäksi palveluntarjoajan palvelin SPS voi luoda tietueen, joka sisältää käyttäjätietoa (86) tietokannasta DB ja validoin-titietoa. Asiakaspalvelija SERV käyttää edullisesti tietokonetta, ja siten hän on automaattisesti varus-15 tettu (87) edellä mainitulla tietueella ennen puhumista soittajan kanssa.

Tässä sovelluksessa ensimmäinen päätelaite viittaa esimerkiksi tavalliseen puhelimeen, matkaviestimeen, tietokoneeseen tai PDA-laitteeseen (PDA, Per-20 sonal Digital Assistant). Sen vuoksi edellä mainittu palvelupyyntö voidaan tehdä puhelulla, sähköpostilla, lyhytsanomalla tai millä tahansa muulla viestijärjes- ·;· telmällä. Toinen päätelaite DTE2 on edullisesti matka- ···· • ·*· viestin, joka käsittää tilaajaidentiteettimoduulin, **« * 25 langattoman identiteettimoduulin, UMTS-tilaaj aidenti- ,··*# teettimoduulin, turvamoduulin tai minkä tahansa muun • · .Γ* varkaudelta suojatun laitteen. Toinen päätelaite DTE2 ·..·* voi kuitenkin viitata mihin tahansa muuhun päätelait- • * *···* teeseen, esimerkiksi tietokoneeseen tai PDA-lait- 30 teeseen, jota voidaan käyttää ensimmäisen päätelait-teen käyttäjän identiteetin tunnistamiseen. Toisen ··· päätelaitteen DTE2 täytyy sen vuoksi käsittää välineet • viestien salaamiseksi ja/tai allekirjoittamiseksi.

• * · *11/ Kuva 9 esittää erään edullisen esimerkin kek- • · ·;·* 35 sinnön mukaisesta järjestelmästä. Järjestelmä käsittää ··· ίβββ5 tietoliikenneverkon NET, soitta japäätelaitteen DTE, ·:··· joka on liitetty tietoliikenneverkkoon NET ja palve- 117181 27 luntarjoajan SP, joka on liitetty tietoliikenneverkkoon NET. Soittajapäätelaite DTE on edullisesti matkaviestin ja tietoliikenneverkko NET GSM-verkko, GSM-verkko GPRS-piirteellä tai UMTS-verkko.

5 Järjestelmä edelleen käsittää palveluntarjo ajan palvelimen/vaihteen SPS ja asiakaspalvelijan SERV. Asiakaspalvelija SERV tarjoaa soittajalle palvelua. Lisäksi järjestelmä käsittää turvayhdyskäytävän GW, jota käytetään tuottamaan erilaisia turvatoiminto-10 ja järjestelmässä, esimerkiksi salausta ja salauksen purkamista. Järjestelmä käsittää myös sertifikaattiviranomainen CA, jolla on pääsy sekä sertifikaattihake-mistoon että sertifikaattien sulkulistaan CLR.

Palveluntarjoajan palvelimeen/vaihteeseen SPS 15 on järjestetty lähetysvälineet SM soittajan tunnistus-pyynnön lähettämiseksi. Palveluntarjoajan palve-lin/vaihde SPS lisäksi käsittää ensimmäiset salausvä-lineet ENl tiedon salaamiseksi, ensimmäiset salauksen purkuvälineet DE1 tiedon salauksen purkamiseksi ja 20 tunnistusvälineet ID soittajan tunnistamiseksi sen

jälkeen, kun puhelu on muodostettu ennen palvelujen tarjoamista soittajalle sertifikaattiviranomaisen CA

·:· välittämän tiedon perusteella. Edellä mainitut lähe- * · · * ϊ tysvälineet SM on lisäksi järjestetty lähettämään ♦ ** * 25 haaste soittajapäätelaitteelle DTE siinä tapauksessa, • * että puheluyhteys soittajapäätelaitteen DTE ja palve- • · .1" luntarjoajan SP välillä katkeaa. Eräässä sovelluksessa * * * edellä mainitut lähetysvälineet SM on järjestetty lä- • · '*·.* hettämään haaste myös toiselle päätelaitteelle DTE2.

