KR20080091382A - 최종 사용자 인증을 위한 시스템, 장치 및 방법 - Google Patents

최종 사용자 인증을 위한 시스템, 장치 및 방법 Download PDF

Info

Publication number
KR20080091382A
KR20080091382A KR1020087021078A KR20087021078A KR20080091382A KR 20080091382 A KR20080091382 A KR 20080091382A KR 1020087021078 A KR1020087021078 A KR 1020087021078A KR 20087021078 A KR20087021078 A KR 20087021078A KR 20080091382 A KR20080091382 A KR 20080091382A
Authority
KR
South Korea
Prior art keywords
authentication
challenge
challenge code
user station
access
Prior art date
Application number
KR1020087021078A
Other languages
English (en)
Other versions
KR101300414B1 (ko
Inventor
울프 슈베르트
Original Assignee
미드아이 에이비
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미드아이 에이비 filed Critical 미드아이 에이비
Publication of KR20080091382A publication Critical patent/KR20080091382A/ko
Application granted granted Critical
Publication of KR101300414B1 publication Critical patent/KR101300414B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 보호 정보로 액세스를 요구하는 사용자 스테이션 장치(10)의 최종 사용자의 인증을 위한 시스템에 관한 것이며, 상기 시스템은 액세스 서버 수단(20) 및 인증 수단(30)을 포함하며, 상기 사용자 스테이션 장치(10)는 무선 네트워크(40)의 제 1 통신 채널을 통해 인증 수단(30)과의 통신을 지원한다. 그것은 또한 제 2 통신 채널을 통해 인증 수단(30)과의 통신을 지원한다. 인증 수단(30)은, 사용자 스테이션 장치(10)로부터 보호 정보로 액세스하기 위한 요구의 수신 시에, 사용자 스테이션 장치(10)가 제 1 통신 채널을 통해 도달 가능한지를 확립하도록 구성된다. 상기 인증 수단(30)은 상기 제 2 통신 채널을 통해 제 1 인증 모드 및 제 2 인증 모드를 지원하도록 구성되며, 제 1 또는 2 인증 모드가 보호 정보로 액세스를 요구하는 사용자 스테이션 장치(10)에 이용되는 경우 및/또는 시기를 선택하는 결정 수단을 더 포함한다.
Figure P1020087021078
사용자 스테이션 장치, 액세스 서버 수단, 인증 수단, 결정 수단

