NO321850B1 - Fremgangsmate for a generere og verifisere en elektronisk signatur - Google Patents

Fremgangsmate for a generere og verifisere en elektronisk signatur Download PDF

Info

Publication number
NO321850B1
NO321850B1 NO20042691A NO20042691A NO321850B1 NO 321850 B1 NO321850 B1 NO 321850B1 NO 20042691 A NO20042691 A NO 20042691A NO 20042691 A NO20042691 A NO 20042691A NO 321850 B1 NO321850 B1 NO 321850B1
Authority
NO
Norway
Prior art keywords
key
processing unit
mobile communication
terminal
communication terminal
Prior art date
Application number
NO20042691A
Other languages
English (en)
Other versions
NO20042691D0 (no
NO20042691L (no
Inventor
Eigil Tapio Skorve
Mads Egil Henriksveen
Jon Hagen
Gunnar Lindstol
Tollef Imsdalen
Edvard Lysne
Ragnhild Kommisrud
Original Assignee
Buypass As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buypass As filed Critical Buypass As
Priority to NO20042691A priority Critical patent/NO321850B1/no
Publication of NO20042691D0 publication Critical patent/NO20042691D0/no
Priority to RU2007102215/08A priority patent/RU2411670C2/ru
Priority to EP05761857.1A priority patent/EP1766847B1/en
Priority to PCT/NO2005/000230 priority patent/WO2006001710A1/en
Priority to DK05761857.1T priority patent/DK1766847T3/en
Priority to CN2005800206573A priority patent/CN101010903B/zh
Priority to US11/570,968 priority patent/US20080288778A1/en
Publication of NO20042691L publication Critical patent/NO20042691L/no
Publication of NO321850B1 publication Critical patent/NO321850B1/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Den foreliggende oppfinnelsen tilveiebringer en fremgangsmåte for å generere en elektronisk signatur, for utførelse av en prosesseirngsenhet i en mobilterminal. Oppfinnelsen omfatter videre en fremgangsmåte for å verifisere den elektroniske signaturen.

