NL2010733C2 - Werkwijzen voor authenticatie, server, inrichting en datadrager. - Google Patents

Werkwijzen voor authenticatie, server, inrichting en datadrager. Download PDF

Info

Publication number
NL2010733C2
NL2010733C2 NL2010733A NL2010733A NL2010733C2 NL 2010733 C2 NL2010733 C2 NL 2010733C2 NL 2010733 A NL2010733 A NL 2010733A NL 2010733 A NL2010733 A NL 2010733A NL 2010733 C2 NL2010733 C2 NL 2010733C2
Authority
NL
Netherlands
Prior art keywords
authentication
client
server
communication
primary
Prior art date
Application number
NL2010733A
Other languages
English (en)
Inventor
Johannes Jacobus Marie Dorresteijn
Original Assignee
Baseline Automatisering B V
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Baseline Automatisering B V filed Critical Baseline Automatisering B V
Priority to NL2010733A priority Critical patent/NL2010733C2/nl
Priority to EP14739250.0A priority patent/EP2992475A1/en
Priority to US14/787,937 priority patent/US11159522B2/en
Priority to PCT/NL2014/050278 priority patent/WO2014196852A1/en
Application granted granted Critical
Publication of NL2010733C2 publication Critical patent/NL2010733C2/nl

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/313User authentication using a call-back technique via a telephone network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)

