JP4384117B2 - データ処理システムのユーザーの認証方法及びシステム - Google Patents

データ処理システムのユーザーの認証方法及びシステム Download PDF

Info

Publication number
JP4384117B2
JP4384117B2 JP2005510422A JP2005510422A JP4384117B2 JP 4384117 B2 JP4384117 B2 JP 4384117B2 JP 2005510422 A JP2005510422 A JP 2005510422A JP 2005510422 A JP2005510422 A JP 2005510422A JP 4384117 B2 JP4384117 B2 JP 4384117B2
Authority
JP
Japan
Prior art keywords
data processing
authentication
mobile communication
user
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005510422A
Other languages
English (en)
Other versions
JP2007524259A (ja
Inventor
マウロ・センティネッリ
Original Assignee
テレコム・イタリア・エッセ・ピー・アー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレコム・イタリア・エッセ・ピー・アー filed Critical テレコム・イタリア・エッセ・ピー・アー
Publication of JP2007524259A publication Critical patent/JP2007524259A/ja
Application granted granted Critical
Publication of JP4384117B2 publication Critical patent/JP4384117B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

一般に本発明はデータ処理システムの分野に関し、特にデータ処理システムのユーザーの認証方法に関する。
現在、所定のサービスにアクセスする権利をデータ処理システムのユーザーに認めるために該ユーザーを認証(すなわち、その身元を検証)することは、特に切実な問題である。
明細書でサービスなる用語は、コンピュータ及び/又はコンピュータネットワークへの簡単なログイン、企業、行政、政府機関のイントラネット及び/又はインターネットへの接続、電子メッセージサービスへのアクセス、例えばリモートバンキングサービス(口座の点検及び/又は処分の配置)を提供するウェブサイトへのアクセス、データベースへのアクセスなど(これは単なる限定であって、本明細書中でサービスが意味するものを網羅するものでは全くない)を含めて、データ処理システムがユーザーに提供できるどんなサービスでも含むように広く解釈されるべきである。
特に、これらのサービスがユーザーの秘密情報、例えば二三の例を挙げれば電子メッセージのメールボックス、又は例えば個人の健康に関する個人情報、又は企業の研究プロジェクトの内容などを利用可能にすることを伴うときはいつでも、データ処理システムにより提供される特定のサービスへのアクセスをリクエストするユーザーの確実な認証が重要である。
ユーザーを認証するこの問題は、インターネット(その目覚ましい成功にもかかわらず、非常に不確かなものとして知られている)のような大規模なデータ処理システムだけでなく、従業員賃金台帳データベース、会計記録などの特定サービスへのアクセスが選択に基づいてユーザーに許可される中小企業のデータ処理インフラストラクチャなどの小規模なものにおいても直面する。
いくつかの認証方法が提案されてきた。おそらく最も広く採用されている認証解決策は、ユーザーが個人識別コード、典型的にはユーザー名とパスワードとの対を提示することを、所定のサービスへのアクセスの条件とすることに基づいている。
静的パスワードに基づいた認証としても知られるこの技術は、まったく安全でない。というのは、例えばユーザーに割り当てられたユーザー名とパスワードを忘れるのが心配なユーザーは、それらを例えば紙に書き留めるかもしれず、厳重に秘匿すべきこれらの個人識別コードに他人がアクセスできる可能性を与え、またさらに、通常はユーザー名とパスワードは何らの暗号化もされずにデータ処理システムを移動するので、データトラヒックに聞き耳を立てている他の人が多かれ少なかれ不正に取得できるからである。
米国特許第6,230,002号B1には、GSM(Global System for Mobile communications)移動端末に接続された無線ホストの認証に関する改良された認証方法が記載されている。この方法では、無線ホストに連結されたGSM移動端末の加入者識別モジュール(SIM)によりパスワードが生成され、生成されたパスワードは(GSMネットワークを介して)プライベートネットワークの認証サーバに伝達され、その保護されたサイトへのアクセスを実現する。
最近提案された認証方法のいくつかは、携帯電話通信システム、特にGSMのレルムに基づいている。
この種のすべての方法において、あらゆる携帯電話が含むSIMが認証に用いられ、このSIMに、携帯電話通信サービスの加入者についての情報、特に携帯電話がGSMネットワークにアクセスすることを許可するのに用いられるデータが記憶される。
これは、例えば国際出願第WO00/02406号に記載の認証方法及びシステムの場合であり、ユーザーのインターネットプロトコル(IP)ネットワーク端末(例えば、パーソナルデジタルアシスタントPDA)を介してIPネットワークに接続することを欲しているIP通信網(インターネットなど)のユーザーが、IPネットワークにおける認証のためにユーザーのGSM携帯電話で用いるのと同じ(又は本質的に類似の)SIMを使用し、それにより、既存のGSMネットワークの認証方法がIPネットワークにおける認証に利用される。
他の公知の認証方法では、GSM電話網により形成された安全なSIM認証式の通信チャネルが利用されてパスワードをユーザーに配送し、次に、ユーザーが、例えば、ユーザー個人の携帯電話で受信したパスワードを用いてインターネットなどの安全でないチャネルを介して提供されるサービスにアクセスする。
この種の方法の例が、米国特許出願公開第2003/0061503号A1に記載されており、その認証方法によると、ユーザーに対応する非認証デバイスが、サービスへのログイン中にインターネット又はローカルエリアネットワーク(LAN)若しくは無線LANなどの安全でないリンクを介してサービスをリクエストするとき、ユーザーは、接続された安全なリンクを識別して個人の携帯電話番号を与える。次にユーザーの携帯電話に連絡され(好ましくは1回だけ使用可能な)パスワードがユーザーに知らされ、そして、非認証デバイスを介してパスワードを入れることにより、ユーザーがサービスにアクセスすることが認可される。
しかしながら、出願人は、当該技術において公知の認証方法は、多くの点で満足のいくものであるにもかかわらず、満足なレベルの認証の安全性を保証していないことに気付いた。
特に、上述した最初の2つの例に基づくシステムでは、データ処理システムのサービスの対象ユーザーを認証するのに用いられるSIMが、紛失するか又は正当な所有者に不正に引き抜かれるかもしれず、よって、認可されていない人が利用の制限されたサービスへのアクセスを許可されてしまうかもしれない。
GSMネットワークを介してパスワードを送ることに基づいたシステムでも、同様のことが起こり得る。この場合にもGSM端末、またはGSMネットワークにおいてユーザーのGSM端末を認証するのに用いられるSIMだけでさえ、紛失するかもしれず、又は不正に引き抜かれるかもしれず、それにより、認可されていない人が使用の制限されたサービスへのアクセスを許可されてしまうかもしれない。
米国特許第6,230,002号 国際出願第WO00/02406号 米国特許出願公開第2003/0061503号
出願人は、公知の認証技術を利用して達成可能なものよりも高度の安全性が望まれていると感じている。したがって、本発明の目的は、公知の認証方法の安全性を向上させることである。
出願人は、2つの加入者識別モジュールを利用する認証方法によって非常に高いレベルの安全性が達成できることが分かった。
特に出願人は、2つの認証段階、すなわち、限定サービスへのアクセスをリクエストするユーザーのデータ処理端末についてのSIMベースの認証と、移動通信網などの安全な通信網を用いて実行される第2段階のユーザー身元照合とを含んだ認証方法が提供されるならば、安全性のレベルが大いに高められることが分かった。
本発明の目的のため、SIMベースの認証によって、加入者識別モジュールに記憶された識別データの交換を伴うどんな認証でも用いられる。
本発明の第1の態様によると、データ処理システムにより提供される選ばれたサービスにデータ処理端末がアクセスすることを許可するためにユーザーのデータ処理端末を認証する請求項1に記載の方法が提案され、このユーザーは、移動通信網において使用するのに適した認証可能な移動通信端末を有している。
要するに、本方法は、データ処理システムにおけるユーザーのデータ処理端末についての第1のSIMベースの認証を認証データ処理サーバにて行うことを含む。この方法は、ユーザーのデータ処理端末と、データ処理端末のユーザーに発行された第1加入者識別モジュールとを操作可能に結合することを含む。
本方法はさらに、ユーザーの移動通信端末が移動通信網において認証された後に、移動通信網を介して移動通信端末にてユーザーに提供される識別情報に基づいた第2認証を、データ処理システムにおけるユーザーのデータ処理端末の認証の条件とすることを含む。
本発明の実施態様において前記第2認証は、
認証データ処理サーバにて第1パスワードを生成し;
移動通信網により第1パスワードを移動通信端末に送り;そして
第1パスワードと、第1パスワードに依存しデータ処理端末で入力されデータ処理システムを介して認証データ処理サーバに与えられる第2パスワードとの間の対応を調べることを含む。この第2パスワードは、データ処理端末を介してユーザーにより入力されるか、又は移動通信端末にて第1パスワードが受信されると自動的に入力され得る。
好ましくは、第1パスワードは限定回数だけ、特に1回だけ使用できる。
本発明の実施態様では、第2加入者識別モジュールがユーザーに発行され、これは、移動通信網内でユーザーの移動通信端末の認証を行うべく該移動通信端末において用いるよう適応している。第2加入者識別モジュールは、第1加入者識別モジュールとの固定的な1対1の関係を有してもよく、又は、第1加入者識別モジュールが、第2加入者識別モジュールの識別子、特に移動通信端末の電話番号と関連付けられてもよい。