Description

최종 사용자 인증을 위한 시스템, 장치 및 방법{A SYSTEM, AN ARRANGEMENT AND A METHOD FOR END USER AUTHENTICATION}
본 발명은 보호 정보, 예컨대, 보호 자원 또는 보호 서비스 또는 유사한 것으로 액세스를 요구하는 사용자 스테이션 장치의 최종 사용자의 인증을 위한 시스템에 관한 것으로서, 상기 시스템은 액세스 서버 수단 및 인증 수단을 포함하며, 이동 사용자 스테이션 장치는 무선 네트워크의 제 1 통신 채널을 통해 인증 수단과의 통신을 지원한다.
본 발명은 또한, 사용자 스테이션 장치로부터 보호 정보, 보호 자원 또는 보호 서비스로 액세스를 요구하는 최종 사용자의 인증을 위한 인증 수단에 관한 것으로서, 상기 사용자 스테이션 장치는 액세스 서빙 수단 인터페이스, 무선 네트워크의 제 1 통신 채널을 통해 사용자 스테이션 장치와의 통신을 가능하게 하는 하나 이상의 인터페이스를 포함한다.
본 발명은 또한, 액세스 요구를 인증 수단으로 송신함으로써, 보호 서비스, 자원, 정보 등으로 액세스를 요구하는 사용자 스테이션 장치의 원격 최종 사용자의 인증을 위한 방법에 관한 것이다. 특히, 본 발명은 IP 네트워크 또는 전자 액세스 네트워크의 다른 형식을 통해 보호 자원으로 액세스를 요구하는 이동 사용자의 인증에 관한 것이다.
공중 네트워크를 통해 보호되는 서비스, 또는 일반적으로 보호 감지 정보로의 원격 액세스는, 보호 정보의 악용(abuse)을 회피하거나, 보호 정보 또는 서비스가 고의가 아니게 살포되는 것을 방지하도록 최종 사용자의 강력한 인증을 필요로 한다. 전통적으로, 인증에는 최종 사용자에 제공된 소위 인증 토큰이 제공된다. 이때, 최종 사용자가 보호 서비스 또는 정보로의 액세스를 승인하기 전에 토큰을 소유하고 있는지가 검증된다. 이의 전형적인 예로서, 소위 토큰 카드가 있는데, 이것은 인증 서버에 의해 검증되도록 최종 사용자에 의사-랜덤 1회용 패스워드를 제공한다.
개별 인증 토큰의 전개(deployment)에 대한 대안으로서, 이동 장치의 아이덴티티 모듈, 예컨대, GSM SIM (Subscriber Identity Module) 카드 또는 UMTS (Universal Mobile Telecommunication System) USIM (UMTS SIM)은 토큰으로서 이용될 수 있다. 아이덴티티 모듈은, 인증 챌린지(challenge)에 서명하여, 원격 최종 사용자가 이와 같은 구성에서 이동 장치의 아이덴티티 모듈로 이루어지는 보안 토큰을 소유하고 있음을 입증하는데 이용될 수 있는 개인 비밀 키를 포함할 수 있다.
오늘날, 보안 토큰으로서 이동 장치의 아이덴티티 모듈을 이용하기 위한 2개의 주요 접근법이 있다. 이 접근법 중 하나는 이동 네트워크를 보안 채널로서 이용하는데에 있고, 이에 의해, 인증 서버는 무선 네트워크를 통해 이동 장치와 통신하며, 다음에서, 네크워크 기반 인증이 나타날 것이다. 네크워크 기반 인증은 우수한 이용의 편의성(ease-of-use)을 제공하는데, 그 이유는 인증 서버가 최종 사용자로 부터 최소 입력만을 가진 인증 다이얼로그에서 수개의 단계를 자동으로 실행할 수 있기 때문이다. 그러나, 이것은, 이동 장치가 작업할 인증에 대한 무선 커버리지 내에 있어야 하는 이와 같은 네트워크 기반 인증 방법에 따른 결점이다. 다른 결점은 채널이 간단히 차단되어, 실행될 인증을 방해할 수 있다는 것이다.
다른 접근법은, 이동 장치상에서 서명 동작을 수동으로 실행하도록 최종 사용자에게 요구하는데 기초로 하며, 이는 여기서 수동 입력에 의한 인증을 나타낸다.
수동 입력에 의한 인증은 최종 사용자와 상당한 대화를 필요로 하며, 최종 사용자는, 예컨대, 액세스 채널로부터의 챌린지를 판독하여, 이를 이동 장치에 입력시키고, 매번 서명된 응답을 복귀시킬 필요가 있다. 이것은 특히 이동 장치가 액세스 단말기로서 동시에 이용될 경우에 불편하게 된다. 그러나, 이와 같은 접근법은 무선 커버리지에 의존하지 않는다.
US-A-5 668 876은 전자 서비스에 액세스하기를 시도하는 최종 사용자의 인증을 위한 방법 및 장치를 개시하며, 이에 의해 챌린지 코드(challenge code)는 표준 전화, 이동 전화 또는 유선 전화와 함께 사용되는 이동 전화와 같은 퍼스널 유닛(personal unit)으로 송신된다. 챌린지 코드는 퍼스널 유닛으로 송신되고, 사용자는 PIN 또는 유사한 것을 넣으며, 상기 유닛은 내부적으로 저장된 비밀 키에 기초로 하여 응답 코드를 생성한다. 이 코드는, 예컨대, 전화에 입력되고, 응답을 원래의 챌린지 코드 또는 예상된 응답 코드와 비교하여 액세스를 허용하거나 거부하기 위해 다시 송신된다. 이 문서는 특히, 보안 시스템의 사용을 특정 사이트로 제 한하는 전용 단말기 또는 맞춤형 단말기(customized terminal)를 필요로 하는 문제를 해결한다. 이런 솔루션은 결점으로 챌린지 코드의 전송의 결과를 팔로우업(follow-up)하지 않으며, 특히, 이는 무선 커버리지가 존재하지 않을 경우에, 인증이 실패한다는 것을 의미한다.
그래서, 최종 사용자 인증이 쉽고 유연한 방식으로 실행될 수 있고, 특히, 가능한 적은 최종 사용자 대화를 필요로 할 수 있는 시스템이 필요하다. 특히, 어떤 전용 유닛의 사용으로 제한되지 않는 시스템이 필요로 된다. 또한, 소위 네트워크 기반 접근법을, 보통은 이와 관련된 결점을 갖지 않고, 이용할 수 있는 시스템이 필요로 된다. 특히, 사용자 스테이션 장치가 도달하든 도달하지 않든 무관하게, 즉, 무선 네트워크의 커버리지 내에서 동작하고, 게다가 사용하기 쉬우며, 원하거나 최대의 범위까지 자동화될 수 있는 시스템이 필요로 된다. 특히, 기존 통신 시스템 내에서 실시하기가 쉬울 뿐만 아니라 새로운 시스템에서도 실시하기 쉬운 시스템이 필요로 된다.
하나 이상의 상술한 목적이 달성될 수 있는 장치 또는 인증 수단이 또한 필요로 된다. 또한, 하나 이상의 상술한 목적이 달성될 수 있는 방법이 필요로 된다.
그래서, 사용자 스테이션 장치가 또한 제 2 통신 채널을 통해 인증 수단과의 통신을 지원하는 초기에 언급된 시스템이 제공된다. 인증 수단은, 사용자 스테이션 장치로부터, 보호 정보 또는 보호 서비스 또는 보호 자원으로 액세스하기 위한 요구의 수신 시에, 사용자 스테이션 장치가 제 1 통신 채널을 통해 인증을 위해 도달 가능한지를 확립하고, 또한, 상기 제 2 통신 채널을 통해 제 1 인증 모드 뿐만 아니라 제 2 인증 모드도 지원하는데 적합하다. 인증 수단은 또한, 제 1 또는 2 인증 모드가 보호 정보 등으로 액세스를 요구하는 사용자 스테이션 장치에 이용되거나 활성화될 수 있을 경우 및/또는 시기를 선택하는 결정 수단을 포함한다. 상기 결정 수단은 특히 제 1 및 2 인증 모드 간에 스위치하는 스위칭 수단을 포함하거나 이 스위칭 수단과 통신하며, 이것에 따라 사용될 수 있거나 사용되어야 한다. 특히, 제 1 인증 모드는 제 2 인증 모드에 비해 우선 순위를 가지며, 이는 제 1 인증 모드가 사용될 수 있을 경우에, 그것이 사용되어야 한다는 것을 의미한다. 인증 수단은 특히, 사용자 스테이션 장치가 제 1 통신 채널을 통해 인증을 위해 도달 가능한지 도달 가능하지않는지를 확립하기 위한 상기 결정 수단을 구비하거나 포함하는 조사(examination) 수단을 포함한다. 특히, 제 1 통신 채널은 인증 채널을 포함하고, 특히, 제 2 통신 채널은 액세스 채널을 포함한다.
한 구성에서, 제 2 통신 채널은, 또한, 제 1 무선 네트워크, 또는 다른 실시예에서, 제 2 무선 네트워크의 통신 채널이다. 그러나, 다른 유익한 실시예에서, 제 2 통신 채널은, 예컨대, 인터넷 액세스 또는 인터넷 액세스 지원을 위해 고정 통신 네트워크, 또는 유선 통신 네트워크의 통신 채널이다.
한 구성에서, 인증 수단은 인증 서버 내에 제공되거나 인증 서버와 관련될 수 있는 인증 모듈을 포함한다. 또한, 그것은 액세스 수단 내에 제공되거나 액세스 수단과 관련될 수 있다. 다른 구성에서, 인증 수단은 인증 서버를 포함한다.
일부 실시예에서, 사용자 스테이션 장치는 이동 장치 및, 개별 유닛을 형성하는 액세스 단말기를 포함한다. 선택적 구성에서, 사용자 스테이션 장치는 단일 유닛으로서의 이동 액세스 단말기를 포함한다. 즉, 이동 장치 및 액세스 단말기는 단일 유닛으로서 제공된다.
상술한 바와 같은 결정 수단은 특히, 사용자 스테이션 장치가 조합된 유닛 또는 그의 이동 장치로서 상기 제 1 무선 네트워크를 통해 도달 가능하지 않을 경우에, 예컨대, 그것이 무선 커버리지 밖이거나, 제 1 통신 채널이 차단되는 경우에 제 2 모드를 선택하는데 적합하다. 물론, 제 2 통신 채널, 특히 그 대신에, 액세스 채널 또는 제 2 모드를 이용하는 다른 이유가 있을 수도 있다.
인증 수단은 특히 상기 조사 수단을 포함하는 인증 실행 수단을 포함하며, 이 인증 실행 수단은, 제 1 통신 채널, 예컨대, 제 1 무선 네트워크를 통해 사용자 스테이션 장치와의 사전 인증 다이얼로그를 초기화하여, 제 1 인증 모드가 사용될 수 있는지, 또는 사용자 스테이션 장치가 제 1 무선 네트워크를 통해 도달 가능한지를 확립하는데 적합하다.
특히, 상기 인증 수단은, 또한 조사 단계를 구성하도록 나타낼 수 있는 상기 사전 인증 다이얼로그를 실행하기 위해, 챌린지 코드를 포함하는 제 1 챌린지 메시지를 생성시켜 제 1 통신 네트워크를 통해 사용자 스테이션 장치로 전송하고, 제 1 챌린지 메시지의 챌린지 코드의 전송이 검증될 경우에 챌린지 프롬프트(challenge prompt)를 포함하는 제 2 챌린지 메시지를 사용자 스테이션 장치에 제공함으로써, 제 1 인증 모드의 제 1 인증 다이얼로그를 초기화하는데 적합하다. 인증 수단은 또한, 챌린지 코드의 전송이 검증되지 않을 경우에, 제 2 통신 채널을 통해 동일한 메시지 내에서 챌린지 코드 및 챌린지 프롬프트를 포함하는 조합된 챌린지 메시지를 생성시켜 사용자 스테이션 장치로 송신함으로써 제 2 인증 모드의 제 2 인증 다이얼로그를 초기화하고, 챌린지 코드가 적절히 서명되어 복귀되고, 액세스를 승인하거나 액세스를 거부하기 위해, 조사의 결과에 따라 보호 정보/서비스로 송신된 챌린지 코드, 또는 송신된 챌린지 코드에 대한 예상된 응답에 대응하는지를 조사하는데 적합하다. 조사 및 승인/거부 절차는 제 1 또는 2 모드가 사용되는 여부와 무관하게 동일하다.