Description

Werkwijzen voor authenticatie, server, inrichting en data- drager.
De onderhavige uitvinding betreft een werkwijze voor authenticatie tussen een serverproces en een cliënt-proces middels meervoudige communicatie omvattende ten minste een primaire authenticatiecommunicatie en een secundaire authenticatiecommunicatie. Voorts betreft de onderhavige uitvinding een werkwijze voor een cliëntauthen-ticatieproces. Voorts betreft de onderhavige uitvinding een machineuitleesbaar medium omvattende instructies voor het uitvoeren van een serverproces of een cliëntauthenti-catieproces volgens de onderhavige uitvinding. Voorts betreft de onderhavige uitvinding een server voor het uitvoeren van een serverproces volgens de onderhavige uitvinding. Voorts betreft de onderhavige uitvinding een inrichting voor het uitvoeren van een cliëntauthenticatie-proces volgens de onderhavige uitvinding.
Authenticatie van gebruikers van gedistribueerde computersystemen is een heet hangijzer, in die zin dat ongeautoriseerde toegang tot gegevens, applicaties en systemen dient te worden voorkomen terwijl tevens het gebrui-kersgemak van de gedistribueerde systemen van belang is.
Er zijn derhalve verschillende soorten van authenticatie ontwikkeld, waarbij de authenticatie op basis van gebruikersnaam en wachtwoord de meest voorkomende is. Wanneer een dergelijke authenticatie op basis van gebruikersnaam en wachtwoord niet volstaat wordt bijvoorbeeld gebruik gemaakt van een verdere authenticatie waarbij de gebruiker op een mobiele telefoon een kort tekstbericht ontvangt waarvan de gebruiker de inhoud kan invoeren nadat hij zijn reguliere wachtwoord heeft ingevoerd. Met een dergelijke authenticatie zou een valse authenticatie slechts mogelijk kunnen zijn op basis van gebruikersnaam, wachtwoord en de inhoud van het korte tekstbericht dat slechts kan worden ontvangen wanneer iemand in het bezit is van de mobiele telefoon van de gebruiker.
Het is een inzicht van de onderhavige uitvinder der het voor de gebruiker een frustrerende ervaring is deze code handmatig te moeten ontnemen vanaf een beeldscherm van de mobiele telefoon, en deze foutloos te moeten invoeren in bijvoorbeeld zijn computer.
Op basis van dit inzicht heeft het onderhavige uitvinder een alternatieve wijze van authenticatie op basis van een alternatieve communicatie als doel gehad. Derhalve verschaft de onderhavige uitvinding een werkwijze voor authenticatie tussen een serverproces en een cliënt-proces middels meervoudige communicatie omvattende ten minste een primaire authenticatiecommunicatie en een secundaire authenticatiecommunicatie, waarbij de werkwijze stappen omvat voor: - het door het serverproces ontvangen van een ini-tiatiecommunicatie van de primaire authenticatiecommunicatie vanaf het cliëntproces, - het door het serverproces initiëren van de secundaire authenticatiecommunicatie tussen het serverproces en een cliëntauthenticatieproces, - het door het serverproces ontvangen van primaire authenticatieinformatie omvattende een authenticatiecode of een authenticatieresultaat middels de primaire authenticatiecommunicatie, - het door het serverproces ontvangen van secundaire authenticatieinformatie omvattende een authenticatiecode of een authenticatieresultaat van de secundaire authenticatiecommunicatie, - het door het serverproces vaststellen van de authenticate op basis van de primaire en secundaire authen-ticatieinformatie, waarbij de primaire authenticatiecommunicatie en de secundaire authenticatiecommunicatie gescheiden communicaties zijn en/of waarbij het serverproces op basis van de secundaire authenticatiecommunicatie op zichzelf een secundaire authenticatie kan vaststellen.
Een voordeel van een werkwijze volgens de onderhavige uitvinding is dat er evenals bij het voorbeeld met de sms van de stand van de techniek een separate authenticatie mogelijk is terwijl de gebruiker als deel van de primaire authenticatieinformatie en/of de primaire authenticatiecommunicatie geen gegevens die afkomstig zijn van het cliëntauthenticatieproces of de secundaire authenticatiecommunicatie behoeft in te voeren. Hierdoor is de werkwijze volgens de onderhavige uitvinding voor de gebruiker in belangrijke mate vereenvoudigd en gebruiksvriendelijker gerealiseerd.
De werkwijze volgens de onderhavige uitvinding is bijvoorbeeld toepasbaar in een situatie waarbij een gebruiker gebruik maakt van een PC voor het verkrijgen van toegang tot een serverproces, zoals een bedrijfsapplica-tie, sociaal media account, elektronische dienstenaccount, e-mailaccount, et cetera. Hierbij identificeert de gebruiker zich op een op zichzelf bekende wijze middels een gebruikersnaam en wachtwoord. Vervolgens, of simultaan maakt het serverproces contact met het cliëntauthenticatieproces en/of een inrichting van de gebruiker dat middels een terugmelding aan het serverproces de authenticatie bevestigd.
In een eerste voorkeursuitvoeringsvorm volgens de onderhavige uitvinding omvat de secundaire authenticatie- communicatie stappen voor het door het cliëntauthentica-tieproces ontvangen van een gebruikeracceptatieinvoer. Bij voorkeur omvat een dergelijke gebruikeracceptatieinvoer het actueren van een terugkoppelingactuator, zoals een toets of een aanraakschermgedeelte dat is ingericht als een toets. Hiermee kan bijvoorbeeld worden geverifieerd dat in een vooraf bepaalde tijd de actuatie is uitgevoerd waarmee kan worden geaccepteerd dat de authenticatie in orde is.
In een verdere voorkeursuitvoeringsvorm zijn het cliëntproces en het cliëntauthenticatieproces uitvoerbaar op dezelfde inrichting. Hierdoor is het gebruikersgemak voor de gebruiker op bijzondere wijze hoog aangezien de gebruiker slechts een inrichting behoeft te hanteren of daar de beschikking over behoeft te hebben. Op alternatieve wijze is echter op doelmatige wijze door de uitvinder voorzien dat het cliëntproces en het cliëntauthenticatieproces functioneren op twee verschillende inrichtingen. Hierdoor is het bijvoorbeeld mogelijk middels een mobiele telefoon gebruik te maken van twee verschillende computersystemen die gefixeerd zijn gerangschikt op respectieve verschillende gebruikslocaties.