本発明の実施態様では、前記識別情報は、ショートメッセージサービス(SMS)のメッセージによりユーザーの移動通信端末に送られる。
特に、第1加入者識別モジュールは、移動通信端末を認証するために移動通信網において採用されるタイプのものである。よって、データ処理端末のこの第1のSIMベースの認証は、データ処理システムの認証サーバに第1加入者識別モジュールを認証させることを含む。この認証サーバは、実質的に移動通信網オペレータの認証センターとして機能する。
本発明の別の態様によると、データ処理システムにより提供される選ばれたサービスへのアクセスが許可されように、データ処理システムにおけるデータ処理端末が認証される請求項12に記載の方法が提供される。
特に、この方法は、
ユーザーのデータ処理端末のSIMベースの認証を実行するために、操作可能にデータ処理端末に結合された第1ユーザーの加入者識別モジュールと相互作用し、データ処理システムにおける認証データ処理サーバと相互作用し、
移動通信網を介して認証されたユーザーの移動通信端末にてユーザーに提供される個人識別情報を取得し、そして
データ処理端末の前記認証を完了するために前記個人識別情報を認証データ処理サーバに送ることを含む。
第1加入者識別モジュールは、移動通信網において移動通信端末を認証するのに採用されるタイプのものでよい。
この方法はさらに、
第1加入者識別モジュールからSIM識別データを検索し;
実質的に移動通信網オペレータの認証センターとして機能する認証サーバに、検索したSIM識別データを伝達し;
SIM識別データに対応するSIM認証データを認証サーバから受信し、該SIM識別データを第1加入者識別モジュールに送り;そして
第1加入者識別モジュールにより生成されるレスポンスを認証サーバに伝達すること
を含み得る。
また、ユーザーのデータ処理端末がデータ処理システムにより提供される選ばれたサービスにアクセスすることを許可するために、認証データ処理サーバがユーザーのデータ処理端末を認証する請求項16に記載の方法が提供される。
この方法は、
第1加入者識別モジュールに操作可能に結合されているデータ処理端末の認証リクエストを受信し;
第1加入者識別モジュールに関連付けられたデータに基づいてデータ処理端末についてのSIMベースの認証を行い;
移動通信網において認証されたユーザーの認証可能な移動通信端末を利用することによりユーザーに第1個人識別情報を提供し、そして
ユーザーに提供された第1個人識別情報と、第1個人識別情報の提供に応答してユーザーのデータ処理端末から受信した第2個人識別情報との間の所定の対応を、ユーザーのデータ処理端末の認証の条件とすること
を含む。
特に、第1加入者識別モジュールは、移動通信網において移動通信端末を認証するのに採用されるタイプであり、認証データ処理サーバは、実質的に移動通信網オペレータの認証センターとして機能する。
この方法はさらに、
認証データ処理サーバにて第1パスワードを生成し、該第1パスワードを移動通信網によりユーザーの移動通信端末に送り;そして
第1パスワードと、第1パスワードに依存してデータ処理端末に入力されデータ処理システムを介して認証データ処理サーバに提供される第2パスワードとの間の所定の対応を、データ処理システムにおけるデータ処理端末の認証の条件とすること
を含み得る。
さらに、本発明は、実行時に上記方法を実施するためユーザーのデータ処理端末及び認証データ処理サーバのワーキングメモリに直接ロード可能なコンピュータプログラム、及び該コンピュータプログラムを記憶するコンピュータ読取り可能な記憶媒体を含むコンピュータプログラムプロダクトを包含する。
本発明のさらに別の態様によると、データ処理端末がデータ処理システムにより提供される選ばれたサービスにアクセスすることを許可するためにユーザーのデータ処理端末を認証するシステムが提供される。ユーザーは、移動通信網(例えば、GSM、GPRS、UMTSネットワークの一つ)において認証後に使用するのに適応した移動通信端末を有する。
このシステムは、
データ処理端末に対して操作可能に結合可能な第1加入者識別モジュールと;
第1加入者識別モジュールに基づいて第1認証ステップを実行する認証データ処理サーバと
を備える。
認証データ処理サーバはさらに、移動通信網を介して移動通信端末にてユーザーに提供される識別情報に基づいた第2認証プロセスを実行するよう適応している。
特に、第1加入者識別モジュールは、移動通信網において移動通信端末を認証するのに採用されるタイプである。
本発明の実施態様では、第2加入者識別モジュールがユーザーに発行され、この第2加入者識別モジュールは、移動通信網において移動通信端末を認証するために移動通信端末内で用いられる。
第2加入者識別モジュールは、第1加入者識別モジュールに対して固定的な1対1の関係とするか、又は、第2加入者識別モジュールの識別子、特に移動通信端末のダイアルアップ電話番号に関連付けし得る。
好ましくは第1加入者識別モジュールは、コンピュータの周辺接続ポートを介してコンピュータに接続可能なコンピュータ周辺デバイスに結合される。
本発明のさらに別の態様によると、データ処理端末がデータ処理システムにより提供される選ばれたサービスにアクセスすることを許可するために、データ処理システムにおいてユーザーのデータ処理端末を認証する請求項23に記載の安全な認証キットが提供される。
このキットは、特に移動通信網において移動通信端末を認証するのに採用されるタイプの第1加入者識別モジュール;第1加入者識別モジュールに結合されており、かつユーザーのデータ処理端末に操作可能に結合し得るコンピュータ周辺デバイス;及びユーザーの移動通信端末を移動通信網に接続可能にするために該移動通信端末に操作可能に結合し得る第2加入者識別モジュールを含む。
このキットはまた、上記記載のコンピュータプログラムプロダクトの一つを含むこともできる。
本発明の特徴と利点は、単に非限定的な例により示されたいくつかの実施態様についての以下の詳細な説明から明らかとあるであろう。説明は添付図面を参照して行う。
図面を参照すると、本発明の実施態様による安全なユーザー認証方法を実施できる純粋に典型的な構成(限定するものではない)が、図1に図示されている。分散データ処理システム(全体的に参照番号100で示す)は、例えば企業又は行政機関などのエンティティのコンピューティング・インフラストラクチャを構成するプライベート・ローカル・コンピュータ・ネットワーク105、例えばローカルエリアネットワーク(LAN)、限定するものではないが特にイーサネット網、メトロポリタン・エリア・ネットワーク(MAN)又は広域ネットワーク(WAN)を含む。しかし、ローカルコンピュータネットワーク105の具体的な種類は、本発明の目的にはまったく関係がない。
極めて一般的な用語では、プライベートローカルコンピュータネットワーク105は、図示されたサーバコンピュータ110などの1以上のサーバコンピュータを含み、図示されたクライアントコンピュータ115a及び115bなどの複数のクライアントコンピュータに特定のサービスを提供する。様々なコンピュータがデータ通信インフラストラクチャ120に接続されることで、異なるコンピュータが相互通信できる。プライベートローカルネットワーク105における異なるコンピュータの処理能力は実質的に変わり得る。すなわち、ネットワークのクライアントコンピュータ115a、115bは、例えばパーソナルコンピュータであり、特にラップトップコンピュータなどのモバイルコンピュータ、又はエンティティのうち人員、例えば従業員により利用されてそれぞれの職務を実行するためのワークステーションである。また、サーバコンピュータ110は、適当に構成されたパーソナルコンピュータ、ワークステーション、又はメインフレームでさえあり得る。サーバコンピュータ110によりクライアントコンピュータ115a、115bに提供されるサービスとしては、電子ファイルの記憶(ファイルサーバ)、ソフトウェアアプリケーションサービス(アプリケーションサーバ)、データベース管理サービス(データベースサーバ)、電子メッセージ(電子メール又はEメール)サービス(メールサーバ)、及び他の任意の可能なサービスが挙げられる。プライベートローカルネットワーク105のサーバコンピュータ(1個又は複数)により提供されるサービス(1つ又は複数)の具体的な種類は本発明には関係ないけれども、以下では、単なる例としてサーバコンピュータ110が少なくともプライベートローカルネットワーク105のメールサーバとして機能することを仮定する。
プライベートローカルネットワーク105はまた、ゲートウェイ125、例えばISDN(統合サービスデジタル網)又はXDSL(デジタル加入者線)モデム/ルータを含み、プライベートローカルネットワーク105を外部のコンピュータネットワーク135へのアクセスポイント130aにインターフェースする。以下では、外部のコンピュータネットワーク135はオープンネットワーク、特にインターネット(よって本質的に安全でないネットワーク)であることを仮定するが、このことは本発明を制限するものと解釈されるべきでない。よって、アクセスポイント130aは例えばインターネット接続サービスプロバイダ(ISP)である。
遠隔ユーザーのコンピュータ140、例えばポータブルコンピュータもまた、アクセスポイント130bを介してインターネット135に接続される(接続できる)。このアクセスポイント130bは、アクセスポイント(ISP)130aと同じでもよく、又はより一般には、異なる地理的区域に位置する異なるアクセスポイントでもよく、又はこれら2つのアクセスポイント103a及び103bは同じISPの異なる接続拠点(POP)でもよい。このために、コンピュータ140は、例えばモデム(例えばISDNモデム)とダイアルアップ接続、又はXDSLモデムとアクセスポイント130bへのXDSL接続、又はアクセスポイント130bへの無線LAN(WLAN)接続(例えばWI−FI(WIreless-Fidelity)接続、すなわち、ホテルや空港などの分野で普及しつつある一種のインターネットアクセス)を利用する。
コンピュータ140の遠隔ユーザーUSERaは、例えばプライベートローカルネットワーク105の企業所有者の従業員である。この従業員は、その雇い主のプライベートローカルネットワーク105にアクセスしてそのサーバコンピュータ(1つ又は複数)110により提供されるサービスを遠隔位置から、すなわち、直接ローカルネットワーク105に接続することなく外部の(オープン)ネットワーク135を介して利用することを欲している。これは、例えば、仕事で又は休日で事務所の外にいる従業員が、企業のメールサーバ110にアクセスして個人のEメールのメールボックスを見て新しい緊急のメッセージがあるか調べることを欲している場合である。