특정 실시예에서, 조사 수단은, 예컨대 SMS-C (SMS-Center)를 통해 상기 제 1 챌린지 메시지를 SMS (Short Message Service)으로서 송신하는데 적합하다. 특히, 챌린지 코드는 어떤 적절한 방식으로 생성된 난수를 포함한다.
인증 수단은 또한, 사용자 스테이션 장치에 대한 공개 키와 같은 사용자 정보를 보유한 사용자 데이터 저장 수단 및 인증 검증 수단을 더 포함하거나 이들 양방의 수단과 통신하며, 상기 인증 검증 수단은 각각의 사용자 스테이션 장치의 인증 모듈 내에 저장된 각각의 개인 키에 상응하는 사용자 스테이션 장치의 공개 키를 이용하여 복귀된 서명된 (암호화된) 챌린지 코드를 해독하고, 사용자 스테이션 장치로 송신된 원래의 챌린지 코드 또는 예상된 응답과 복귀된 해독된 챌린지 코드를 비교함으로써, 해독된 복귀된 챌린지 코드가 원래의 챌린지 코드 또는 예상된 응답에 상응하면, 액세스 요구를 승인하고, 그렇지 않으면, 액세스 요구를 거부한다.
특히, RADIUS 챌린지 - 응답 메카니즘 또는 유사한 것은 시스템에 의해 지원된다.
한 실시예에서, 제 2 챌린지 메시지, 예컨대, 제 1 모드의 챌린지 프롬프트는 제 2 통신 채널을 통해 송신되며, 챌린지 코드는 이동 장치 내에 (자동으로) 서명되어, 이동 장치에 제공되며, 최종 사용자를 프롬프트하여 서명된 챌린지 코드를 액세스 클라이언트에 입력한다. 선택적으로, 개인 키에 따른 서명은 수동으로 실행될 수 있거나, 또한 수동 서명을 포함한다. 선택적으로, 그것은, 예컨대, 사용자 스테이션이 상술한 바와 같이 조합된 사용자 스테이션 장치 (하나의 엔티티)인 경우나, 액세스 단말기 (클라이언트) 및 이동 장치가 개별 유닛이지만, 예컨대, 블루투스 프로토콜 또는 유사한 것에 의해 접속될 경우에 서명된 챌린지 코드를 자동으로 입력하기 위해 제공될 수 있다.
제 2 모드가 실시되거나 실시될 필요가 있으면, 액세스 코드가 대신에 제 2 통신 채널을 통해, 프롬프트와 함께 액세스 단말기로 송신되며, 최종 사용자는, 이동 장치에 대한 서명 기능을 수동으로 선택하고, 그 상에 (액세스 단말기 상에 제공되는) 챌린지 코드를 입력하여, 액세스 단말기 상에 (이동 장치상에 제공되는) 서명된 챌린지 코드를 입력함으로써 이동 장치에 챌린지 코드를 서명하도록 프롬프트된다. 또한, 여기서, 조합된 사용자 스테이션 지정에 대해, 부분적 또는 완전한 자동화가 가능하다.
그래서, 본 발명에 따르면, 초기에 언급된 바와 같은 인증 수단은 또한 제시되며, 이 인증 수단은 또한 제 2 통신 채널을 통해 사용자 스테이션 장치와의 통신을 지원하는데 적합하고, 사용자 스테이션 장치에 요구하는 보호 액세스가 인증을 위해 제 1 통신 채널을 통해 도달 가능한지를 확립하기 위한 조사 수단을 포함하는 인증 실행 수단을 더 포함한다. 상기 인증 수단은 제 2 통신 채널을 이용하여 제 1 인증 모드 및 제 2 인증 모드(만(only))를 지원하도록 구성되고, 상기 조사 수단은 상기 제 1 또는 상기 제 2 인증 모드를 선택하는 결정 수단을 포함한다. 상기 결정 수단은 특히 제 1 및 2 인증 모드 간에 스위치하는 스위칭 수단을 포함하거나 스위칭 수단과 통신한다. 특히, 제 1 인증 모드는 제 2 인증 모드에 비해 우선 순위를 가지며, 상기 제 2 모드는 특히 사용자 스테이션 장치가 인증을 위해 제 1 통신 채널을 통해 도달 가능하지 않을 경우에만 이용된다. 특정 구성에서, 제 1 통신 채널은 인증 채널을 포함하고, 제 2 통신 채널은 액세스 채널을 포함한다. 특히, 제 1 통신 채널은 제 1 무선 네트워크의 무선 네트워크 통신 채널인 반면에, 제 2 통신 채널은, 예컨대, 인터넷 액세스를 위해 고정 통신 네트워크의 통신 채널, 또는 제 1 통신 채널 이외에 상기 제 1 무선 네트워크의 무선 네트워크 통신 채널 또는 제 2 무선 네트워크의 무선 네트워크 통신 채널이다. 한 구성에서, 인증 수단은 인증 서버를 포함한다.
선택적으로, 인증 수단은, 인증 서버 또는 액세스 서버, 또는 조합된 인증-액세스 서버와 관련되거나, 이들 내에 제공되도록, 또는 조합된 액세스-인증 서버를 형성하는 이의 포함 또는 관련을 통해 구성되는 인증 모듈을 포함한다.
특히, 조사 수단은, 특히, 예컨대 SMS로서 제 1 통신 채널을 통해 챌린지 코드를 송신함으로써, 사용자 스테이션 장치가 제 1 통신 채널을 통해 도달 가능한지를 확립하도록 주어진 기준이 충족되는지를 조사하고, 직접 또는 간접 전송 확인이 사용자 스테이션 장치, 또는 사용자 스테이션 장치를 통한 이용 가능성에 관계하는 무선 네트워크측으로부터 획득되는지를 조사하도록 구성된다. 특히, 주어진 기준이 충족되면, 조사 수단은 제 1 모드에서 인증 실행 수단을 활성화시키도록 구성되며, 여기서, 인증 실행 수단은, 액세스 클라이언트에 (수동으로), 제 1 챌린지 메시지에 송신되고, 바람직하게는 사용자 스테이션 장치의 이동 장치에 자동으로 서명되는 챌린지 코드의 엔트리를 프롬프트하고, 상기 서명된 챌린지 코드를 인증 수단으로 복귀하는 챌린지 프롬프트를 포함하는 제 2 챌린지 메시지를 송신하도록 구성된다. 상기 인증 실행 수단은 또한 서명된 챌린지 코드를 해독하여, 복귀된 해독된 챌린지 코드를 원래의 송신된 챌린지 코드 (또는 예상된 응답)와 비교하여, 원래의 챌린지 코드 (예상된 응답)와 해독된 복귀된 챌린지 코드 간에 일치할 경우에 액세스 요구를 승인하고, 그렇지 않으면, 액세스 요구를 거부하는 검증 수단을 더 포함한다.
검증 수단은 특히, 제 1 모드뿐만 아니라 제 2 모드에서, 외부 또는 내부 저장 수단 내에 저장되고, 서명을 위해 이용되는 사용자 스테이션 장치의 개인 키에 상응하는 사용자 스테이션 장치에 관한 공개 키를 인출하도록 구성된다. 특히, 인증 수단은, 전송 확인이 수신되지 않거나, 제 1 모드의 실시에서 액세스 요구가 거부되면, 이동 장치상에 서명하여 액세스 클라이언트 상에 엔트리하기 위해 챌린지 코드 및 챌린지 프롬프트의 양방을 포함하는 조합된 챌린지 메시지를 사용자 스테이션 장치로 송신하고, 복귀된 서명된 챌린지 코드를 해독하여 복귀된 해독된 챌린지 코드를 원래의 송신된 챌린지 코드 (예상된 응답)와 비교하여, 원래의 챌린지 코드와 해독된 복귀된 챌린지 코드 간에 일치할 경우에는 액세스 요구를 승인하고, 그렇지 않으면 액세스 요구를 거부하도록 구성된다. 특히, 액세스 단말기상에 제공된 챌린지 코드의 입력 및, 액세스 클라이언트 상의 서명된 챌린지 코드의 수동 엔트리 후에 이동 장치상에 수동 서명이 요구된다.
제 1 챌린지 메시지, 예컨대, 챌린지 코드는 특히 랜덤 챌린지 코드를 포함한다.
하나 이상의 상술한 문제점을 해결하고, 본 출원에서 초기에 논의된 하나 이상의 목적을 충족하기 위해, 초기에 언급된 바와 같은 방법은 또한 제공되고, (제 1) 무선 네트워크의 제 1 통신 채널을 통해 인증을 위해 사용자 스테이션 장치가 도달 가능한지를 확립하도록 인증 수단 내에서 조사 단계를 실행하는 단계; 도달 가능하면, 제 1 인증 모드를 초기화하는 단계; 도달 가능하지 않으면, 제 2 통신 채널을 통해 제 2 인증 모드를 초기화하는 단계를 포함한다.
조사 단계는 특히, 인증 수단에서 제 1 챌린지 메시지를 생성하는 단계; 제 1 챌린지 메시지를 사용자 스테이션 장치 또는 사용자 스테이션 장치를 처리하는 무선 네트워크 노드로 송신하는 단계; 상기 인증 수단에서, 주어진 기준이 충족되는지, 예컨대, 제 1 메시지의 전송 확인이 주어진 시간 주기 내에서 수신되는지를 조사하는 단계; 충족되면, 회답으로 사용자 스테이션 장치에서 서명된 제 1 챌린지 메시지를 요구하는 제 2 챌린지 메시지를 송신함으로써, 상기 제 1 인증 모드를 초기화하는 단계 및; 충족되지 않으면, 조합된 챌린지 메시지를 생성시켜 상기 조합된 챌린지 메시지를 제 2 통신 채널을 통해 사용자 스테이션 장치로 송신함으로써, 상기 제 2 모드를 초기화하는 단계를 포함한다. 특히, 제 1 챌린지 메시지는 챌린지 코드, 예컨대 랜덤-코드를 포함하고, 제 2 챌린지 메시지는 챌린지 프롬프트를 포함하는 반면에, 조합된 챌린지 메시지는 챌린지 코드 및 챌린지 프롬프트를 포함한다.
특히, 제 1 및 2 인증 모드는, 이들 중 어느 것이 실시되든지 무관하게, 인증 수단 내에서, 복귀된 서명 또는 암호화된 챌린지 코드를 수신하는 단계; 복귀된 암호화된 챌린지 코드를 해독하는 단계; 원래 송신된 챌린지 코드 또는 예상된 응답을 복귀된 해독된 챌린지 코드와 비교하는 단계; 복귀된 해독된 챌린지 코드가 원래 송신된 챌린지 코드 또는 예상된 응답에 상응하면, 액세스 요구를 승인하고, 그렇지 않으면, 액세스 요구를 거부하는 단계를 포함한다.
특히, 이 방법은, 사용자 스테이션 장치에서, 제 1 모드에 대해, 이동 장치 내의 개인 키로 제 1 챌린지 메시지로서 송신된 챌린지 코드를 자동으로 서명하는 단계; 사용자 스테이션 장치의 이동 장치의 디스플레이 상에 서명된 챌린지 코드를 제공하는 단계; 전송 확인을 인증 수단으로 송신하는 단계; 챌린지 프롬프트의 수신 시에 사용자 스테이션 장치의 액세스 클라이언트에 서명된 챌린지 코드를 입력하는 단계를 포함한다. 사용자 스테이션 장치가 예컨대 이동 장치 및 액세스 단말기 (클라이언트)를 포함하는 하나의 단일 유닛을 포함할 경우나, 예컨대 이들 간의 블루투스 통신을 위해 제공되는 경우에 엔트리는 자동으로 실행될 수 있다. 그렇지 않으면, 최종 사용자에 의해, 또는 IR-트랜스퍼(IR-transfer)를 통해 수동으로 입력이 실행된다.