Bij verdere voorkeur is het cliëntauthenticatieproces gebaseerd op een unieke inrichtingidentificatie van een inrichting waarop deze wordt uitgevoerd zoals bijvoorbeeld een IMEI-nummer. Een voordeel hiervan is dat een hoge mate van zekerheid van de identiteit van de inrichting kan worden verkregen. Een verder voordeel is dat inrichting middels dit getal kan worden geadresseerd voor het afleveren van het bericht.
In een verdere voorkeursuitvoeringsvorm wordt het cliëntauthenticatieproces uitgevoerd op een eerder bij de server aangemelde inrichting, waarbij een eerdere aanmel ding bij voorkeur is gebaseerd op een unieke identificatie van de inrichting voor het daarop uitvoeren van het cliën-tauthenticatieproces en/of een gebruikersidentificatie, welke bij voorkeur is gebaseerd op een primaire authenti-catie van de gebruiker, zoals middels een gebruikersnaam wachtwoord, en welke bij verdere voorkeur is geverifieerd middels een eerdere verificatie met de gebruiker. Het is hierdoor bijvoorbeeld mogelijk een registratie bij te houden van een op een relaties tussen gebruikers van gebrui-kersaccounts en inrichtingen voor de authenticatie waardoor het mogelijk wordt binnen dergelijke registraties die authenticatie te beperken. Een verder voordeel is dat registraties die kunnen worden toegekend ook kunnen worden verwijderd waardoor een additionele beveiliging van het systeem wordt verschaft. Verder wordt het hierdoor bijvoorbeeld mogelijk om gebruikersaccounts in stand te houden terwijl toch op effectieve wijze de mogelijkheid tot inloggen kan worden gestopt.
Bij verdere voorkeur omvat het cliëntauthentica-tieproces stappen voor het ontvangen van een invoer van een beveiligingscode, zoals een pincode of een wachtwoord, van een gebruiker. Hierdoor wordt een additionele beveiliging verschaft voor het geval de inrichting in het bezit zou komen van andere personen dan de gebruiker die behoort bij een gebruikersaccount.
In een verdere voorkeursuitvoeringsvorm omvattende stappen voor het initiëren van de secundaire authentica-tiecommunicatie stappen voor het door de server naar het cliëntauthenticatieproces verzenden van een bericht, zoals een pushbericht, bij voorkeur omvattende een door het serverproces samengesteld token. Hiermee wordt een wijze voor het uitvoeren van de secundaire authenticatiecommuni-catie op efficiënte wijze ingevuld met als specifiek voor deel dat door het toepassen van een pushbericht het bericht direct kan worden verwerkt door de applicatie die het cliëntauthenticatieproces uitvoert. Hierdoor wordt een vertraging die een gebruiker vervelend zou vinden voorkomen en daarmee het systeem gebruikersvriendelijk.
Bij verdere voorkeur worden hiertoe stappen toegepast voor het gebruiken van een gateway ingericht voor het naar het cliëntauthenticatieproces overbrengen van pushno-tificaties. Het toepassen van een dergelijke gateway verschaft als voordeel dat gebruik kan worden gemaakt van standaardprocessen in een mobiele inrichting.
Bij verdere voorkeur vormen in de werkwijze de primaire en secundaire authenticatiecommunicatie afzonderlijke communicatielussen. Dit heeft als voordeel dat de gebruiker niet zoals bijvoorbeeld bij een bestaande sms verificatie ingewikkelde codes moet inlezen en overtypen in het cliëntproces voor verwerking door de server. Hiermee wordt het gebruikersgemak van een systeem en werkwijze volgens de onderhavige uitvinding in belangrijke mate verhoogd. Ditzelfde geldt bij de voorkeursuitvoeringsvorm waarbij geen informatieoverdracht wordt uitgevoerd tussen de primaire authenticatie en de secundaire authenticatie en/of tussen de secundaire authenticatie en de primaire authenticatie. Wanneer een dergelijke informatieoverdracht niet nodig is, middels bijvoorbeeld een eerdere registratie van de inrichting wordt het gebruikersgemak verhoogd.
Dergelijke voordelen ontstaan eveneens wanneer het serverproces toegang heeft tot een gegevensbron omvattende eerder ingevoerde authenticatiegegevens met betrekking tot inrichtingen waarop het cliëntauthenticatieproces wordt uitgevoerd. Door de toepassing van de eerdere authentica-ties van de inrichtingen en/of the cliëntauthenticatiepro-cessen kan het verhoogde gebruikersgemak, doordat de ge bruiker geen gegevens hoeft in te voeren, en daarmee de automatische dubbele factor authenticatie worden verschaft. Op soortgelijke wijze is het daarbij van voordeel wanneer het serverproces toegang heeft tot een gegevensbron omvattende eerder ingevoerde authenticatiegegevens met betrekking tot vooraf geconfigureerde cliëntauthenti-catieprocessen, zoals een app voor een cliëntauthentica-tieproces omvattende een opslag voor authenticatiegegevens .
Bij verdere voorkeur omvat de primaire authenticatie een controle van het serverproces op een gebruikersnaam en wachtwoord welke is ontvangen door de server middels de primaire authenticatiecommunicatie tussen het cli-entproces en het serverproces. Hiermee wordt op voor de gebruiker op zichzelf bekende en daarmee voordelige wijze de primaire authenticatie verschaft.
In een verdere voorkeursuitvoeringsvorm omvat de werkwijze een verdere authenticatie middels een tertiaire authenticatiecommunicatie, bij voorkeur omvattende een controlecode, verzonden door de server middels een bericht en het door de server terugontvangen van de controlecode door een gebruikerinvoer middels het cliëntproces. Hiermee kan in onveilig geachte omstandigheden een additionele bescherming worden verschaft, welke weliswaar het gebrui-kersgemak van het systeem verlaagt maar de veiligheid verhoogt .
Een verder aspect volgens de onderhavige uitvinding betreft een werkwijze voor een cliëntauthenticatie-proces voor toepassing in een werkwijze volgens de onderhavige uitvinding omvattende stappen voor: - het vanaf een serverproces ontvangen van een bericht, zoals een pushbericht, bij voorkeur omvattende een door het serverproces samengesteld token, - het door middel van een gebruikerinvoer ontvangen van een bevestiging of een authenticatie, bij voorkeur een lokale authenticatie, - het naar het serverproces verzenden van een bericht inhoudende een bevestiging van de authenticatie, bij voorkeur omvattende een bevestigingen of een authentica-tiecode. Middels een dergelijk aspect worden voordelen verschaft zoals in de het voorgaande beschreven aan de hand van het eerdere aspect.
In een verdere voorkeursuitvoeringsvorm omvat de werkwijze stappen voor het door het cliëntauthenticatie-proces op basis van het ontvangen bericht bepalen dat het bericht bedoeld is voor het specifieke cliëntauthentica-tieproces en of de inrichting waarop deze functioneert.