プライベートローカルネットワーク105、特にメールサーバ110にアクセスするためには、遠隔ユーザーは、個人Eメールのメールボックスへの不正アクセスを回避すべく自分自身を認証してもらう必要があることが想定される。よって、プライベートローカルネットワーク105は、インターネット内での保護されたアクセスサイトとみなすことができる。これは単なる例であり、説明する認証方法は非常に一般的な適用可能性を有することに留意された。この点で、遠隔ユーザーUSERaは、プライベートローカルネットワーク105により提供されるサービスの認可されたユーザー、例えば、購入注文の状況を調べることを欲している例えばプライベートローカルネットワーク105の所有者の顧客でもよい。
本発明の実施態様によると、認証のために、遠隔ユーザーUSERaは、一対の加入者識別モジュール、特に(限定するものではないが)デジタル携帯電話システム(DCS)又はパブリック・ランド・モバイル・ネットワーク(PLMN)、例えば普及した移動通信用グローバルシステム(GSM)携帯電話網、又はその公知の拡張、例えば汎用パケット無線サービス(GPRS)ネットワーク(実際にはGSMネットワークのサブネットワーク)、又はユニバーサル・モバイル・テレコミニュケーション・システム(UMTS)ネットワーク(広帯域第三世代セルラー通信システム)、又は衛星による移動通信網において認証のために使用される種類の加入者識別モジュール(SIM)を備える。
当該技術において公知のように、通常SIMは、カード(ユーザー端末の小型化の規模に依存してクレジットカードの大きさ又はそれより小さい)の形態を有し、それに集積回路コンポーネントが組み込まれ、特に、暗号化と復号化だけでなくSIMの認証もサポートする個人化されたデータを記憶する。少なくとも現在までは、SIMに連結された移動通信端末を識別するためにSIM(及びSIMベースの認証プロシージャ)を使用することは、他のデバイスがその端末のふりをすることを不可能にすることで、例えば、その特定ユーザーに対応するアカウントへのアクセスの安全な認証を与える強力な方法であることが分かっている。
ユーザーのSIM対のうち第1のSIM(SIMa)は、遠隔ユーザーのコンピュータ140に(着脱自在に)操作可能に連結される。例えば、この第1SIM(SIMa)は、コンピュータ周辺デバイスに組み込まれる。この周辺デバイスは、例えばコンピュータ140のポート(図1では明示的に図示せず)、例えばユニバーサルシリアルバス(USB)ポート、又はそのPCMCIAポートに接続可能なハードウェア鍵145によって、又はスマートカードリーダー型でかつSIMと相互作用するよう適応した周辺装置によって機能的にアクセスできるようにコンピュータ140に操作可能に連結できる。又は、第1SIM(SIMa)は、メモリカードに組み込むこともできる。このメモリカードは、メモリカードリーダーによってコンピュータ140に操作可能に連結できる。第1SIM(SIMa)をコンピュータ140に操作可能に連結する具体的な方法は、本発明を限定するものではないことに留意されたい。一般には、第1SIM(SIMa)が任意の型の周辺ポートを介してコンピュータ140に接続された任意の型のアダプタ/リーダーデバイスによって(コンピュータ140とSIM(SIMa)との間で情報伝達できるようにするのに適した方法にて)コンピュータ140に操作可能に連結されることで十分である。
第2SIM(SIMb)が、ユーザーの携帯電話/通信端末150、例えばGSM(又はGPRS又はUMTS)ネットワークオペレータ160により操作されるGSM携帯電話網、GPRSネットワーク又はUMTSネットワークなどの移動通信網(例えば、PLMN)155における使用に適応した携帯電話に(着脱自在に)挿入される。
本発明の実施態様によると、第1SIM(SIMa)と第2SIM(SIMb)との間、及び2つのSIM(SIMa、SIMb)とユーザーUSERaとの間には1対1の関係が存在する。すなわち、2つのSIMを発行する当局、通常は必ずしも厳密ではないがGSMネットワークオペレータが、その特定の加入者ユーザーUSERaに関連したものとして2つのSIMの各々を見なすだけでなく、さらにSIM対の2つのSIM(SIMa及びSIMb)も互いに関連付けられていると見なされる。ここで述べる本発明の典型的な実施態様では唯一GSMネットワークオペレータ160を考えてはいるが、このことは本発明の限定として解釈されるべきではないことに留意されたい。様々なGSM(又はGPRS又はUMTS)ネットワークオペレータが、2つのSIMの間、及びSIM対とユーザーとの間の上記関連性が保証されているという条件で、協力して安全なユーザー認証サービスを提供することもできる。
より一般には、(例えばGSMネットワークオペレータにより管理されるある種のデータベースにおいて)第1SIM(SIMa)データと、第2SIM(SIMb)に連結されたユーザーの移動通信端末への連絡を可能にする識別標識(一般に電話番号)との間の関係を維持することで十分である。
また、図中には、2つのSIM(SIMa及びSIMb)に基づいた2ステップユーザー認証プロシージャを(少なくとも部分的に)管理する認証サーバコンピュータ165(より一般には、例えばコンピュータのネットワークを含んだ認証データ処理システム)が示されている。このプロシージャは以下で詳細に説明する。極めて一般的にいえば、認証サーバコンピュータ165はインターネット135に接続されており、図示された例では、GSMネットワークオペレータ160(この場合認証サービスはGSMネットワークオペレータにより提供されるサービスの一つである)の一部である。しかし、一般には認証サーバコンピュータ165は必ずしもその一部である必要はなく、単に(安全な通信リンク、例えば仮想プライベートネットワークなどにより)GSMネットワークオペレータ160と通信してもよい。
図2は、ここに記載の本発明の実施態様による認証プロシージャの理解に関係する機能ブロックにより、GSMネットワークオペレータ160と認証サーバコンピュータ165を概略的に示す。
認証サーバコンピュータ165は、遠隔コンピュータ140のSIMベースの認証を実行するのに適応している。本明細書の冒頭部分で述べたように、遠隔コンピュータ140などのユーザーデータ処理端末についてのSIMベースの認証機構はそれ自体は公知であり、そのような機構を実現可能にする構成例が、上記国際出願第WO00/02406号に記載されている。具体的な詳細には入らないが、認証サーバコンピュータ165は、認証サーバ200を含み、この認証サーバ200は、インターネット135とプロクシサーバ210(安全な接続205を介する)との両方に接続され、このプロクシサーバ210はGSMネットワークオペレータ160の認証センター215にアクセスし、この認証センター215はGSMネットワークオペレータ160のホームロケーションレジスタ(HLR)に接続される。安全な接続205は、例えば認証サーバ200をプロクシサーバ210に物理的に近接して配置することによって保証される。認証センター215は、GSMネットワーク155への接続を欲するユーザーのSIM装備の移動通信端末(携帯電話)、例えば携帯電話150について標準的な認証プロシージャを実行するのに通常用いられるGSMネットワーク認証センターである。プロクシサーバ210は、認証サーバ200とGSMネットワークとの接続を可能にし、特に、認証サーバ200とGSM認証センター215との間のトラヒックをルーティングする。すなわち、プロクシサーバ210は、仮想ビジターロケーションレジスタ(VLR)として機能し、GSMネットワークオペレータのHLRに対してはGSMネットワークの他のVLRに見える。プロクシサーバ210とGSM認証センター215との間の通信220は、GSMネットワークオペレータにより利用される標準化されたSS7シグナリングネットワークにより行うことができる。認証サーバ200は、認証プロシージャ中にユーザー認証データを記憶するためのデータベース225に接続される。
認証サーバコンピュータ165はまた、SIMアソーシエータ(associator)サーバ230を含む。このSIMアソーシエータサーバ230は、SIM対データベース235に接続されている。このSIM対のデータベース235は、SIMの対、例えばSIM対(SIMa及びSIMb)(又はもっと簡単に識別標識、例えば第1SIM(SIMa)に関連付けられた第2SIM(SIMb)に対応する携帯電話番号)についての情報を記憶する。SIMアソーシエータサーバ230は、所与のSIM対のうちの1つのSIM、例えば第2SIM(SIMb)(又はそれに対応する携帯電話番号)を、認証サーバ200により提供されるもう一方のSIM(この例では第1SIM(SIMa))を識別する情報に基づいて識別できる。SIMアソーシエータサーバ230は、パスワード(好ましくは、1回使用可能)を生成するパスワード生成器235と情報伝達する。このパスワードは、例えばSMSコンパイラ245により作られたショートメッセージサービス(SMS)のメッセージの形式にてGSMネットワーク155によりユーザーの携帯電話150に送られる。このメッセージは、GSMネットワーク155の加入者の端末にテキスト又はマルチメディアメッセージを送るため、GSMネットワークオペレータ160のメッセージサービスセンター250、例えばSMSセンター、又はマルチメディアメッセージサービス(MMS)センターによって対象とする受信者に届けられる。別法として、パスワードをMMSの形式で送ってもよいし、又は例えば音声合成装置を利用して電話でパスワードをユーザーに伝達することもできる。パスワードコンパレータ255が設けられ、パスワード生成器240により生成されたパスワードと、ユーザーが入力しインターネット135を通って例えば認証サーバ200が受信する対応する応答パスワードとを比較する。
上述した認証サーバコンピュータ165の機能ブロックの少なくともいくつかは、通常はハードウェアとソフトウェアの混合として実現でき、全部をソフトウェアで実現することさえできることに留意されたい。