Description

TEKNISK OMRÅDE
Den foreliggende oppfinnelsen vedrører generelt datasikkerhet og mobil datakommunikasjon.
Mer spesifikt vedrører oppfinnelsen en fremgangsmåte for å tilveiebringe en elektronisk signatur, for utførelse av en prosesseringsenhet i en mobilterminal. Videre omfatter oppfinnelsen en fremgangsmåte for å verifisere den elektroniske signaturen.
BAKGRUNN FOR OPPFINNELSEN
Den generelle utvikling innen digital kommunikasjonsteknologi innebærer at stadig flere typer kommunikasjon og transaksjoner foregår digitalt. Spesielt har utbredelsen av mobilkommunikasjon ført til at mobilterminaler eller håndsett, slik som mobiltelefoner eller PDA'er, benyttes innen ulike former for elektronisk handel og mobile betalingstjenester.
Ved implementering av slike tjenester er sikkerheten et essensielt anliggende. Spesielt er det av betydning å tilveiebringe en sikker, effektiv og enkel autentisering av identiteten for en mobilterminalbruker.
De enkleste autentiseringsløsninger, basert på brukernavn og passord, har en rekke ulemper. Blant annet er det en konflikt mellom behovet for et omfangsrikt og distinktivt passord av hensyn til sikkerhet, og ønsket om et kort og enkelt memorerbart passord av hensyn til brukervennlighet. Passord sendt over åpne nettverk vil også være årsak til redusert sikkerhet.
I dag har mobiloperatørene stor grad av kontroll over infrastrukturen i mobilkanalen, og dermed også tjenestene som tilbys via mobilkanalen. Det er i samsvar med dette tidligere beskrevet autentiseringsløsninger som tar utgangspunkt i SIM-brikken (Subscriber Identity Module) i mobilterminalen.
En anerkjent, tidligere kjent teknikk betegnes som sterk autentisering. Dette baseres på at den elektroniske identiteten er knyttet til en krypteringsnøkkel som er lagret på en sikker og for uvedkommende utilgjengelig måte, spesielt i et smartkort. Alle operasjoner som benytter nøkkelen kan utføres internt i en prosessor på smartkortet.
Det er tidligere kjent slike løsninger for sterk autentisering der SIM-kortet i mobilterminalen også er et smartkort som inneholder en krypteringsnøkkel. Dette medfører imidlertid at mobiloperatøren, som er den faktiske eier av kortet, har den fulle kontroll med nøkkelen og autentiseringsoperasjonene der nøkkelen benyttes, siden nøkkellageret i SIM-kortet ikke er tilgjengelig for en uavhengig tjenestetilbyder. En slik løsning er derfor ikke operatøruavhengig.
Det ordinære minnet i mobilterminalen er tilgjengelig for en uavhengig tjenestetilbyder, og muliggjør derfor i prinsippet en operatøruavhengig autentiseringsløsning. Dette minnet er imidlertid lite egnet for lagring av nøkler, fordi innholdet i minnet er lett tilgjengelig også for uvedkommende.
US-6 529 886 viser en operatøruavhengig autentiseringsprosess, hvor det legges vekt på opprettholdelse av anonymitet overfor en tredje part.
Publikasjonen omtaler (1) bruk av en teller på klientsiden, (2) avledning av klientspesifikke nøkler fra en masternøkkel og (3) enveis autentiseringsprotokoll fra klient til server.
Den foreliggende oppfinnelse skiller seg fra publikasjonen bl.a. ved at dynamiske nøkler genereres ved bruk av både masternøkkel, teller og brukerakkreditiv slik som et passord eller en PIN-kode, slik at den dynamiske nøkkelen ikke behøver å bli lagret i minnet til mobiltelefonen.
US-2002/0099940 viser en autentiseringsløsning der en bruker via web oppretter en forbindelse med en autentiseringsserver som innhenter autentiseringsinformasjon i form av et passord. Deretter nedlastes - til en mobil klient - en plattformuavhengig kode i form av en Java-applet. Denne koden identifiserer seg overfor serveren, og det opprettes en sikker forbindelse.
Publikasjonen dreier seg hovedsakelig om opprettelse av sikker forbindelse, og den kan ikke sees å vedrøre signering av meldinger. Publikasjonen kan ikke sees å beskrive en nøkkelgenerering tilsvarende den som benyttes i den foreliggende oppfinnelse.
SAMMENFATNING AV OPPFINNELSEN
Den foreliggende oppfinnelsen tilveiebringer en fremgangsmåte for å generere en elektronisk signatur, for utførelse av en prosesseringsenhet i en mobilterminal. Oppfinnelsen omfatter videre en fremgangsmåte for å verifisere den elektroniske signaturen.
En spesiell hensikt ved oppfinnelsen er å tilveiebringe en fremgangsmåte som særlig medfører operatøruavhengighet.
En ytterligere hensikt ved oppfinnelsen er å tilveiebringe fremgangsmåter av ovennevnte art, som innebærer tilstrekkelig grad av sikkerhet overfor ondsinnede angrep eller forsøk på svindel.
I samsvar med et første aspekt ved den foreliggende oppfinnelsen er det tilveiebrakt en fremgangsmåte som angitt i det etterfølgende krav 1, et datamaskinprogram som angitt i det etterfølgende krav 12 og en mobilterminal som angitt i det etterfølgende krav 14.
I samsvar med et andre aspekt ved den foreliggende oppfinnelsen er det tilveiebrakt en fremgangsmåte som angitt i det etterfølgende krav 15, et datamaskinprogram som angitt i det etterfølgende krav 17 og en verifikasjonsserver som angitt i det etterfølgende krav 18.
Fordelaktige utførelsesformer fremgår av de uselvstendige krav.
I følge oppfinnelsen oppnås at den dynamiske nøkkel utelukkende benyttes transient, for signeringsformål. Den dynamiske nøkkelen lagres derfor ikke. Videre oppnås at brukerens akkreditiv, for eksempel passord, ikke lagres i mobilterminalen eller sendes over linjen. Disse trekkene ved oppfinnelsen bidrar til økt sikkerhet.
En aktuell anvendelse av oppfinnelsen er å bruke terminalapplikasjonen som en pro gram vare basert brukeridentifikasjon eller autentisering for eksempel innenfor tjenester som mobil bestilling og/eller betaling. Dette medfører en autentisering som ikke krever tilgang til nøkler eller andre data lagret i SIM-kortet, eller til annen funksjonalitet tilveiebrakt av SIM-kortet. Disse trekk ved oppfinnelsen medfører operatøruavhengighet.
KORT BESKRIVELSE AV TEGNINGENE
De vedføyde tegninger illustrerer en fordelaktig utførelsesform for oppfinnelsen. Sammen med beskrivelsen tjener tegningene til å forklare prinsippene ved oppfinnelsen. Fig. 1 er et skjematisk blokkdiagram som illustrerer et system der en mobilterminal og en verifikasjonsserver er innrettet for å operere i henhold til fremgangsmåter ifølge oppfinnelsen, Fig. 2 er et overordnet, skjematisk flytskjema som illustrerer et forløp fra bestilling/registrering av en terminalapplikasjon og frem til anvendelsen av terminalappl ikasj onen. Fig. 3 er et skjematisk blokkdiagram som illustrerer en mobilterminal som er innrettet for å operere i samsvar med oppfinnelsen. Fig. 4 er et skjematisk flytdiagram som illustrerer en fremgangsmåte for utførelse i en mobilterminal ifølge oppfinnelsen, og Fig. 5 er et skjematisk prosessdiagram som illustrerer generering og bruk av en terminalapplikasjon, og