특히, 이 방법은, 사용자 스테이션 장치에서, 제 1 챌린지 메시지로, 사용자 스테이션 장치의 이동 장치에 비밀 사용자 코드, 예컨대 PIN-코드를 입력하도록 최종 사용자를 프롬프트하는 단계; 사용자 스테이션 장치의 아이덴티티 모듈, 예컨대 SIM-카드에 저장된 개인 비밀 키로 챌린지 코드를 서명하는 단계; 사용자 스테이션 장치의 이동 장치의 디스플레이 상에 서명된 챌린지 코드를 제공하는 단계; 전송 확인을 인증 수단으로 송신하는 단계를 포함한다.
특히, 이 방법은, 인증 수단에서 전송 확인을 수신할 시에, 최종 사용자에게 이동 장치 디스플레이 상에 제공되는 서명된 챌린지 코드를 액세스 클라이언트에 입력하도록 요구하는 사용자 스테이션 장치의 액세스 클라이언트로 제 2 챌린지 메시지 또는 챌린지 프롬프트를 송신하는 단계; 액세스 클라이언트로부터 서명된 챌린지 코드를 인증 수단으로 복귀하는 단계를 포함한다.
특히, 해독 단계는 이동 장치의 인증 모듈 상에 저장된 개인 키에 상응하는 공개 키를 저장 수단으로부터 인출하는 단계; 서명된 챌린지 코드를 공개 키로 해독하는 단계를 포함한다. 저장 수단은 인증 수단 내에 또는 인증 모듈 또는 인증 수단 내에 또는 인증 수단과 통신하는 외부 저장 수단 내에 포함될 수 있다.
특히, 이 방법은, 최종 사용자에게 이동 장치에 챌린지 코드, 선택적으로 사용자 패스워드, 예컨대 PIN을 입력하도록 요구함으로써, 최종 사용자에게 사용자 스테이션 장치의 이동 장치에 챌린지 코드를 수동으로 서명하도록 명령하는 사용자 스테이션 장치의 액세스 클라이언트로 생성된 조합된 액세스 챌린지를 송신하고; 이동 장치의 보안 모듈 내에 저장된 개인 키로 챌린지 코드를 서명하며; 서명된 챌린지 코드를 이동 장치 디스플레이 상에 제공하며; 최종 사용자에게 서명된 챌린지 코드를 액세스 클라이언트에 입력하도록 요구하며; 서명된 챌린지 코드를 액세스 클라이언트로부터 인증 수단으로 복귀함으로써, 제 2 인증 모드를 실시하는 단계를 포함한다.
본 발명의 이점으로서, 2개의 상이한 인증 모드 (채널)가 이용 가능하고, 무선 네트워크 채널이 가능할 경우에 이용될 수 있고, 그렇지 않으면, 다른 채널, 예컨대 액세스 채널이 이용될 수 있다는 것이다. 또한, 이점으로서, 특히, 무선 채널이 이용되는 경우, 상당한 범위까지 절차가 자동화될 수 있고, 또한 제 2 모드에서, 그것은 상이한 범위까지 자동화될 수 있으며, 최고 가능 범위까지 무선 네트워크, 인증 채널을 통해 인증이 실행될 수 있으며, 이것이 작동하지 않을 경우에만, 액세스 채널이 이용된다. 또한, 이점으로서, 인증은, 무선 커버리지가 존재하든, 또는 사용자 스테이션 장치가 무선 네트워크의 무선 커버리지 내에 있거나 있지 않든, 또는 무선 채널이 차단되든 지의 여부에 무관하게 제공될 수 있다는 것이다.
이하, 본 발명은, 비제한 방식으로, 첨부한 도면을 참조로 더 기술될 것이다.
도 1은 본 발명의 개념의 제 1 구성에 따른 시스템을 개략적으로 도시한 것이다.
도 2는 본 발명의 개념에 따른 시스템의 제 2 구성을 개략적으로 도시한 것이다.
도 3은 본 발명의 개념에 따른 시스템의 제 3 구성을 개략적으로 도시한 것이다.
도 4는 본 발명의 개념을 실행하는데 필요로 되는 수단 또는 인증 수단의 기능부를 매우 개략적으로 도시한 것이다.
도 5는 본 발명에 따른 인증 수단의 하나의 간략화된 실시예를 도시한 것이다.
도 6은 본 발명의 절차를 개략적으로 기술한 흐름도이다.
도 7은 한 구성에 따른 본 발명의 개념을 약간 더 상세히 기술한 흐름도이다.
도 8은 본 발명의 개념의 한 구성에 따라 메시징을 기술한 시퀀스 다이어그램이다.
도 1은 본 발명의 개념이 실시되는 시스템의 일례를 도시한 개략적인 블록도이다. 이 시스템 내에는 사용자 스테이션 장치(10)가 포함되는데, 이 사용자 스테이션 장치(10)는, 여기서, 예컨대, 이동 전화 또는 핸드헬드 컴퓨터(hand-held computer) 또는 유사한 것과 같은 개별 이동 장치(11) 및, 예컨대 개인용 컴퓨터 (PC) 또는 핸드헬드 컴퓨터 등을 포함하는 액세스 단말기(12)를 포함한다. 액세스 단말기(12)는 액세스 채널을 포함하는 제 2 통신 채널을 통해 액세스 서버(20)와 통신하며, 이 통신 채널은 보호 정보 또는 서비스 또는 자원이 도달될 수 있는 채널이다. 액세스 서버(20)는 인증 서버(30)와 통신한다. 사용자 스테이션 장치(10), 여기서는, 상술한 바와 같이 전형적으로 이동 전화이지만, 또한 어떤 다른 종류의 이동 통신 장치, 예컨대, 핸드헬드 또는 랩톱 컴퓨터일 수 있는 이동 장치(11)는 무선 네트워크 (RAN, Radio Access Network)를 통해 이동 통신 시스템(40), 예컨대, 이동 전화 시스템에 접속된다. 이동 장치(11)와 이동 통신 시스템(40) 간의 통신은 제 1 통신 채널, 즉, 여기서는 또한 인증 채널로서 지칭되는 제 1 무선 네트워크 통신 채널을 통해 제공된다. 여기서, 최종 사용자(1)는 액세스 단말기(12)를 통해 액세스 서버(20)에 액세스하려고 하는 것으로 되어 있다. 보호 정보 또는 보호 서비스에 대한 액세스를 승인 또는 거부할 수 있도록 하기 위해, 액세스 서버(20)는 (액세스 단말기 또는 액세스 클라이언트(12)로부터의) 액세스 요구를, 최종 사용자(1)의 아이덴티티를 검증할 책임이 있는 인증 서버(30)로 전송한다. 이런 특정 실시예에서, 이것은, 최종 사용자(1)에 의해 반송되는 이동 장치(11) 내의 보안 모듈을 이용함으로써 행해진다. 이동 장치(11)는 여기서 보통 무선 네트워크 RAN 및 이동 통신 시스템(40)을 통해 도달되어야 한다. 이런 특정 실시예에서, 사용자 장치(10)의 이동 장치(11) 및 액세스 단말기(12)는 개별 유닛이다. 사용자 장치는 또한 양방의 기능성을 포함하는 하나의 단일 장치로 이루어질 수 있는 것은 자명하다. 사용자 장치(10)가 하나의 단일 장치로 이루어지는 경우에, 즉, 이동 장치(11) 및 액세스 단말기(12)가 동일한 장치인 경우에, 무선 네트워크/전화 시스템(40)은 또한 액세스 채널로서 역할을 할 수 있다. 아이덴티티 모듈 및 이동 장치(11)는 전형적으로 GSM/3GSM SIM 카드 또는 UMTS USIM 카드 또는 어떤 다른 형식의 아이덴티티 모듈, 하드웨어 또는 소프트웨어일 수 있다. 발명의 개념에 따르면, 식별을 위해, 먼저, 제 1 통신 채널을 통해 제 1 인증 모드가 이용될 수 있는지, 즉, 이동 장치(11)가 제 1 통신 채널 또는 무선 네트워크 채널을 통해 도달 가능한지가 확립된다. 그렇다면, 아래에 더 기술되는 바와 같이, 제 1 인증 모드가 이용되며, 반면에, 그것이 도달될 수 없거나 전송 수신을 인증 서버(30)에 제공할 수 없다면, 제 2 인증 모드가 제 2 통신 채널을 통해 초기화된다. 제 2 모드는 보통, 제 1 인증 모드가 바람직하게는 가능할 때마다 왜 이용되는지 제 1 인증 모드보다 약간 더 많은 사용자 대화를 필요로 한다.
도 2는 본 발명에 따른 시스템의 선택적 구성을 기술한 다른 블록도이다. 또한 여기서 사용자 스테이션 장치(10A)는 이동 장치(11A) 및 액세스 단말기(12A)로 이루어져 있는 것으로 되어 있다. 그러나, 또한 이 실시예에서, 도 1에 관련하여 상술된 바와 같이 단일 장치를 포함하는 것이 자명하다. 이동 장치(12A)는 무선 네트워크의 제 1 통신 채널을 통해 이동 통신 시스템(40A)에 접속되고, 액세스 단말기(12A)는 제 2 통신 채널을 통해 액세스 서버(20A)와 통신한다. 그러나, 이 실시예에서, 인증 수단은 액세스 서버(20A) 내에 제공되거나 연관되어 있는 인증 모듈(30A)로서 실시된다. 다른 양태에서, 이 기능은 도 1과 관련하여 기술된 기능과 유사하며, 도 2의 의도는 단지 인증 수단이 개별 인증 수단 또는 인증 서버, 또는 액세스 서버(20A) 내에 또는 관련하여 (또는 종래의 인증 서버와 관련하여) 제공되는 인증 모듈로서 실시될 수 있음을 설명하기 위한 것이다.
도 3은 본 발명에 따른 시스템의 구성을 도시한 또 다른 블록도이다. 이 구성에서, 사용자 스테이션 장치(10B)는 하나의 단일 유닛, 즉 이동 액세스 클라이언 트를 포함하는 것으로 되어 있다. 그것은, 제 1 무선 네트워크 통신 채널을 통해서는 이동 통신 시스템(40B)과 통신하고, 제 2 통신 채널을 통해서는 액세스 서버(20B)와 통신하는 것으로 되어 있다. 그리고 나서, 액세스 서버(20B)는, 본 발명의 개념을 실행하기 위한 인증 모듈(30B)를 포함하는, 예컨대 종래의 타입의 인증 서버(300)와 통신한다. 인증 모듈(30B)은 또한 인증 서버(300)와 통신하는 개별 유닛으로서 제공될 수 있다. 사용자 스테이션 장치(10B)는, 여기에 기술된 바와 같은 인증 수단과 함께, 물론 2개의 개별 유닛, 하나의 이동 장치 및 액세스 단말기로 이루어질 수 있다.
따라서, 인증 서버는, 매우 일반적인 경우인 독립형(stand-alone) 인증 서버로서, 또는 특수 용도의 경우인 예컨대 액세스 서버 내의 인증 모듈로서 실시될 수 있다.
도 4는 본 발명의 개념을 지원하는 인증 서버(30')의 주요 기능 또는 구성 요소를 기술한 개념도이다. 인증 서버(30')는 액세스 서버가 인터페이스될 수 있는 하나 이상의 액세스 서버 인터페이스 모듈을 포함한다. 이와 같은 인터페이스의 일례로서, 인증 서버 액세스가 RADIUS 서버 (RFC Request For Comments 2865) 섹션 2.1 및 4.4로서 작용하고, 액세스 서버가 RADIUS 클라이언트로서 작용하는 어느 경우의 RADIUS 프로토콜이 있다. RFC 2865에 명기되어 있는 바와 같은 RADIUS는 액세스 서버와 인증 서버를 인터페이스하기 위한 일반적인 사용자 프로토콜이다. 최종 사용자에 액세스 요구에 대한 응답으로서 챌린지 프롬프트를 제공하는 인증 기 법(scheme)을 지원하기 위해, RADIUS의 챌린지-응답 메카니즘이 이용될 수 있다. RADIUS 챌린지-응답은 RFC 2865의 상술한 섹션에서 기술된다. 본 발명의 개념은 RADIUS 챌린지-응답 메카니즘의 지원으로 제한되지 않고, 유사한 메카니즘을 지원할 필요가 있다.
인증 수단은 또한, 하나 이상의 이동 네트워크가 인터페이스되는 하나 이상의 이동 네트워크 인터페이스 모듈을 포함하는 것으로 되어 있다. 이와 같은 인터페이스의 일례로서, 이동 장치가 SMS를 통해 도달될 수 있는 SMPP와 같은 SMSC (Short Message Service Center) 외부 인터페이스 프로토콜이 있다. 이동 네트워크에 대한 인터페이싱은 또한 (도시되지 않은) 개별 게이트웨이 노드에서 처리될 수 있으며, 이 경우에, 인증 서버만이 인터페이스를 이런 게이트웨이 노드에 지원할 필요가 있다.
또한, 하나 또는 수개의 사용자 데이터 저장 수단 또는 저장소(repositories)가 인터페이스될 수 있는 하나 이상의 사용자 데이터 저장 수단 인터페이스 모듈을 포함하는 것으로 되어 있다. 필요한 사용자 정보는 예컨대 관련된 최종 사용자의 이동 장치에 대응하는 전화 번호 및 공개 키를 포함한다. 이 데이터는 전용 데이터베이스 또는 LDAP (Lightweight Directory Access Protocol) 카타로그 내에 저장될 수 있다.
인증 서버 수단(30')은 또한 통상의 방식으로 서버의 동작, 관리 및 유지를 위한 관리 인터페이스를 포함한다. 또한, 인증 서버 수단(30')은, 본 개념적 블록도에서, 서버의 코어(core) 인증 기능을 포함하는 서버 코어가 나타낼 수 있는 것 을 포함한다. 이들 기능은, 사용자 저장소로부터 사용자 크리덴셜(credential)을 검색하여, 이들을 최종 사용자에 의해 제공된 크리덴셜에 대해 검사하는 기능 및, 이동 장치의 아이덴티티 모듈 내에 저장된 비밀 또는 개인 키에 의해 서명될 수 있는 챌린지 코드 (바람직하게는 랜덤 챌린지 코드) (및 프롬프트)를 생성하는 기능을 포함한다. 또한, 그것은, 이동 네트워크를 통해, 즉, 제 1 통신 채널을 통해 이동 장치로 전송되는 챌린지 코드의 전송 상태의 팔로우업을 위한 기능을 포함하고, 전송이 성공적이지 않고 검증되지 않는 경우에는, 대신에 제 2 통신 채널 또는 액세스 채널을 통해 챌린지 코드를 제공하여, 최종 사용자에게 이동 장치로 챌린지를 수동으로 서명하도록 명령한다. 최종으로, 그것은, 최종 사용자에 의해 복귀된 서명된 액세스 챌린지가 정확함을 검사하여, 예컨대, 그것을 원래의 챌린지 코드와 비교하여, 이들 간에 일치하는지를 찾아 보호 정보로 액세스하기 위한 요구를 승인하거나 거부하는 기능을 포함한다.
본 발명의 개념을 지원하기 위해, 이동 장치 및 대응하는 아이덴티티 모듈, 예컨대, SIM 카드는 이동 네트워크를 통해 챌린지 코드를, 예컨대 짧은 메시지로서 수신하는 기능성을 지원하고, 아이덴티티 모듈, 예컨대, SIM 카드상에 저장된 비밀 또는 개인 키로 챌린지 코드를 서명하여, 이동 장치의 디스플레이 상에 서명된 챌린지 코드를 제공해야 한다. 선택 사항으로서, 서명된 챌린지 코드가 최종 사용자에게 제공되기 전에 최종 사용자에게 비밀 PIN 또는 유사한 것을 입력하도록 요구할 수 있다. 캐패드 또는 예컨대 이동 장치의 음성 작동 제어 수단을 통한 챌린지 코드의 수동 입력은 여기서 지원될 수 있다. 그리고 나서, 사용자는 예컨대 메뉴로 부터 서명 기능을 선택하여, 서명될 챌린지 코드를 입력하도록 프롬프트된다. 선택 사항으로서, 서명된 챌린지 코드가 사용자에게 제공되기 전에 또한 사용자에게 비밀 PIN을 입력하도록 요구할 수 있다. 본 출원에서 초기에 언급된 바와 같이, 이들 기능의 일부는 또한 적어도 어느 정도까지 자동화될 수 있다.
도 5는 특히 본 발명의 개념을 실행하는데 관련된 기능 또는 수단이 도시되는 인증 수단(30)의 하나의 실시예를 기술한 개략적인 블록도이다. 인증 수단(30)은 여기서 제 1 통신 채널에 대한 제 1 무선 네트워크 인터페이스 및 제 2 통신 채널 또는 액세스 채널에 대한 액세스 서버 인터페이스를 포함한다. 인증 서버는 인증 실행 수단(31)을 포함하고, 이 인증 실행 수단(31)은 제 1 인증 모드가 이용될 수 있는지를 확립하도록 챌린지 메시지 생성 수단(34)에 의해 제 1 통신 채널 상에 생성된 챌린지 코드를 포함하는 제 1 챌린지 메시지를 송신하는 조사 수단(32)을 포함한다. 조사 수단(32)은, 전송 확인 또는 전송 수신이 무선 네트워크 또는 제 1 통신 채널을 통해 이용도(availability)를 확인하는 최종 사용자 스테이션 장치로부터 수신되는지를 확립하는, 즉 챌린지 코드가 사용자 스테이션 장치에 의해 적절히 수신되었는지를 검사하여, 제 1 인증 모드 또는 제 2 인증 모드가 이용될 수 있는지를 결정하는 결정 수단(33)을 포함한다.
챌린지 메시지 생성 수단(34)은, 확인이 정확히 수신되면, 즉, 무선 네트워크의 이용도를 확인하면, 제 2 챌린지 메시지, 즉 제 1 인증 모드가 실시될 수 있을 경우에 액세스 채널을 통해 송신되는 챌린지 프롬프트를 생성한다. (프롬프트는 또한 조사 수단(32)에 의해 직접 제공될 수 있다).
선택적으로, 제 2 인증 모드가 실시될 수 있 수 있다면, 이전의 챌린지 코드의 메시지 요구 취소(cancel)가, 필요하다면, 송신된다. 챌린지 코드 및 챌린지 프롬프트를 포함하는 조합된 챌린지 메시지는 그것을 제 2 통신 채널을 통해 액세스 클라이언트로 송신하는 챌린지 생성 수단(34)에 의해 생성된다. 암호화되거나 서명된 챌린지 코드는 그것이, 사용자 데이터 저장 수단(38)에 저장된 사용자 스테이션 장치에 관계하는 공개 키를 인출하는 해독 수단(37)에서 해독한 후에 비교 수단(36)에서 송신된 챌린지 코드와 비교될 수 있는 검증 수단(35)에 수신된다. 해독된 챌린지 코드가 원래 생성된 챌린지 코드 (또는 예상된 응답)에 대응하면, 액세스는 승인될 수 있으며, 그렇지 않으면, 그것은 거부된다.
검증 수단(35)에서의 절차는, 제 1 인증 모드가 실시되든 제 2 인증 모드가 실시되든지에 무관하게 발생한다. 사용자 데이터 저장 수단(38)은, 인증 서버 내의 전용 저장 수단으로서, 또는 인증 서버 내에 제공되는 이미 현존하는 사용자 데이터 저장 수단 또는 통상의 사용자 데이터 저장 수단의 일부로서, 또는 인증 서버의 외부의 개별 저장 수단으로서 제공될 수 있음이 자명하다. 그것은, 특정 발명을 실행하기 위해 전용되거나, 관련 사용자 데이터를 보유한 통상의 저장 수단을 포함하는 어떤 적절한 종류의 저장 수단일 수 있다.
도 6은 본 발명의 개념을 기술한 매우 개략적인 흐름도이다. 여기서, 처리는, 최종 사용자가 액세스 단말기 상에 사용자 크리덴셜을 입력함으로써 보호 정보 또는 보호 서비스 또는 자원으로의 액세스를 요구할 시에 개시되는 것으로 되어 있다(100). 사용자 크리덴셜은 전형적으로, 때때로 사용자 패스워드와 함께 사용자 아이덴티티를 포함한다. 이것은 액세스 요구를 위한 보통의 절차에 상응한다. 액세스 요구는 먼저 이 요구를 인증 서버로 전송하는 액세스 서버에 제공된다(101). 인증 서버는, 네트워크 기반 인증 다이얼로그를 초기화하기 위해(102), 즉 제 1 인증 모드를 실시할 수 있는지를 확립하기 위해 무선 네트워크를 통해 이동 장치에 도달하기를 시도한다(102). 인증 서버는, 이동 장치가 예컨대, 이동 장치로 송신되는 메시지, 예컨대 챌린지 코드에 대한 전송 수신(delivery receipt)을 요구하여 기다림으로써 무선 네트워크를 통해 도달 가능함을 검증하는 것(103)이 필수적이다. 이런 검증 단계는 또한 다른 방식으로 실행될 수 있음이 자명하다. 그것이 이동 장치가 도달 가능함으로 검증될 수 있으면, 제 1 인증 모드, 즉 네트워크 기반 인증 절차가 초기화된다(104A). 이것은 아래에 더욱 철저히 기술되는 바와 같이 여러 방식으로 실시될 수 있다.
반면에, 이동 장치가 도달 가능하지 않으면, 예컨대, 전송 수신이, 예컨대, 확립된 타이머가 끝날 때까지 사전 설정된 시간 주기 내에서 복귀되지 않으면, 대신에 인증 서버는 제 2 인증 모드, 특히 수동 입력을 필요로 하는 인증 다이얼로그를 초기화하도록 진행한다(104B). 이것은 또한 아래에서 논의되는 바와 같이 여러 방식으로 실시될 수 있다. 인증 모드가 실시되든 인증 다이얼로그가 실시되든 무관하게, 인증 서버는, 예컨대 (해독 후에) 복귀된 및 서명된 챌린지 코드에 의해 송신된 챌린지 코드를 비교함으로써 인증이 성공적인지(105)를 결정하며, 인증이 성공적이면, 액세스는 승인되고(106A), 그렇지 않으면, 액세스는 거부된다(106B).
도 7은 본 발명의 개념의 한 구성을 약간 더 상세히 기술한 흐름도이다. 보 호 서비스 또는 보호 정보로의 액세스를 위한 요구는 일반적으로 사용자 스테이션 장치, 특히 액세스 클라이언트로부터 인증 수단에 제공되는 것으로 되어 있다(201). 조사를 위해, 즉, 무선 네트워크를 통해 이용도가 제공되는지를 검증하기 위해, 챌린지 코드를 포함하는 제 1 챌린지 메시지는 인증 수단 내에 생성되어, 제 1 무선 네트워크 통신 채널 또는 제 1 통신 채널을 통해 사용자 스테이션 장치, 특히 이동 장치로 송신된다(202). 특히, 타이머(T1)는 또한 x 초로 설정된다. 그 후, 제 1 챌린지 메시지에 관한 전송 수신이 T1이 끝나기 전에 인증 수단에 수신되는지가 조사된다(203). (이미 이 단계에서, 챌린지 코드는 이동 장치로 자동으로 또는 수동으로 서명될 수 있다.) 수신되면, 제 1 인증 모드는, 제 2 챌린지 메시지, 챌린지 프롬프트를 제공하고, 제 2 통신 채널을 통해 프롬프트가 송신되는 액세스 클라이언트 상의 챌린지 코드 서명의 엔트리를 요구함으로써 초기화된다(204A). 그리고 나서, 이동 장치상에서 개인 키로 자동으로 또는 수동으로 서명되는 챌린지 코드는, 예컨대, 액세스 클라이언트 상에 입력된다(205A). 후속하여, 서명된 챌린지 코드는, 또한 액세스 채널을 나타내는 제 2 통신 채널을 통해 액세스 클라이언트로부터 인증 수단으로 복귀된다(209). 그 후, 서명되거나 암호화된 챌린지 코드는 인증 수단에 수신되고(210), 인증 수단은 서명된 챌린지 코드를 해독하도록 저장 수단으로부터 사용자 스테이션 장치 개인 키에 대응하는 공개 키를 인출한다(211). 그 후, 송신된 챌린지 코드가 복귀된 해독된 챌린지 코드에 대응하는지가 검증된다(212). 대응하면, 액세스는 승인되고(212A), 대응하지 않으면, 액세스는 거부된다(212B).
그러나, 상기 단계(203)에서, 전송 수신이 적시에 수신되지 않았다면, 인증 수단은 취소 요구를 이동 네트워크 (예컨대, SMS-C)로 송신하여, 이전에 송신된 챌린지 코드를 취소한다(204B). 이것은 예컨대 아무것도 취소할 것이 없을 수 있으므로 점선으로 도시되며, 예컨대, 챌린지는 사용자 스테이션 장치에 결코 도달하지 않지만, 편리하게도 요구는 어떻게 해서든지 송신되어야 한다. 후속하여, 챌린지 코드 및 챌린지 프롬프트를 포함하는 조합된 챌린지 메시지를 생성시켜, 그것을 액세스 채널을 통해 사용자 스테이션 장치의 액세스 단말기 (클라이언트)로 송신함으로써 제 2 인증 모드의 초기화로 진행된다(205B). 이동 장치에 따른 챌린지 코드의 서명이 요구된다(206B). 특히, 최종 사용자는 수동으로 챌린지 코드를 이동 장치에 입력시켜 그것을 서명한다(207B). 후속하여, 서명된 챌린지는 액세스 단말기 (클라이언트)에 수동으로 (또는 자동으로) 입력되고 (208B), 그것은, 제 1 인증 모드에 관해 단계(209) 등으로 진행된다.
한 실시예에서, 사전 인증 모드에서, 최종 사용자는 (도면에 도시되지 않은) 사용자 크리덴셜을 입력하도록 요구를 받는다. 크리덴셜이 정확하면, 인증 서버는 이동 네트워크를 통해 이동 장치로 송신되는 랜덤 챌린지 코드를 생성시킨다. 챌린지는 이동 장치의 보안 모듈 상에 저장된 비밀 키로 암호화되고, 이와 같이 서명된 챌린지 코드는 이동 장치의 디스플레이 상에 제공된다. 선택 사항으로서, 서명된 챌린지가 디스플레이되기 전에 사용자에게 PIN을 입력하도록 요구할 수 있다. 챌린지 코드가 이동 장치로 성공적으로 전송되었으면, 제 1 모듈이 사용되고, 인증 서버는 액세스 서버를 통해 챌린지 프롬프트를 최종 사용자에 제공하여, 최종 사용자 에게 서명된 챌린지를 액세스 클라이언트 상에 입력하도록 요구하기 위해 진행한다. 정확한 챌린지 코드가 복귀되어, 상술한 바와 같이, 이 코드를 이동 장치상의 개인 또는 비밀 키에 대응하는 공개 키로 해독함으로써 검증되면, 액세스는 승인될 수 있다.
반면에, 챌린지 코드가 이동 장치로 전송될 수 없음을 인증 서버에 어떻게든지 해서 통지하면, 즉 미리 정해진 시간 주기 내에서 확인이 수신되지 않으면, 인증 서버는 챌린지 코드 및 챌린지 프롬프트를 액세스 서버를 통해 최종 사용자에게 제공하도록 진행한다. 이것에는 또한, 이동 장치에 따른 랜덤 챌린지 코드를 서명하여, 이 코드를 액세스 클라이언트 (단말기)에 입력하는 요구를 포함하는 프롬프트와 함께 랜덤 챌린지 코드를 포함하는 조합된 챌린지 메시지를 나타낸다. 그 후, 사용자는 특히 이동 장치의 메뉴 상에 서명 기능을 선택하여, 챌린지 코드를 입력할 수 있다. 그 후, 챌린지 코드는 이동 장치의 보안 모듈 상에 저장된 비밀 또는 개인 키로 암호화되어야 하고, 서명된 챌린지는 이동 장치의 디스플레이 상에 제공된다. 선택 사항으로서, 서명된 챌린지 코드가 디스플레이되기 전에 사용자에게 PIN을 입력하도록 요구할 수 있다. 그 후, 사용자는 서명된 챌린지 코드를 액세스 단말기 상에 입력하고, 그것은 인증 서버로 복귀된다. 정확한 챌린지 코드가 복귀되어, 상술한 바와 같이, 이 코드를 공개 키로 해독함으로써 검증되면, 액세스는 승인된다.
이것은 한 특정 구성에 관계함이 자명하다. 유사한 구성이 이와 관련하여 선택적 구성을 나타낸 도 8의 신호도에 관련하여 더 기술될 것이다.
도 8은 발명의 개념의 한 구성을 기술한 신호도이다. 먼저, 사용자 크리덴셜을 포함하는 초기 액세스 요구가 액세스 클라이언트로부터 액세스 서버로 송신되는 것으로 되어 있다(301). 그것은, 예컨대, RADIUS 프로토콜을 이용하여 액세스 서버로부터 인증 서버로 전송된다(302). 수신된 사용자 크리덴셜에 기초로 하여, 인증 서버는, 이동 장치가, 예컨대, 내부 데이터베이스를 참조하거나, 어떤 외부 트러스트 소스(trusted source), 예컨대, LDAP 디렉토리를 참조함으로써, 해당 사용자에 대해 이동 장치가 등록되는지를 검사한다. 이동 장치에 대한 레퍼런스(reference)는 전형적으로 최종 사용자의 이동 전화 번호일 수 있다. 선택적 구성에서, 최종 사용자는 이 레퍼런스, 예컨대 전화 번호를 이동 장치에 입력할 수 있고, 인증 서버가 이 레퍼런스에 대한 어떤 내부 또는 외부 데이터 저장 수단을 참조할 필요가 없는 경우에는 사용자 이름으로서 바로 이동 장치에 입력할 수 있다.
그리고 나서, 인증 서버는 랜덤 챌린지 코드를 생성시켜, 그것을, 이동 전화 시스템 또는 어떤 다른 유사한 무선 통신 네트워크를 통해, 특히 먼저 이동 장치상에서 사전 인증 다이얼로그를 활성화하는 메시지와 함께 이동 장치 또는 최종 사용자로 송신한다. 한 구성에서, 또한 사전 인증 절차에서 주목되는 이런 초기 메시지는, 최종 사용자의 이동 장치상에서 SIM Toolkit 다이얼로그를 초기화하는 짧은 메시지 또는 SMS를 포함한다. 그 후, 인증 서버는, 예컨대, 챌린지 코드가 이동 장치로 성공적으로 전송된 미리 정해진 시간 주기 내에서 네트워크로부터 타이머를 설정함으로써 확인을 기다리기 시작하며(304A), 이는 전송 수신을 나타낸다. 한 구성에서, 이것은 SMS가 이동 장치로 전송된 전송 수신의 형식일 수 있다. 일단 이동 장치로 전송되면, 예컨대, 챌린지 코드를 포함하는 초기 메시지 또는 제 1 챌린지 메시지는 인증 다이얼로그를 트리거할 수 있다. 한 구성에서, 이것은, (이것이 벌써 자동으로 행해지지 않았다면) 최종 사용자에게 비밀 PIN을 전화상에 입력하도록 프롬프트함으로써 행해질 수 있으며, 정확한 PIN이 입력되면, SIM 카드 (또는 등가(equivalent) 아이덴티티 모듈) 상에 저장된 개인 비밀 키로 챌린지 코드를 서명하여, 그 결과, 즉 이동 장치의 디스플레이 상에 서명된 챌린지를 제공한다. 선택적 구성에서, 사용자는 어떤 PIN을 입력할 필요가 없지만, 챌린지는 자동으로 개인 키로 서명되어, 이동 장치의 디스플레이 상에 제공된다.
인증 서버가 이동 장치가 도달된 네트워크로부터 확인 또는 전송 수신을 수신하면, 그것은 액세스 서버에게 요구하여, 챌린지 프롬프트로서 (305A)를 포함하는 제 2 챌린지 메시지를 최종 사용자에 제공한다. 한 구성에서, 이것은 RADIUS 액세스 챌린지 메시지의 형식이다. 액세스 서버는, 이 요구를 액세스 클라이언트로 전송하며(306A), 즉 챌린지 프롬프트이며, 여기서, 최종 사용자에게, 이동 장치의 디스플레이상에 제공되는 서명된 챌린지를 액세스 단말기(클라이언트)에 입력하도록 프롬프트한다(307A).
그리고 나서, 서명된 챌린지는 액세스 채널을 통해 액세스 서버로 복귀되어(308A), 인증 서버로 더 전송된다(309A). 그 후, 인증 서버는, 이동 장치의 인증 모듈 상에 저장된 개인 키에 대응하는 공개 키로 서명된 챌린지 코드를 해독한다. 공개 키는 인증 서버의 내부 데이터베이스 내에 저장되거나, 예컨대, LDAP 질의(query)를 통해 외부 소스로부터 요구된다. 그 후, 인증 서버는 복귀되어 해독된 챌린지 코드를 이동 장치로 송신된 원래의 챌린지 코드와 비교한다. 2개의 챌린지 코드가 일치하면, 인증 서버는 액세스 승인 메시지로 액세스 서버에 응답하며(310A), 액세스 서버는 그 후 액세스 클라이언트로 액세스를 승인한다(311A). 반면에, 부정확한 챌린지 코드가 복귀되었으면, 인증 서버는 대신에 액세스 거부로 응답한다(310A, 311A).
전송 수신(304A)이 미리 정해진 시간 주기 내에서 복귀되지 않으면, 인증 서버는 제 2 인증 모드로 계속한다.
인증 서버는 먼저, 예컨대 취소 메시지를 무선 네트워크로 송신함으로써(304B), 무선 네트워크가 미해결(pending) 액세스 챌린지 코드를 소거(clear)한다. 그것은 이때 챌린지 코드 및 프롬프트를, 이 코드가 이동 장치로 (수동으로) 서명되어야 하는 최종 사용자에 대한 명령에 따라, 액세스 서버로 송신한다. 한 구성에서, 이것은 RADIUS 챌린지 코드 메시지로서 행해질 수 있다. 따라서, 액세스 서버는 조합된 챌린지를 액세스 클라이언트로 전송하여(306B), 최종 사용자에게 이 챌린지를 이동 장치로 서명하여, 서명된 챌린지 코드를 복귀시키도록 프롬프트한다. 최종 사용자는 액세스 클라이언트 상의 챌린지 코드를 판독하여, 이동 장치상의 서명 기능을 수동으로 선택한다. 그 후, 이동 장치는 최종 사용자에게 챌린지 코드를 입력하도록(307B), 선택적으로 개인 PIN을 입력하도록 요구한다. 그 후, 챌린지는 이동 장치의 보안 모듈 상에 저장된 개인 키로 서명된다. 결과적으로 서명된 챌린지는 이동 장치의 디스플레이 상에 제공되어, 최종 사용자에 의해 액세스 클라이언트 상에 (수동으로) 입력된다(308B). 이 서명된 코드는, 상기 메시 지(308A-311A)에 관련하여 상술한 바와 같은 방식으로 챌린지를 검증하는 인증 서버로 복귀된다(309B, 310B).
선택적 구성에서, 도 8에 관련하여 기술된 수동 단계, 예컨대, (307A, 307B, 308B)의 일부 또는 모두는, 이동 장치와 액세스 클라이언트를 접속함으로써, 예컨대, 블루투스 무선 프로토콜을 이용함으로써 자동화될 수 있다. 이 단계는 또한, 액세스 클라이언트 및 이동 장치가 동일한 유닛인 경우에 자동화될 수 있다.
이동 장치와 인증 서버 간에 네트워크 노드, 예컨대, (도면에서 점선으로 도시된) SMS-C가 포함되는 것이 자명하다.
본 출원에서 기술된 바와 같은 개념은 비대칭 키 대신에 대칭 키가 이용되는 구성에 적용 가능함이 자명하다. 이 경우에, 이들 키는 공개 키, 실제로 또한 비밀 키로서 지칭된다.
또한, 보안 모듈은 선택적으로 SIM-카드 또는 유사물에 대한 대안으로서 이동 장치 하드웨어 내의 소프트웨어로서 실시될 수 있다.
또한, 많은 다른 양태에서 본 발명은 첨부한 청구범위의 범주 내에서 다양한 방식으로 변화될 수 있고, 특정 예시된 실시예로 제한되지 않음이 자명하다.

Claims (42)

  1. 보호 정보, 예컨대, 보호 자원 또는 서비스 또는 유사한 것으로 액세스를 요구하는 사용자 스테이션 장치(10;10A;10B)의 최종 사용자의 인증 시스템으로서, 상기 시스템은 액세스 서버 수단(20;20A;20B) 및 인증 수단(30;30A;30B)을 포함하며, 상기 사용자 스테이션 장치(10;10A;10B)는 무선 네트워크(40)의 제 1 통신 채널을 통해 상기 인증 수단(30;30A;30B)과의 통신을 지원하는 최종 사용자의 인증 시스템에 있어서,
    상기 사용자 스테이션 장치(10;10A;10B)는 제 2 통신 채널을 통해 상기 인증 수단(30;30A;30B)과의 통신을 더 지원하고, 상기 인증 수단(30;30A;30B)은, 사용자 스테이션 장치(10;10A;10B)로부터 보호 정보로 액세스하기 위한 요구의 수신 시에, 사용자 스테이션 장치(10;10A;10B)가 제 1 통신 채널을 통해 도달 가능한지를 확립하도록 구성되고, 상기 인증 수단(30;30A;30B)은 상기 제 2 통신 채널을 통해 제 1 인증 모드 및 제 2 인증 모드를 지원하도록 구성되며, 상기 인증 수단(30;30A;30B)은, 제 1 또는 2 인증 모드가 보호 정보 또는 보호 자원 또는 서비스로 액세스를 요구하는 사용자 스테이션 장치(10;10A;10B)에 이용되는 경우 및/또는 시기를 선택하는 결정 수단(33)을 더 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  2. 제 1 항에 있어서,
    상기 결정 수단(33)은 제 1 및 2 인증 모드 간에 스위치하는 스위칭 수단을 포함하거나 상기 스위칭 수단과 통신하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 1 인증 모드는 상기 제 2 인증 모드에 비해 우선 순위를 가지는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  4. 제 3 항에 있어서,
    상기 인증 수단(30;30A;30B)은 사용자 스테이션 장치(10;10A;10B)가 제 1 통신 채널을 통해 도달 가능한지를 확립하기 위해 상기 결정 수단(33)을 포함하는 조사 수단(32)을 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 제 1 통신 채널은 인증 채널을 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 제 2 통신 채널은 액세스 채널을 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  7. 전술한 항 중 어느 한 항에 있어서,
    상기 제 2 통신 채널은 제 1 또는 2 무선 네트워크의 통신 채널인 것을 특징으로 하는 최종 사용자의 인증 시스템.
  8. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 제 2 통신 채널은 예컨대 인터넷을 지원하는 고정 통신 네트워크의 통신 채널인 것을 특징으로 하는 최종 사용자의 인증 시스템.
  9. 전술한 항 중 어느 한 항에 있어서,
    상기 인증 수단은 인증 모듈(30A;30B)을 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  10. 제 9 항에 있어서,
    상기 인증 모듈(30A;30B)은 인증 서버 내에 제공되거나 관련되며, 또는 액세스 서버 내에 제공되거나 관련되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  11. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 인증 수단은 인증 서버(30)를 포함하는 것을 특징으로 하는 최종 사용 자의 인증 시스템.
  12. 전술한 항 중 어느 한 항에 있어서,
    상기 사용자 스테이션 장치(10;10A)는 이동 장치(11;11A) 및, 개별 유닛을 형성하는 액세스 단말기 또는 클라이언트(12;12A)를 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  13. 제 1 항 내지 제 11 항 중 어느 한 항에 있어서,
    상기 사용자 스테이션 장치(10B)는 단일 유닛으로서의 이동 액세스 단말기 또는 클라이언트를 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  14. 전술한 항 중 어느 한 항에 있어서,
    상기 결정 수단(33)은 사용자 스테이션 장치가 상기 제 1 무선 네트워크를 통해 도달 가능하지 않을 경우에, 예컨대, 무선 커버리지 밖이거나, 제 1 통신 채널이 차단되는 경우에 제 2 모드를 초기화하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  15. 전술한 항 중 어느 한 항에 있어서,
    상기 인증 수단(30;30A;30B)은 상기 조사 수단(32)을 포함하는 인증 실행 수단(31)을 포함하며, 상기 인증 실행 수단(31)은, 제 1 통신 채널, 예컨대, 제 1 무 선 네트워크를 통해 사용자 스테이션 장치(10;10A;10B)와의 사전 인증 다이얼로그를 초기화하여, 제 1 인증 모드가 사용될 수 있는지를 확립하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  16. 제 15 항에 있어서,
    상기 인증 수단(30;30A;30B)은, 상기 사전 인증 다이얼로그를 실행하기 위해, 챌린지 코드를 포함하는 제 1 챌린지 메시지를 생성시켜 제 1 통신 네트워크를 통해 사용자 스테이션 장치(10;10A;10B)로 전송하고, 챌린지 코드의 전송이 검증될 경우에, 챌린지 프롬프트를 포함하는 제 2 챌린지 메시지를 사용자 스테이션 장치에 제공함으로써 제 1 인증 모드의 제 1 인증 다이얼로그를 초기화하며, 챌린지 코드의 전송이 검증되지 않을 경우에, 제 2 통신 채널을 통해 동일한 메시지 내에서 챌린지 코드 및 챌린지 프롬프트를 포함하는 조합된 챌린지 메시지를 생성시켜 사용자 스테이션 장치(10;10A;10B)로 송신함으로써 제 2 인증 모드의 제 2 인증 다이얼로그를 초기화하고, 상기 제 1 또는 2 인증 다이얼로그에 대해, 상기 제 1 또는 2 인증 모드를 이용하여 보호 정보/서비스로의 액세스를 승인하거나 거부하기 위해 챌린지 코드가 적절히 서명되어 복귀되는지 서명되지 않고 복귀되는지를 조사하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  17. 제 16 항에 있어서,
    상기 조사 수단(32)은 예컨대 SMS-C를 통해 상기 제 1 챌린지 메시지를 SMS 로서 송신하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  18. 제 16 항 또는 제 17 항에 있어서,
    상기 챌린지 코드는 난수를 포함하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  19. 제 16 항, 제 17 항 또는 제 18 항 중 어느 한 항에 있어서,
    상기 인증(30) 수단은 공개 키와 같은 사용자 정보를 보유한 사용자 데이터 저장 수단(38) 및 인증 검증 수단을 포함하거나 이들 양방의 수단과 통신하며, 상기 인증 검증 수단은 사용자 스테이션 장치의 인증 모듈 내에 저장된 개인 키에 상응하는 사용자 스테이션 장치의 공개 키를 이용하여 서명된 챌린지 코드를 해독하고, 사용자 스테이션 장치로 송신된 원래의 챌린지 코드와 복귀된 해독된 챌린지 코드를 비교하여, 원래의 챌린지 코드가 해독된 복귀된 챌린지 코드 또는 예상된 응답 코드에 상응하면, 액세스 요구를 승인하고, 그렇지 않으면, 액세스 요구를 거부하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  20. 제 16 항 내지 제 19 항 중 어느 한 항에 있어서,
    RADIUS 챌린지 - 응답 메카니즘 또는 유사한 것을 지원하는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  21. 제 16 항 내지 제 20 항 중 어느 한 항에 있어서,
    상기 제 2 챌린지 메시지는 이동 장치로, 예컨대 개인 키로 상기 제 1 챌린지 메시지 내에 제공된 챌린지 코드의 서명을 자동으로 또는 수동으로 요구하여, 액세스 단말기 상의 서명된 챌린지 메시지의 엔트리를 요구하도록 구성되고, 조합된 챌린지 코드는 이동 장치상의 수반하는 챌린지 코드의 서명 및, 액세스 단말기 상의 서명된 챌린지 코드의 엔트리를 요구하도록 구성되는 것을 특징으로 하는 최종 사용자의 인증 시스템.
  22. 사용자 스테이션 장치(10;10A;10B)로부터 보호 정보, 보호 자원 또는 서비스로의 액세스를 요구하는 최종 사용자의 인증을 위한 인증 수단(30;30A;30B)으로서, 상기 사용자 스테이션 장치는 액세스 서빙 수단 인터페이스, 무선 네트워크의 제 1 통신 채널을 통해 사용자 스테이션 장치와의 통신을 가능하게 하는 하나 이상의 인터페이스를 포함하는 인증 수단에 있어서,
    상기 인증 수단(30;30A;30B)은 제 2 통신 채널을 통해 상기 사용자 스테이션 장치(10;10A;10B)와의 통신을 지원하도록 또한 구성되고, 상기 사용자 스테이션 장치가 제 1 통신 채널을 통해 도달 가능한지를 확립하기 위해 조사 수단(32)을 포함하는 인증 실행 수단(31)을 더 포함하며, 상기 인증 수단(30;30A;30B)은 상기 제 2 통신 채널을 이용하여 제 1 인증 모드 및 제 2 인증 모드를 지원하도록 구성되며, 상기 조사 수단(32)은 상기 제 1 또는 상기 제 2 인증 모드를 선택하는 결정 수단(33)을 포함하는 것을 특징으로 하는 인증 수단.
  23. 제 22 항에 있어서,
    상기 결정 수단(33)은 제 1 및 2 인증 모드 간에 스위치하는 스위칭 수단을 포함하거나 상기 스위칭 수단과 통신하는 것을 특징으로 하는 인증 수단.
  24. 제 22 항 또는 제 23 항에 있어서,
    상기 제 1 인증 모드는 상기 제 2 인증 모드에 비해 우선 순위를 가지며, 제 2 모드만이 사용자 스테이션 장치가 제 1 통신 채널을 통해 인증을 위해 도달 가능하지 않을 경우에 이용되는 것을 특징으로 하는 인증 수단.
  25. 제 22 항, 제 20 항 또는 제 24 항 중 어느 한 항에 있어서,
    상기 제 1 통신 채널은 인증 채널을 포함하고, 상기 제 2 통신 채널은 액세스 채널을 포함하는 것을 특징으로 하는 인증 수단.
  26. 제 22 항 내지 제 25 항 중 어느 한 항에 있어서,
    상기 제 1 통신 채널은 제 1 무선 네트워크의 무선 네트워크 통신 채널이고, 상기 제 2 통신 채널은 예컨대 인터넷에 대한 고정 통신 네트워크의 통신 채널, 또는 상기 제 1 무선 네트워크 또는 제 2 무선 네트워크의 무선 네트워크 통신 채널인 것을 특징으로 하는 인증 수단.
  27. 제 22 항 내지 제 26 항 중 어느 한 항에 있어서,
    인증 서버(30)를 포함하는 것을 특징으로 하는 인증 수단.
  28. 제 22 항 내지 제 26 항 중 어느 한 항에 있어서,
    인증 서버(300) 또는 액세스 서버(20A) 내에 제공되거나 관련되도록 구성되는 인증 모듈(30A;30B)을 포함하는 것을 특징으로 하는 인증 수단.
  29. 제 22 항 내지 제 28 항 중 어느 한 항에 있어서,
    상기 조사 수단(32)은, 예컨대 SMS로서, 제 1 통신 채널을 통해 챌린지 코드를 포함하는 제 1 챌린지 메시지를 송신함으로써, 사용자 스테이션 장치(10;10A;10B)가 제 1 통신 채널을 통해 도달 가능한지를 확립하도록 주어진 기준이 충족되는지를 조사하고, 인증을 위해 이용 가능 사용자 스테이션 장치에 관계하는 직접 또는 간접 전송 확인이 획득되는지를 조사하도록 구성되는 것을 특징으로 하는 인증 수단.
  30. 제 29 항에 있어서,
    상기 주어진 기준이 충족되면, 조사 수단(32)은 제 1 모드에서 인증 실행 수단(31)을 활성화하도록 구성되며, 상기 인증 실행 수단은, 액세스 클라이언트에서 이동 장치(11;11A;11B)로 서명되는 챌린지 코드의 수동 또는 자동 엔트리 및, 상기 서명된 챌린지 코드의 복귀를 프롬프트하는 챌린지 프롬프트를 포함하는 제 2 챌린지 메시지를 생성시켜 송신하도록 구성되며, 상기 인증 실행 수단(31)은 서명된 챌린지 코드를 해독하여, 복귀된 해독된 챌린지 코드를 원래의 송신된 챌린지 코드 또는 예상된 응답 코드와 비교하여, 원래의 챌린지 코드 또는 예상된 응답 코드와 해독된 복귀된 챌린지 코드 간에 일치할 경우에 액세스 요구를 승인하고, 일치하지 않으면, 액세스 요구를 거부하는 검증 수단(35)을 더 포함하는 것을 특징으로 하는 인증 수단.
  31. 제 30 항에 있어서,
    상기 검증 수단(35)은, 제 1 및 2 모드에 대해, 외부 또는 내부 저장 수단(38) 내에 저장되고, 서명을 위해 이용되는 사용자 스테이션 장치(10;10A;10B)의 개인 키에 상응하는 공개 키를 인출하도록 구성되는 것을 특징으로 하는 인증 수단.
  32. 제 30 항 또는 제 31 항에 있어서,
    상기 인증 수단(30;30A;30B)은, 전송 확인이 수신되지 않거나, 액세스 요구가 거부되면, 이동 장치상에 서명하고, 서명된 챌린지 코드를 액세스 클라이언트상에 입력하여, 인증 수단으로 복귀하기 위해 챌린지 코드 및 챌린지 프롬프트를 포함하는 액세스 단말기(12;12A;12B)에 대한 조합된 챌린지 메시지를 사용자 스테이션 장치(10;10A;10B)로 송신하고, 복귀된 서명된 챌린지 코드를 해독하여, 복귀된 해독된 챌린지 코드를 원래의 송신된 챌린지 코드 또는 예상된 응답 코드와 비교하여, 원래의 챌린지 코드 또는 예상된 응답 코드와 해독된 복귀된 챌린지 코드 간에 일치할 경우에는 액세스 요구를 승인하고, 일치하지 않으면 액세스 요구를 거부하도록 구성되는 것을 특징으로 하는 인증 수단.
  33. 제 30 항 내지 제 32 항 중 어느 한 항에 있어서,
    상기 제 1 챌린지 메시지, 예컨대, 챌린지 코드는 랜덤 챌린지 코드를 포함하는 것을 특징으로 하는 인증 수단.
  34. 액세스 요구를 인증 수단으로 송신함으로써, 보호 서비스 또는 자원 또는 보호 정보로의 액세스를 요구하는 사용자 스테이션 장치의 원격 최종 사용자의 인증 방법에 있어서,
    무선 네트워크의 제 1 통신 채널을 통해 인증을 위해 사용자 스테이션 장치가 도달 가능한지를 확립하도록 인증 수단 내에서 조사 단계를 실행하는 단계;
    도달 가능하면, 상기 제 1 통신 채널을 통해 제 1 인증 모드를 이용하는 단계;
    도달 가능하지 않으면, 동일하거나 다른 통신 네트워크의 제 2 통신 채널을 통해 제 2 인증 모드를 이용하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  35. 제 34 항에 있어서,
    상기 조사 단계는,
    인증 수단에서 챌린지 코드, 예컨대 랜덤 코드를 포함하는 제 1 챌린지 메시지를 생성하는 단계,
    상기 제 1 챌린지 메시지를 사용자 스테이션 장치 또는 사용자 스테이션 장치를 처리하는 무선 네트워크 노드로 송신하는 단계,
    상기 인증 수단에서, 주어진 기준이 충족되는지, 예컨대, 제 1 챌린지 메시지의 전송 확인이 주어진 시간 주기 내에서 수신되는지를 조사하는 단계,
    충족되면, 이동 장치로 서명된 챌린지 코드를 요구하는 챌린지 프롬프트를 포함하는 제 2 챌린지 메시지를 송신하고, 상기 제 2 통신 채널을 통해 상기 인증 수단으로 복귀함으로써, 상기 제 1 인증 모드를 이용 또는 초기화하는 단계,
    충족되지 않으면, 상기 제 2 모드를 초기화하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  36. 제 34 항 또는 제 35 항에 있어서,
    상기 제 2 인증 모드는,
    챌린지 코드 및, 상기 사용자 스테이션 장치에서 서명되는 챌린지 코드를 필요로 하는 챌린지 프롬프트를 포함하는 조합된 챌린지 메시지를 송신하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  37. 제 34 항 내지 제 36 항 중 어느 한 항에 있어서,
    상기 제 1 및 2 인증 모드는, 인증 수단 내에서,
    복귀된 암호화 서명된 챌린지 코드를 수신하는 단계;
    복귀된 암호화된 챌린지 코드를 해독하는 단계;
    원래 송신된 챌린지 코드 또는 예상된 응답 코드를 복귀된 해독된 챌린지 코드와 비교하는 단계;
    복귀된 해독된 챌린지 코드가 원래 송신된 챌린지 코드 또는 예상된 응답 코드에 상응하면, 액세스 요구를 승인하고,
    그렇지 않으면, 액세스 요구를 거부하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  38. 제 34 항 내지 제 37 항 중 어느 한 항에 있어서,
    사용자 스테이션 장치에서,
    전송 확인을 확인 수단으로 송신하는 단계;
    제 1 인증 모드에서:
    이동 장치에 제공된 챌린지 코드를 예컨대 개인 키로 자동으로 서명하는 단계로서, 사용자 스테이션 장치의 이동 장치는 상기 제 1 통신 채널을 통해 인증 수단과 통신하는 단계;
    제 2 챌린지 메시지의 수신 시에:
    상기 제 2 통신 채널을 통해 인증 수단과 통신하는 사용자 스테이션 장치의 액세스 단말기 상에 서명된 챌린지 코드를 입력하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  39. 제 38 항에 있어서,
    사용자 스테이션 장치에서,
    제 1 챌린지 메시지로, 챌린지 코드의 자동 또는 수동 서명 전에 사용자 스테이션 장치의 이동 장치에 비밀 사용자 코드, 예컨대 PIN-코드를 입력하도록 최종 사용자를 프롬프트하는 단계;
    사용자 스테이션 장치의 아이덴티티 모듈, 예컨대 SIM-카드에 저장된 개인 비밀 키로 챌린지 코드를 서명하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  40. 제 38 항 또는 제 39 항에 있어서,
    상기 인증 수단에서 전송 확인을 수신할 시에:
    최종 사용자에게 이동 장치 디스플레이 상에 제공되는 서명된 챌린지 코드를 액세스 클라이언트에 입력하도록 요구하는 사용자 스테이션 장치의 액세스 클라이언트로 제 2 챌린지 메시지 또는 챌린지 프롬프트를 송신하는 단계;
    액세스 클라이언트로부터 서명된 챌린지 코드를 인증 수단으로 복귀하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  41. 제 34 항 내지 제 37 항 중 어느 한 항에 있어서,
    최종 사용자에게 이동 장치에 챌린지 코드, 선택적으로 사용자 아이덴티티, 예컨대 PIN을 입력하도록 요구함으로써, 최종 사용자에게 사용자 스테이션 장치의 이동 장치에 챌린지 코드를 수동으로 서명하도록 명령하는 사용자 스테이션 장치의 액세스 클라이언트로 조합된 챌린지를 생성하여 송신하고;
    이동 장치의 보안 모듈 내에 저장된 개인 키로 챌린지 코드를 서명하며;
    서명된 챌린지 코드를 이동 장치 디스플레이 상에 제공하며;
    서명된 챌린지 코드를 액세스 클라이언트에 입력하며;
    서명된 챌린지 코드를 인증 수단으로 복귀함으로써,
    상기 제 2 인증 모드를 실시하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
  42. 제 37 항에 있어서,
    상기 해독 단계는 상기 인증 수단에서:
    이동 장치의 인증 모듈 상에 저장된 개인 키에 상응하는 공개 키를 저장 수단으로부터 인출하는 단계;
    상기 개인 키로 서명된 복귀된 챌린지 코드를 상기 공개 키로 해독하는 단계를 포함하는 것을 특징으로 하는 원격 최종 사용자의 인증 방법.
KR1020087021078A 2006-02-03 2006-02-03 최종 사용자 인증을 위한 시스템, 장치 및 방법 KR101300414B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2006/000157 WO2007089179A1 (en) 2006-02-03 2006-02-03 A system, an arrangement and a method for end user authentication