図3は、認証プロセス中での遠隔コンピュータ140のワーキングメモリ300(例えばRAM)の内容の簡単な概略図である。グラフィカルユーザーインタフェース(GUI)ソフトウェアモジュール305により、モニター、キーボード、ポインティングデバイスを含めた従来のコンピュータ入出力周辺機器(ブロック310で図示)を介したユーザーUSERaとコンピュータ140との相互作用が容易になる。USBドライバソフトウェアモジュール315により、USB周辺機器、この例では第1SIM(SIMa)を組み込んだUSB鍵145との相互作用が可能となる。モデムドライバソフトウェアモジュール320により、アクセスポイント130bへの接続に用いられるモデム325(例えば、ISDN又はXDSL)との通信が可能になる。このモデムドライバモジュールは、通信における低レベルの詳細を管理する。代わりに、インターネット通信ソフトウェアモジュール330が、インターネットによる通信におけるより高いレベルの詳細、例えばインターネットプロトコル(IP)に関する詳細を管理する。ブロック335は、コンピュータ140上で実行されるソフトウェアアプリケーションを略示する。このソフトウェアアプリケーション335は、ユーザーの予備的な認証を条件にしてサービスへの選択的アクセスを提供する保護サイトにサービスをリクエストしたと想定される。例えば、このアプリケーション335は、コンピュータ140のユーザーUSERaがメールサーバ110により保持された個人Eメールのメールボックスにアクセスするために立ち上げたEメールクライアントソフトウェア(例えば、MicrosoftによるOutlook又はOutlook Express、Eudora、LotusNotes)である。一方、ブロック340は、認証クライアントソフトウェアアプリケーションを略示し、この認証クライアントソフトウェアアプリケーションは、以下で詳細に説明するように、例えばメールサーバ110からの認証リクエストに応じてコンピュータ140にて呼び出され、コンピュータ140に対してローカルな認証プロシージャのそれらの部分を管理する。概略的には、認証クライアント340は、USB鍵145中のSIM(SIMa)と対話するためのSIM対話エージェント345と、インターネット135を通してパスワードを認証サーバコンピュータ165に送るために、例えば、キーボードから入力した例えばユーザー入力パスワードを取り出し、この入力したパスワードを通信モジュール330にルーティングするためのパスワードの取出し及びルーティングモジュール350とを含む。
すべてのソフトウェアモジュールは予めコンピュータ140上にインストールされ、呼び出されると、コンピュータオペレーティングシステム(図中では明示されていない)上で動作することに留意されたい。特に、認証クライアントソフトウェア340は、物理的サポート、例えばフロッピーディスク、CD-ROM又はDVD-ROMからインストールするか、又は適当なファイルサーバから(例えば、FTPセッションにより)ダウンロードすることによりインストールでき、場合によっては既に存在するサービスをリクエストするアプリケーション335用のプラグイン、例えばMicrosoft Outlook、Microsoft Outlook Express、Eudora、Lotus Notesなどのメールクライアント用のプラグイン、又はMicrosoft Internet Explorer若しくはNetscape Communicatorなどのブラウザ用のプラグインの形式をとり得る。
以下では、本発明の実施態様による典型的な認証プロシージャについて、これまで概説した構成を考慮した図4のフローチャートの助けを借りて説明する。
雇い主のプライベートローカルネットワーク105から遠隔位置でユーザーUSERaが、メールサーバ110に接続して個人の電子メールボックスを調べることを欲していると仮定する。ユーザーUSERaは、(アクセスポイント130bを介した)インターネット135への接続を確立し、プライベートローカルネットワーク105(保護サイト)内のメールサーバ110にアクセスを試みるEメールクライアント335を立ち上げる(図4中のブロック401)。メールサーバ110は、アクセスリクエストを受信し(ブロック403)、そして、遠隔コンピュータ140(その中で実行中のEメールクライアント335)へのアクセスを許可する前に、認証リクエストをコンピュータ140に発行することによって認証プロシージャを始める。次に、メールサーバ110は、認証サーバコンピュータ165から認証確認を受信するのを待つ(ブロック405)。
認証プロシージャは2つの認証段階からなる。第1認証段階では、コンピュータ140のSIMベースの認証が、ユーザーの携帯電話を認証するためにGSMネットワーク155において用いられている認証方法に基づいて実行される。いったんコンピュータ140が認証されたなら、第2認証段階にてコンピュータ140のユーザーUSERaについての認証(個人識別又は認識)が行われる。
コンピュータ140のSIMベースの認証プロシージャの詳細を理解するために、通常いかにして携帯電話がGSMネットワークにおいて認証されるかを簡単に概観するのが有効である。
ユーザーの携帯電話、例えばユーザーUSERaの携帯電話150が、GSMネットワーク、例えばGSMネットワーク155に接続を試みるとき、GSMネットワークオペレータ160の認証センター215は、携帯電話のSIM(SIMb)に記憶された9バイトの識別子コードであるそれぞれの国際モバイル加入者識別子(IMSI)を提示するように携帯電話150に要求する。それに答えて、携帯電話150は、リクエストされたIMSI識別子コードをGSMネットワークオペレータ160に提示する。認証センター215は、受信したIMSIコードを用いて「チャレンジ」、「署名入りレスポンス」及び暗号化鍵から成るいわゆる認証トリプレットを生成する。このチャレンジは16バイトのランダム値であり、この暗号化鍵は、GSMネットワーク155において用いられる接続固有の暗号化鍵であり、署名入りレスポンス(以後単にレスポンス)は、固有の暗号化鍵を用いてチャレンジから導出される4バイトの値である。次に認証センター215は、チャレンジを携帯電話150に送る。認証センター215から受信したチャレンジに基づいて、該携帯電話のSIM(SIMb)がレスポンスと暗号化鍵を生成する。この鍵はSIM(SIMb)中に記憶され、一方レスポンスは認証センター215に返送される。認証センター215は、受信したレスポンスと、ローカルで生成したもの(トリプレット生成プロセスで生成された署名入りレスポンス)とを比較し、もし2つのレスポンスが一致していれば、SIM(SIMb)の認証が成功裡に完了する。
図4に戻って、遠隔コンピュータ140は認証リクエストをメールサーバ110から受信する(ブロック409)。これにより、例えば遠隔コンピュータ140がメールサーバ110に接触したとき遠隔コンピュータ140にダウンロードされるウェブページ中に含まれるスクリプトによって認証クライアント340が呼び出され、また、遠隔コンピュータ140のメールサーバ110への接続が認証サーバコンピュータ165中の認証サーバ200にリダイレクトされる。このように、遠隔コンピュータ140は、認証サーバ200に接触し、そのIPアドレスを認証サーバ200に与え、確実にユーザーUSERaを認証すること(および認証の確認をメールサーバ110に与えること)を認証サーバ200に要求する(ブロック411)。認証サーバ200は、メールサーバ110に対してコンピュータ140を識別するのに用いられるそのIPアドレスと共に、認証のリクエストをコンピュータ140から受信する(ブロック413)。
コンピュータ140のSIMベースの認証(認証プロシージャの第1段階)は、GSMネットワーク155への接続のための携帯電話150の上記認証と同様であるが、違うのは、この場合にはデータがGSMネットワーク155上だけでなく部分的にインターネット135(より一般には、オープンコンピュータネットワーク)上を通る点である。
認証サーバ200は、認証SIM対の第1SIM(SIMa)、すなわちコンピュータ140に操作可能に連結されたSIMの識別データのリクエストをコンピュータ140に発行する(ブロック415)。認証クライアント340は、そのリクエストを受信し、そしてUSB鍵145中に組み込まれた第1SIM(SIMa)にアクセスしてそれから識別データ、例えばIMSIを読み出す(ブロック417)。もし認証クライアント340がコンピュータ140に取り付けられたSIMを見いだすことができないならば、ユーザーUSERaに対するメッセージを生成し、SIMを携えた周辺機器をコンピュータ140に接続するか、又は第1SIM(SIMa)を適当なリーダーに挿入するように求めることができる。次に認証クライアント340は、第1SIM(SIMa)から読み取った識別データを認証サーバ200に送る(ブロック419)。
第1SIM(SIMa)を認証するために、認証サーバ200は、コンピュータ140から受信した第1SIM識別データをGSMオペレータ150の構内のGSM認証センター215に提示する(ブロック421)。このために、仮想VLR210を利用して認証サーバ200とGSM認証センター215との接続を確立する。認証サーバ200は、コンピュータ140から受信した認証すべき第1SIM(SIMa)の識別データ(IMSI)を含めて、認証リクエストメッセージを仮想VLR210に送る。仮想VLR210は、GSM認証センター215に対して認証トリプレットの発行をリクエストするため、適切にフォーマットされた照会メッセージ(例えば、モバイル・アプリケーション・パート(MAP)プロトコルによるメッセージ)をGSM認証センター215に送る。GSM認証センター215は、第1SIM(SIMa)のIMSIを含んだ照会メッセージを受信し、それに応えて、携帯電話をGSMネットワーク155に登録するのに用いられ且つチャレンジ、レスポンス及び暗号化鍵から構成されるものに全体として類似した認証トリプレットを生成し(ブロック423)、認証サーバコンピュータ165中の仮想VLR210に送る(ブロック425)。この認証トリプレットは、仮想VLR210によって認証サーバ200に送られ、認証サーバ200が認証トリプレットを記憶し(ブロック427)、以後は、認証される携帯電話に関してちょうどGSM認証センター215が動作するように、第1SIM(SIMa)に関して動作する。チャレンジはインターネット135によりコンピュータ140に送られ(ブロック427)、その際、認証クライアント340は受信したチャレンジを第1SIM(SIMa)にルーティングする(ブロック429)。
第1SIM(SIMa)はチャレンジを受信すると、暗号化鍵とレスポンスを生成する(ブロック431)。この暗号化鍵は第1SIM(SIMa)又は認証クライアント340に記憶され(例えばインターネットによる保護サイトとの将来の通信を暗号化するのに用いられる)、生成されたレスポンスは、認証クライアント340によって認証サーバ200に返送される(ブロック433)。