30 Turvayhdyskäytävä GW käsittää lähetysvälineet * ..*·* SM soittajan tunnistuspyynnön lähettämiseksi, tunnis- tusvälineet ID soittajan tunnistamiseksi puhelunmuo- ; dostuksen jälkeen ennen palvelujen tarjoamista soitta- * · · jalle informaation perusteella, jonka tarjoaa sertifi- * * *···* 35 kaattiviranomainen CA, toiset salausvälineet EN2 tie- don salaamiseksi ja toiset salauksen purkuvälineet DE2 *;·** tiedon salauksen purkamiseksi.

117181 28

Soittajapäätelaite DTE käsittää tilaajaiden-titeettimoduulin SIM, kolmannet salausvälineet SM3 tiedon salaamiseksi ja kolmannet salauksen purkuväli-neet DE3 tiedon salauksen purkamiseksi. Tilaajaidenti-5 teettimoduulin SIM sijasta voidaan käyttää langatonta identiteettimoduulia (WIM, Wireless Identity Module), UMTS-tilaajaidentiteettimoduulia (USIM), turvamoduulia tai mitä tahansa muuta varkaudelta suojattua laitetta. Tilaajaidentiteettimoduuli SIM tai mikä tahansa muu 10 varkaudelta suojattu laite mahdollistaa informaation salauksen ja salauksen purkamisen ja lisäksi digitaalisen allekirjoituksen muodostamisen.

Edellä mainitut välineet on toteutettu esimerkiksi ohjelmistolla ja/tai laitteistolla tavalla, 15 joka on tunnettu alan ammattimiehelle, ja siten niitä ei kuvata tarkemmin.

Kuvat 1-9 esittävät erilaisia konfiguraatioita esillä olevan keksinnön mukaisesta järjestelmästä. Kuvissa 1-9 sertifikaattiviranomainen CA toimii serti-20 fikaattipalveluntarjoajana. Huomattakoon, että mikä tahansa sovelias osapuoli voi yhtä lailla toimia ser-tifikaattipalveluntarjoajana. On myös mahdollista, ·;· vaikka sitä ei kuvissa esitetäkään, että palveluntar- : .·. joa ja hallinnoi turvayhdyskäytävää ja että palvelun- ·· t 25 tarjoaja tarjoaa itse sertif ikaattipalveluntar joaja- • 1 toiminnot. Lisäksi on mahdollista, että palveluntar- « · .Π joaja toimii myös sertifikaattipalveluntarjoajana, ja • 2 1 * * ·2 siten ei tarvita erillistä luotettavaa kolmatta osa- • · » 2 • 9 117181 29

Esillä oleva keksinnön esittää keksinnön, jossa muodostetaan looginen kanava (esimerkiksi puhe-luyhteys) soittajapäätelaitteen ja palveluntarjoajan välille. Ongelmana on se, miten luotettavasti verifi-5 oida soittajan identiteetti. Sen vuoksi esillä olevan keksinnön mukaisesti soittaja autentikoidaan toisen edullisesti turvallisen loogisen kanavan kautta palveluntarjoajan ja soittajapäätelaitteen välillä ennen palvelujen tarjoamista soittajalle muodostetun puhelu-10 yhteyden kautta. Siirtokanava itsessään on tunnettu alan ammattimiehelle ja viittaa esimerkiksi yhteydettömään pakettidatayhteyteen matkaviestinverkon kautta tai pakettiyhteyteen käyttämällä turvallista ja standardoitua GSM-verkon piirrettä, joka on esitetty esi-15 merkiksi julkaisussa ETSI TS 101 183 V8.8.0 (2001-12). Siirtokanava voi kuitenkin viitata myös piirikytkentäiseen yhteyteen.

Lisäksi esillä oleva keksintö tarjoaa turvallisen ratkaisun käyttäjän tunnistamista, autentikoin-20 tia, validointia ja valtuuttamista varten kahden loogisen kanavan kautta.

On ilmeistä alan ammattimiehelle, että tekno- ·;* logian kehittyessä esillä olevan keksinnön perusidea * · * · : ·\ voidaan toteuttaa eri tavoilla. Keksintöä ia sen so- 9 9 9 25 velluksia ei siten rajata edellä esitettyihin esimerk- • * keihin, vaan ne voivat poiketa patenttivaatimusten • 4 esittämän suojapiirin puitteissa.