Een verder aspect volgens de onderhavige uitvinding betreft een machineuitleesbaar medium omvattende instructies voor het uitvoeren van een serverproces of een cliëntau-thenticatieproces volgens de onderhavige uitvinding voor het implementeren van een werkwijze volgens de onderhavige uitvinding. Middels een dergelijk aspect worden voordelen verschaft zoals in de het voorgaande beschreven aan de hand van eerdere aspecten van werkwijzen.
Een verder aspect volgens de onderhavige uitvinding betreft een server ingericht voor of omvattende code voor het uitvoeren van een werkwijze en/of een serverproces volgens de onderhavige uitvinding.
Een verder aspect volgens onderhavige uitvinding betreft een inrichting ingericht voor of omvattende code voor het uitvoeren van een werkwijze en/of een cliëntau-thenticatieproces volgens de onderhavige uitvinding.
De termen server en serverproces worden afwisselend met dezelfde betekenis gebruikt.
Verdere voordelen, kenmerken en details van de onderhavige uitvinding zullen in het navolgende in groter detail worden beschreven aan de hand van een of meerdere voorkeursuitvoeringsvormen onder verwijzing naar de aangehechte figuren. Soortgelijke doch niet noodzakelijkerwijs identieke onderdelen van verschillende voorkeursuitvoeringsvormen zijn aangeduid met dezelfde verwijzingscij-f ers.
Fig. 1 betreft een schematische weergave van een systeem voor het daarop laten functioneren van een voorkeursuitvoeringsvorm volgens de onderhavige uitvinding.
Fig. 2 betreft een schematische weergave van een werkwijze volgens een voorkeursuitvoeringsvorm volgens de onderhavige uitvinding.
Fig. 3 betreft een schematische weergave van een werkwijze volgens een verdere voorkeursuitvoeringsvorm volgens de onderhavige uitvinding.
Fig. 4 betreft een schematische weergave van een werkwijze volgens een verdere voorkeursuitvoeringsvorm volgens de onderhavige uitvinding.
Fig. 5 betreft een schematische weergave van een werkwijze volgens een verdere voorkeursuitvoeringsvorm volgens de onderhavige uitvinding.
Een eerste voorkeursuitvoeringsvorm (Fig. 1) volgens de onderhavige uitvinding betreft een werkwijze voor het uitvoeren van een authenticatie middels twee afzonderlijke communicatielussen. Als voorbeeld is een systeem weergegeven waarbinnen een dergelijke werkwijze kan worden uitgevoerd. Een centrale server 3 functioneert voor het verschaffen van een bedrijfsapplicatie met accounts voor verschillende medewerkers, e-mailaccount, gebruikeraccount bij een of enkele, al dan niet gecombineerde, webdiensten, en/of bijvoorbeeld een sociaal media account. Wanneer een gebruiker wil inloggen in zijn account start deze op een cliëntinrichting 1 een cliëntproces op welke contact maakt met de server 3 middels een tweewegcommunicatie 19 voor het over en weer communiceren van applicatie gegevens, zoals bijvoorbeeld een webinterface. De communicatie geschiedt volgens het onderhavige voorbeeld op op zichzelf bekende wijze via een computernetwerk 4 zoals het internet. De server communiceert terug via een communicatie 19, bij voorkeur omvattende een challenge voor het opvragen van een gebruikersnaam en een wachtwoord, welke een au-thenticatiecode voor de eerste authenticatie vormen. Na het invoeren door de gebruiker van de gebruikersnaam en het wachtwoord worden deze via de communicatie 11 verzonden naar het serverproces in afwachting van een later te ontvangen bericht 12 inhoudende een afronding van een secundaire authenticatie.
De genoemde communicatie 11 en 12 vormen tezamen binnen het begrip van de onderhavige uitvinding de primaire authenticatiecommunicatie. Nadat de gebruiker de gebruikersnaam en het wachtwoord heeft opgegeven is de primaire authenticatiecommunicatie afgerond maar kan de gebruiker het cliëntproces en toegang daarmee tot het serverproces nog niet gebruiken omdat er nog geen secundaire authenticatie heeft plaatsgevonden.
Nadat de primaire authenticatie middels de primaire authenticatiecommunicatie is afgerond begint de server met de secundaire authenticatiecommunicatie. Hiertoe verzendt het serverproces, eveneens via het internet en/of via een mobiel telefoonnetwerk, een challenge 14 naar de mobiele telefoon 2 van de gebruiker. Deze challenge 14 omvat bijvoorbeeld pushbericht voor het bereiken van een applicatie die functioneert op de mobiele telefoon, welke applicatie toegang heeft tot een unieke identificatie van de mobiele telefoon, en welke is toegerust voor het uitvoeren van het cliëntauthenticatieproces middels informatie opgenomen in de challenge 14, het terugzenden 16 van het resultaat van de bewerking naar het serverproces voor het completeren van een authenticatie door het serverproces .
Teneinde deze authenticatie te kunnen uitvoeren heeft het serverproces toegang tot gegevens met betrekking tot de inrichting 2, welke gegevens zijn samengesteld op basis van eerdere authenticaties, zoals beschreven aan de hand van Fig. 5, van de inrichtingen 2.
Na het completeren van de authenticatie door het serverproces verzendt het serverproces een bevestiging van de authenticaties naar de computer een middels het bericht 12 waarna de gebruiker toegang heeft tot zijn account. Het is middels een dergelijke werkwijze niet nodig dat een gebruiker gegevens overneemt van de mobiele telefoon voor invoering daarvan in de computer 1. Met andere woorden verschaft de onderhavige werkwijze een dubbele factor authenticatie op volledig automatische wijze. Dit is mogelijk omdat de 2 factor authenticatie gebruik maakt van zich een eerdere authenticatie van de mobiele inrichting of een daarop functionerende applicatie.
Ten behoeve van het pushbericht wordt gebruik gemaakt van een gateway voor pushnotificaties, zoals een Apple™ pushnotificatiedienst. Op alternatieve wijze kan er gebruik gemaakt worden van een e-mail, pushnotificaties of een applicatie die contact onderhoudt met een andersoortige push dienst. Op nog verdere alternatieve wijze kan er gebruik gemaakt worden van een activatie door de gebruiker van een applicatie die na activatie door de gebruiker contact zoekt met de server of een verdere met de server contact onderhouden de dienst.