認証サーバ200が第1SIM(SIMa)により生成されたレスポンスを認証クライアント340から受信すると(ブロック435)、受信したレスポンスは、認証トリプレットにおいて構築されたレスポンスと比較される(ブロック437)。もし2つのレスポンスが一致しなければ(判定ブロック439の出口分岐N)、認証サーバ200は、保護サイト110に(遠隔コンピュータ140のIPアドレスを利用して)第1レベルの認証が失敗したことを知らせる(ブロック441)。もしプライベートネットワークサーバ110がそのようなメッセージを受信すると(ブロック443、出口分岐Y)、サービスに対するユーザーコンピュータ140(それぞれのIPアドレスにより識別される)のアクセスを拒絶する(ブロック445)。代わりに、もし2つのレスポンスが一致すると(判定ブロック439の出口分岐Y)、認証サーバコンピュータ165中のSIMアソーシエータサーバ230が、第1ユーザーのSIM(SIMa)に関連付けられた第2ユーザーのSIM(SIMb)の識別情報をSIM対データベース235から検索する(ブロック447)。例えば、ユーザーの携帯電話150によってユーザーに接触できるように、第2SIM(SIMb)に対応した携帯電話番号が識別される。次にパスワード生成器240が、個人の携帯電話150を介して遠隔ユーザーUSERaに送られるべきパスワードを生成する(ブロック449)。次にSMSメッセージコンパイラ245は、生成したパスワードを含んだユーザーUSERaの携帯電話150に送られるSMSメッセージをコンパイルし、このメッセージをユーザーの携帯電話150に送る(ブロック451)。GSMオペレータ160のSMSセンター240は、このSMSメッセージをユーザーの携帯電話150に送る(ブロック453)。
並行して、認証クライアント340により、案内メッセージがコンピュータ140のユーザーUSERaに表示されてユーザーに個人携帯電話150上で受信したパスワードを入力するよう案内する(ブロック455)。ユーザーの携帯電話150が(上記概説した従来の方法にて)予めGSMネットワークに登録されていることを条件に、認証プロシージャを完了するのに用いられるパスワードと共に、認証サーバコンピュータ165からのSMSメッセージが、ユーザーの携帯電話150にて受信される。本発明の実施態様では、安全性を高めるためにSMSメッセージが暗号化される。
ユーザーUSERaがこのパスワードを受信すると、該ユーザーがパスワードをコンピュータ140に入力し、認証クライアント340が入力パスワードを受け取り、それをインターネットにて認証サーバ200に送る(ブロック457)。ユーザーにより入力されたパスワードが携帯電話にて受信したパスワードに一致することは厳密には必要ではないことに留意されたい。すなわち、実際にはユーザーは、任意の受信パスワードについてスクランブルパスワードを導出できるスクランブルデバイス(例えば、トランスコード表)を備えることもできる。
このパスワードは認証サーバ200で受信され(ブロック459)、ローカルで作られたパスワードとパスワードコンパレータ255によって比較される(ブロック461)。もしこれら2つのパスワード一致しないならば(判定ブロック463の出口分岐N)、認証サーバ200は、第2レベルの認証が失敗したことを保護サイトのサーバ110に知らせ(ブロック465)、もしプライベートネットワークサーバ110がそのようなメッセージを受信すると(ブロック467の出口分岐Y)、サービスへのユーザーコンピュータ140のアクセスを拒絶する(ブロック469)。代わりに、もしこれら2つのレスポンスが一致すれば(判定ブロック463の出口分岐Y)、ユーザーUSERaの認証は成功であり、認証サーバ200は、その特定のIPアドレスにより一意的に識別されたユーザーUSERaが成功裡に認証を終えたことを保護サイトサーバ110に知らせる(ブロック471)。不正行為を防ぐために、認証サーバ200の保護サイト110に対するこの認証確認は、安全な接続170(鎖線で図示)により通信されるか、又は暗号化され得る。例えば、仮想プライベートネットワーク(VPN)が、認証をリクエストする保護サイトサーバと認証サーバとの間に設定され得る。
保護サイトのサーバ110はそのような確認を受信すると、サービスへのアクセスを許可し(ブロック473)、例えばEメールクライアント335がユーザーUSERaの個人メールボックスにアクセスするのを可能にする。以後、認証されたユーザーUSERaはサーバ110により提供されるサービスを利用できる。
保護サイト及び認証サーバにて遠隔コンピュータ140を識別する方法として該遠隔コンピュータ140のIPアドレスを利用する代わりに(この解決策は、ある場合、例えば、コンピュータ140がプロクシサーバを通るインターネットに接続される場合、又は一般にIPアドレスをフィルタリングするデバイスを通って接続が行われるときは常に何らかの問題を抱え得る)、例えばIPレベルより高いレベル、例えばアプリケーションレベルでの識別データの交換に基づいた異なる解決策を採用できることに留意されたい。
上述した認証プロシージャは2ステップの認証プロセス、すなわち遠隔コンピュータ140を認証するための第1のSIMベースの認証プロシージャと、第2の認証プロシージャとに基づいていることが分かる。第2認証プロシージャもやはりSIM認証(GSMネットワークへの接続のためのユーザーの携帯電話の認証)に基づいており、これによりユーザーの身元が保証される(アクセスを許可してもらうには、不正ユーザーは第1SIM(SIMa)を所有するだけでなく、第2SIM(SIMb)も所有しなければならず、このようなことは起こりそうもないと考えられる)。また、認証を完了するのに必要なパスワード(好ましくは1回使用可能)は、GSMネットワークなどの認証された安全なリンクによりユーザーに通信される。安全性をさらに高めるため、パスワードの暗号化を行ってもよい。さらに、コンピュータ140に結合された第1SIM(SIMa)にアクセスしてさらに安全性を高めるため、個人識別番号(PIN)コードをユーザーにリクエストできる。
上述したように、2つのSIM(SIMa、SIMb)の間の関係が保証されるという条件で、第1SIM(SIMa)を認証するために用いられるGSM認証センターは、第2SIM(SIMb)を認証するのと同じGSM認証センターである必要は必ずしもない。
トランザクションの安全性を高めるため、コンピュータ140と保護サイトのサーバ110との間で交換されるデータは、一旦認証が完了して所望のサービスへのアクセスが許可されているならば、例えば第1SIM(SIMa)により生成されたのと同じ暗号化鍵を用いて暗号化し得る。
出願人は、本発明による安全な2ステップ認証方法は非常に広い適用可能性をもち、ここで考慮している典型的な場合に限定されるものではないことを指摘する。例えば、この方法は、インターネットを介してプライベートローカルネットワーク105にアクセスする遠隔ユーザーを認証するためだけでなく、プライベートローカルネットワークへの直接のダイアルアップ接続にさえも利用できる。
本発明による安全な認証方法は、プライベートローカルネットワークへのアクセスがインターネットなどの安全でないオープンネットワークを介して行われるのではなく、ユーザーコンピュータがネットワーク105内にあって直接該ネットワーク105に接続され安全な通常のユーザーログインを行う場合でさえ利用できる。この場合には、単に認証サーバコンピュータ165と通信するために外部のネットワークを関与させ得る。この状況は図1に概略的に示される。図中、参照番号USERbは、プライベートローカルネットワーク105のローカルユーザー、例えばプライベートローカルネットワーク105の企業所有者の従業員を示す。このユーザーは、企業のデータ処理システムにより利用可能にされたサービス(これらのサービスとしてインターネット135への接続も含まれ得る)を利用するためにそのコンピュータの一つ、例えばクライアントコンピュータ110aを介してネットワークにログインすることを欲している。遠隔ユーザーUSERaのように、ユーザーUSERbも1対のSIM、すなわちセッションを開くコンピュータのSIMベースの認証のための第1SIM(例えばコンピュータ110aにより読み出されるのに適応したUSB鍵に組み込まれる)と、携帯電話ネットワーク上で認証サーバコンピュータ165からパスワードを受信するために従来のユーザー携帯電話中で用いられる第2SIMとを備える。
ここで考慮しているシナリオにおける認証サーバコンピュータが、認証をリクエストしているデータ処理環境、特にGSMネットワークオペレータの一部の外側にあったとしても、このことは本発明を限定するものと考えるべきでないことも分かる。実際、認証サーバコンピュータ又はコンピュータシステムは、例えば、本発明の安全な認証方法を実施する企業のデータ処理システムの一部とし得る。
本発明による認証方法は、企業又は政府機関の使用人により実行されるトランザクションにおいて高度の安全性を保証するのに特に適している。よって、本発明による認証方法により、企業又は機関の安全性をその人員に関して管理するための適切な方法が提供される。
しかしながら、この認証方法の用途は限定的ではなく、例えば、本方法は電子商取引のインターネットサイトの顧客を認証するのに使用できる。
上述した典型的な実施態様では(1回)パスワードがユーザーにより個人の携帯電話で受信され、そのユーザーがパスワードを直接コンピュータ140に入力しなければならないが、このことは本発明を限定するものと考えるべきでないことにも留意されたい。実際、GSMネットワークを介して受信したパスワードが、例えばブルートゥース又は類似の接続により例えばユーザーの携帯電話150をユーザーのコンピュータ140に操作可能に接続することによって自動的にコンピュータに入力されても何ら問題はない。
最後に、ここではいくつかの実施態様によって本発明を説明し、いくつかの代替案を述べてきたが、本発明の上記実施態様や他の実施態様についての変更が特許請求の範囲に記載のものの範囲から逸脱することなく可能であることは当業者には明らかである。
本発明の実施態様による安全なユーザー認証方法が有利に実施される典型的なデータ処理システムを図示する。 上記本発明の実施態様の理解に適した機能ブロックにより、認証サーバとGSMネットワークオペレータを概略的に示す。 実行される認証段階中に上記本発明の実施態様による安全な認証方法を実施するユーザーコンピュータのワーキングメモリの内容を機能ブロックにより概略的に示す。 協力して上記本発明の実施態様による安全な認証方法を実施する様々な要素の操作を簡単なフローチャートで概略的に示す。 協力して上記本発明の実施態様による安全な認証方法を実施する様々な要素の操作を簡単なフローチャートで概略的に示す。 協力して上記本発明の実施態様による安全な認証方法を実施する様々な要素の操作を簡単なフローチャートで概略的に示す。
符号の説明
100 データ処理システム
105 プライベートローカルネットワーク
110 メールサーバ
115a、115b クライアントコンピュータ
120 データ通信インフラストラクチャ
125 ゲートウェイ
130a、130b アクセスポイント
135 インターネット
140 遠隔ユーザーコンピュータ
145 ハードウェア鍵
150 携帯電話
160 GSMネットワークオペレータ
165 認証サーバコンピュータ