* « < 9 « • 4 • 44 9 m 9 9 ··· 4 • 4* • ··· * 999 9 9 9 9 999 9 9 9 9 9 9 • 99 • 99 9 99m 9 9 • 9 999 9 999 » 9 • 9 94· 9 * 9

Claims (28)

117181
1. Menetelmä soittajan autentikoimiseksi tietoliikennejärjestelmässä, tunnettu siitä, että menetelmä käsittää 5 vaiheet: muodostetaan puhelu tietoliikenneverkon (NET) kautta soittajapäätelaitteen (DTE) ja palvelutarjoajan (SP) välille; ja lähetetään soittajapäätelaitteen (DTE) käyttäjän 10 tunnistuspyyntö palveluntarjoajalta (SP) toisen tietoliikenneyhteyden kautta, kun puhelu on muodostettuna soittajapäätelaitteen (DTE) ja palveluntarjoajan (SP) välillä, joka toinen tietoliikenneyhteys on muu kuin muodostettu puheluyhteys palveluntarjoajan (SP) ja 15 soittajapäätelaitteen välillä; vastaanotetaan käyttäjän tunnistuspyyntö, kun puhelu on muodostettuna; allekirjoitetaan pyyntö digitaalisesti; lähetetään digitaalisesti allekirjoitettu pyyntö 20 toisen tietoliikenneyhteyden kautta; autentikoidaan soittaja ja verifioidaan digitaali- . nen allekirjoitus; ja • · · ··*! tarjotaan soittajalle palveluntarjoajan (SP) tar- : joamia palveluja puheluyhteyden kautta.
2. Patenttivaatimuksen 1 mukainen menetelmä, * · tunnettu siitä, että muodostetaan toinen tieto- Γ·1: liikenneyhteys soittajapäätelaitteeseen (DTE) .
• · ·***· 3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että muodostetaan toinen tieto- . 30 liikenneyhteys toiseen päätelaitteeseen (DTE2) . * * · Hl
4. Patenttivaatimuksen 1 mukainen menetelmä, • * ' tunnettu siitä, että menetelmä edelleen käsittää • * vaiheet: s]]]: lähetetään käyttäjän tunnistuspyyntö soittajasta 35 palveluntarjoajalta (SP) toiselle päätelaitteelle « · · l.. (DTE2) toisen tietoliikenneyhteyden kautta, joka käyt- • · 2 2 täjän tunnistuspyyntö sisältää myös haasteen; 117181 vastaanotetaan haasteen sisältämä käyttäjän tun-, nistuspyyntö toisella päätelaitteella (DTE2); s allekirjoitetaan haasteen sisältämä pyyntö digitaalisesti; 5 välitetään soittajalle haaste toisella päätelait teella (DTE2); välitetään palveluntarjoajalle (SP) haaste, joka on saatu toisen päätelaitteen (DTE2) käyttäjältä; verrataan toiselta päätelaitteelta (DTE2) saatua 10 digitaalisesti allekirjoitetussa viestissä olevaa haastetta soittajalta saatuun haasteeseen; ja jos haasteet vastaavat toisiaan, autentikoidaan toisen päätelaitteen (DTE2) käyttäjä ja verifioidaan digitaalinen allekirjoitus; ja 15 tarjotaan soittajalle palveluntarjoajan (SP) tar joamia palveluja puheluyhteyden kautta.
5. Patenttivaatimuksen 1, 2, 3 tai 4 mukainen menetelmä, tunnettu siitä, että toinen tietoliikenneyhteys viittaa pakettikytkentäiseen yhteyteen.
6. Patenttivaatimuksen 1, 2, 3 tai 4 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: „11' järjestetään turvayhdyskäytävä (GW) muodostamaan rajapinta soittajapäätelaitteelle (DTE) ja/tai toisel-*:··; 25 le päätelaitteelle (DTE2) .
.*·*. 7. Patenttivaatimuksen 6 mukainen menetelmä, ··« :v. tunnettu siitä, että menetelmä edelleen käsittää • · vaiheet: • · • · *** tunnistetaan palveluntarjoaja (SP) turvayhdyskäy- 30 tävän (GW) avulla; • · · lähetetään käyttäjän tunnistuspyyntö turvayhdys-*...· käytävältä (GW) soittajapäätelaitteelle (DTE) toisen tietoliikenneyhteyden kautta; .···. vastaanotetaan tunnistuspyyntö soitta japäätelait- 35 teella (DTE); ··♦ • ♦ ♦ V * allekirjoitetaan pyyntö digitaalisesti; ··· • · 1 · 117181 lähetetään digitaalisesti allekirjoitettu pyyntö turvayhdyskäytavaile (GW) toisen tietoliikenneyhteyden kautta; noudetaan soittajaan liittyvä sertifikaatti; 5 autentikoidaan soittaja ja verifioidaan digitaali nen allekirjoitus; ja tarjotaan soittajalle palveluntarjoajan (SP) tarjoama palvelu olemassa olevan puheluyhteyden kautta.