De werkwijze van het serverproces is in een voorkeursvoorbeeld getoond in fig. 2. Werkwijze start in stap 21. In stap 22 wordt de invoer van de gebruiker van de gebruikersnaam en wachtwoord ontvangen door de server (vergelijk 11 volgens Fig. 1). In stap 23 controleert de server het gebruikersnaam en wachtwoord waarbij wordt teruggekeerd naar stap 22 indien de gegevens incorrect worden bevonden. In stap 24 verzendt het serverproces het pushbericht naar de mobiele telefoon van de gebruiker en ontvangt het serverproces een beantwoordende communicatie van de mobiele telefoon (vergelijk 14, 16 volgens Fig. 1).
In stap 25 wordt bepaald of de gebruiker bijvoorbeeld binnen de geldende tijdsduur een acceptatie heeft gegeven middels het activeren van een knop. Indien dit niet het geval is vervolgt de werkwijze in stap 22. In stap 26 wordt door het serverproces het terug ontvangen bericht ontleed en de informatie met betrekking tot de au-thenticatie (token) geverifieerd en de status geregistreerd. Indien de authenticatie niet is geslaagd wordt vervolgd in stap 22. Indien de authenticatie is geslaagd vervolgt de werkwijze in stap 27 met het naar de computer van de gebruiker verzenden van een bevestiging (vergelijk 12 volgens figuur 1) van het op correcte wijze inloggen waarna de werkwijze eindigt in stap 28.
Het proces volgens communicatie 19 is weergegeven in Fig. 3. Werkwijze begint in stap 31. In stap 32 is de server bereid tot het ontvangen van een initialisatie van een cliëntproces. Tussen stap 32 en 33 wordt de primaire authenticatiecommunicatie uitgevoerd alsmede verstuurt de server het pushbericht naar de telefoon. In stap 33 wacht de server op een bevestiging vanaf de mobiele telefoon met betrekking tot het pushbericht. Wanneer een gestelde tijd verloopt deactiveert de server het token en zet de server terug in een toestand bereid tot het ontvangen van een initialisatie van een cliëntproces. Tussen stap 33 en 34 wordt de secundaire authenticatiecommunicatie uitgevoerd. In stap 34 verzendt de server de vestiging met betrekking tot een geslaagde inlogactie naar de computer 1 van de gebruiker
In Fig. 4 is de werkwijze op de authenticatie inrichting 2 als voorbeeld beschreven. De werkwijze start in stap 41. In stap 42 ontvangt de unieke geregistreerde inrichting het pushbericht met een token. In stap 43 wordt de gebruiker een prompt getoond voor het accepteren van de token. Indien de token niet wordt geaccepteerd eindigt de werkwijze in stap 43'. Indien een stap 43 de token wordt geaccepteerd verzendt in stap 44 het cliëntauthenticatie-proces een bericht terug naar de server, het bericht inhoudende de acceptatie van het token op de unieke geregistreerde inrichting. Doordat de acceptatie op de unieke geregistreerde inrichting wordt uitgevoerd is de authenticatie veilig.
In Fig. 5 is de werkwijze voor het bij de server of het serverproces aanmelden van de unieke inrichting als voorbeeld getoond. De werkwijze start in stap 51 waarna in stap 52 de gebruiker middels de applicatie inhoudende het cliëntauthenticatieproces het serverproces dat wordt uitgevoerd op de server benaderd en middels zijn bij de server bekende inloginformatie inlogt. Het kan hierbij gaan om het de gebruikersnaam en het wachtwoord waarmee hij normaal inlogt op zijn account. Het kan echter evenzeer om een separate combinatie van gebruikersnaam en wachtwoord zijn. Na een controle door de server van de inloggegevens in stap 53 wordt deze inlogauthenticatie ofwel afgewezen waarna wordt teruggekeerd in stap 52, ofwel in stap 54 wordt de inrichting geregistreerd op de server en gekoppeld aan een gebruiker. Deze werkwijze eindigt in stap 54.
Op alternatieve wijze wordt de koppeling aan een gebruiker niet uitgevoerd in stap 54 maar separaat na een additionele controle door een beheerder van de server middels een handmatige koppeling. Het is hierbij ofwel mogelijk dat de gebruiker de inloggegevens volgens Fig. 5 slechts kan invoeren/aanleveren aan de server in aanwezigheid van de beheerder, ofwel dat de stappen voor deze registratie authenticatie alleen mag worden uitgevoerd door de beheerder onder toepassing van speciale authenticatie-codes.
In het voorgaande is de onderhavige uitvinding beschreven aan de hand van enkele voorkeursuitvoeringsvormen. De computer een van de gebruiker van een veelheid van inrichtingen betreffen, zoals een persoonlijke computer, een tablet, een mobiele telefoon, een thin cliënt, et cetera. De inrichting voor de secundaire authenticatiecommu-nicatie kan elke inrichting of proces dat daarop wordt uitgevoerd betreffen waarmee een initiële registratie dan wel authenticatie kan worden uitgevoerd op basis waarvan een latere authenticatie als vertrouwd kan worden beschouwd. Deze authenticatie kan worden uitgevoerd op basis van een unieke identificator van de inrichting, zoals een IMEI nummer van een mobiele telefoon of een processornum-mer van een persoonlijke computer of een identificatie van een speciale identificatiechip op een elektronische inrichting. Het is echter evenzeer mogelijk dat een applicatie op zichzelf authenticatiemiddelen omvat of geschikt is door middel van speciale bewerkingen authenticatiecodes te ontvangen, te berekenen en te verzenden, waarmee een applicatie op zichzelf als basis kan dienen voor een betrouwbaar te achten authenticatie. Op alternatieve wijze is het bijvoorbeeld mogelijk om een inhoud of een deel van een inhoud van een SMS bericht als input voor cliëntau-thenticatieproces te laten functioneren, met andere woorden dat het clientauthenticatieproces deze inhoud als inhoud van het pushbericht beschouwd en op basis van deze inhoud de autenticatieterugkoppeling naar de server wordt verzonden.
Verschillende aspecten van verschillende uitvoeringen worden beschreven geacht in combinatie met elkaar waarbij alle combinaties die bij lezing door een vakman van het vakgebied op basis van dit document door een vakman binnen het begrip van de uitvinding vallen beschouwd worden te zijn meegelezen. De volgorde van werkwijze stappen volgens de onderhavige uitvinding is niet op vastleggen de wijze bepaald, noch in de conclusies noch in de specificatie. Vakman voorzienbare alternatieven op basis van de uitvinding of de specificatie van eveneens onder dit document. Deze voorkeursuitvoeringsvormen zijn derhalve niet beperkend voor de beschermingsomvang van dit document. De gevraagde rechten worden bepaald in de aangehechte conclusies.

Claims (20)

1. Werkwijze voor authenticatie tussen een server-proces en een cliëntproces middels meervoudige communicatie omvattende ten minste een primaire authenticatiecommu-nicatie en een secundaire authenticatiecommunicatie, waarbij de werkwijze stappen omvat voor: - het door het serverproces ontvangen van een ini-tiatiecommunicatie van de primaire authenticatiecommunicatie vanaf het cliëntproces, - het door het serverproces initiëren van de secundaire authenticatiecommunicatie tussen het serverproces en een cliëntauthenticatieproces, - het door het serverproces ontvangen van primaire authenticatieinformatie omvattende een authenticatiecode of een authenticatieresultaat middels de primaire authenticatiecommunicatie, - het door het serverproces ontvangen van secundaire authenticatieinformatie omvattende een authenticatiecode of een authenticatieresultaat van de secundaire authenticatiecommunicatie, - het door het serverproces vaststellen van de authenticatie op basis van de primaire en secundaire authenticatieinf ormatie, waarbij de primaire authenticatiecommunicatie en de secundaire authenticatiecommunicatie gescheiden communicaties zijn en/of waarbij het serverproces op basis van de secundaire authenticatiecommunicatie op zichzelf een secundaire authenticatie kan vaststellen.
2. Een werkwijze volgens conclusie 1 waarbij de secundaire authenticatiecommunicatie stappen omvat voor het door het cliëntauthenticatieproces ontvangen van een gebruikeracceptatieinvoer.
3. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het cliëntproces en het cliëntauthenticatieproces uitvoerbaar zijn op dezelfde inrichting.
4. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het cliëntproces en het cliëntauthenticatieproces functioneren op twee verschillende inrichtingen .
5. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het cliëntauthenticatieproces is gebaseerd op een unieke inrichtingidentificatie van een inrichting waarop deze wordt uitgevoerd.
6. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het cliëntauthenticatieproces wordt uitgevoerd op een eerder bij de server aangemelde inrichting, waarbij een eerdere aanmelding bij voorkeur is gebaseerd op een unieke identificatie van de inrichting voor het daarop uitvoeren van het cliëntauthenticatieproces en/of een gebruikersidentificatie, welke bij voorkeur is gebaseerd op een primaire authenticatie van de gebruiker, zoals middels een gebruikersnaam wachtwoord, en welke bij verdere voorkeur is geverifieerd middels een eerdere verificatie met de gebruiker.
7. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het cliëntauthenticatieproces stappen omvat voor het ontvangen van een invoer van een beveili gingscode, zoals een pincode of een wachtwoord, van een gebruiker.
8. Werkwijze volgens een of meer van de voorgaande conclusies waarbij de stappen voor het initiëren van de secundaire authenticatiecommunicatie stappen omvatten voor het door de server naar het cliëntauthenticatieproces verzenden van een bericht, zoals een pushbericht, bij voorkeur omvattende een door het serverproces samengesteld token .
9. Werkwijze volgens conclusie 8 omvattende stappen voor het gebruiken van een gateway ingericht voor het naar het cliëntauthenticatieproces overbrengen van pushno-tificaties.
10. Werkwijze volgens een of meer van de voorgaande conclusies waarbij de primaire en secundaire authenticatiecommunicatie afzonderlijke communicatielussen vormen.
11. Werkwijze volgens een of meer van de voorgaande conclusies waarbij geen informatieoverdracht wordt uitgevoerd tussen de primaire authenticatie en de secundaire authenticatie en/of tussen de secundaire authenticatie en de primaire authenticatie.
12. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het serverproces toegang heeft tot een gegevensbron omvattende eerder ingevoerde authentica-tiegegevens met betrekking tot inrichtingen waarop het cliëntauthenticatieproces wordt uitgevoerd.
13. Werkwijze volgens een of meer van de voorgaande conclusies waarbij het serverproces toegang heeft tot een gegevensbron omvattende eerder ingevoerde authentica-tiegegevens met betrekking tot vooraf geconfigureerde cli-entauthenticatieprocessen, zoals apps voor een cliëntau-thenticatieproces omvattende een opslag voor authentica-tiegegevens.
14. Werkwijze volgens een of meer van de voorgaande conclusies waarbij de primaire authenticatie een controle van het serverproces omvat op een gebruikersnaam en wachtwoord ontvangen door de server middels de primaire authenticatiecommunicatie tussen het cliëntproces en het serverproces.
15. Werkwijze volgens eens meer van de voorgaande conclusies omvattende een verdere authenticatie middels een tertiaire authenticatiecommunicatie, bij voorkeur omvattende een controlecode, verzonden door de server middels een bericht en het door de server terugontvangen van de controlecode door een gebruikerinvoer middels het cli-entproces.
16. Werkwijze voor een cliëntauthenticatieproces voor toepassing in een werkwijze volgens een of meer van de conclusies 1-15 omvattende stappen voor: - het vanaf een serverproces ontvangen van een bericht, zoals een pushbericht, bij voorkeur omvattende een door het serverproces samengesteld token, - het door een gebruikerinvoer ontvangen van een bevestiging of een authenticatie, bij voorkeur een lokale authenticatie, - het naar het serverproces verzenden van een bericht inhoudende een bevestiging van de authenticatie, bij voorkeur omvattende een bevestigingen of een authentica-tiecode.
17. Werkwijze volgens conclusie 16 omvattende stappen voor het door het cliëntauthenticatieproces op basis van het ontvangen bericht bepalen dat het bericht bedoeld is voor het specifieke cliëntauthenticatieproces en of de inrichting waarop deze functioneert.
18. Machineuitleesbaar medium omvattende instructies voor het uitvoeren van een serverproces of een cliëntauthenticatieproces volgens een of meer van de voorgaande conclusies voor het implementeren van een werkwijze volgens een of meer van de voorgaande conclusies.
19. Server ingericht voor of omvattende code voor het uitvoeren van een werkwijze en/of een serverproces volgens een of meer van de voorgaande conclusies 1-17.
20. Inrichting ingericht voor of omvattende code voor het uitvoeren van een werkwijze en/of een cliëntauthenticatieproces volgens een of meer van de voorgaande conclusies 1-17.
NL2010733A 2013-04-29 2013-04-29 Werkwijzen voor authenticatie, server, inrichting en datadrager. NL2010733C2 (nl)

Priority Applications (4)

Application Number Priority Date Filing Date Title
NL2010733A NL2010733C2 (nl) 2013-04-29 2013-04-29 Werkwijzen voor authenticatie, server, inrichting en datadrager.
EP14739250.0A EP2992475A1 (en) 2013-04-29 2014-04-29 Method for authentication, server, device and data carrier
US14/787,937 US11159522B2 (en) 2013-04-29 2014-04-29 Method for authentication, server, device and data carrier
PCT/NL2014/050278 WO2014196852A1 (en) 2013-04-29 2014-04-29 Method for authentication, server, device and data carrier

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL2010733 2013-04-29
NL2010733A NL2010733C2 (nl) 2013-04-29 2013-04-29 Werkwijzen voor authenticatie, server, inrichting en datadrager.

Publications (1)

Publication Number Publication Date
NL2010733C2 true NL2010733C2 (nl) 2014-10-30

Family

ID=49681110

Family Applications (1)

Application Number Title Priority Date Filing Date
NL2010733A NL2010733C2 (nl) 2013-04-29 2013-04-29 Werkwijzen voor authenticatie, server, inrichting en datadrager.

Country Status (4)

Country Link
US (1) US11159522B2 (nl)
EP (1) EP2992475A1 (nl)
NL (1) NL2010733C2 (nl)
WO (1) WO2014196852A1 (nl)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10129223B1 (en) 2016-11-23 2018-11-13 Amazon Technologies, Inc. Lightweight encrypted communication protocol
US10630682B1 (en) * 2016-11-23 2020-04-21 Amazon Technologies, Inc. Lightweight authentication protocol using device tokens
US10904243B2 (en) * 2016-12-20 2021-01-26 Hewlett-Packard Development Company, L.P. Authenticate a first device based on a push message to a second device
US10645079B2 (en) * 2017-05-12 2020-05-05 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
CN113490904A (zh) 2019-03-27 2021-10-08 英特尔公司 智能显示面板装置及相关方法
US11379016B2 (en) 2019-05-23 2022-07-05 Intel Corporation Methods and apparatus to operate closed-lid portable computers
US11543873B2 (en) 2019-09-27 2023-01-03 Intel Corporation Wake-on-touch display screen devices and related methods
US11733761B2 (en) 2019-11-11 2023-08-22 Intel Corporation Methods and apparatus to manage power and performance of computing devices based on user presence
US11809535B2 (en) * 2019-12-23 2023-11-07 Intel Corporation Systems and methods for multi-modal user device authentication
US11360528B2 (en) 2019-12-27 2022-06-14 Intel Corporation Apparatus and methods for thermal management of electronic user devices based on user activity
CN112788530A (zh) * 2021-02-04 2021-05-11 深圳市海雀科技有限公司 移动终端与车载智能终端的连接和数据传输方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110213711A1 (en) * 2010-03-01 2011-09-01 Entrust, Inc. Method, system and apparatus for providing transaction verification
WO2012004640A1 (en) * 2010-07-08 2012-01-12 Entersect Technologies (Pty) Ltd. Transaction authentication
US8365258B2 (en) * 2006-11-16 2013-01-29 Phonefactor, Inc. Multi factor authentication

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4478547B2 (ja) * 2004-10-28 2010-06-09 キヤノン株式会社 ネットワークシステム及びその制御方法、並びにプログラム
US7979054B2 (en) 2006-10-19 2011-07-12 Qualcomm Incorporated System and method for authenticating remote server access
US8307412B2 (en) * 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
US8522010B2 (en) * 2008-10-20 2013-08-27 Microsoft Corporation Providing remote user authentication
PL2368339T3 (pl) * 2008-12-03 2018-01-31 Entersekt International Ltd Uwierzytelnianie bezpiecznych transakcji
US20110185406A1 (en) * 2010-01-26 2011-07-28 Boku, Inc. Systems and Methods to Authenticate Users
US9544143B2 (en) * 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US8635684B2 (en) * 2011-10-06 2014-01-21 Sap Ag Computer-implemented method for mobile authentication and corresponding computer system
US8763077B2 (en) * 2011-10-07 2014-06-24 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
WO2013151851A2 (en) * 2012-04-01 2013-10-10 Authentify, Inc. Secure authentication in a multi-party system
US9571282B1 (en) * 2012-04-03 2017-02-14 Google Inc. Authentication on a computing device
US20130297513A1 (en) * 2012-05-04 2013-11-07 Rawllin International Inc. Multi factor user authentication
US20130312073A1 (en) * 2012-05-16 2013-11-21 Rajdeep Srivastav Methods and systems for authentication of multiple sign-in accounts
US20140007205A1 (en) * 2012-06-28 2014-01-02 Bytemobile, Inc. No-Click Log-In Access to User's Web Account Using a Mobile Device
US9053304B2 (en) * 2012-07-13 2015-06-09 Securekey Technologies Inc. Methods and systems for using derived credentials to authenticate a device across multiple platforms
US8955076B1 (en) * 2012-12-28 2015-02-10 Emc Corporation Controlling access to a protected resource using multiple user devices
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8959583B2 (en) * 2013-02-05 2015-02-17 Ca, Inc. Access to vaulted credentials using login computer and mobile computing device
US9124582B2 (en) * 2013-02-20 2015-09-01 Fmr Llc Mobile security fob
US9275211B2 (en) * 2013-03-15 2016-03-01 Telesign Corporation System and method for utilizing behavioral characteristics in authentication and fraud prevention

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365258B2 (en) * 2006-11-16 2013-01-29 Phonefactor, Inc. Multi factor authentication
US20110213711A1 (en) * 2010-03-01 2011-09-01 Entrust, Inc. Method, system and apparatus for providing transaction verification
WO2012004640A1 (en) * 2010-07-08 2012-01-12 Entersect Technologies (Pty) Ltd. Transaction authentication

Also Published As

Publication number Publication date
EP2992475A1 (en) 2016-03-09
US20160087981A1 (en) 2016-03-24
WO2014196852A1 (en) 2014-12-11
US11159522B2 (en) 2021-10-26

Similar Documents

Publication Publication Date Title
NL2010733C2 (nl) Werkwijzen voor authenticatie, server, inrichting en datadrager.
US10050952B2 (en) Smart phone login using QR code
US9774606B2 (en) Cross platform social networking authentication system
US9503894B2 (en) Symbiotic biometric security
US9767265B2 (en) Authentication with parental control functionality
US9565175B1 (en) Sharing document information
US20150261948A1 (en) Two-factor authentication methods and systems
EP2747374A1 (en) Token based account access
TWI484367B (zh) 同步多個電子裝置中之使用者帳戶之控制代碼
US9516010B1 (en) Authenticating a user while the user operates a client apparatus and possesses an electronic card
US10050958B2 (en) Validating biometrics without special purpose readers
CN112837147B (zh) 业务申请办理实现方法、装置及计算机设备
CN106415519B (zh) 安全的统一云存储
US11611551B2 (en) Authenticate a first device based on a push message to a second device
US20170230368A1 (en) System and method of logging into a web server
US20220300960A1 (en) System and method for confirming instructions over a communication channel
JP2014215620A (ja) 認証システムおよび認証方法
US20140366099A1 (en) Method of access by a telecommunications terminal to a database hosted by a service platform that is accessible via a telecommunications network
KR20110055542A (ko) 유저 인증을 관리하기 위한 장치
JP2015082140A (ja) ワンタイムパスワード発行装置、プログラムおよびワンタイムパスワード発行方法
US10277579B2 (en) Information processing system that provides a resource to an application of a terminal through a network
US20130151411A1 (en) Digital authentication and security method and system
KR102584003B1 (ko) 서버앱을 설치하거나 실행할 수 있는 시스템이나 방법
JP6370350B2 (ja) 認証システム、方法、およびプログラム
EP3268890B1 (en) A method for authenticating a user when logging in at an online service

Legal Events

Date Code Title Description
MM Lapsed because of non-payment of the annual fee

Effective date: 20220501