Claims (31)

  1. データ処理システム(100、105)により提供される選ばれたサービスにデータ処理端末がアクセスすることを許可するために、移動通信網(155)において使用するのに適した認証可能な移動通信端末(150)を有するユーザー(USERa;USERb)のデータ処理端末(140;115a)を認証する方法であって、
    データ処理システムにおけるユーザーのデータ処理端末についての第1のSIMベースの認証を認証データ処理サーバにて実行し、このSIMベースの認証の実行は、ユーザーのデータ処理端末と、データ処理端末のユーザーに発行された第1加入者識別モジュール(SIMa)とを操作可能に結合することを含み、
    移動通信網においてユーザーの移動通信端末を認証させ;そして
    移動通信網を介して移動通信端末にてユーザーに提供される識別情報に基づいた第2の認証を、データ処理システムにおけるユーザーのデータ処理端末の認証の条件とすることを含む方法。
  2. 前記第2認証が、
    認証データ処理サーバにて第1パスワードを生成し;
    移動通信網により第1パスワードを移動通信端末に送り;そして
    第1パスワードと、第1パスワードに依存しデータ処理端末で入力されデータ処理システムを介して認証データ処理サーバに与えられる第2パスワードとの間の対応を調べることを含む、請求項1に記載の方法。
  3. データ処理端末を介してユーザーに第2パスワードを入力させることを含む、請求項2に記載の方法。
  4. 第2パスワードはユーザーの移動通信端末にて第1パスワードが受信されると自動的に入力される、請求項2に記載の方法。
  5. 前記第1パスワードは限定回数、特に1回だけ使用できる、請求項2、3又は4に記載の方法。
  6. 移動通信網においてユーザーの移動通信端末を認証させる前記のステップが、移動通信網においてユーザーの移動通信端末を認証すべく該移動通信端末内で使用するよう適応した第2加入者識別モジュール(SIMb)をユーザーに発行することを含む、請求項1〜5のいずれか一項に記載の方法。
  7. 第2加入者識別モジュールが第1加入者識別モジュールと固定的な1対1の関係を有する、請求項6に記載の方法。
  8. 第1加入者識別モジュールが第2加入者識別モジュールの識別子、特に移動通信端末の電話番号に関連付けられる、請求項6に記載の方法。
  9. 前記識別情報がショートメッセージサービス(SMS)のメッセージによりユーザーの移動通信端末に送られる、請求項1〜8のいずれか一項に記載の方法。
  10. 前記第1加入者識別モジュールは移動通信網において移動通信端末を認証するために採用される種類である、請求項1〜9のいずれか一項に記載の方法。
  11. 前記データ処理端末についての前記第1のSIMベースの認証の実行が、実質的に移動通信網オペレータ(160)の認証センター(215)として機能するデータ処理システムの認証サーバ(200)に第1加入者識別モジュールを認証させることを含む、請求項10に記載の方法。
  12. データ処理システム(100、105)により提供される選ばれたサービスへのアクセスを許可するために、データ処理システムにおけるデータ処理端末(140)を認証する方法であって、
    ユーザーのデータ処理端末のSIMベースの認証を実行するために、操作可能にデータ処理端末に結合されたユーザーの第1加入者識別モジュール(SIMa)と相互作用し、データ処理システムにおける認証データ処理サーバと相互作用し(417、419、429、431、433)、
    移動通信網(155)を介して認証されたユーザーの移動通信端末にてユーザーに提供される個人識別情報を取得し(455)、そして
    データ処理端末の前記認証を完了するために前記個人識別情報を認証データ処理サーバに送ること(457)
    を含む方法。
  13. 第1加入者識別モジュールは移動通信網において移動通信端末を認証するのに採用される種類である、請求項12に記載の方法。
  14. 第1加入者識別モジュール(SIMa)からSIM識別データを検索し(417);
    移動通信網オペレータ(160)の認証センター(215)として実質的に機能する認証サーバに、検索したSIM識別データを伝達し;
    SIM識別データに対応するSIM認証データを認証サーバから受信し、該SIM識別データを第1加入者識別モジュールに送り;そして
    第1加入者識別モジュールにより生成されたレスポンスを認証サーバに伝達すること
    をさらに含む請求項13に記載の方法。
  15. 実行時に請求項12〜14のいずれか一項に記載の方法を実施するためにデータ処理端末のワーキングメモリに直接ロード可能なコンピュータプログラム。
  16. データ処理端末がデータ処理システム(100、105)により提供される選ばれたサービスにアクセスすることを許可するために、認証データ処理サーバ(165)がデータ処理システム(100)においてユーザーのデータ処理端末(140)を認証する方法であって、
    第1加入者識別モジュール(SIMa)に操作可能に結合されているデータ処理端末の認証リクエストを受信し(413);
    第1加入者識別モジュールに関連付けられたデータに基づいてデータ処理端末についてのSIMベースの認証を行い;
    移動通信網(155)において認証されたユーザーの移動通信端末(150)を利用することによりユーザーに第1個人識別情報を提供し(447、449、451)、そして
    ユーザーに提供された第1個人識別情報と、第1個人識別情報の提供に応答してユーザーのデータ処理端末から受信した第2個人識別情報との間の所定の対応を、ユーザーのデータ処理端末の認証の条件とすること(459、461、463)
    を含む方法。
  17. 第1加入者識別モジュールは移動通信網において移動通信端末を認証するのに採用される種類であり、前記認証データ処理サーバは実質的に移動通信網オペレータ(160)の認証センター(215)として機能する(415、421、427、435、437、439)、請求項16に記載の方法。
  18. 認証データ処理サーバにて第1パスワードを生成し、該第1パスワードを移動通信網によりユーザーの移動通信端末に送り;そして
    第1パスワードと、第1パスワードに依存してデータ処理端末に入力されデータ処理システムを介して認証データ処理サーバに提供される第2パスワードとの間の所定の対応を、データ処理システムにおけるデータ処理端末の認証の条件とすること
    をさらに含む、請求項17に記載の方法。
  19. 実行時に請求項16〜18のいずれか一項に記載の方法を実施するために認証データ処理システム(165)のワーキングメモリに直接ロード可能なコンピュータプログラム。
  20. 請求項15及び19のコンピュータプログラムを含むコンピュータプログラム。
  21. 請求項15、19及び20のいずれか一項に記載のコンピュータプログラムが記憶されたコンピュータ読取り可能な記録体。
  22. データ処理システムにおいて、データ処理端末がデータ処理システム(105)により提供される選ばれたサービスにアクセスすることを許可するために、移動通信網(155)において使用するのに適応した認証可能な移動通信端末(150)を有したユーザー(USERa;USERb)のデータ処理端末(140;115a)を認証するシステムであって、該システムは、
    データ処理端末に対して操作可能に結合可能(145)な第1加入者識別モジュール(SIMa);及び
    第1加入者識別モジュールに基づいて第1認証ステップを実行するのに適応(200、210、215)した認証データ処理サーバ(165)を含み、
    前記認証データ処理サーバはさらに、移動通信網を介して移動通信端末にてユーザーに提供される識別情報に基づいて第2認証プロセスを実行するのに適応(230〜245)している、上記システム。
  23. 第1加入者識別モジュールは移動通信網において移動通信端末を認証するのに採用される種類である、請求項22に記載のシステム。
  24. 移動通信網(155)において移動通信端末を認証するために移動通信端末内で用いられる第2加入者識別モジュール(SIMb)を含み、認証データ処理サーバが移動通信網を介して前記認証情報を移動通信端末にてユーザーに提供できる、請求項23に記載のシステム。
  25. 第2加入者識別モジュールは第1加入者識別モジュールに対して固定的な1対1の関係にある、請求項24に記載のシステム。
  26. 第2加入者識別モジュールは、第2加入者識別モジュールの識別子、特に移動通信端末の電話番号に関連付けられる、請求項24に記載のシステム。
  27. 前記第1加入者識別モジュールが、コンピュータの周辺接続ポートを介してコンピュータに接続可能なデバイス(145)に結合される、請求項22〜26のいずれか一項に記載のシステム。
  28. 前記移動通信網がGSM、GPRS、UMTSネットワークの一つである、請求項22〜27のいずれか一項に記載のシステム。
  29. データ処理端末がデータ処理システム(100、105)により提供される選ばれたサービスにアクセスすることを許可するために、データ処理システム(100)においてユーザーのデータ処理端末(140、115a)を認証するための認証キットであって、
    第1加入者識別モジュール(SIMa);
    第1加入者識別モジュールに結合されており、かつユーザーのデータ処理端末に操作可能に結合できるコンピュータ周辺デバイス(145);
    ユーザーの移動通信端末(150)を移動通信網(155)に接続可能にするために該移動通信端末(150)に操作可能に結合できる第2加入者識別モジュール(SIMb);及び
    実行時に下記の方法を実行するためにデータ処理端末のワーキングメモリに直接ロード可能なコンピュータプログラム;
    を備え、上記の方法が、
    ユーザーのデータ処理端末のSIMベースの認証を実行するために、データ処理システムにおいて第1加入者識別モジュール及び認証データ処理サーバと相互作用し;
    第2加入者識別モジュールを用いて移動通信網を介して認証されたユーザーの移動通信端末にてユーザーに提供される個人識別情報を取得し;
    データ処理端末の認証を完了するために前記個人識別情報を認証データ処理サーバに送ることを含む、前記認証キット。
  30. 第1加入者識別モジュールが、移動通信網において移動通信端末を認証するのに採用される種類である、請求項29に記載の認証キット。
  31. 請求項21に記載のコンピュータ読取り可能な記録媒体をさらに含む、請求項29又は30に記載の認証キット。
JP2005510422A 2003-11-07 2003-11-07 データ処理システムのユーザーの認証方法及びシステム Expired - Fee Related JP4384117B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2003/050807 WO2005045649A1 (en) 2003-11-07 2003-11-07 Method and system for the authentication of a user of a data processing system