Publications (2)

Publication Number Publication Date
KR20080091382A true KR20080091382A (ko) 2008-10-10
KR101300414B1 KR101300414B1 (ko) 2013-08-26

Family

ID=38327670

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087021078A KR101300414B1 (ko) 2006-02-03 2006-02-03 최종 사용자 인증을 위한 시스템, 장치 및 방법

Country Status (11)

Country Link
US (1) US8296823B2 (ko)
EP (1) EP1987627B1 (ko)
JP (1) JP4975762B2 (ko)
KR (1) KR101300414B1 (ko)
CN (1) CN101366234B (ko)
AU (1) AU2006337227B2 (ko)
BR (1) BRPI0621299A2 (ko)
CA (1) CA2641418C (ko)
DK (1) DK1987627T3 (ko)
MX (1) MX2008009745A (ko)
WO (1) WO2007089179A1 (ko)

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101253506B (zh) * 2005-08-30 2010-05-19 帕斯罗基株式会社 网站确认方法
EP2098038B1 (en) * 2006-12-28 2017-06-21 Telefonaktiebolaget LM Ericsson (publ) Method and arrangement for integration of different authentication infrastructures
US7818571B2 (en) * 2007-02-09 2010-10-19 Microsoft Corporation Securing wireless communications between devices
ATE447304T1 (de) * 2007-02-27 2009-11-15 Lucent Technologies Inc Drahtloses kommunikationsverfahren zur steuerung eines mittels sicherheitsvorrichtung gewährten zugangs
US8533821B2 (en) 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
WO2009031159A2 (en) * 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
US8782775B2 (en) 2007-09-24 2014-07-15 Apple Inc. Embedded authentication systems in an electronic device
US10181055B2 (en) * 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) * 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) * 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10783232B2 (en) * 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
US8600120B2 (en) 2008-01-03 2013-12-03 Apple Inc. Personal computing device control using face detection and recognition
US20090282251A1 (en) * 2008-05-06 2009-11-12 Qualcomm Incorporated Authenticating a wireless device in a visited network
US20090320089A1 (en) * 2008-06-20 2009-12-24 Microsoft Corporation Policy-based user brokered authorization
FR2935511B1 (fr) * 2008-08-28 2010-12-10 Oberthur Technologies Procede d'echange de donnees entre deux entites electroniques
CN101686572B (zh) * 2008-09-26 2012-07-04 中国移动通信集团公司 无线终端机卡互锁的方法、系统和管理平台
US10818119B2 (en) * 2009-02-10 2020-10-27 Yikes Llc Radio frequency antenna and system for presence sensing and monitoring
US20100269162A1 (en) * 2009-04-15 2010-10-21 Jose Bravo Website authentication
US9628297B2 (en) * 2009-04-23 2017-04-18 International Business Machines Corporation Communication authentication using multiple communication media
CH701050A1 (fr) * 2009-05-07 2010-11-15 Haute Ecole Specialisee Bernoise Technique Inf Procédé d'authentification.
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
CN102026171B (zh) * 2009-09-17 2013-06-12 国基电子(上海)有限公司 安全控制远程无线设备的方法
US20110107410A1 (en) * 2009-11-02 2011-05-05 At&T Intellectual Property I,L.P. Methods, systems, and computer program products for controlling server access using an authentication server
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8745699B2 (en) 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
US10581834B2 (en) 2009-11-02 2020-03-03 Early Warning Services, Llc Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity
US8549601B2 (en) * 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
US8789153B2 (en) * 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8458774B2 (en) * 2009-11-02 2013-06-04 Authentify Inc. Method for secure site and user authentication
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8806592B2 (en) 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US8590031B2 (en) * 2009-12-17 2013-11-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
US20130063246A1 (en) * 2010-02-22 2013-03-14 Easy Axess Gmbh I.G. System and method for electronically providing an access authorization
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
CN102906776A (zh) * 2010-03-31 2013-01-30 帕特尔有限公司 一种用于用户和服务提供商之间双向认证的方法
EP2565211B1 (en) 2010-04-26 2017-10-25 Nippon Shokubai Co., Ltd. Polyacrylic acid (salt), polyacrylic acid (salt)-based water-absorbing resin, and process for producing same
CN102858815B (zh) 2010-04-26 2016-07-06 株式会社日本触媒 聚丙烯酸(盐)、聚丙烯酸(盐)系吸水性树脂及其制造方法
US9361107B2 (en) * 2010-07-09 2016-06-07 Blackberry Limited Microcode-based challenge/response process
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
US9009793B2 (en) * 2011-03-31 2015-04-14 Infosys Limited Dynamic pin dual factor authentication using mobile device
FI20115313A0 (fi) * 2011-03-31 2011-03-31 Meontrust Oy Autentikointimenetelmä ja -järjestelmä
US9832183B2 (en) 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
FR2977418B1 (fr) * 2011-06-28 2013-06-28 Alcatel Lucent Systeme d'authentification via deux dispositifs de communication
US8769624B2 (en) 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
GB201106976D0 (en) * 2011-10-03 2011-10-03 Corcost Ltd Corcost-SG002
US8984276B2 (en) 2012-01-10 2015-03-17 Jpmorgan Chase Bank, N.A. System and method for device registration and authentication
TWI469613B (zh) * 2012-03-02 2015-01-11 Univ Nat Cheng Kung 雲端認證系統及方法
CN103078892B (zh) 2012-05-09 2015-07-29 腾讯科技(深圳)有限公司 短消息内容智能识别的方法、客户端、服务器及系统
US9716691B2 (en) 2012-06-07 2017-07-25 Early Warning Services, Llc Enhanced 2CHK authentication security with query transactions
US10025920B2 (en) 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
GB2505211B (en) * 2012-08-22 2014-10-29 Vodafone Ip Licensing Ltd Communications device authentication
CN102811228B (zh) * 2012-08-31 2016-07-06 中国联合网络通信集团有限公司 网络业务登录方法、设备和系统
US8738049B1 (en) * 2012-11-05 2014-05-27 International Business Machines Corporation Converged dialog in hybrid mobile applications
US9591339B1 (en) 2012-11-27 2017-03-07 Apple Inc. Agnostic media delivery system
US9774917B1 (en) 2012-12-10 2017-09-26 Apple Inc. Channel bar user interface
US10200761B1 (en) 2012-12-13 2019-02-05 Apple Inc. TV side bar user interface
US9532111B1 (en) 2012-12-18 2016-12-27 Apple Inc. Devices and method for providing remote control hints on a display
US10521188B1 (en) 2012-12-31 2019-12-31 Apple Inc. Multi-user TV user interface
US20140204539A1 (en) * 2013-01-24 2014-07-24 Bradley Dean Loomis Package and tray system for interchanging device components
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
FI20135275A (fi) * 2013-03-22 2014-09-23 Meontrust Oy Tapahtumien auktorisointimenetelmä ja -järjestelmä
WO2014201647A1 (zh) * 2013-06-19 2014-12-24 华为终端有限公司 一种数据和消息处理的方法及装置
US9898642B2 (en) 2013-09-09 2018-02-20 Apple Inc. Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs
US20150088760A1 (en) * 2013-09-20 2015-03-26 Nuance Communications, Inc. Automatic injection of security confirmation
KR101444305B1 (ko) * 2013-12-13 2014-09-26 (주)세이퍼존 다중 otp를 사용한 보안키, 보안 서비스 장치 및 보안 시스템
US9065824B1 (en) * 2014-03-17 2015-06-23 Google Inc. Remote authorization of access to account data
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US20150324943A1 (en) * 2014-05-07 2015-11-12 Sang Hee Han System and method for remote presence monitoring
US9690924B2 (en) * 2014-05-15 2017-06-27 Microsoft Technology Licensing, Llc Transparent two-factor authentication via mobile communication device
US10482461B2 (en) 2014-05-29 2019-11-19 Apple Inc. User interface for payments
KR101929372B1 (ko) 2014-05-30 2018-12-17 애플 인크. 하나의 디바이스의 사용으로부터 다른 디바이스의 사용으로의 전환
US9967401B2 (en) 2014-05-30 2018-05-08 Apple Inc. User interface for phone call routing among devices
CN111782130B (zh) 2014-06-24 2024-03-29 苹果公司 用于在用户界面中导航的列界面
US10339293B2 (en) 2014-08-15 2019-07-02 Apple Inc. Authenticated device used to unlock another device
JP6228093B2 (ja) * 2014-09-26 2017-11-08 Kddi株式会社 システム
US9706401B2 (en) * 2014-11-25 2017-07-11 Microsoft Technology Licensing, Llc User-authentication-based approval of a first device via communication with a second device
US20160189151A1 (en) * 2014-12-31 2016-06-30 Ebay Enterprise, Inc. Distributed authentication for mobile devices
WO2017009743A1 (en) * 2015-07-10 2017-01-19 Comviva Technologies Limited Method and system for enhancing security of card based financial transaction
CN106469260A (zh) * 2015-08-20 2017-03-01 中兴通讯股份有限公司 一种访问移动终端的方法及装置
US10084782B2 (en) 2015-09-21 2018-09-25 Early Warning Services, Llc Authenticator centralization and protection
US10148631B1 (en) * 2015-09-29 2018-12-04 Symantec Corporation Systems and methods for preventing session hijacking
US10164973B1 (en) * 2015-12-02 2018-12-25 United Services Automobile Association (Usaa) Public authentication systems and methods
GB2546340A (en) * 2016-01-18 2017-07-19 Isis Innovation Improving security protocols
US10552823B1 (en) 2016-03-25 2020-02-04 Early Warning Services, Llc System and method for authentication of a mobile device
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10621581B2 (en) 2016-06-11 2020-04-14 Apple Inc. User interface for transactions
DK201670581A1 (en) 2016-06-12 2018-01-08 Apple Inc Device-level authorization for viewing content
DK201670582A1 (en) 2016-06-12 2018-01-02 Apple Inc Identifying applications on which content is available
DK201670622A1 (en) 2016-06-12 2018-02-12 Apple Inc User interfaces for transactions
TWI612793B (zh) * 2016-07-04 2018-01-21 Chunghwa Telecom Co Ltd 經電話網路提供一次性密碼之系統與方法
US20180068313A1 (en) 2016-09-06 2018-03-08 Apple Inc. User interfaces for stored-value accounts
US10496808B2 (en) 2016-10-25 2019-12-03 Apple Inc. User interface for managing access to credentials for use in an operation
US11966560B2 (en) 2016-10-26 2024-04-23 Apple Inc. User interfaces for browsing content from multiple content applications on an electronic device
US11895240B2 (en) * 2016-12-15 2024-02-06 Nec Corporation System, apparatus, method and program for preventing illegal distribution of an access token
US10650153B2 (en) * 2017-01-31 2020-05-12 Ent. Services Development Corporation Lp Electronic document access validation
US10362022B2 (en) * 2017-04-13 2019-07-23 Ubs Business Solutions Ag System and method for facilitating multi-connection-based authentication
US11431836B2 (en) 2017-05-02 2022-08-30 Apple Inc. Methods and interfaces for initiating media playback
US10992795B2 (en) 2017-05-16 2021-04-27 Apple Inc. Methods and interfaces for home media control
CN111343060B (zh) 2017-05-16 2022-02-11 苹果公司 用于家庭媒体控制的方法和界面
US20220279063A1 (en) 2017-05-16 2022-09-01 Apple Inc. Methods and interfaces for home media control
MY202387A (en) 2017-05-30 2024-04-25 Belgian Mobile Id Sa/Nv Mobile device authentication using different channels
US10621839B2 (en) * 2017-07-31 2020-04-14 Comcast Cable Communications, Llc Next generation monitoring system
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
KR102301599B1 (ko) 2017-09-09 2021-09-10 애플 인크. 생체측정 인증의 구현
US10650130B2 (en) * 2017-11-06 2020-05-12 Ubs Business Solutions Ag System and method for facilitating authentication via a short-range wireless token
US10833859B2 (en) * 2017-12-07 2020-11-10 International Business Machines Corporation Automating verification using secure encrypted phone verification
JP7245999B2 (ja) * 2018-02-14 2023-03-27 パナソニックIpマネジメント株式会社 制御情報取得システム、及び、制御情報取得方法
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
WO2020060432A1 (ru) * 2018-09-18 2020-03-26 Алексей Владимирович БУРЛИЦКИЙ Способ и система мультиканальной авторизации пользователя
US10860096B2 (en) 2018-09-28 2020-12-08 Apple Inc. Device control using gaze information
US11100349B2 (en) 2018-09-28 2021-08-24 Apple Inc. Audio assisted enrollment
US11445263B2 (en) 2019-03-24 2022-09-13 Apple Inc. User interfaces including selectable representations of content items
WO2020198238A1 (en) 2019-03-24 2020-10-01 Apple Inc. User interfaces for a media browsing application
US11683565B2 (en) 2019-03-24 2023-06-20 Apple Inc. User interfaces for interacting with channels that provide content that plays in a media browsing application
CN114302210A (zh) 2019-03-24 2022-04-08 苹果公司 用于查看和访问电子设备上的内容的用户界面
KR20220027295A (ko) 2019-05-31 2022-03-07 애플 인크. 오디오 미디어 제어를 위한 사용자 인터페이스
CN113906380A (zh) 2019-05-31 2022-01-07 苹果公司 用于播客浏览和回放应用程序的用户界面
US11863837B2 (en) 2019-05-31 2024-01-02 Apple Inc. Notification of augmented reality content on an electronic device
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
US11637831B2 (en) 2019-10-09 2023-04-25 Salesforce, Inc. Application programmer interface platform with direct data center access
US11431500B2 (en) * 2019-11-26 2022-08-30 Salesforce, Inc. Authorization code management for published static applications
US11843838B2 (en) 2020-03-24 2023-12-12 Apple Inc. User interfaces for accessing episodes of a content series
US11816194B2 (en) 2020-06-21 2023-11-14 Apple Inc. User interfaces for managing secure operations
US11899895B2 (en) 2020-06-21 2024-02-13 Apple Inc. User interfaces for setting up an electronic device
SE544580C2 (en) 2020-09-04 2022-07-26 Mideye Ab Methods and authentication server for authentication of users requesting access to a restricted data resource
US11392291B2 (en) 2020-09-25 2022-07-19 Apple Inc. Methods and interfaces for media control with dynamic feedback
US11720229B2 (en) 2020-12-07 2023-08-08 Apple Inc. User interfaces for browsing and presenting content
US11934640B2 (en) 2021-01-29 2024-03-19 Apple Inc. User interfaces for record labels
US11847378B2 (en) 2021-06-06 2023-12-19 Apple Inc. User interfaces for audio routing
US11784956B2 (en) 2021-09-20 2023-10-10 Apple Inc. Requests to add assets to an asset account
CN116032591A (zh) * 2022-12-23 2023-04-28 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及系统
CN116319103B (zh) * 2023-05-22 2023-08-08 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05336108A (ja) * 1992-06-04 1993-12-17 Toshiba Corp 無線通信システム
US5668876A (en) 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7100200B2 (en) * 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
EP1421509A4 (en) * 2001-08-07 2009-12-02 Tatara Systems Inc METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS
SE0104325D0 (sv) * 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
TW564627B (en) * 2002-04-08 2003-12-01 Quanta Comp Inc System and method for authentication in public networks
JP4559213B2 (ja) * 2002-04-22 2010-10-06 クゥアルコム・インコーポレイテッド アクセスネットワーク認証のための方法及び装置
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
JP4022121B2 (ja) * 2002-10-07 2007-12-12 松下電器産業株式会社 統合無線通信システム、移動体通信システム、交換装置及び無線端末、並びに通信方法
AU2003239059A1 (en) * 2003-06-18 2005-01-04 Telefonaktiebolaget Lm Ericsson (Publ) An arrangement and a method relating to ip network access
DE10341873A1 (de) * 2003-09-05 2005-04-07 Local-Web Ag Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
HK1062792A2 (en) * 2004-06-16 2004-11-05 Pccw Hkt Datacom Services Ltd Dual-path pre-approval authentication method
EP1851901B1 (fr) * 2005-02-07 2019-12-25 Orange Procede de pre-authentification rapide par reconnaissance de la distance

Also Published As

Publication number Publication date
EP1987627A1 (en) 2008-11-05
AU2006337227A1 (en) 2007-08-09
DK1987627T3 (en) 2017-02-20
CA2641418A1 (en) 2007-08-09
EP1987627B1 (en) 2016-11-16
JP2009525677A (ja) 2009-07-09
MX2008009745A (es) 2008-10-17
EP1987627A4 (en) 2014-07-09
CN101366234B (zh) 2011-11-16
AU2006337227B2 (en) 2010-09-09
CN101366234A (zh) 2009-02-11
US8296823B2 (en) 2012-10-23
CA2641418C (en) 2014-02-25
US20090119754A1 (en) 2009-05-07
BRPI0621299A2 (pt) 2012-10-09
WO2007089179A1 (en) 2007-08-09
KR101300414B1 (ko) 2013-08-26
JP4975762B2 (ja) 2012-07-11

Similar Documents

Publication Publication Date Title
KR101300414B1 (ko) 최종 사용자 인증을 위한 시스템, 장치 및 방법
US9275218B1 (en) Methods and apparatus for verification of a user at a first device based on input received from a second device
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
US20080209213A1 (en) Authorizing secure resources
WO2010112064A1 (en) Mechanism for authentication and authorization for network and service access
KR20090022425A (ko) 다중인증 접속 시스템 및 그 방법
WO2001080525A1 (en) Network access security
US11848926B2 (en) Network authentication
JP2013541908A (ja) ユーザアカウント回復
CN112020716A (zh) 远程生物特征识别
CA2807583A1 (en) Method of obtaining authorization for accessing a service
US9648495B2 (en) Method and device for transmitting a verification request to an identification module
JP3914152B2 (ja) 認証サーバ、認証システムおよび認証プログラム
EP3864878B1 (en) Method for accessing data or a service from a first user device and corresponding second user device, server and system
US11234125B2 (en) Two-factor authentication for wireless field devices
RU2395911C2 (ru) Система, устройство и способ для аутентификации конечного пользователя
IL193016A (en) System, arrangement and method for end user authentication
US20040152448A1 (en) Method and arrangement for authenticating terminal equipment

Legal Events

Date Code Title Description
AMND Amendment
A201 Request for examination
AMND Amendment
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160615

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190523

Year of fee payment: 7