Fig. 6 er et skjematisk prosessdiagram som illustrerer en verifikasjonsprosess.
Fig. 7 er et skjematisk blokkdiagram for et ytterligere aspekt ved oppfinnelsen.
DETALJERT BESKRIVELSE AV FORETRUKNE UTFØRELSESFORMER
Oppfinnelsen skal i det følgende beskrives nærmere som et eksempel med henvisning til tegningene. Der det er mulig, benyttes de samme henvisningstall til identiske elementer på de ulike tegningene.
Fig. 1 er et skjematisk blokkdiagram som illustrerer et system der en mobilterminal opererer i henhold til fremgangsmåten ifølge oppfinnelsen.
Systemet i fig. 1 omfatter et mobilt nettverk 110 slik som et GSM-nett, med et antall basestasjoner, hvorav én er illustrert ved 111. Basestasjonen 111 kommuniserer med en brukers mobilterminal 300, slik som en mobiltelefon. Systemet omfatter videre en kli ent datamaskin 122 forsynt med en webklient. Klientdatamaskinen 122 og en web-server 124 er begge operativt tilknyttet et datamaskinnettverk 120, fortrinnsvis Internett.
En gateway 116 er anordnet for operativt å sammenknytte det mobile nettverket 110 og datamaskinnettverket 120.
En server 112 hos en tjenestetilbyder er operativt tilknyttet det mobile nettverket 110. Serveren 112 hos tjenestetilbyderen er også operativt tilknyttet verifikasjonsserveren 130, fortrinnsvis gjennom en lukket kommunikasjonsforbindelse, eksempelvis ved hjelp av et virtuelt privat nettverk 114. Slik det vil innses av fagfolk, kan et slikt virtuelt privat nettverk 114 med fordel være implementert som et subsett av Internett, og derved en del av datamaskinnettverket 120. For enkelhets skyld er det virtuelle private nettverket illustrert i fig. 1 som en separat forbindelse.
Verifikasjonsserveren 130 er operativt tilknyttet web-serveren 124. Verifikasjonsserveren 130 og web-serveren 124 kan være anbrakt i det samme geografiske området, og i så fall kan tilknytningen 132 mellom dem utføres ved hjelp av et lokalnettverk (LAN). Ellers kan tilknytningen 132 utføres ved hjelp av et virtuelt privat nettverk; Slik det vil innses av fagfolk, kan et slikt virtuelt privat nettverk 132 med fordel være implementert som et subsett av Internett, og derved en del av datamaskinnettverket 120. For enkelhets skyld er tilknytningen 132 i fig. 1 illustrert som en separat forbindelse.
Klientdatamaskinen 122 er forsynt med en web-browser. En bruker kan derved vha. klienten 122 utveksle informasjon med andre datamaskiner tilknyttet nettet 120, slik som webserveren 124.
Ved bruk av web-browseren i klientdatamaskinen 122 kan brukeren gjennomføre en bestillings- og registreringsprosess som utføres ved hjelp av web-serveren 124. Denne prosessen muliggjør at brukeren registrerer seg og bestiller en nedlastbar, spesialtilpasset terminalapplikasjon for mobil signering/autentisering.
Kommunikasjonen mellom klientdatamaskinen 122 og web-serveren 124 kan med fordel foregå kryptert, for eksempel ved bruk av sikkerhetsprotokollen SSL (Secure Sockets Layer).
Web-serveren 124 er derfor innrettet for å generere en spesialtilpasset terminalapplikasjon, omfattende en kjørbar programkode som kan eksekveres av mobilterminalen 300. Særlig foretrukket er terminalapplikasjonen en J2ME-applikasjon (midlet suite), inneholdende nødvendig kode og øvrige data. Dette sikrer portabilitet.
Ved hjelp av det mobile nettverket 110 og tjenestetilbyderen 112 lar det seg gjøre å etablere en kommunikasjonskanal mellom mobilterminalen 300 og verifikasjonsserveren 130. For å hindre uautorisert innsyn i protokoller og uautorisert tilgang til meldinger og/eller signaturer, bør uvedkommendes adgang til denne kanalen unngås. Dette kan ivaretas ved de innebygde sikkerhets-/ krypteringsfunksjoner i det mobile nettverket 110 og i den foretrukne VPN-forbindelsen 114.
Fig. 2 er et overordnet flytskjema som illustrerer forløpet fra bestilling/registrering av en terminalapplikasjon og frem til gjennomført bruk av terminalapplikasjonen.
Forløpet starter ved starttrinnet 200.
Først utføres bestillings- og registreringsprosessen 202. Her bestiller en bruker en spesialtilpasset terminalapplikasjon for et nærmere angitt bruksområde. Bestillingen skjer typisk ved hjelp av interaksjon mellom klientdatamaskinen 122 og webserveren 124 over nettverket 120, typisk Internett.
I bestillings- og registreringsprosessen 202 identifiserer og registrerer brukeren seg og bestiller en nedlastbar terminalapplikasjon. Ved å utveksle informasjon med web-serveren 124 kan brukeren via klientdatamaskinen 122 velge en ønsket applikasjonstype. I bestillings- og registreringsprosessen 202 knyttes den ønskede applikasjonstypen sammen med en mobilabonnentidentiftkasjon, foretrukket et mobiltelefonnummer, som avgis av brukeren. Mobilabonnentidentitikasjonen benyttes av webserveren 124 som adresse for en melding om nedlasting, som i forbindelse med nedlastingsprosessen 206 skal sendes til mobilterminalen 300.
I bestillings- og registreringsprosessen 202 avgir brukeren også det aktuelle akkreditiv, spesielt et passord eller en PIN-kode, som også skal assosieres med den spesifikke terminalapplikasjonen.
Deretter utføres produksjons- eller tilpasningsprosessen 204. Web-serveren 124 er i tilpasningsprosessen 204 innrettet for å spesialtilpasse en på forhånd generert terminalapplikasjon, omfattende en kjørbar programkode som kan eksekveres av mobilterminalen 300. Særlig foretrukket er terminalapplikasjonen en J2ME-applikasjon (midlet suite), inneholdende nødvendig kode og øvrige data.
Tilpasningsprosessen 204 tar som utgangspunkt en ferdig generert programkode for en terminalapplikasjon, av den type som er valgt av brukeren i bestillingsprosessen 202.
Tilpasningsprosessen 204 innebærer at terminalapplikasjonen tildeles en identifikator som er unik for den aktuelle terminalapplikasjonen.
Akkreditivet som ble innlest fra brukeren i bestillingstrinnet 202, lagres i en database i web-serveren 124, assosiert med den tildelte, unike identifikatoren for terminalapplikasjonen. Akkreditivet lagres fortrinnsvis på kryptert måte.
Tilpasningsprosessen 204 innebærer videre at terminalapplikasjonen tildeles en basisnøkkel som også er unik for den aktuelle terminalapplikasjonen. Basisnøkkelen genereres i tilpasningsprosessen, idet den avledes fra en sentralt lagret masternøkkel og fra den unike identifikatoren for terminalapplikasjonen.
Tilpasningsprosessen 204 innebærer videre at programkoden preges med den unike identifikatoren og basisnøkkelen. Foretrukket legges dataene som representerer identifikatoren inn i den tilpassede terminalapplikasjonskoden på direkte og åpen måte, mens dataene som representerer basisnøkkelen legges inn i terminalapplikasjonskoden på obfuskert måte. Obfuskert skal i denne sammenheng forstås dit hen at basisnøkkelen er skjult i koden på en slik måte at den ikke åpenlyst kan utleses eller avledes fra koden, for eksempel gjennom dekompilering.
Ytterligere detaljer ved tilpasningsprosessen 204 vil bli ytterligere beskrevet med henvisning til fig. 5 nedenfor.
Den resulterende, tilpassede terminalapplikasjonen lagres på web-serveren 124, fortrinnsvis som en såkalt midlet suite.
I nedlastingstrinnet 206 i fig. 2, genereres en tjenestemelding, typisk i form av en SMS-melding, som sendes til mobilterminalen 300. Mobilterminalen 300 adresseres ved hjelp av den ovenfor nevnte mobilabonnentidentifikasjonen. Meldingen inneholder en lenke til terminalapplikasjonen som er lagret på web-serveren 124. Når brukeren av terminalen aktiverer denne lenken, initieres en nedlasting av terminalapplikasjonen fra webserveren 124, via nettverket 120, gatewayen 116 og det mobile nettverket 110 til mobilterminalen 300.
Etter at terminalapplikasjonen er overført til mobilterminalen, og mobilterminalen således har blitt satt i stand til å eksekvere terminalapplikasjonen, utføres en sammensatt anvendelsesprosess 210. Denne omfatter to subprosesser, en signeringsprosess 212 for utførelse i mobilterminalen og en verifikasjonsprosess 214 for utførelse i verifikasjonsserveren.
Signeringsprosessen 212 innebærer at en bruker eksekverer den spesialtilpassede og nedlastede terminalapplikasjonen på sin mobilterminal. Verifikasjonsprosessen utføres i verifikasjonsserveren for å verifisere signaturen etter at signeringsprosessen er utført. Dette kan igjen benyttes som en verifikasjon av brukerens identitet.
Fig. 3 er et skjematisk blokkdiagram som illustrerer den strukturelle oppbyggingen av en mobil kommunikasjonsterminal som er innrettet for å operere i samsvar med oppfinnelsen.
Mobilterminalen 300 er oppbygget med en regulær busstruktur, der en bus 302 er operativt forbundet til en prosessor 320, et minne 330, en
abonnentidentifikasjonsmodul (SIM) 310 i form av et smartkort, en audioenhet 316, en displayadapter 312, en radiokommunikasjonsmodul eller transceiver 350, og input-adapter 304.
Displayadapteren 312 er videre tilknyttet et display 314.
Transceiveren 350 er videre tilknyttet en antenne 352.
Input-adapteren 304 er innrettet for å motta manuelt input fra en inngangsenhet slik som et tastatur 306.
Minnet 330 er innrettet for, under terminalens operative funksjonstilstand, å inneholde blant annet spesialtilpassede terminalapplikasjoner (midlet suite) 340. En terminalapplikasjon omfatter eksekverbar programkode som blant annet inneholder data som representerer en basisnøkkel assosiert med terminalapplikasjonen.
Fig. 4 er et skjematisk flytdiagram som illustrerer en fremgangsmåte for utførelse av en mobilterminal, ifølge oppfinnelsen.
Den illustrerte fremgangsmåten er tiltenkt å utføres av en prosesseringsenhet 320 i en mobilterminal 300, og har til hensikt å tilveiebringe en elektronisk signatur til en mottatt melding. Den signerte meldingen kan deretter overføres til en verifikasjonsserver 130.
Fremgangsmåten initieres ved starttrinnet 400.
I mottakstrinnet 402 mottas en melding, fortrinnsvis fra tjenesteleverandørens komponent i terminalen. I prinsippet kan meldingen være en vilkårlig melding eller challenge, der innholdet ikke har betydning, slik som en vilkårlig byte-sekvens. I praksis, og særlig dersom fremgangsmåten skal anvendes i forbindelse med mobile bestillings- eller betalingsløsninger, kan meldingen inneholde forretningsdata, spesielt data som representerer en kontrakt mellom tjenestetilbyderen 112 og brukeren av mobilterminalen 300.
I trinnet 404 innhentes en basisnøkkel fra et minneområde i terminalen. Spesielt innhentes basisnøkkelen fra et minneområde som inneholder en kodeporsjon av en terminalapplikasjon, det vil si et applikasjonsprogram som er nedlastet i terminalen. Foretrukket er kodeporsjonen obfuskert, herunder algoritmer og dataene som representerer basisnøkkelen.
Videre utføres trinnet 406, der en tellerverdi innhentes fra en teller i mobilterminalen, fortrinnsvis fra et persistent minne. Tellerverdien inkrementeres etter innhenting, eller på annet tidspunkt slik at tellerverdien får en ny verdi for hvert nye utførte signaturgenereringstrinn 412 (se nedenfor).
Deretter utføres trinnet 408 med å innlese et akkreditiv fra en bruker av mobilterminalen. Fortrinnsvis innleses et passord fra brukeren ved hjelp av terminalens tastatur eller annen brukeroperert, manuell innlesingsenhet. Passordet kan fordelaktig være numerisk, i form av for eksempel en firesifret PIN-kode.
Den videre prosessering forutsetter at det anvendes en underliggende krypteringsfunksjon, som benyttes både til generering av nøkkel og signatur. Særlig fordelaktig kan krypteringsfunksj onen være basert på symmetrisk kryptografi, slik som 3DES.
Nå utføres trinnet 410, der det genereres en dynamisk nøkkel, basert på basisnøkkelen, tellerverdien og akkreditivet.
Nøkkelgenereringstrinnet 410 omfatter anvendelse av den forhåndsbestemte krypteringsfunksjon for å generere den dynamiske nøkkelen. Basisnøkkelen, tellerverdien og akkreditivet benyttes fortrinnsvis alle som input til denne krypteringsfunksjonen. Spesielt foretrukket genereres den dynamiske nøkkelen etter følgende skjema:
Ki<c> = f(BK(i), c, PW), der
f(BK, c, P) er en funksjon for generering av en unik krypteringsnøkkel,
BK(i) er basisnøkkel og
PW er det innleste akkreditivet.
Videre utføres signaturgenereringstrinnet 412, der det genereres en signatur for meldingen ved bruk av den dynamiske nøkkelen. Dette signaturgenereringstrinnet 412 omfatter å anvende en forhåndsbestemt signeringsfunksjon på meldingen mottatt i mottakstrinnet 402.
Signeringsfunksjonen er basert på en underliggende krypteringsfunksjon som angitt over. Eksempler på egnede signeringsfunksjoner er for fagfolk kjent som CBC-MAC og OMAC.
Foretrukket utføres deretter trinnet 414, hvor den usignerte meldingen, og hvor den resulterende signaturen sendes til verifikasjonsserveren 130.1 tillegg sendes tellerverdien og den unike identifikatoren for terminalapplikasjonen.
Med fremgangsmåten beskrevet i det ovenstående oppnås at den dynamiske nøkkelen utelukkende benyttes transient eller midlertidig, og bare for signeringsformål. Den dynamiske nøkkelen blir derfor ikke på noe tidspunkt eller sted lagret. Videre oppnås at akkreditivet, slik som PIN-koden, ikke holdes lagret i mobilterminalen. Disse trekk ved oppfinnelsen bidrar til økt sikkerhet.
Fig. S er et prosessdiagram som illustrerer spesialtilpasning og bruk av en terminalapplikasjon.
Øverste del av figur 5, angitt ved 504, illustrerer en tilpasningsprosess som utføres for produksjon av en spesialtilpasset terminalapplikasjon. Denne prosessen 504 er tidligere omtalt med henvisning 204 i figur 2. Produksjonsprosessen 204 utføres typisk i web-serveren 124, som respons på en fullført bestillingsprosess 202.
Nederste del av figur 5, angitt ved 500, illustrerer en signeringsprosess for utførelse av terminalapplikasjonen. Denne signeringsprosessen 500 utføres i mobilterminalen 300 og er tidligere omtalt som 212 i fig. 2.
I det følgende beskrives først tilpasningsprosessen 504:
En basisnøkkel 532 avledes basert på en unik identifikator 510 og en masternøkkel 518. Basisnøkkelen 532 benyttes som input til signeringsprosessen 500.
I det følgende beskrives signeringsprosessen 500:
Fra akkreditivet 520, tellerverdien 524 og basisnøkkelen 532 avledes en dynamisk nøkkel 534. Den dynamiske nøkkelen 534 benyttes som input til signaturgenereringssubprosessen 536.
I signaturgenereringssubprosessen 536 signeres meldingen 538 ved bruk av den dynamiske nøkkelen 534, hvilket resulterer i en signatur 540.
Fig. 6 er et skjematisk prosessdiagram som illustrerer en verifikasjonsprosess 600.
Verifikasjonsprosessen 600 tilsvarer i det vesentlige de samme delprosesser/trinn som tilpasningsprosessen 204 og signeringsprosessen 212. Der delprosessene/ trinnene tilsvarer hverandre, er de samme nenvisningstall brukt i figurene 5 og 6.
Verifikasjonsprosessen 600 utføres i verifikasjonsserveren 130.
Inputdata til verifikasjonsprosessen er den unike identifikatoren 510, tellerverdien 524, den usignerte meldingen 538 og signaturen 540 som skal verifiseres.
Hensikten med verifikasjonsprosessen 600 er å avgi et verifikasjonssignal 604 (med verdi sant eller usant), som angir om den inngitte signaturen 540 er den korrekte signatur for meldingen 538, gitt den unike identifikator 510 for terminalapplikasjonen, samt tellerverdien 524.
Den unike identifikatoren 510, tellerverdien 524, den usignerte meldingen 538 og signaturen 540 mottas fira mobilterminalen etter at mobilterminalen har gjennomført signeringsprosessen. Fortrinnsvis mottas disse data via serveren 112 hos tj enestetilbyderen.
I tillegg er masternøkkelen 518 tilgjengelig for verifikasjonsprosessen 600, idet den er lagret i verifikasjonsserveren 130.
Videre har verifikasjonsprosessen 600 tilgang på databasen 606 i verifikasjonsserveren 130. Databasen 606 omfatter lagrede akkreditiver (spesielt passord eller PIN-koder) på kryptert form. En dekrypteringsprosess 608 er anordnet for å dekryptere lagrede, krypterte akkreditiver, og for derved å tilveiebringe et ukryptert akkreditiv 520 assosiert med en aktuell unik identifikator 510.
En basisnøkkel 525 avledes i modul 512 basert på en unik identifikator 510 og en masternøkkel 518.
I modul 522 avledes en dynamisk nøkkel basert på akkreditivet 520, tellerverdien 524 og basisnøkkelen 525.
Akkreditivet 520 er generert av dekrypteringsfunksjonen 608 som omtalt ovenfor.
Den dynamiske nøkkelen 534 benyttes som input til signaturgenererings-subprosessen 536.
I signaturgenererings-subprosessen 536 signeres den innleste meldingen 538 ved bruk av den dynamiske nøkkelen 534, hvilket resulterer i en generert signatur 612.
I sammenliknings-subprosessen 602 sammenliknes den genererte signaturen 612 med den innleste signaturen 540 som skal verifiseres. Dersom signaturene er identiske, etableres verifikasjonssignalet 604 som sant. I motsatt fall etableres verifikasjonssignalet 604 som usant.
Figur 7 er et skjematisk blokkskjema som illustrerer et ytterligere aspekt ved den foreliggende oppfinnelsen. Her er det vist at mobilterminalen 300 også kan inneholde en ytterligere komponent 342, tilpasset de tjenester som tilbys av tjenestetilbyderen 112, slik som for eksempel for mobile bestillings- eller betalingstjenester.
Terminalapplikasjonen kan bestå av flere komponenter, men vil typisk bestå av to komponenter. Dette er en komponent fra tilbyder og en komponent i henhold til den foreliggende oppfinnelsen som sammen utgjør én terminalapplikasjon slik som det fremgår skjematisk av modul 345 i figur 7.
Mobilterminalen 300 er i figur 7 således vist å omfatte en applikasjon som kan inneholde to komponenter som kan innbefatte en nedlastet signeringskomponent 340 som operativt samvirker og kommuniserer med tilbyderkomponenten 342. Begge komponenter 340, 342 er eksekverbare programmoduler som (med henvisning tilbake til fig. 3) er omfattet av minnet 330 i mobilterminalen 300. Slik det er antydet i fig, 7, overføres den usignerte meldingen M fra tilbyderkomponenten 342 til signeringskomponenten 340, mens signaturen S, den unike identifikatoren uid, og tellerverdien ent leveres tilbake til tilbyderkomponenten 342. Over mobilkommunikasjonsnettet overføres signatur S, unik identifikator uid, tellerverdi ent og forretningsdata, dvs. data assosiert med de tilbudte tjenester, og spesielt data assosiert med en kontrakt mellom brukeren og tjenestetilbyderen, til serveren 112 hos tjenestetilbyderen. Tjenestetilbyderserveren kommuniserer deretter melding M, signatur S, unik identifikator uid og tellerverdi ent til verifikasjonsserveren, via kommunikasjonskanalen (for eksempel VPN) 114. I verifikasjonsserveren tilveiebringes et verifikasjonssignal 604 som bringes tilbake til tjenestetilbyderserveren 112, og som angir en verifisering eller refusering av den genererte signaturen. Dette kan i tjenestetilbyderserveren 112 anvendes som en verifisering eller autentisering av brukerens identifikasjon.
Mange modifikasjoner og tilpasninger av den foreliggende oppfinnelsen vil naturlig fremstå for fagfolk, enten ved tolkning av den ovenstående detaljerte beskrivelsen av oppfinnelsen eller ved praktisering av oppfinnelsen.
Den ovenstående detaljerte beskrivelsen er fremlagt spesielt i den hensikt å illustrere og beskrive fordelaktige utførelsesformer av oppfinnelsen. Beskrivelsen begrenser imidlertid på ingen måte oppfinnelsen til de spesifikke utførelsesformer som er detaljert beskrevet.
Det mobile nettverket 110 er som eksempel angitt å være et GSM-nett. Det skal imidlertid forstås at andre mobilkommunikasjonsnett er like anvendelige for oppfinnelsen eksempelvis et 3G- eller UMTS-nett.
Mobilterminalen 300 er som eksempel angitt å være en mobiltelefon. Det skal forstås at andre type mobile terminaler, innrettet for å kommunisere med det mobile nettverket 110, er like anvendelige for oppfinnelsen, eksempelvis PDA'er eller bærbare PC-er.
Der det er anført at mobilterminalapplikasjonen fordelaktig er en J2M£-applikasjon (midlet suite), skal det forstås at en slik utførelse er særlig hensiktsmessig av hensyn til portabilitet, dvs. muligheten for å kunne kjøre applikasjonen på ulike maskinvareplattformer uten ytterligere modifisering. Andre implementasjons-muligheter er imidlertid mulige innenfor oppfinnelsens rekkevidde. Spesielt kan terminalapplikasjonen være kodet på lavere nivå (objektkode), eller i andre høynivåspråk.
Ytterligere modifikasjoner og variasjoner vil være åpenbare for en fagmann i lys av den ovenstående beskrivelsen. Oppfinnelsens rekkevidde fremgår av de nedenstående patentkrav og deres ekvivalenter.