Publications (2)

Publication Number Publication Date
JP2007524259A JP2007524259A (ja) 2007-08-23
JP4384117B2 true JP4384117B2 (ja) 2009-12-16

Family

ID=34560135

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005510422A Expired - Fee Related JP4384117B2 (ja) 2003-11-07 2003-11-07 データ処理システムのユーザーの認証方法及びシステム

Country Status (14)

Country Link
US (1) US8166524B2 (ja)
EP (1) EP1680720B1 (ja)
JP (1) JP4384117B2 (ja)
KR (1) KR101116806B1 (ja)
CN (1) CN1879071B (ja)
AR (1) AR046367A1 (ja)
AT (1) ATE540372T1 (ja)
AU (1) AU2003285357B2 (ja)
BR (1) BR0318596B1 (ja)
CA (1) CA2546700C (ja)
DK (1) DK1680720T3 (ja)
ES (1) ES2380320T3 (ja)
PE (1) PE20050911A1 (ja)
WO (1) WO2005045649A1 (ja)

Families Citing this family (107)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US8156548B2 (en) 2004-05-20 2012-04-10 Future Internet Security Ip Pty Ltd. Identification and authentication system and method
EP1757110A4 (en) * 2004-05-20 2012-02-01 Future Internet Security Ip Pty Ltd SYSTEM AND METHOD FOR IDENTIFICATION
KR100629499B1 (ko) * 2004-05-22 2006-09-28 삼성전자주식회사 인쇄시스템의 인쇄요금 과금방법
DE112005001833B4 (de) * 2004-07-30 2012-06-28 Meshnetworks, Inc. System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken
BRPI0517521B1 (pt) * 2004-10-26 2019-04-09 Telecom Italia S.P.A. Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede
FR2878109B1 (fr) * 2004-11-17 2007-02-02 Gemplus Sa Procede d'evaluation de la comptabilite entre des applications et des dispositifs de traitement
GB2422218B (en) * 2005-01-14 2009-12-23 Hewlett Packard Development Co Provision of services over a common delivery platform such as a mobile telephony network
EP1752900A1 (en) * 2005-07-18 2007-02-14 Capricorp Limited Website content access control system
GB0516616D0 (en) * 2005-08-12 2005-09-21 Vodafone Plc Mobile account management
EP1952656B1 (en) 2005-11-17 2017-06-07 BlackBerry Limited System and method for communication record logging
US7613739B2 (en) 2005-11-17 2009-11-03 Research In Motion Limited Method and apparatus for synchronizing databases connected by wireless interface
US20150269550A1 (en) * 2006-01-24 2015-09-24 Verody, Llc Apparatus for Improving Security for User Input and/or Access to Secure Resources and/or for Point of Sale
ES2617546T3 (es) * 2006-02-23 2017-06-19 Togewa Holding Ag Sistema de conmutación y método correspondiente para la unidifusión o multidifusión de transmisiones de flujo de datos de extremo a extremo y/o multimedia entre nodos de red
US7787864B2 (en) * 2006-03-27 2010-08-31 Teamon Systems, Inc. Wireless email communications system providing device capability set update features and related methods
US8522341B2 (en) * 2006-03-31 2013-08-27 Sap Ag Active intervention in service-to-device mapping for smart items
US8131838B2 (en) 2006-05-31 2012-03-06 Sap Ag Modular monitor service for smart item monitoring
KR101376700B1 (ko) 2006-06-19 2014-03-24 인터디지탈 테크날러지 코포레이션 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치
US8353048B1 (en) * 2006-07-31 2013-01-08 Sprint Communications Company L.P. Application digital rights management (DRM) and portability using a mobile device for authentication
US8782745B2 (en) * 2006-08-25 2014-07-15 Qwest Communications International Inc. Detection of unauthorized wireless access points
US8457594B2 (en) * 2006-08-25 2013-06-04 Qwest Communications International Inc. Protection against unauthorized wireless access points
US8238882B2 (en) 2006-10-19 2012-08-07 Research In Motion Limited System and method for storage of electronic mail
US8375360B2 (en) * 2006-11-22 2013-02-12 Hewlett-Packard Development Company, L.P. Provision of services over a common delivery platform such as a mobile telephony network
US20080126258A1 (en) * 2006-11-27 2008-05-29 Qualcomm Incorporated Authentication of e-commerce transactions using a wireless telecommunications device
US8269599B2 (en) * 2007-02-07 2012-09-18 Roger Goza Computer workstation and method
KR100858146B1 (ko) 2007-02-21 2008-09-10 주식회사 케이티프리텔 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
US20080261654A1 (en) * 2007-04-18 2008-10-23 Anwar Abdullah Sakeen Information processing system
JP5138359B2 (ja) * 2007-12-27 2013-02-06 エヌ・ティ・ティ アイティ株式会社 リモートアクセス方法
US20140355592A1 (en) 2012-11-01 2014-12-04 Datavalet Technologies System and method for wireless device detection, recognition and visit profiling
US20100107225A1 (en) * 2007-06-06 2010-04-29 Boldstreet Inc. Remote service access system and method
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US9455969B1 (en) 2007-06-18 2016-09-27 Amazon Technologies, Inc. Providing enhanced access to remote services
US8312154B1 (en) * 2007-06-18 2012-11-13 Amazon Technologies, Inc. Providing enhanced access to remote services
US20140067675A1 (en) * 2012-09-06 2014-03-06 American Express Travel Related Services Company, Inc. Authentication using dynamic codes
GB0719233D0 (en) * 2007-10-02 2007-11-14 Skype Ltd Method of transmitting data in a communication system
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
EP2245770A1 (en) 2008-01-23 2010-11-03 LiveU Ltd. Live uplink transmissions and broadcasting management system and method
US8495213B2 (en) 2008-04-10 2013-07-23 Lg Electronics Inc. Terminal and method for managing secure devices
TW200945865A (en) * 2008-04-23 2009-11-01 Mediatek Inc Method for handling the equipment identity requests and communication apparatus utilizing the same
CN101730092B (zh) * 2008-10-20 2013-07-03 深圳富泰宏精密工业有限公司 利用gsm手机产生一次性密码的系统及方法
RU2388053C1 (ru) * 2008-11-06 2010-04-27 Александр Геннадьевич Рожков Способ проверки транзакций, автоматическая система для проверки транзакций и узел для проверки транзакций (варианты)
US20100122327A1 (en) * 2008-11-10 2010-05-13 Apple Inc. Secure authentication for accessing remote resources
US8782391B2 (en) 2009-06-10 2014-07-15 Visa International Service Association Service activation using algorithmically defined key
GB0910897D0 (en) * 2009-06-24 2009-08-05 Vierfire Software Ltd Authentication method and system
EP2454897A1 (en) 2009-07-17 2012-05-23 Boldstreet Inc. Hotspot network access system and method
CN101990202B (zh) * 2009-07-29 2013-06-12 中兴通讯股份有限公司 更新用户策略的方法及应用服务器
JP5462366B2 (ja) * 2009-08-24 2014-04-02 インテル・コーポレーション システム制御シグナリングにおけるショートユーザメッセージ
CN101800987B (zh) * 2010-02-10 2014-04-09 中兴通讯股份有限公司 一种智能卡鉴权装置及方法
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
KR101703347B1 (ko) * 2010-08-12 2017-02-22 삼성전자 주식회사 컴퓨터 시스템과, 컴퓨터의 제어방법
CN102377759B (zh) * 2010-08-25 2014-10-08 中国移动通信有限公司 业务处理系统、用户身份识别方法以及相关装置
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) * 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
EP2708044A1 (en) * 2011-05-12 2014-03-19 Telefonaktiebolaget LM Ericsson (PUBL) Method and apparatus for monitoring and theft prevention
US8887258B2 (en) * 2011-08-09 2014-11-11 Qualcomm Incorporated Apparatus and method of binding a removable module to an access terminal
CN103139265B (zh) * 2011-12-01 2016-06-08 国际商业机器公司 大规模并行计算系统中的网络传输自适应优化方法及系统
CN103246833A (zh) * 2012-02-01 2013-08-14 精品科技股份有限公司 低权限模式下执行高权限软件的方法
JP5687239B2 (ja) * 2012-05-15 2015-03-18 株式会社オプティム オペレータ認証機能を備えたオペレータ認証サーバ、オペレータシステム、オペレータ認証方法、及び、プログラム
US8787966B2 (en) * 2012-05-17 2014-07-22 Liveu Ltd. Multi-modem communication using virtual identity modules
WO2013171648A1 (en) 2012-05-17 2013-11-21 Liveu Ltd. Multi-modem communication using virtual identity modules
CN103516677A (zh) * 2012-06-26 2014-01-15 广州晨扬通信技术有限公司 一种数据网与电话网协同认证鉴权的方法
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US9106634B2 (en) 2013-01-02 2015-08-11 Microsoft Technology Licensing, Llc Resource protection on un-trusted devices
US9338650B2 (en) 2013-03-14 2016-05-10 Liveu Ltd. Apparatus for cooperating with a mobile device
US9980171B2 (en) 2013-03-14 2018-05-22 Liveu Ltd. Apparatus for cooperating with a mobile device
US9369921B2 (en) 2013-05-31 2016-06-14 Liveu Ltd. Network assisted bonding
US9306943B1 (en) * 2013-03-29 2016-04-05 Emc Corporation Access point—authentication server combination
CN104255066B (zh) * 2013-04-11 2018-12-07 华为技术有限公司 接入网络的选择方法及设备
GB2517732A (en) * 2013-08-29 2015-03-04 Sim & Pin Ltd System for accessing data from multiple devices
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9774728B2 (en) 2013-09-30 2017-09-26 Elwha Llc Mobile device sharing facilitation methods and systems in a context of plural communication records
US9838536B2 (en) 2013-09-30 2017-12-05 Elwha, Llc Mobile device sharing facilitation methods and systems
US9805208B2 (en) 2013-09-30 2017-10-31 Elwha Llc Mobile device sharing facilitation methods and systems with recipient-dependent inclusion of a data selection
US9826439B2 (en) 2013-09-30 2017-11-21 Elwha Llc Mobile device sharing facilitation methods and systems operable in network equipment
US9813891B2 (en) 2013-09-30 2017-11-07 Elwha Llc Mobile device sharing facilitation methods and systems featuring a subset-specific source identification
US9740875B2 (en) 2013-09-30 2017-08-22 Elwha Llc Mobile device sharing facilitation methods and systems featuring exclusive data presentation
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US10135805B2 (en) * 2013-10-31 2018-11-20 Cellco Partnership Connected authentication device using mobile single sign on credentials
US10181122B2 (en) 2013-10-31 2019-01-15 Cellco Partnership Mobile authentication for web payments using single sign on credentials
US9628482B2 (en) 2013-10-31 2017-04-18 Cellco Partnership Mobile based login via wireless credential transfer
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
CN104717720A (zh) * 2013-12-13 2015-06-17 香港优克网络技术有限公司 一种多通道通信终端
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
FR3023039A1 (fr) * 2014-06-30 2016-01-01 Orange Authentification d'un utilisateur
US10382961B2 (en) * 2014-12-05 2019-08-13 Ademco Inc. System and method of preventing unauthorized SIM card usage
US9385983B1 (en) 2014-12-19 2016-07-05 Snapchat, Inc. Gallery of messages from individuals with a shared interest
KR102035405B1 (ko) * 2015-03-18 2019-10-22 스냅 인코포레이티드 지오-펜스 인가 프로비저닝
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
CN106919827B (zh) * 2015-12-24 2020-04-17 北京奇虎科技有限公司 无线解锁的方法、计算机设备和网络服务器
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
SG10201608532PA (en) * 2016-10-12 2018-05-30 Mastercard International Inc Methods, apparatus and devices for authenticating a call session
WO2018219437A1 (en) 2017-05-30 2018-12-06 Belgian Mobile Id Sa/Nv Mobile device authentication using different channels
EP3410665B1 (en) * 2017-05-30 2020-01-01 Mastercard International Incorporated System and method to route data in networks
US11949677B2 (en) * 2019-04-23 2024-04-02 Microsoft Technology Licensing, Llc Resource access based on audio signal
US11637850B2 (en) * 2019-05-31 2023-04-25 Microsoft Technology Licensing, Llc Mitigating security risks associated with unsecured websites and networks
CN110572395B (zh) * 2019-09-09 2021-12-07 车智互联(北京)科技有限公司 一种身份验证方法和系统
SE545872C2 (en) * 2019-09-27 2024-02-27 No Common Payment Ab Generation and verification of a temporary authentication value for use in a secure transmission
FR3113753B1 (fr) * 2020-08-25 2023-05-12 Idemia France Procédé de vérification d’une carte à microcircuit, procédé de personnalisation d’une carte à microcircuit, carte à microcircuit et dispositif électronique associé
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2718310B1 (fr) * 1994-03-29 1996-04-26 Alcatel Mobile Comm France Dispositif d'auto-invalidation d'un terminal portatif du type radiotéléphone mobile.
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
JP2954086B2 (ja) * 1997-05-16 1999-09-27 埼玉日本電気株式会社 移動通信システム
US6230002B1 (en) * 1997-11-19 2001-05-08 Telefonaktiebolaget L M Ericsson (Publ) Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
FR2795264B1 (fr) * 1999-06-16 2004-04-02 Olivier Lenoir Systeme et procedes d'acces securise a un serveur informatique utilisant ledit systeme
FR2809555B1 (fr) * 2000-05-26 2002-07-12 Gemplus Card Int Securisation d'echanges de donnees entre des controleurs
GB2364619A (en) 2000-07-10 2002-01-30 Ubinetics Ltd Operation of two SIM cards simultaneously
JP2002140302A (ja) 2000-10-30 2002-05-17 Naoki Hori 認証方法及び認証装置並びに端末装置
GB2370383A (en) 2000-12-22 2002-06-26 Hewlett Packard Co Access to personal computer using password stored in mobile phone
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US20060269061A1 (en) * 2001-01-11 2006-11-30 Cardinalcommerce Corporation Mobile device and method for dispensing authentication codes
FR2821225B1 (fr) * 2001-02-20 2005-02-04 Mobileway Systeme de paiement electronique a distance
WO2002082387A1 (en) * 2001-04-04 2002-10-17 Microcell I5 Inc. Method and system for effecting an electronic transaction
US20030061503A1 (en) * 2001-09-27 2003-03-27 Eyal Katz Authentication for remote connections
FI114180B (fi) 2001-06-12 2004-08-31 Nokia Corp Parannettu menetelmä ja laitejärjestely tietojen siirron salaamiseksi radioverkon päätelaitteen sisältämässä rajapinnassa sekä radioverkon päätelaite
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
GB2380356B (en) 2001-09-26 2006-05-31 Sendo Int Ltd Disabling of mobile communication apparatus
ATE375671T1 (de) * 2001-10-24 2007-10-15 Siemens Ag Verfahren und vorrichtung zum authentisierten zugriff einer station auf lokale datennetze, insbesondere funk-datennetze
ATE254773T1 (de) * 2002-03-18 2003-12-15 Ubs Ag Sichere benutzerauthenifizierung über ein kommunikationsnetzwerk
US20030187808A1 (en) * 2002-03-29 2003-10-02 Alfred Walter K. Electronic cost estimator for processing of paper products
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
DE10230617B4 (de) * 2002-07-03 2004-12-23 Siemens Ag Automatisches Umschalten zwischen Mobilfunkgeräten
US20040019564A1 (en) * 2002-07-26 2004-01-29 Scott Goldthwaite System and method for payment transaction authentication
GB2392590B (en) * 2002-08-30 2005-02-23 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
WO2004036467A1 (en) * 2002-10-17 2004-04-29 Vodafone Group Plc. Facilitating and authenticating transactions
US20060155653A1 (en) * 2002-11-25 2006-07-13 Conax As Gms sms based authentication system for digital tv
US7562218B2 (en) * 2004-08-17 2009-07-14 Research In Motion Limited Method, system and device for authenticating a user
US20080108322A1 (en) * 2006-11-03 2008-05-08 Motorola, Inc. Device and / or user authentication for network access
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment

Also Published As

Publication number Publication date
AU2003285357A1 (en) 2005-05-26
CN1879071B (zh) 2010-06-09
EP1680720A1 (en) 2006-07-19
CA2546700A1 (en) 2005-05-19
KR20060135630A (ko) 2006-12-29
CN1879071A (zh) 2006-12-13
BR0318596A (pt) 2006-10-17
CA2546700C (en) 2013-03-05
KR101116806B1 (ko) 2012-02-28
ATE540372T1 (de) 2012-01-15
ES2380320T3 (es) 2012-05-10
JP2007524259A (ja) 2007-08-23
DK1680720T3 (da) 2012-05-07
US8166524B2 (en) 2012-04-24
AR046367A1 (es) 2005-12-07
BR0318596B1 (pt) 2018-01-09
PE20050911A1 (es) 2005-12-05
EP1680720B1 (en) 2012-01-04
AU2003285357B2 (en) 2010-12-02
WO2005045649A1 (en) 2005-05-19
US20080295159A1 (en) 2008-11-27

Similar Documents

Publication Publication Date Title
JP4384117B2 (ja) データ処理システムのユーザーの認証方法及びシステム
US7890767B2 (en) Virtual smart card system and method
AU2009323748B2 (en) Secure transaction authentication
JP4364431B2 (ja) 通信網を通して認証する方法、配列及び装置
EP1102157B1 (en) Method and arrangement for secure login in a telecommunications system
CA2665961C (en) Method and system for delivering a command to a mobile device
US20040039651A1 (en) Method for securing a transaction on a computer network
US20130160104A1 (en) Online account access control by mobile device
CN108684041A (zh) 登录认证的系统和方法
JP2004527175A (ja) アクセス媒体を介するソフトウェアベースのシステムへのアクセスにおけるユーザの認証のための方法
JP2001175599A (ja) 認証システム
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
RU2354066C2 (ru) Способ и система для аутентификации пользователя системы обработки данных
CN109587683B (zh) 短信防监听的方法及系统、应用程序和终端信息数据库
CN102083066B (zh) 统一安全认证的方法和系统
JP2002007355A (ja) パスワードを用いた通信方法
KR101879842B1 (ko) Otp를 이용한 사용자 인증 방법 및 시스템
US20240005312A1 (en) Multi-Factor User Authentication Using Blockchain Tokens
JP2006189945A (ja) ネットワークファイルシステム及び認証方法
KR20060077141A (ko) 이동통신 단말기를 이용한 인터넷 계정정보 접근 통보시스템 및 그 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080507

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080806

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080908

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090909

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090924

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4384117

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131002

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees