FI125146B - Autentikointimenetelmä - Google Patents

Autentikointimenetelmä Download PDF

Info

Publication number
FI125146B
FI125146B FI20135408A FI20135408A FI125146B FI 125146 B FI125146 B FI 125146B FI 20135408 A FI20135408 A FI 20135408A FI 20135408 A FI20135408 A FI 20135408A FI 125146 B FI125146 B FI 125146B
Authority
FI
Finland
Prior art keywords
user
authentication
service
identification
transmitting
Prior art date
Application number
FI20135408A
Other languages
English (en)
Swedish (sv)
Other versions
FI20135408A (fi
Inventor
Jouni Petrow
Sujit Wings
Original Assignee
Elisa Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Oyj filed Critical Elisa Oyj
Priority to FI20135408A priority Critical patent/FI125146B/fi
Publication of FI20135408A publication Critical patent/FI20135408A/fi
Application granted granted Critical
Publication of FI125146B publication Critical patent/FI125146B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42034Calling party identification service
    • H04M3/42059Making use of the calling party identifier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Description

AUTENTIKOINTIMENETELMÄ
Esillä oleva keksintö liittyy yleisesti autentikointiin ja erityisesti sähköisiin palveluihin liittyvään autentikointiin.
Useat sähköiset palvelut edellyttävät, että käyttäjä autentikoituu (tunnistautuu) päästäkseen palveluun esimerkiksi käyttäjätunnuksen ja salasanan avulla. WO 2009070529 esittää erään ratkaisun, jossa järjestelmä soittaa käyttäjälle vaihtuvasta numerosta ja käyttäjä syöttää soittajan numeron järjestelmään tunnistautuakseen järjestelmään.
Nyt tarjotaan eräs uusi autentikointiratkaisu.
Keksinnön ensimmäinen aspekti tarjoaa autentikointimenetelmän käyttäjän autentikoimiseksi sähköiseen palveluun, jota palvelua käyttäjä käyttää ensimmäistä kommunikaatioyhteystyyppiä käyttäen ja johon palveluun pääsemiseksi käyttäjältä vaaditaan käyttäjän hallussa oleva tunnistautumiskoodi. Menetelmässä lähetetään käyttäjälle toista kommunikaatioyhteystyyppiä käyttäen tunnistautumispyyntö, jossa tunnistautumispyynnössä pyydetään mainittua tunnistautumiskoodia, ja lähetetään mainittu tunnistautumispyyntö ennalta määrätystä, vaihtuvasta lähetysnumerosta, missä käytettävä lähetysnumero autentikoi käyttäjälle mainitun palvelun ja käytettävä lähetysnumeron identifiointitieto on käyttäjän tiedossa lähetysnumeron oikeellisuuden varmistamista varten.
Toinen kommunikaatioyhteystyyppi voi olla tekstiviesti tai MMS viesti ja ensimmäinen kommunikaatioyhteystyyppi voi olla Internet-yhteys tai muu IP-pohjainen yhteys.
Eräässä suoritusmuodossa ennalta määrätty, vaihtuva lähetysnumero on valittu käyttäjäkohtaisesta lähetysnumerojoukosta.
Eräässä suoritusmuodossa ennalta määrätty, vaihtuva lähetysnumero on käyttäjän valitsema. Eräässä toisessa suoritusmuodossa ennalta määrätty, vaihtuva lähetysnumero on järjestelmän valitsema. Eräässä suoritusmuodossa valitaan mainittu ennalta määrätty, vaihtuva lähetysnumero satunnaisesti joukosta lähetysnumeroita, ja toimitetaan käyttäjälle näytettäväksi valittuun lähetysnumeroon assosioitu identifiointitieto.
Keksinnön toinen aspekti tarjoaa laitteen laite käsittää prosessorin ja muistiin tallennetun tietokoneohjelman, joka on konfiguroitu yhdessä mainitun prosessorin kanssa ohjaamaan mainittu laite suorittamaan ensimmäisen aspektin tai jonkin siihen liittyvän suoritusmuodon mukaisen menetelmän.
Keksinnön toisen aspektin mukainen laitteisto voi olla sovitettu suorittamaan minkä tahansa ensimmäiseen aspektiin liittyvän suoritusmuodon mukainen menetelmä.
Keksinnön kolmas aspekti tarjoaa tietokoneohjelman, joka käsittää tietokoneella suoritettavissa olevan ohjelmakoodin, joka suoritettaessa ohjaa laitteen suorittamaan ensimmäisen aspektin tai jonkin siihen liittyvän suoritusmuodon mukaisen menetelmän.
Kolmannen aspektin mukainen tietokoneohjelma voi käsittää ohjelmakoodia, joka voidaan suorittaa esimerkiksi millä tahansa seuraavista: yleiskäyttöinen prosessori, mikroprosessori, sovelluskohtainen integroitu piiri ja digitaalinen signaaliprosessori. Kolmannen aspektin mukainen tietokoneohjelma voi olla tallennettuna tietokoneella luettavalle medialle. Tällainen media voi olla esimerkiksi levyke, CDROM, DVD, BD (Bluray Disc), muistitikku tai muu magneettinen tai optinen muistiväline.
Keksintöä kuvataan nyt esimerkinomaisesti viitaten oheisiin piirustuksiin, joissa:
Kuvio 1 esittää keksinnön erään suoritusmuodon mukaisen järjestelmän;
Kuvio 2 esittää keksinnön erään suoritusmuodon mukaisen laitteen;
Kuvio 3 esittää keksinnön erään suoritusmuodon mukaista menetelmää havainnollistavan vuokaavion,
Kuvio 4 esittää keksinnön erään toisen suoritusmuodon mukaista menetelmää havainnollistavan vuokaavion;
Kuviot 5A ja 5B esittävät keksinnön eräiden suoritusmuotojen mukaisia viestikaavioita;
Kuvio 6 esittää keksinnön erään suoritusmuodon mukaisen kooditaulukon; ja
Kuviot 7A-7C esittävät keksinnön eräiden suoritusmuotojen mukaisia prosessikaavioita.
Keksinnön eri suoritusmuodot tarjoavat ratkaisun käyttäjän autentikoimiseksi sähköiseen palveluun. Keksinnön eräässä suoritusmuodossa tarjotaan kaksisuuntainen autentikointi, jossa sekä käyttäjä että palvelu autentikoituvat/autentikoidaan.
Eräässä suoritusmuodossa käyttäjä käyttää sähköistä palvelua ensimmäistä kommunikaatioyhteystyyppiä, kuten esimerkiksi Internet-yhteyttä, käyttäen.
Palveluun pääsemiseksi käyttäjältä vaaditaan käyttäjän hallussa oleva tunnistautumiskoodi, kuten esimerkiksi PIN-koodi. Tunnistautumiskoodi voi olla kertakäyttöinen. Esimerkiksi verkkopankkipalveluissa käytetään yleisesti kertakäyttöisiä tunnistautumiskoodeja. Tunnistautumiskoodilla käyttäjä autentikoi itsensä palvelun suuntaan. Käyttäjän autentikoinnin lisäksi palvelu autentikoidaan käyttäjän suuntaan. Palvelun autentikointi suoritetaan ennen käyttäjän autentikointia, jolloin käyttäjä voi varmistua, että on autentikoitumassa tarkoitettuun palveluun (eikä mahdollisesti johonkin väärennettyyn oikealta näyttävään palveluun). Tämä toteutetaan pyytämällä käyttäjältä tunnistautumiskoodia tunnistautumispyynnöllä, joka lähetetään toista kommunikaatioyhteystyyppiä, kuten esimerkiksi tekstiviestiä, käyttäen. Vaihtoehtoisesti tunnistautumispyyntö voidaan lähettää esimerkiksi MMS viestinä. Tunnistautumispyyntö lähetetään ennalta määrätystä, vaihtuvasta lähetysnumerosta, ja tätä vaihtuvaa lähetysnumeroa käytetään palvelun autentikoimiseksi käyttäjän suuntaan. Käyttäjällä on halussaan tieto siitä, mistä lähetysnumerosta tunnistautumispyynnön pitäisi tulla ja siten käyttäjä pystyy hyväksymään vain oikeasta numerosta tulevat tunnistautumispyynnöt. Eräässä vaihtoehdossa käyttäjä valitsee lähetysnumeron ja antaa palveluun valitsemansa lähetysnumeron identifiointitiedon. Eräässä toisessa vaihtoehdossa järjestelmä valitsee lähetysnumeron. Lähetysnumero valitaan esimerkiksi satunnaisesti ja käyttäjälle ilmoitetaan, mitä lähetysnumeroa tullaan käyttämään (käyttäjälle kerrotaan käytettävän lähetysnumeron identifiointitieto, jonka perusteella käyttäjä pystyy selvittämään käytettävän lähetysnumeron). Lähetysnumeron valinta ja/tai käytettävän lähetysnumeron identifioiminen käyttäjälle suoritetaan yllä mainittua ensimmäistä kommunikaatioyhteyttä käyttäen. Lähetysnumero voi olla kertakäyttöinen ja/tai käyttäjäkohtainen.
Keksinnön suoritusmuotojen mukaisella kaksisuuntaisella autentikointimenetelmällä voidaan esimerkiksi estää phishing-hyökkäyksiä. Phishing hyökkäyksessä käyttäjälle esitetään väärennetty verkkosivu, jota käyttäjä luulee alkuperäisen palvelun sivuksi ja johon käyttäjä saattaa tästä syystä syöttää salasanatietojaan. Tällaisen väärennetyn verkkosivun kautta saatujen salasanatietojen avulla on sitten mahdollista väärinkäyttää kyseessä olevaa alkuperäistä palvelua, kuten esimerkiksi verkkopankkia. Kun keksinnön eräissä suoritusmuodoissa autentikoidaan myös palvelu käyttäjälle sen lisäksi että autentikoidaan käyttäjä palvelulle, käyttäjä voi varmistua siitä, että käyttää oikeaa alkuperäistä palvelua eikä halutulta palvelulta näyttävää väärennettyä verkkosivua.
Eräässä suoritusmuodossa palvelu autentikoidaan käyttäjälle päin käyttämällä tunnistautumispyyntöä, joka lähetetään vaihtuvasta lähetysnumerosta. Lähetysnumeron identifiointitieto on käyttäjän tiedossa lähetysnumeron oikeellisuuden varmistamista varten. Tekstiviesti soveltuu hyvin tunnistautumispyynnön lähettämiseen, koska tekstiviestin lähetysnumeroa ei voi väärentää eli viestiä ei voi väärentää, vaikka tieto käytettävästä lähetysnumerosta joutuisikin vääriin käsiin. Lisäksi, vaikka väärentäjä onnistuisi muokkaamaan tekstiviestiä niin, että se näyttää tulevan oikeasta lähetysnumerosta, ei sellaiseen tekstiviestiin vastaaminen onnistu ainakaan niin, että vastaus (ja siten PIN-koodi tai muu tunnistautumiskoodi) menisi väärentäjälle perille.
Tunnistautumispyyntö voidaan lähettää vaihtoehtoisesti multimediaviestinä (MMS). Tekstiviestitoteutusta vastaavalla tavalla käyttäjä pystyy tarkistamaan multimediaviestistä lähettäjän numeron ja siten varmistamaan tunnistautumispyynnön lähettäjän oikeellisuuden. Joissakin operaattoreiden toteutuksissa multimediaviesti lähetetään käyttäjälle jonkin operaattorin palvelun kautta, mutta tässäkin tapauksessa multimediaviestissä näkyy lähettäjän numero. On huomattava, että myös jokin muu viestityyppi tai yhteystyyppi voi soveltua tunnistautumispyynnön lähettämiseen.
Kuvio 1 esittää keksinnön erään suoritusmuodon mukaisen järjestelmän. On huomattava, että kuvio käsittää sekä erillisiä fyysisiä laitteita että erilaisia loogisia komponentteja, joiden mukainen toiminta saatetaan toteuttaa yhdessä tai useammassa fyysisessä laitteessa. Tarvittaessa identtisen toiminnon tarjoavia laitteita voi olla useita rinnakkain esimerkiksi kuormantasausta varten. Lisäksi kuviossa on esitetty yksinkertaisuuden vuoksi vain muutamia laitteita. Käytännön toteutuksessa laitteita saattaa olla huomattavasti enemmän. Järjestelmä käsittää Internet-verkon 103, tietoliikenneverkon 114 sekä palveluntarjoajan järjestelmän 101, joka käsittää tietokannan 102 (tai muun soveltuvan muistivälineen) tietojen tallentamista varten, ja tietoliikenneoperaattorin järjestelmän 110, joka käsittää tietokannan 112 (tai muun soveltuvan muistivälineen) tietojen tallentamista varten. Lisäksi järjestelmä käsittää käyttäjän 120, jolla on käytössään päätelaitteet 121 ja 122. Eräässä suoritusmuodossa päätelaite 122 on tietokone (tai muu Internetin käyttöön soveltuva elektroninen laite), joka on yhteydessä Internet-verkkoon 103, ja päätelaite 121 on mobiilipäätelaite, joka on yhteydessä tietoliikenneverkkoon 114. Käyttäjällä 122 voi olla pääsy Internet-verkkoon 103 myös päätelaitteen 121 ja tietoliikenneverkon 114 kautta. Mobiilipäätelaite voi olla esimerkiksi GSM/GPRS, CDMA, WCDMA tai LTE -laite.
Palveluntarjoajan järjestelmä 101 on yhteydessä Internet-verkkoon 103. Tietoliikenneoperaattorin järjestelmä 110 on yhteydessä tietoliikenneverkkoon 114 ja mahdollisesti myös suoraan Internet-verkkoon 103. Tietoliikenneverkko 114 voi käsittää useita erilaisia langattomia ja/tai langallisia tiedonsiirtoverkkoja. Tietoliikenneverkko 103 voi käsittää yhden tai useamman seuraavista verkoista:
Ethernet, ADSL/VDSL, WLAN, Bluetooth, GSM/GPRS, CDMA, WCDMA tai LTE -verkko.
Palveluntarjoajan järjestelmä 101 ja tietoliikenneoperaattorin järjestelmä 110 ovat yhteydessä toisiinsa. Tämä yhteys voi olla suora yhteys järjestelmien 101 ja 110 välillä tai se voi olla järjestetty Internet-verkon 103 ja/tai tietoliikenneverkon 114 kautta.
Eräässä suoritusmuodossa käyttäjä 120 käyttää päätelaitteella 122 Internet-verkon 103 kautta palveluntarjoajan järjestelmän 101 palvelua, joka edellyttää autentikoitumista.
Kuvio 2 esittää esimerkin eräästä laitteesta 20, joka sopii keksinnön joidenkin suoritusmuotojen toteuttamiseen. Laite voi olla esimerkiksi yleiskäyttöinen tietokone tai palvelin ja se voi olla sovitettu tarjoamaan esimerkiksi kuvion 1 palveluntarjoajan järjestelmän 101 tai tietoliikenneoperaattorin järjestelmän 110 toiminnallisuus tai jokin osa siitä.
Laite 20 käsittää prosessorin 21 laitteen toiminnan ohjaamiseksi ja muistin 22, joka käsittää tietokoneohjelman/-ohjelmiston 23 ja tietokannan 24. Tietokoneohjelmisto 23 voi käsittää ohjeita prosessorille laitteen 20 ohjaamiseksi, kuten esimerkiksi käyttöjärjestelmän ja eri sovelluksia. Lisäksi tietokoneohjelmisto 23 voi käsittää sovelluksen, joka käsittää ohjeet laitteen 20 ohjaamiseksi siten, että tuotetaan keksinnön jonkin suoritusmuodon mukainen toiminnallisuus.
Prosessori 21 voi olla esimerkiksi tietokoneen suoritin (central processing unit, CPU), mikroprosessori, digitaalinen signaaliprosessori (digital signal processor, DSP), grafiikkasuoritin, tai vastaava. Kuviossa on esitetty yksi prosessori, mutta laitteessa voi olla useita suorittimia.
Muisti 22 voi olla esimerkiksi lukumuisti (read-only memory, ROM), ohjelmoitava lukumuisti (programmable read-only memory, PROM), EPROM-muisti (erasable programmable read-only memory), EEPROM-muisti (electronically erasable programmable read-only memory), RAM-muisti (random-access memory), flash-muisti, optinen tai magneettinen muisti tai vastaava. Laitteessa voi olla useita muisteja. Muisti voi olla osa laitetta 20 tai se voi olla erillinen, laitteeseen 20 liitettävissä oleva moduuli. Muisti voi olla tarkoitettu ainoastaan tietojen tallentamiseen tai sitä voidaan käyttää myös tiedonkäsittelyyn.
Lisäksi laite 20 käsittää tietoliikenneyksikön 25. Tietoliikenneyksikkö tarjoaa rajapinnan muiden laitteiden kanssa kommunikoimiseen. Rajapinta voi olla esimerkiksi kiinteä, langallinen yhteys, kuten Ethernet yhteys tai ADSL/VDSL-yhteys, tai langaton yhteys, kuten WLAN, Bluetooth, GSM/GPRS, CDMA, WCDMA tai LTE -yhteys. Kommunikaatiorajapintamoduuli voi olla integroitu laitteeseen 20 tai se voi olla osa adapteria, korttia tai vastaavaa, joka voidaan liittää laitteeseen 20. Tietoliikenneyksikkö voi tukea yhtä tai useampaa kommunikaatioteknologiaa tai laitteessa voi olla useita tietoliikenneyksiköitä.
Syötteen vastaanottamiseksi käyttäjältä ja tulosteiden antamiseksi käyttäjälle laite 20 voi käsittää myös käyttöliittymäyksikön (ei esitetty kuviossa), joka voi käsittää esimerkiksi näytön ja näppäimistön (ei esitetty kuviossa), jotka voivat olla integroitu osa laitetta 20 tai laitteeseen 20 liitettävissä olevia itsenäisiä osia. Käyttöliittymää ei kuitenkaan välttämättä tarvita tai käyttöliittymä voi olla toteutettu etäyhteytenä tietoliikenneyksikön 25 kautta.
Kuviossa 2 esitettyjen elementtien lisäksi laite 20 voi käsittää muitakin elementtejä.
Kuvio 3 esittää keksinnön erään suoritusmuodon mukaisen menetelmän, joka voidaan suorittaa esimerkiksi kuvion 1 järjestelmän operaattorin järjestelmässä 110 tai kuvion 2 laitteessa 20.
Vaiheessa 31 vastaanotetaan autentikoitavan käyttäjän identifiointitieto, joka voi olla esimerkiksi käyttäjän puhelinnumero tai muu käyttäjätunniste.
Vaiheessa 32 valitaan käytettävä lähetysnumero. Valinta voidaan suorittaa käyttäjäkohtaisesta lähetysnumerojoukosta. Valinta voidaan tehdä satunnaisesti.
Vaiheessa 33 toimitetaan käyttäjälle näytettäväksi valitun lähetysnumeron identifiointitieto. Käyttäjällä voi olla esimerkiksi lähetysnumerotaulukko, jossa on lista järjestysnumerolta ja niitä vastaavat lähetysnumerot, ja lähetysnumeron identifiointitieto on joku kyseisistä järjestysnumeroista.
Vaiheessa 34 lähetetään käyttäjälle tunnistautumispyyntö valitusta lähetysnumerosta esimerkiksi tekstiviestinä. Tunnistautumispyynnössä voidaan pyytää esimerkiksi tiettyä järjestysnumeroa vastaavaa tunnistautumiskoodia tai PIN-koodia.
Vaiheessa 35 vastaanotetaan lähetysnumeroon tunnistautumiskoodi vastauksena tunnistautumispyyntöön. Tässä on huomattava, että jos käyttäjä toteaa (lähetysnumerotaulukon perusteella), että tunnistautumispyyntö tuli väärästä numerosta, käyttäjä ei todennäköisesti vastaa pyyntöön. Tällöin vastausta ei saada ja prosessi päättyy tähän.
Vaiheessa 36 tunnistetaan käyttäjä tunnistautumiskoodin perusteella. Tässä on huomattava, että varsinainen tunnistaminen voidaan suorittaa eri järjestelmässä kuin muut menetelmän vaiheet. Tunnistautumiskoodi voidaan esimerkiksi välittää kuvion 1 järjestelmän palveluntarjoajan järjestelmään 101 ja tunnistaminen voidaan suorittaa siellä.
Kuvio 4 esittää keksinnön erään suoritusmuodon mukaisen menetelmän, joka voidaan suorittaa esimerkiksi kuvion 1 järjestelmän operaattorin järjestelmässä 110 tai kuvion 2 laitteessa 20.
Vaiheessa 41 vastaanotetaan autentikoitavan käyttäjän identifiointitieto, joka voi olla esimerkiksi käyttäjän puhelinnumero tai muu käyttäjätunniste, ja käytettävän lähetysnumeron identifiointitieto. Lähetysnumero voi olla käyttäjän valitsema tai se voi olla valittu jossakin muussa järjestelmässä. Käyttäjällä voi olla esimerkiksi lähetysnumerotaulukko, jossa on lista järjestysnumerolta ja niitä vastaavat lähetysnumerot, ja lähetysnumeron identifiointitieto on joku kyseisistä järjestysnumeroista.
Vaiheessa 44 lähetetään käyttäjälle tunnistautumispyyntö vaiheessa 41 vastaanotettua identifiointitietoa vastaavasta lähetysnumerosta. Tunnistautumispyynnössä voidaan pyytää esimerkiksi tiettyä järjestysnumeroa vastaavaa tunnistautumiskoodia tai PIN-koodia.
Vaiheessa 35 vastaanotetaan lähetysnumeroon tunnistautumiskoodi vastauksena tunnistautumispyyntöön. Tässä on huomattava, että jos käyttäjä toteaa (lähetysnumerotaulukon perusteella), että tunnistautumispyyntö tuli väärästä numerosta, käyttäjä ei todennäköisesti vastaa pyyntöön. Tällöin vastausta ei saada ja prosessi päättyy tähän.
Vaiheessa 36 tunnistetaan käyttäjä tunnistautumiskoodin perusteella. Tässä on huomattava, että varsinainen tunnistaminen voidaan suorittaa eri järjestelmässä kuin muut menetelmän vaiheet. Tunnistautumiskoodi voidaan esimerkiksi välittää kuvion 1 järjestelmän palveluntarjoajan järjestelmään 101 ja tunnistaminen voidaan suorittaa siellä.
Kuvio 5A esittää keksinnön erään suoritusmuodon mukaisen viestikaavion, joka voidaan toteuttaa esimerkiksi kuvion 1 järjestelmässä.
Viestinvälitystä ja toimenpiteitä Kuviossa 5A on selitetty seuraavassa: 501. Käyttäjä avaa palvelua tarjoavan verkkosivun ja syöttää verkkosivustolle puhelinnumeronsa autentikointia varten. Lisäksi käyttäjältä voidaan pyytää erillinen salasana (tällä pyritään estämään toisten ihmisten puhelinnumeroiden väärinkäyttö). 502. Autentikointijärjestelmä tunnistaa käyttäjän annetun puhelinnumeron perusteella (heikko tunnistus, jossa tarkistetaan esimerkiksi löytyykö annettu puhelinnumero palvelun käyttäjien puhelinnumeroiden joukosta). Järjestelmä tunnistaa myös autentikointia pyytävän verkkosivuston.
Vaihtoehtoisessa suoritusmuodossa käyttäjä antaa vaiheessa 501 käyttäjätunnuksen ja salasanan ja vaiheessa 502 autentikointijärjestelmä tunnistaa käyttäjän käyttäjätunnuksen ja salasanan avulla ja hakee käyttäjän tiedoista käyttäjän puhelinnumeron. 503. Autentikointijärjestelmä valitsee satunnaisesti lähetysnumeron joukosta lähetysnumeroita, esimerkiksi käyttäjäkohtaisesta lähetysnumerolistasta. Autentikointijärjestelmä välittää valittua lähetysnumeroa vastaavan identifiointitiedon, kuten esimerkiksi järjestysnumeron, verkkosivustolle. 504. Verkkosivusto esittää valitun lähetysnumeron identifiointitiedon käyttäjälle. 505. Autentikointijärjestelmä lähettää valitusta lähetysnumerosta autentikointipyynnön, jossa kysytään PIN-järjestysnumeroa vastaava PIN-koodi tai muu tunnistautumiskoodi. PIN-koodit voivat olla kertakäyttöisiä (viivataan yli) tai monikäyttöisiä. 506. Käyttäjä tarkistaa kooditaulukostaan, vastaako autentikointipyynnön lähetysnumero verkkosivustolla esitettyä järjestysnumeroa. Jos lähetysnumero ei vastaa oikeaa järjestysnumeroa, käyttäjä tietää, että kysely ei tule oikeasta paikasta ja että kysely on väärennetty. 507. Mikäli lähetysnumero vastaa oikeaa järjestysnumeroa, käyttäjä valitsee PIN-järjestysnumeroa vastaavan PIN-koodin. 508. Käyttäjä vastaa saapuneeseen autentikointiviestiin pyydetyttyä PIN-järjestysnumeroa vastaavalla PIN-koodilla (tai muulla tunnistautumiskoodilla). 509. Autentikointijärjestelmä tarkistaa vastaanotetun PIN-koodin esimerkiksi tarkistamalla onko käyttäjän lähettämä PIN-koodi sama kuin alkuperäisen autentikointipyynnön järjestysnumeroa vastaava PIN-koodi. 510. Jos PIN-koodit vastaavat toisiaaan, autentikointijärjestelmä lähettää verkkosivustolle vahvistuksen käyttäjän oikeellisuudesta. 511. Verkkosivusto päästää käyttäjän palveluun.
Kuvio 5B esittää keksinnön erään suoritusmuodon mukaisen viestikaavion, joka voidaan toteuttaa esimerkiksi kuvion 1 järjestelmässä.
Viestinvälitystä ja toimenpiteitä Kuviossa 5B on selitetty seuraavassa: 531. Käyttäjä avaa palvelua tarjoavan verkkosivun ja syöttää verkkosivustolle puhelinnumeronsa autentikointia varten. Lisäksi käyttäjä antaa verkkosivulle lähetysnumerolistasta valitsemaansa lähetysnumeroa vastaavan identifiointitiedon, kuten esimerkiksi järjestysnumeron. Lisäksi käyttäjältä voidaan pyytää erillinen salasana (tällä pyritään estämään toisten ihmisten puhelinnumeroiden väärinkäyttö). 532. Autentikointijärjestelmä tunnistaa käyttäjän annetun puhelinnumeron perusteella (heikko tunnistus, jossa tarkistetaan löytyykö annettu puhelinnumero palvelun käyttäjien puhelinnumeroiden joukosta). Järjestelmä tunnistaa myös autentikointia pyytävän verkkosivuston.
Vaihtoehtoisessa suoritusmuodossa käyttäjä antaa vaiheessa 531 käyttäjätunnuksen ja salasanan ja vaiheessa 532 autentikointijärjestelmä tunnistaa käyttäjän käyttäjätunnuksen ja salasanan avulla ja hakee käyttäjän tiedoista käyttäjän puhelinnumeron. 535. Autentikointijärjestelmä lähettää käyttäjän antamaa identifiointitietoa vastaavasta lähetysnumerosta autentikointipyynnön, jossa kysytään PIN-järjestysnumeroa vastaava PIN-koodi tai muu tunnistautumiskoodi. PIN-koodit voivat olla kertakäyttöisiä (viivataan yli) tai monikäyttöisiä. 536. Käyttäjä tarkistaa kooditaulukostaan, vastaako autentikointipyynnön lähetysnumero valittua järjestysnumeroa. Jos lähetysnumero ei vastaa oikeaa järjestysnumeroa, käyttäjä tietää, että kysely ei tule oikeasta paikasta ja että kysely on väärennetty.
Kuvion 5B vaiheet 507-511 vastaavat kuvion 5A vastaavia vaiheita.
Kuvio 6 esittää keksinnön erään suoritusmuodon mukaisen käyttäjäkohtaisen kooditaulukon 601. Kooditaulukko 601 käsittää joukon järjestysnumerolta 602 ja kutakin järjestysnumeroa vastaavan lähetysnumeron 603. Lisäksi kooditaulukko 601 käsittää joukon PIN-järjestysnumeroita 604 ja kutakin PIN-järjestysnumeroa vastaavan PIN-koodin 605. Tässä esimerkkitaulukossa 601 on yhtä monta lähetysnumeroa ja PIN-koodia, mutta tämä ei ole pakollista. Taulukko voi käsittää useampia PIN-koodeja kuin lähetysnumeroita tai päinvastoin. PIN-koodit ja/tai lähetysnumerot voivat olla kertakäyttöisiä tai uudelleenkäytettäviä.
Kuviot 7A-7C esittävät keksinnön eräiden suoritusmuotojen mukaisia prosessikaavioita, jotka havainnollistavat keksinnön joidenkin suoritusmuotojen eri vaiheiden suorittamista käyttäjän, palveluntarjoajan järjestelmän ja operaattorin järjestelmän toimesta.
Kuvion 7A vaiheita on selitetty seuraavassa: 701. Käyttäjällä on tarve päästä palveluun. 702. Käyttäjä antaa GSM-numeronsa, salasanan ja valitsemaansa lähetysnumeroa vastaavan järjestysnumeron. Käyttäjä valitsee lähetysnumeron lähetysnumerotaulukosta 703. 704. Palveluntarjoaja vastaanottaa autentikointipyynnön ja sen mukana käyttäjän antamat autentikointiparametrit eli GSM-numeron, salasanan ja lähetysnumeroa vastaavan järjestysnumeron. 705. Palveluntarjoaja suorittaa käyttäjän heikon tunnistuksen käyttäjän antamien tietojen perusteella esimerkiksi vertaamalla käyttäjän antamia tietoja palveluntarjoajan tietokannan 706 tietoihin. Tarvittaessa autentikointi voidaan todeta epäonnistuneeksi heikon tunnistuksen perusteella ja käyttäjältä evätään pääsy palveluun (ei näytetty kuviossa). 707. Palveluntarjoaja välittää autentikointiparametrit verkko-operaattorille. 708. Operaattori vastaanottaa autentikointiparametrit. 709. Operaattori valitsee vastaanotettua järjestysnumeroa vastaavan lähetysnumeron operaattorin tietokannan 710 tietojen perusteella. 711. Operaattori lähettää käyttäjälle PIN-koodikyselyn valitusta lähetysnumerosta. 712. Käyttäjää vastaanottaa PIN-koodikyselyn. 713. Käyttäjä tarkistaa PIN-koodikyselyn lähetysnumeron lähetysnumerotaulukon 703 avulla. 714. Jos lähetysnumero on väärä, käyttäjä toteaa palvelun autentikoinnin epäonnistuneeksi, eikä jatka palvelun käyttöä. 716. Jos lähetysnumero on oikea, käyttäjä valitsee kooditaulukosta 715 pyydetyn koodin ja lähettää sen vastauksena PIN-koodikyselyyn. 717. Operaattori vastaanottaa PIN-koodin. 718. Operaattori välittää PIN-koodin ja käyttäjän GSM-numeron palveluntarjoajalle. 719. Palveluntarjoaja tarkistaa PIN-koodin oikeellisuuden. 720. Jos PIN-koodin on väärä, palveluntarjoaja hylkää autentikointipyynnön ja käyttäjältä evätään pääsy palveluun. 721. Jos PIN-koodin on oikea, palveluntarjoaja hyväksyy autentikointipyynnön. 722. Käyttäjälle myönnetään pääsy palveluun.
Kuvion 7B vaiheita on selitetty seuraavassa: 701. Käyttäjällä on tarve päästä palveluun. 732. Käyttäjä antaa GSM-numeronsa ja salasanan. 733. Palveluntarjoaja vastaanottaa autentikointipyynnön ja sen mukana käyttäjän antamat autentikointiparametrit eli GSM-numeron ja salasanan. 705. Palveluntarjoaja suorittaa käyttäjän heikon tunnistuksen käyttäjän antamien tietojen perusteella esimerkiksi vertaamalla käyttäjän antamia tietoja palveluntarjoajan tietokannan 706 tietoihin. Tarvittaessa autentikointi voidaan todeta epäonnistuneeksi heikon tunnistuksen perusteella ja käyttäjältä evätään pääsy palveluun (ei näytetty kuviossa). 735. Palveluntarjoaja valitsee lähetysnumeron joukosta lähetysnumeroita ja liittää autentikointiparametreihin valittua lähetysnumeroa vastaavan järjestysnumeron ja esittää kyseessä olevan järjestysnumeron käyttäjälle (verkkosivustolla). 707. Palveluntarjoaja välittää autentikointiparametrit verkko-operaattorille. 708. Operaattori vastaanottaa autentikointiparametrit. 709. Operaattori valitsee vastaanotettua järjestysnumeroa vastaavan lähetysnumeron operaattorin tietokannan 710 tietojen perusteella. 711. Operaattori lähettää käyttäjälle PIN-koodikyselyn valitusta lähetysnumerosta.
Kuvion 7B vaiheet 712-722 vastaavat kuvion 7A vastaavia vaiheita.
Kuvion 7C vaiheita on selitetty seuraavassa: 702. Käyttäjällä on tarve päästä palveluun. 732. Käyttäjä antaa GSM-numeronsa ja salasanan. 734. Palveluntarjoaja vastaanottaa autentikointipyynnön ja sen mukana käyttäjän antamat autentikointiparametrit eli GSM-numeron ja salasanan. 747. Palveluntarjoaja välittää autentikointiparametrit verkko-operaattorille. 708. Operaattori vastaanottaa autentikointiparametrit. 709. Operaattori valitsee lähetysnumeron joukosta lähetysnumeroita operaattorin tietokannan 710 avulla ja toimittaa valittua lähetysnumeroa vastaavan järjestysnumeron palveluntarjoajalle. 748. Palveluntarjoaja esittää valittua lähetysnumeroa vastaavan järjestysnumeron käyttäjälle (verkkosivustolla). 711. Operaattori lähettää käyttäjälle PIN-koodikyselyn valitusta lähetysnumerosta.
Kuvion 7C vaiheet 712-718 ja 720-722 vastaavat kuvion 7A vastaavia vaiheita. Kuvion 7A palveluntarjoajan suorittama PIN-koodin tarkistus 719 on korvattu kuviossa 7C operaattorin suorittamalla PIN-koodin tarkistuksella 749.
Edellä esitetty selitys tarjoaa ei-rajoittavia esimerkkejä keksinnön joistakin suoritusmuodoista. Alan ammattimiehelle on selvää, että keksintö ei kuitenkaan rajoitu esitettyihin yksityiskohtiin vaan, että keksintö voidaan toteuttaa myös muilla ekvivalenttisilla tavoilla. On esimerkiksi ymmärrettävä, että esitetyissä menetelmissä yksittäisten menetelmävaiheiden järjestystä voidaan muuttaa ja että joitakin vaiheita voidaan toistaa useita kertoja tai jättää kokonaan pois. On myös ymmärrettävä, että tässä dokumentissa termit käsittää ja sisältää ovat avoimia ilmaisuja eikä niitä ole tarkoitettu rajoittaviksi.
Lisäksi esitettyjen keksinnön suoritusmuotojen joitakin piirteitä voidaan hyödyntää ilman muiden piirteiden käyttöä. Edellä esitettyä selitystä täytyy pitää sellaisenaan vain keksinnön periaatteita kuvaavana selityksenä eikä keksintöä rajoittavana. Keksinnön suojapiiriä rajoittavat vain oheistetut patenttivaatimukset.

Claims (11)

1. Autentikointimenetelmä käyttäjän (120) autentikoimiseksi sähköiseen palveluun (101), jota palvelua käyttäjä käyttää ensimmäistä kommunikaatioyhteystyyppiä käyttäen ja johon palveluun pääsemiseksi käyttäjältä vaaditaan käyttäjän hallussa oleva tunnistautumiskoodi, jossa menetelmässä lähetetään (34, 44, 711) käyttäjälle toista kommunikaatioyhteystyyppiä käyttäen tunnistautumispyyntö (505, 535), jossa tunnistautumispyynnössä pyydetään mainittua tunnistautumiskoodia, tunnettu siitä, että menetelmässä lähetetään mainittu tunnistautumispyyntö (505, 535) ennalta määrätystä, vaihtuvasta lähetysnumerosta, missä käytettävä lähetysnumero autentikoi (713) käyttäjälle mainitun palvelun ja käytettävän lähetysnumeron identifiointitieto on käyttäjän tiedossa lähetysnumeron oikeellisuuden varmistamista varten.
2. Vaatimuksen 1 menetelmä, tunnettu siitä, että mainittu toinen kommunikaatioyhteystyyppi on tekstiviesti tai multimediaviesti.
3. Vaatimuksen 1 menetelmä, tunnettu siitä, että menetelmässä lisäksi toimitetaan käyttäjälle tai vastaanotetaan käyttäjältä valittuun lähetysnumeroon assosioitu identifiointitieto mainittua ensimmäistä kommunikaatioyhteystyyppiä käyttäen.
4. Minkä tahansa edellisen vaatimuksen menetelmä, tunnettu siitä, että mainittu ensimmäinen kommunikaatioyhteystyyppi on Internet-yhteys.
5. Minkä tahansa edellisen vaatimuksen menetelmä, tunnettu siitä, että mainittu ennalta määrätty, vaihtuva lähetysnumero valitaan (32, 702, 709, 735) käyttäjäkohtaisesta lähetysnumerojoukosta.
6. Minkä tahansa edellisen vaatimuksen menetelmä, tunnettu siitä, että mainittu ennalta määrätty, vaihtuva lähetysnumero on mainitun käyttäjän valitsema (702).
7. Minkä tahansa vaatimuksen 1-5 menetelmä, tunnettu siitä, että mainittu ennalta määrätty, vaihtuva lähetysnumero valitaan (709) autentikointijärjestelmässä.
8. Minkä tahansa vaatimuksen 1-5 menetelmä, tunnettu siitä, että mainittu ennalta määrätty, vaihtuva lähetysnumero valitaan (735) mainitussa sähköisessä palvelussa.
9. Minkä tahansa edellisen vaatimuksen menetelmä, tunnettu siitä, että menetelmässä lisäksi, valitaan (32, 735, 709) mainittu ennalta määrätty, vaihtuva lähetysnumero satunnaisesti joukosta lähetysnumeroita, ja toimitetaan (33, 748) käyttäjälle näytettäväksi valittuun lähetysnumeroon assosioitu identifiointitieto.
10. Laite (20), joka laite käsittää prosessorin (21) ja muistiin tallennetun tietokoneohjelman (23), joka on konfiguroitu yhdessä mainitun ainakin yhden prosessorin kanssa ohjaamaan mainittu laite suorittamaan minkä tahansa vaatimuksen 1-9 mukainen menetelmä.
11 .Tietokoneohjelma, joka käsittää tietokoneella suoritettavissa olevan ohjelmakoodin, tunnettu siitä, että suoritettaessa ohjelmakoodi ohjaa tietokoneen suorittamaan minkä tahansa vaatimuksen 1-9 mukaisen menetelmän.
FI20135408A 2013-04-22 2013-04-22 Autentikointimenetelmä FI125146B (fi)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FI20135408A FI125146B (fi) 2013-04-22 2013-04-22 Autentikointimenetelmä

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20135408 2013-04-22
FI20135408A FI125146B (fi) 2013-04-22 2013-04-22 Autentikointimenetelmä

Publications (2)

Publication Number Publication Date
FI20135408A FI20135408A (fi) 2014-10-23
FI125146B true FI125146B (fi) 2015-06-15

Family

ID=51868619

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20135408A FI125146B (fi) 2013-04-22 2013-04-22 Autentikointimenetelmä

Country Status (1)

Country Link
FI (1) FI125146B (fi)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10944577B2 (en) 2015-04-21 2021-03-09 Nokia Technologies Oy Certificate verification

Also Published As

Publication number Publication date
FI20135408A (fi) 2014-10-23

Similar Documents

Publication Publication Date Title
US9628282B2 (en) Universal anonymous cross-site authentication
US10013548B2 (en) System and method for integrating two-factor authentication in a device
EP2651097B1 (en) Method of authenticating a user at a service on a service server, application and system
JP7361703B2 (ja) デバイスペアリングシステムおよび方法、ならびにデバイス通信制御システムおよび方法
US9548975B2 (en) Authentication method, authentication system, and service delivery server
ES2938270T3 (es) Método para autenticar un usuario, y dispositivos, servidor y sistema de usuario correspondientes
ES2785048T3 (es) Conexión automática a un servicio en línea
US9787678B2 (en) Multifactor authentication for mail server access
EP2922284A1 (en) Conference access method and device
US10630669B2 (en) Method and system for user verification
CN108028755B (zh) 用于认证的方法及装置
CN105100093A (zh) 一种身份认证的方法和服务器
US20130109349A1 (en) Mobile identity verification
FI125146B (fi) Autentikointimenetelmä
KR101739446B1 (ko) 사용자 인증 시스템 및 인증 방법
KR20140090279A (ko) 서비스 보안 인증 방법 및 이를 구현한 웹 애플리케이션 서버
KR102054424B1 (ko) 사용자 단말과의 복수 채널 인증을 지원하는 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체
KR20130124447A (ko) 지능형 로그인 인증 시스템 및 그 방법
FI126872B (fi) Käyttäjäntunnistusmenetelmä
JP5632429B2 (ja) オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
EP3268890B1 (en) A method for authenticating a user when logging in at an online service
CN102318376A (zh) 用于实现隐私控制的方法和系统
US8424070B1 (en) Dynamic network-centric generation of public service access identification
US11968531B2 (en) Token, particularly OTP, based authentication system and method
KR20060011752A (ko) 모바일 컨텐츠 제공 방법

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 125146

Country of ref document: FI

Kind code of ref document: B

Effective date: 20150615