8. Patenttivaatimuksen 7 mukainen menetelmä, 10 tunnettu siitä, että menetelmä edelleen käsittää vaiheet: tunnistetaan palveluntarjoaja (SP) turvayhdyskäy-tävän (GW) avulla; lähetetään soittajan tunnistuspyyntö palveluntar-15 joajalta (SP) turvayhdyskäytävälle (GW); lähetetään käyttäjän tunnistuspyyntö turvayhdys-käytävältä (GW) toiselle päätelaitteelle (DTE2) toisen tietoliikenneyhteyden kautta; vastaanotetaan tunnistuspyyntö toisella päätelaite 20 teella (DTE2); allekirjoitetaan pyyntö digitaalisesti; lähetetään digitaalisesti allekirjoitettu pyyntö turvayhdyskäytävälle (GW) toisen tietoliikenneyhteyden : kautta; ···** 25 noudetaan toisen päätelaitteen (DTE2) käyttäjään liittyvä sertifikaatti; ;v. autentikoidaan toisen päätelaitteen (DTE2) käyttä- * * jän identiteetti ja verifioidaan digitaalinen allekir-joitus; ja 30 tarjotaan soittajalle palveluntarjoajan (SP) tar- joama palvelu olemassa olevan puheluyhteyden kautta.
·.„* 9. Patenttivaatimuksen 1, 2, 3, 4, 7 tai 8 : mukainen menetelmä, tunnettu siitä, että menetel- 4 44 .·*·[ mä edelleen käsittää vaiheet: • 4 V 35 salataan soittajapäätelaitteelle (DTE) ja/tai toi- • * · V: selle päätelaitteelle (DTE2) lähetetty käyttäjän tun- 944 • 4 • 4 ··· 117181 nistuspyyntö käyttämällä symmetristä tai asymmetristä salausta; ja salataan soittajapäätelaitteelta (DTE) ja/tai toiselta päätelaitteelta (DTE2) lähetetty digitaalisesti 5 allekirjoitettu tunnistuspyynto käyttämällä symmetristä tai asymmetristä salausta.
10. Patenttivaatimuksen 7 tai 8 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: 10 salataan turvayhdyskäytävälle (GW) lähetetty digi taalisesti allekirjoitettu käyttäjän tunnistuspyynto käyttämällä symmetristä tai asymmetristä salausta.
11. Patenttivaatimuksen 7 tai 8 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen IS käsittää vaiheet: noudetaan turvayhdyskäytäväliä (GW) soittajapääte-laitteen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttäjään liittyvä sertifikaatti; luodaan ja lähetetään varmennusviesti palveluntar-20 joajalle (SP); ja varmennetaan soittajapäätelaitteen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttäjä varmennusviestin ja varmennus informaation perusteella.
: 12. Patenttivaatimuksen 7 tai 8 mukainen me- *·« * ·;*·* 25 netelmä, tunnettu siitä, että menetelmä edelleen .*·. käsittää vaiheet: noudetaan turvayhdyskäytävällä (GW) varmennus in- • · formaatiota, joka sisältää ainakin soittajapäätelait-*** teen (DTE) ja/tai toisen päätelaitteen (DTE2) käyttä- 30 jään liittyvän sertifikaatin; *·:·' autentikoidaan soittajapäätelaitteen (DTE) ja/tai ·· · toisen päätelaitteen (DTE2) käyttäjän identiteetti :\J turvayhdyskäytävällä (GW) varmennusinformaation perus- « * .*·*. teella; ja 4 * 35 lähetetään positiivinen varmennusviesti palvelun- : tarjoajalle (SP) , jos varmennuksen tulos oli positii- « · * vinen. 117181
13. Patenttivaatimuksen 1 mukainen menetelmä, , tunnettu siitä, että jos puhelu katkeaa varmen-nusmenettelyn aikana, menetelmä edelleen käsittää vaiheet : 5 luodaan haaste; salataan haaste soittajan julkisen salausavaimen avulla; lähetetään salattu haaste soittajapäätelaitteelle (DTE); 10 puretaan salatun haasteen salaus soittajapääte- laitteessa (DTE); muodostetaan uusi puhelu palvelutarjoajaan (SP); välitetään palveluntarjoajalle (SP) salauksesta purettu haaste; ja jos haaste on hyväksyttävä, 15 tarjotaan soittajalle palveluntarjoajan (SP) tar joama palvelu puheluyhteyden kautta.
14. Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: 20 lähetetään salattu haaste soittajapäätelaitteelle (DTE) turvayhdyskäytävän (GW) kautta.