Claims (18)

1. Fremgangsmåte for å tilveiebringe en elektronisk signatur, utført av en prosesseirngsenhet i en mobilkommunikasjonsterminal, hvor fremgangsmåten omfatter de følgende trinn: å motta en elektronisk melding fra en komponent i mobilkommunikasjonsterminalen, å innhente en basisnøkkel fra et minneområde i mobilkommunikasjonsterminalen, og å generere en elektronisk signatur for den mottatte meldingen,karakterisert ved at fremgangsmåten videre omfatter å innlese et akkreditiv, slik som et passord eller en numerisk kode, fra en bruker ved hjelp av en brukeroperert innlesingsenhet i mobilkommunikasjonsterminalen og å generere en dynamisk krypteringsnøkkel basert på basisnøkkelen og akkreditivet, ved bruk av en forhåndsbestemt krypteringsfunksjon, idet trinnet med å generere den elektroniske signaturen omfatter anvendelse av en forhåndsbestemt signeringsfunksjon der den genererte, dynamiske nøkkelen inngår, på den mottatte meldingen, hvilket medfører at det ikke er nødvendig å holde den dynamiske nøkkelen eller akkreditivet lagret i mobilkommunikasjonsterminalen.
2. Fremgangsmåte i samsvar med krav 1, hvor den forhåndsbestemte krypteringsfunksjonen er basert på symmetrisk kryptografi, slik som en 3DES krypteringsfunksj on.
3. Fremgangsmåte i samsvar med krav 1 eller 2, hvor den forhåndsbestemte signeringsfunksjonen er av typen CBC-MAC eller OMAC og basert på en underliggende krypteringsfunksjon, eksempelvis 3DES.
4. Fremgangsmåte i samsvar med et av kravene 1-3, hvor trinnet med å innhente en basisnøkkel omfatter: å innlese basisnøkkelen fra et minneområde som inneholder en kodeporsjon av en terminalapplikasjon som er nedlastet i terminalen.
5. Fremgangsmåte i samsvar med et av kravene 1-4, hvor trinnet med å innhente en basisnøkkel omfatter: å hente denne fra et minneområde i terminalen eller på et SIM-kort.
6. Fremgangsmåte i samsvar med krav 4, hvor minst basisnøkkelen er obfuskert i nevnte kodeporsjon.
7. Fremgangsmåte i samsvar med et av kravene 1 -6, hvor trinnet med å generere en dynamisk nøkkel basert på basisnøkkelen og akkreditivet ytterligere baserer seg på en innhentet tellerverdi fra en teller i terminalen, idet tellerverdien innhentes fra et lese-/skriveminne i terminalen.
8. Fremgangsmåte i samsvar med et av kravene 1-7, hvor trinnet med å innlese et akkreditiv omfatter: å innhente et passord fra brukeren.
9. Fremgangsmåte i samsvar med et av kravene 1-8, hvor trinnet med å generere en dynamisk nøkkel omfatter: bruk av basisnøkkelen, tellerverdien og akkreditivet som input til den forhåndsbestemte krypteringsfunksj onen.
10. Fremgangsmåte i samsvar med et av kravene 1-9, ytterligere omfattende trinnet: å sende en signert melding, omfattende den elektroniske meldingen og den genererte signaturen, til en verifikasjonsserver.
11. Fremgangsmåte i samsvar med krav 10, hvor dessuten tellerverdien og en unik identifikator sendes til verifikasjonsserveren.
12. Datamaskinprogram, karakterisert ved at det omfatter programinstruksjoner som ved eksekvering av en prosesseringsenhet i en mobilkommunikasjonsterminal bevirker at prosesseringsenheten utfører en fremgangsmåte i samsvar med kravene 1-11.
13. Datamaskinprogram i samsvar med krav 12, i form av en terminalapplikasjon, slik som en J2ME-applikasjon (midlet suite).
14. Mobilkommunikasjonsterminal, omfattende en prosesseringsenhet og programinstruksjoner inneholdt i et minne, karakterisert ved at programinstruksj onene ved eksekvering av prosesseringsenheten bevirker at prosesseringsenheten utfører en fremgangsmåte i samsvar med kravene 1-11.
15. Fremgangsmåte for å verifisere en signatur generert i en mobilkommunikasjonsterminal, for eksekvering av en prosesseringsenhet i en verifikasjonsserver, hvor fremgangsmåten omfatter de følgende trinn: å motta en elektronisk melding fra mobilkommunikasjonsterminalen, å motta en elektronisk signatur som skal verifiseres, fra mobilkommunikasjonsterminalen, å motta en unik identifikator for en terminalapplikasjon, fra mobilkommunikasj onsterminalen, å tilveiebringe en basisnøkkel, assosiert med en unik identifikator, basert på den unike identifikatoren og en masternøkkel, å generere en elektronisk signatur for meldingen, å sammenligne den mottatte signaturen og den genererte signaturen, og å verifisere eller refusere den mottatte signaturen, basert på nevnte sammenligning,karakterisert ved at fremgangsmåten videre omfatter å tilveiebringe et akkreditiv, slik som et passord eller en numerisk kode, assosiert med den unike identifikatoren, å generere en dynamisk nøkkel basert på basisnøkkelen og akkreditivet, og at trinnet med å generere den elektroniske signaturen omfatter bruk av den genererte, dynamiske nøkkelen.
16. Fremgangsmåte i samsvar med krav 1S, hvor trinnet med å generere en dynamisk nøkkel basert på basisnøkkelen og akkreditivet ytterligere baserer seg på en tellerverdi mottatt fra mobilkommunikasjonsterminalen.
17. Datamaskinprogram, karakterisert ved at det omfatter programinstruksjoner som ved eksekvering av en prosesseringsenhet i en verifikasjonsserver bevirker at prosesseringsenheten utfører en fremgangsmåte i samsvar med et av kravene 15-16.
18. Verifikasjonsserver, omfattende en prosesseirngsenhet og programinstruksjoner inneholdt i et minne, karakterisert ved at programinstruksjonene ved eksekvering av prosesseringsenheten bevirker at prosesseringsenheten utfører en fremgangsmåte i samsvar med et av kravene 15-16.
NO20042691A 2004-06-25 2004-06-25 Fremgangsmate for a generere og verifisere en elektronisk signatur NO321850B1 (no)

Priority Applications (7)

Application Number Priority Date Filing Date Title
NO20042691A NO321850B1 (no) 2004-06-25 2004-06-25 Fremgangsmate for a generere og verifisere en elektronisk signatur
RU2007102215/08A RU2411670C2 (ru) 2004-06-25 2005-06-24 Способ создания и проверки подлинности электронной подписи
EP05761857.1A EP1766847B1 (en) 2004-06-25 2005-06-24 Method for generating and verifying an electronic signature
PCT/NO2005/000230 WO2006001710A1 (en) 2004-06-25 2005-06-24 Method for generating and verifying an electronic signature
DK05761857.1T DK1766847T3 (en) 2004-06-25 2005-06-24 PROCEDURE FOR GENERATING AND VERIFYING AN ELECTRONIC SIGNATURE
CN2005800206573A CN101010903B (zh) 2004-06-25 2005-06-24 用于生成并验证电子签名的方法
US11/570,968 US20080288778A1 (en) 2004-06-25 2005-06-24 Method for Generating and Verifying an Electronic Signature

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NO20042691A NO321850B1 (no) 2004-06-25 2004-06-25 Fremgangsmate for a generere og verifisere en elektronisk signatur

Publications (3)

Publication Number Publication Date
NO20042691D0 NO20042691D0 (no) 2004-06-25
NO20042691L NO20042691L (no) 2005-12-27
NO321850B1 true NO321850B1 (no) 2006-07-10

Family

ID=34981176

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20042691A NO321850B1 (no) 2004-06-25 2004-06-25 Fremgangsmate for a generere og verifisere en elektronisk signatur

Country Status (7)

Country Link
US (1) US20080288778A1 (no)
EP (1) EP1766847B1 (no)
CN (1) CN101010903B (no)
DK (1) DK1766847T3 (no)
NO (1) NO321850B1 (no)
RU (1) RU2411670C2 (no)
WO (1) WO2006001710A1 (no)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136046B (zh) * 2006-08-28 2011-01-05 鸿富锦精密工业(深圳)有限公司 电子签名验证系统及方法
US7958057B2 (en) * 2007-03-28 2011-06-07 King Fahd University Of Petroleum And Minerals Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication
US20090193261A1 (en) * 2008-01-25 2009-07-30 Mediatek Inc. Apparatus and method for authenticating a flash program
CN102263792A (zh) * 2011-08-05 2011-11-30 常钧 无线安全密钥设备、电子商务业务系统及方法
US9246882B2 (en) 2011-08-30 2016-01-26 Nokia Technologies Oy Method and apparatus for providing a structured and partially regenerable identifier
CN102750478B (zh) * 2012-06-12 2016-03-30 福建睿矽微电子科技有限公司 一种具备安全授权转移及锁定技术的安全芯片
CN103581907B (zh) * 2012-08-03 2016-08-03 北京中创智信科技有限公司 移动电子签名方法、服务平台、设备和系统
KR101523309B1 (ko) * 2013-01-31 2015-06-02 한국인터넷진흥원 어플리케이션 배포 시스템 및 방법
CN104144413A (zh) * 2013-05-10 2014-11-12 中国电信股份有限公司 基于移动终端的审批方法和系统
CN103475488A (zh) * 2013-09-25 2013-12-25 江苏众瀛联合数据科技有限公司 身份识别的方法和系统
EP2854332A1 (en) * 2013-09-27 2015-04-01 Gemalto SA Method for securing over-the-air communication between a mobile application and a gateway
US9973340B2 (en) * 2015-11-13 2018-05-15 Verizon Patent And Licensing Inc. Mobile content delivery via toll-free uniform resource locators
EP3488373A4 (en) 2016-07-25 2020-02-26 Mobeewave Inc. SYSTEM AND METHOD FOR AUTHENTICATING A COMPONENT OF AN ELECTRONIC DEVICE
US10630682B1 (en) * 2016-11-23 2020-04-21 Amazon Technologies, Inc. Lightweight authentication protocol using device tokens
RU2667978C2 (ru) * 2017-01-09 2018-09-25 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система формирования электронной подписи, устойчивой к деструктивным воздействиям
TWI632508B (zh) * 2017-07-31 2018-08-11 中華電信股份有限公司 Multi-card integrated chip card application sharing authentication method
WO2021165753A1 (en) * 2020-02-20 2021-08-26 Gaurav Upadhyay System and method to manage multiple-account access using a master key
CN116032591B (zh) * 2022-12-23 2024-07-19 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5757913A (en) * 1993-04-23 1998-05-26 International Business Machines Corporation Method and apparatus for data authentication in a data communication environment
FR2757723B1 (fr) * 1996-12-24 1999-01-15 France Telecom Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
US6907530B2 (en) * 2001-01-19 2005-06-14 V-One Corporation Secure internet applications with mobile code
WO2003093923A2 (en) * 2002-04-30 2003-11-13 Robert Eryou System and apparatus for authenticating to a system or network
US7475240B2 (en) * 2002-11-06 2009-01-06 Symantec Corporation System and method for add-on services, secondary authentication, authorization and/or secure communication for dialog based protocols and systems

Also Published As

Publication number Publication date
EP1766847A1 (en) 2007-03-28
EP1766847B1 (en) 2018-08-08
US20080288778A1 (en) 2008-11-20
WO2006001710A1 (en) 2006-01-05
NO20042691D0 (no) 2004-06-25
CN101010903B (zh) 2012-06-06
CN101010903A (zh) 2007-08-01
RU2007102215A (ru) 2008-07-27
NO20042691L (no) 2005-12-27
DK1766847T3 (en) 2018-11-12
RU2411670C2 (ru) 2011-02-10

Similar Documents

Publication Publication Date Title
EP1766847B1 (en) Method for generating and verifying an electronic signature
US6915124B1 (en) Method and apparatus for executing secure data transfer in a wireless network
KR102304778B1 (ko) 소프트웨어 애플리케이션에서 초기에 신뢰를 설정하고 주기적으로 확인하기 위한 시스템 및 방법
JP5601729B2 (ja) 移動無線機の移動無線網へのログイン方法
US20050188219A1 (en) Method and a system for communication between a terminal and at least one communication equipment
CN112559993B (zh) 身份认证方法、装置、系统及电子设备
CA2665961C (en) Method and system for delivering a command to a mobile device
EP2355443A2 (en) Network authentication method and device for implementing the same
JP2018515011A (ja) ユーザを認証する方法及び装置、ウェアラブルデバイスを登録する方法及び装置
KR20070048815A (ko) 스마트카드 또는 스마트카드 칩이 내장된 휴대전화기를이용한 원타임패스워드 인증 방법 및 시스템
WO2006079145A1 (en) Authentication method
EP2712220A1 (en) Telecom smart card, air writing card system and air writing card method
EP3376421A1 (en) Method for authenticating a user and corresponding device, first and second servers and system
WO2019115393A1 (en) Method for authenticating a user based on an image relation rule and corresponding first user device, server and system
CN110795737A (zh) 对电子身份证的业务适用范围进行升级的方法和终端设备
KR20130065829A (ko) 일회용코드와 매핑된 객체를 이용한 서비스 제공 방법 및 시스템
JP2010117995A (ja) アプリケーション発行システム、装置及び方法
EP2234423B1 (en) Secure identification over communication network
US10841795B2 (en) Method and system for protected communication between a mobile unit coupled to a smartphone and a server
KR20100136371A (ko) 씨드 조합 방식의 오티피 인증을 통한 휴대폰 결제 방법 및 시스템과 이를 위한 기록매체
KR20100136379A (ko) 다중 코드 생성 방식의 네트워크 형 오티피 인증을 통한 휴대폰 결제 방법 및 시스템과 이를 위한 기록매체
KR20160121791A (ko) 씨드 조합 방식의 네트워크 형 오티피 제공 방법
EP3059918B1 (en) Method for accessing a security element
KR20140110165A (ko) 사이트 안심 이용 방법
KR20170088796A (ko) 생체 인식을 이용한 다중 코드 생성 방식의 네트워크 형 오티피 제공 방법