15. Järjestelmä soittajan autentikoimiseksi tietoliikennejärjestelmässä, joka käsittää: : tietoliikenneverkon (NET) , ··· * ·***· 25 soittajapäätelaitteen (DTE) , joka on liitetty tie- .··*. toliikenneverkkoon (NET) puheluyhteydellä, :V. palveluntarjoajan (SP), joka on liitetty tietolii- • * kenneverkkoon (NET) , * ! sertifikaattipalveluntarjoajan (CA), 30 tunnettu siitä, että järjestelmä edel- leen käsittää: * · * lähetysvälineet (SM) käyttäjän tunnistuspyynnön lähettämiseksi soittajapäätelaitteelle (DTE) tai toi- .·*** selle päätelaitteelle (DTE2) toisen tietoliikenneyh- * * *1* 35 teyden kautta, joka toinen tietoliikenneyhteys on muu • ft* V ! kuin muodostettu puheluyhteys palveluntarjoajan (SP) • ** ja soittajapäätelaitteen (DTE) välillä; ja 117181 kolmannet salauksenpurkuvälineet (DE3) salatun tiedon salauksen purkamiseksi soittajapäätelaitteessa (DTE) tai toisessa päätelaitteessa (DTE2); kolmannet salausvälineet (EN3) tiedon salaamiseksi 5 ja digitaalisen allekirjoituksen muodostamiseksi soittajapäätelaitteessa (DTE) tai toisessa päätelaitteessa (DTE2); ja tunnistusvälineet (ID) soittajapäätelaitteen (DTE) käyttäjän identiteetin tunnistamiseksi puhelun muodos-10 tamisen jälkeen toisen tietoliikenneyhteyden kautta, joka toisen tietoliikenneyhteyden on muu kuin muodostettu puhelu palveluntarjoajan (SP) ja soittajapääte-laitteen (DTE) välillä ennen palvelujen tarjoamista soittajalle sertifikaattipalveluntarjoajän (CA) välit-15 tämän tiedon perusteella.
16. Patenttivaatimuksen 15 mukainen järjestelmä, tunnettu siitä, että järjestelmä edelleen käsittää: palveluntarjoajaan (SP) ja sertifikaattipalvelun-20 tarjoajaan (CA) liitetyn turvayhdyskäytävän (GW).
17. Patentt ivaatimuksen 16 mukainen j ärj es-telmä, tunnettu siitä, että turvayhdyskäytävää (GW) hallinnoi palveluntarjoaja (SP) .
: 18. Patenttivaatimuksen 16 mukainen järjes- ·:**; 25 telmä, tunnettu siitä, että turvayhdyskäytävää (GW) hallinnoi kolmas osapuoli. ··· :v.
19. Patenttivaatimuksen 15 mukainen järjes- telmä, t u n n e t t u siitä, että mainitut lähetysväli-neet (SM) on järjestetty palveluntarjoajaan (SP).
20. Patenttivaatimuksen 15 tai 16 mukainen * · « järjestelmä, tunnettu siitä, että mainitut lähe-tysvälineet (SM) on järjestetty palveluntarjoajaan (SP) ja turvayhdy s käytävään (GW) .
* * .··*, 21. Patenttivaatimuksen 15 tai 16 mukainen • * 35 järjestelmä, tunnettu siitä, että mainitut lähe- ·." · tysvälineet (SM) on järjestetty palveluntarjoajaan (SP) ja/tai turvayhdyskäytävään (GW) . 1171 m
22. Patenttivaatimuksen 15 mukainen järjestelmä, tunnettu siitä, että palveluntarjoaja (SP) käsittää: ensimmäiset salausvälineet (ENl) tiedon salaami-5 seksi; ja ensimmäiset salauksenpurkuvälineet (DE1) salatun tiedon salauksen purkamiseksi.
23. Patenttivaatimuksen 16 mukainen järjestelmä, tunnettu siitä, että turvayhdyskäytävä 10 (GW) käsittää: toiset salausvälineet (EN2) tiedon salaamiseksi; ja toiset salauksenpurkuvälineet (DE2) salatun tiedon salauksen purkamiseksi.
24. Patenttivaatimuksen 19 tai 20 mukainen järjestelmä, tunnettu siitä, että mainitut lähe-tysvälineet (SM) on järjestetty lähettämään haaste soittajapäätelaitteelle (DTE) silloin, jos soittaja-päätelaitteen (DTE) ja palveluntarjoajan (SP) välille 20 muodostettu puhelu katkeaa.
25. Patenttivaatimuksen 19 tai 20 mukainen järjestelmä, tunnettu siitä, että mainitut lähe- tysvälineet (SM) on järjestetty lähettämään haaste : toiselle päätelaitteelle (DTE2) . ··* · ·;·*· 25
26. Jonkin patenttivaatimuksista 15 - 25 mu- .·**. kainen järjestelmä, tunnettu siitä, että tieto- :v. liikenneverkko (NET) on GSM-verkko. * «
27. Jonkin patenttivaatimuksista 15 - 25 mu- * · kainen järjestelmä, tunnettu siitä, että tieto-30 liikenneverkko (NET) on GSM-verkko, jossa on GPRS- • * * ’·!.* ominaisuus.
28. Jonkin patenttivaatimuksista 15 - 25 mu-kainen järjestelmä, tunnettu siitä, että tieto-liikenneverkko (NET) on UMTS-, CDMA-, WCDMA-, EDGE-, • ' * *·* 35 Bluetooth- tai WLAN-verkko. # · * «ti . 4 • · · • · 117181
FI20030154A 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi FI117181B (fi)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi
FI20030154 2003-01-31

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi
US10/544,119 US20060262929A1 (en) 2003-01-31 2004-01-29 Method and system for identifying the identity of a user
PCT/FI2004/000043 WO2004068782A1 (en) 2003-01-31 2004-01-29 Method and system for identifying the identity of a user

Publications (3)

Publication Number Publication Date
FI20030154A0 FI20030154A0 (fi) 2003-01-31
FI20030154A FI20030154A (fi) 2004-08-01
FI117181B true FI117181B (fi) 2006-07-14

Family

ID=8565507

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20030154A FI117181B (fi) 2003-01-31 2003-01-31 Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi

Country Status (3)

Country Link
US (1) US20060262929A1 (fi)
FI (1) FI117181B (fi)
WO (1) WO2004068782A1 (fi)

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US20130332343A1 (en) 2005-10-06 2013-12-12 C-Sam, Inc. Multi-tiered, secure mobile transactions ecosystem enabling platform comprising a personalization tier, a service tier, and an enabling tier
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
EP2667344A3 (en) 2005-10-06 2014-08-27 C-Sam, Inc. Transactional services
US9400589B1 (en) 2002-05-30 2016-07-26 Consumerinfo.Com, Inc. Circular rotational interface for display of consumer credit information
US9710852B1 (en) 2002-05-30 2017-07-18 Consumerinfo.Com, Inc. Credit report timeline user interface
US7792715B1 (en) 2002-09-21 2010-09-07 Mighty Net, Incorporated Method of on-line credit information monitoring and control
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
JP4433171B2 (ja) * 2004-05-14 2010-03-17 日本電気株式会社 電話番号変更通知方法および電話番号変更通知システム
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US8175889B1 (en) 2005-04-06 2012-05-08 Experian Information Solutions, Inc. Systems and methods for tracking changes of address based on service disconnect/connect data
US20110288976A1 (en) * 2005-06-28 2011-11-24 Mark Ellery Ogram Total computer security
TWI307235B (en) * 2005-12-30 2009-03-01 Ind Tech Res Inst Method for applying certificate
US8036979B1 (en) 2006-10-05 2011-10-11 Experian Information Solutions, Inc. System and method for generating a finance attribute from tradeline data
US7778885B1 (en) 2006-12-04 2010-08-17 Lower My Bills, Inc. System and method of enhancing leads
US8606666B1 (en) 2007-01-31 2013-12-10 Experian Information Solutions, Inc. System and method for providing an aggregation tool
US8606626B1 (en) 2007-01-31 2013-12-10 Experian Information Solutions, Inc. Systems and methods for providing a direct marketing campaign planning environment
US20080294540A1 (en) 2007-05-25 2008-11-27 Celka Christopher J System and method for automated detection of never-pay data sets
US9990674B1 (en) 2007-12-14 2018-06-05 Consumerinfo.Com, Inc. Card registry systems and methods
US8127986B1 (en) 2007-12-14 2012-03-06 Consumerinfo.Com, Inc. Card registry systems and methods
US8060748B2 (en) * 2007-12-21 2011-11-15 Telefonaktiebolaget Lm Ericsson (Publ) Secure end-of-life handling of electronic devices
US20110074909A1 (en) * 2008-05-16 2011-03-31 Nxp B.V. Video telephony
US10373198B1 (en) 2008-06-13 2019-08-06 Lmb Mortgage Services, Inc. System and method of generating existing customer leads
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US7991689B1 (en) 2008-07-23 2011-08-02 Experian Information Solutions, Inc. Systems and methods for detecting bust out fraud using credit data
US9256904B1 (en) 2008-08-14 2016-02-09 Experian Information Solutions, Inc. Multi-bureau credit file freeze and unfreeze
CN101662765B (zh) * 2008-08-29 2013-08-07 深圳富泰宏精密工业有限公司 手机短信保密系统及方法
US9112910B2 (en) * 2008-10-14 2015-08-18 International Business Machines Corporation Method and system for authentication
US8467512B2 (en) * 2009-07-30 2013-06-18 International Business Machines Corporation Method and system for authenticating telephone callers and avoiding unwanted calls
US9652802B1 (en) 2010-03-24 2017-05-16 Consumerinfo.Com, Inc. Indirect monitoring and reporting of a user's credit data
US10453093B1 (en) 2010-04-30 2019-10-22 Lmb Mortgage Services, Inc. System and method of optimizing matching of leads
US8744956B1 (en) 2010-07-01 2014-06-03 Experian Information Solutions, Inc. Systems and methods for permission arbitrated transaction services
US8931058B2 (en) 2010-07-01 2015-01-06 Experian Information Solutions, Inc. Systems and methods for permission arbitrated transaction services
US8782217B1 (en) 2010-11-10 2014-07-15 Safetyweb, Inc. Online identity management
US8484186B1 (en) 2010-11-12 2013-07-09 Consumerinfo.Com, Inc. Personalized people finder
US9147042B1 (en) 2010-11-22 2015-09-29 Experian Information Solutions, Inc. Systems and methods for data verification
US9607336B1 (en) 2011-06-16 2017-03-28 Consumerinfo.Com, Inc. Providing credit inquiry alerts
US9483606B1 (en) 2011-07-08 2016-11-01 Consumerinfo.Com, Inc. Lifescore
US9106691B1 (en) 2011-09-16 2015-08-11 Consumerinfo.Com, Inc. Systems and methods of identity protection and management
WO2013056104A1 (en) 2011-10-12 2013-04-18 C-Sam, Inc. A multi-tiered secure mobile transactions enabling platform
US8738516B1 (en) 2011-10-13 2014-05-27 Consumerinfo.Com, Inc. Debt services candidate locator
US9413867B2 (en) 2012-01-06 2016-08-09 Blackberry Limited Communications system providing caller identification features based upon near field communication and related methods
US20130294611A1 (en) * 2012-05-04 2013-11-07 Sony Computer Entertainment Inc. Source separation by independent component analysis in conjuction with optimization of acoustic echo cancellation
US9853959B1 (en) 2012-05-07 2017-12-26 Consumerinfo.Com, Inc. Storage and maintenance of personal data
US8812837B2 (en) * 2012-06-01 2014-08-19 At&T Intellectual Property I, Lp Apparatus and methods for activation of communication devices
US9654541B1 (en) 2012-11-12 2017-05-16 Consumerinfo.Com, Inc. Aggregating user web browsing data
US8856894B1 (en) 2012-11-28 2014-10-07 Consumerinfo.Com, Inc. Always on authentication
US9916621B1 (en) 2012-11-30 2018-03-13 Consumerinfo.Com, Inc. Presentation of credit score factors
US10255598B1 (en) 2012-12-06 2019-04-09 Consumerinfo.Com, Inc. Credit card account data extraction
US20140165170A1 (en) * 2012-12-10 2014-06-12 Rawllin International Inc. Client side mobile authentication
US8972400B1 (en) 2013-03-11 2015-03-03 Consumerinfo.Com, Inc. Profile data management
US10102570B1 (en) 2013-03-14 2018-10-16 Consumerinfo.Com, Inc. Account vulnerability alerts
US9870589B1 (en) 2013-03-14 2018-01-16 Consumerinfo.Com, Inc. Credit utilization tracking and reporting
US9406085B1 (en) 2013-03-14 2016-08-02 Consumerinfo.Com, Inc. System and methods for credit dispute processing, resolution, and reporting
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US9477737B1 (en) 2013-11-20 2016-10-25 Consumerinfo.Com, Inc. Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules
US10262362B1 (en) 2014-02-14 2019-04-16 Experian Information Solutions, Inc. Automatic generation of code for attributes
US9288062B2 (en) 2014-02-20 2016-03-15 International Business Machines Corporation Telephone caller authentication
USD760256S1 (en) 2014-03-25 2016-06-28 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759690S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
USD759689S1 (en) 2014-03-25 2016-06-21 Consumerinfo.Com, Inc. Display screen or portion thereof with graphical user interface
US9892457B1 (en) 2014-04-16 2018-02-13 Consumerinfo.Com, Inc. Providing credit data in search results
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
US10339527B1 (en) 2014-10-31 2019-07-02 Experian Information Solutions, Inc. System and architecture for electronic fraud detection
US10242019B1 (en) 2014-12-19 2019-03-26 Experian Information Solutions, Inc. User behavior segmentation using latent topic detection
US10063699B1 (en) * 2017-04-18 2018-08-28 EMC IP Holding Company LLC Method, apparatus and computer program product for verifying caller identification in voice communications

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU1756992A (en) * 1991-03-26 1992-11-02 Litle & Co Confirming identity of telephone caller
FI117366B (fi) * 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6381696B1 (en) * 1998-09-22 2002-04-30 Proofspace, Inc. Method and system for transient key digital time stamps
US20020138450A1 (en) * 2000-04-19 2002-09-26 Gilles Kremer Electronic payment method and device
US20020012329A1 (en) * 2000-06-02 2002-01-31 Timothy Atkinson Communications apparatus interface and method for discovery of remote devices
JP2002082910A (ja) * 2000-09-08 2002-03-22 Pioneer Electronic Corp ユーザ認証システム及びユーザ認証方法
US7000115B2 (en) * 2001-06-19 2006-02-14 International Business Machines Corporation Method and apparatus for uniquely and authoritatively identifying tangible objects
US6987986B2 (en) * 2001-06-21 2006-01-17 Boesen Peter V Cellular telephone, personal digital assistant with dual lines for simultaneous uses

Also Published As

Publication number Publication date
FI117181B1 (fi)
FI20030154D0 (fi)
WO2004068782A1 (en) 2004-08-12
FI20030154A0 (fi) 2003-01-31
US20060262929A1 (en) 2006-11-23
FI20030154A (fi) 2004-08-01

Similar Documents

Publication Publication Date Title
US10313464B2 (en) Targeted notification of content availability to a mobile device
US9985790B2 (en) Secure instant messaging system
US20170054707A1 (en) Method and Apparatus for Trusted Authentication and Logon
US10284555B2 (en) User equipment credential system
US8856891B2 (en) Proxy authentication network
CA2812847C (en) Mobile handset identification and communication authentication
AU2009248475B2 (en) Deploying and provisioning wireless handheld devices
CN101822082B (zh) 用于uicc和终端之间安全信道化的技术
EP2098006B1 (en) Authentication delegation based on re-verification of cryptographic evidence
US8171291B2 (en) Method for checking the integrity of data, system and mobile terminal
US7325133B2 (en) Mass subscriber management
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US8176328B2 (en) Authentication of access points in wireless local area networks
US8423768B2 (en) Method for controlling the location information for authentication of a mobile station
US5915021A (en) Method for secure communications in a telecommunications system
ES2265694T3 (es) Procedimiento para verificar en un aparato movil la autenticidad de los certificados electronicos emitidos por una autoridad certificadora y modulo de identificacion correspondiente.
EP1394982B1 (en) Methods and apparatus for secure data communication links
AU2003225327B8 (en) Method for authenticating and verifying SMS communications
US7281128B2 (en) One pass security
JP4313515B2 (ja) 認証方法
DE602004000695T2 (de) Erzeugung von asymmetrischen Schlüsseln in einem Telekommunicationssystem
FI115098B (fi) Todentaminen dataviestinnässä
CA2518032C (en) Methods and software program product for mutual authentication in a communications network
Horn et al. Authentication protocols for mobile network environment value-added services
US7707412B2 (en) Linked authentication protocols

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 117181

Country of ref document: FI

MM Patent lapsed