NO327337B1 - En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk - Google Patents
En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk Download PDFInfo
- Publication number
- NO327337B1 NO327337B1 NO20062847A NO20062847A NO327337B1 NO 327337 B1 NO327337 B1 NO 327337B1 NO 20062847 A NO20062847 A NO 20062847A NO 20062847 A NO20062847 A NO 20062847A NO 327337 B1 NO327337 B1 NO 327337B1
- Authority
- NO
- Norway
- Prior art keywords
- authentication
- authenticator
- vpn
- supplicant
- user
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000013475 authorization Methods 0.000 claims description 2
- 238000004846 x-ray emission Methods 0.000 claims 3
- 230000005540 biological transmission Effects 0.000 claims 1
- 230000007246 mechanism Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Abstract
En metode og et arrangement som tillater delegering av autentiseringsfasen ved etablering av et virtuelt privat nettverk (VPN) til en tredjepart er foreslått. Mer spesifikt, det er foreslått en metode og et arrangement for bruk av SIM/USIM som sterk autentiseringsmekanisme for autentisering av en bruker, i en VPN-forbindelse mellom en VPN-klient og en VPN-server. Videre, en metode og et arrangement for å generere og forsyne krypteringsnøkler som brukes for å kryptere kanalen mellom VPN-klienten og VPN- serveren er også beskrevet.
Description
EN ANORDNING OG EN METODE FOR STERK BRUKERAUTENTISERING OG KRYPTERING AV BRUKERDATA I PRIVATE VIRTUELLE NETTVERK
Oppfinnelsens område
Denne oppfinnelsen angår sterk brukerautentisering og kryptering av brukerdata i virtuelle private nettverkforbindelser (VPN) mellom en VPN-klient og en VPN-server.
Teknisk bakgrunn
Det blir mer og mer vanlig at ansatte i virksomheter blir mer mobile, og derfor får behov for å ha tilgang til virksomhetens ressurser fra fjerntliggende steder. De ønsker også å få tilgang til deres hjemmenettverk på en sikker måte. I dag oppnår man dette med virtuelle private nettverksforbindelser (VPN). Når en VPN forbindelse settes opp, må brukeren først autentiseres. Autentiseringen kan være basert på: Globale, forhåndsdelte nøkler - Alle datamaskinene som er med i et VPN har den samme nøkkelen, som er fordelt på forhånd. Fordi slike nøkler er lagret på datamaskinen, er de sårbare for angrep.
Individuelle, forhåndsdelte nøkler - Hver datamaskin har sin egen nøkkel, som er fordelt på forhånd. Dette er sikrere fordi ikke alle noder blir kompromittert hvis en angriper får tak i en nøkkel.
PKI - Denne løsningen gjør bruk av digitale sertifikater, noe som krever tilgang til en kompleks infrastruktur, dvs. et aktivt PKI-system for validering og håndtering av sertifikater.
AAA- autentisering - Er normalt basert på delte nøkler, men administrasjonen utføres av en spesialisert AAA server f eks en Radius server. Fullmakter (credentials) kan lagres i ulike databaser som SQL, LDAP osv.
Smart Kort- autentisering - Det er mulig å bruke flere autentiseringsmekanismer sammen med et smartkort for ytterligere fullmakter (credentials) mot misbruk(f eks lagre sertifikater og nøkler).
Felles for disse løsningene er at det kreves mye administrasjon. Forhåndslagrede nøkler er lettest å administrere, men også lettest å knekke. Ssmartkort autentisering krever distribusjon av individuelle smartkort for hver bruker og fordeling av smartkort-lesere.
Denne oppfinnelsen avhjelper manglene ved de eksisterende løsningene ved: a. Gjenbruke en eksisterende
autentiseringsinfrastruktur, noe som medfører et minimum av administrativt arbeid for å holde løsningen konsistent og oppdatert.
b. Ved å bruke SIM, som er en sterk
autentiseringsmekanisme, for å sikre VPN-nettverk.
c. Ved å bruke SIM-mekanismene, kan klienten og serveren bli enige om nøkler med vilkårlig og tilstrekkelig lengde for å kryptere brukerdata. d. Ved å bruke SIM, vil løsningen bli mye enklere for brukeren. Det blir ikke nødvendig å forholde seg til forhåndsdelte nøkler eller andre autentiseringsdata.
e. Det kan settes opp en VPN forbindelse mot foretaket eller hjemmenettverket fra hvilken som helst datamaskin uten å behøve å installere forhåndsdelte nøkler eller sertifikater, så lenge brukeren har med seg sin mobiltelefon.
Oppsummering av oppfinnelsen
Denne oppfinnelsen gir en løsning for å autentisere brukere av et virtuelt privat nettverk (VPN) ved bruk av mekanismene i sterk SIM-autentisering, og generere startnøkler for kryptering av brukerdata.
I tillegg til en standard VPN-løsning med en VPN-klient og en VPN-server, består løsningen av følgende deler: a. En Supplikant på klientsiden (på brukerens terminal)
b. En Authenticator på Internett
c. De relevante komponentene i GSM og UMTS nettverk, dvs Home Location Register (HLR) i GSM og Home Subscriber Server (HSS) i UMTS d. Selve SIM-kortet plassert i en kortleser(Card Access Device, CAD). CAD kan være en mobiltelefon som er koblet til klient-host ved bruk av Bluetooth, USB, serieport, IrDA, en USM SIM dongle, et PCCARD med SIM-slot eller enhver annet Smartkort-leser (f eks integrert i terminalen).
Oppfinnelsens anvendelsesområde fremkommer av vedlagte patentkrav.
Kort beskrivelse av tegningene
Oppfinnelsen vil nå bli beskrevet i detalj med referanse til de vedlagte tegningene, hvor: Figur 1 viser hvilke komponenter løsningen består av, hvor SIM/USIM brukes for brukerautentisering av en VPN forbindelse. SIM brukes også for å generere krypteringsnøkler til klienten. Figur 2 viser et meldingssekvensdiagram for løsningen som er foreslått, og viser en komplett autentiseringsprosess, når autentiseringen benyttes i et GSM nettverk.
Detaljert beskrivelse
Denne oppfinnelsen muliggjør bruk av standard GSM eller UMTS autentisering, basert på et SIM/USIM kort, for å autentisere en klient-host mot et fjerntliggende nettverk. Formålet er å etablere en VPN-forbindelse mellom disse. Oppfinnelsen spesifiserer også hvordan det skal genereres krypteringsnøkler for å sikre en VPN-forbindelse i nettverk i systemer som mangler algoritmer for nøkkelutveksling, som Diffie-Hellman, eller hvor Diffie-Hellman eller lignende algoritmer krever for mye prosesseringskraft for å kunne brukes (f eks enheter med ressursbegrensninger).
Oppfinnelsen består av seks hoveddeler:
• Metoden som tillater delegering av
autentiseringsfasen, ved etablering av en VPN, til en tredjepart. • Et arrangement som tillater delegering av autentiseringsfasen, ved etablering av en VPN, til en tredjepart. • En metode som bruker SIM/USIM autentiseringsfunksjon for å autentisere en klienthost mot et fjerntliggende nettverk, på tvers av Internett, i den initielle fasen ved etablering av en VPN-forbindelse • Et arrangement som muliggjør bruk av SIM/USIM autentiseringsfunsjon for å autentisere en klienthost mot et fjerntliggende nettverk, på tvers av Internett, i den initielle fasen ved etablering av en VPN-forbindelse. • En metode som bruker kryptografiske elementer som genereres ved en SIM-autentisering, for å kryptere brukerdata som overføres mellom en VPN-klient og en VPN-server. • Et arrangement som muliggjør bruk av kryptografiske elementer som genereres ved en SIM-autentisering, for å kryptere brukerdata som overføres mellom en VPN-klient og en VPN-server.
Figur 1 viser oppfinnelsens hovedkomponenter. En Supplikant som er installert på en klienthost (f eks en personlig datamaskin eller en Personal Digital Assistant (PDA)), og en Authenticator på Internett som videresender autentiseringsanmodninger frem og tilbake mellom SIM/USIM og nettverkskomponentene i GSM eller UMTS. Disse kommuniserer med VPN-klient og VPN-server for å utveksle autentisering, krypteringsdata og status.
Komponentenes funksjonalitet
VPN- klient
VPN-klienten, som kjører på datamaskinen som brukeren anvender, er en vanlig komponent i en VPN løsning. Tradisjonelt kommuniserer den via en VPN-server via Ic grensesnittet. Denne oppfinnelsen krever at denne komponenten er utvidet for å kommunisere med Supplikanten via Ia grensesnittet. Ia vil bli beskrevet senere.
VPN server
VPN-serveren er en vanlig komponent i en VPN-løsning. Oppfinnelsen krever at den er utvidet for å kunne kommunisere med en Authenticator via Ie grensesnittet. Følgende meldinger er definert for å sendes over Ie grensesnittet: accountUpdate( IMSI, K) - Denne meldingen sendes fra Authenticator til VPN-serveren med brukeridentiteten (IMSI) og den riktige krypteringsnøkkel (K) som skal brukes av denne brukeren for å forbinde VPN klienten med VPN-serveren .
Supplikant
Supplikanten, som kjører på brukerens datamaskin, er en ny komponent som introduseres i denne oppfinnelsen. Den kan tilhøre en tredjepart som tilbyr autentisering til en VPN løsning. Den kommuniserer med SIM/USIM som sitter i en kortleser (CAD) over Ib grensesnittet og med Authenticator over Id grensesnittet.
Følgende meldinger er definert for å sendes over Ia grensesnittet til VPN-klienten: authRequest() - Denne meldingen ber supplikanten starte en autentisering mot Authenticator.
Svaret fra en authRequest() er som følger: authResponse( IMSI, K) - Denne meldingen inneholder brukerens identitet (IMSI) og den korrekte krypteringsnøkkelen (K) for denne brukeren.
Authenticator
Authenticator er lokalisert til en server som tilhører en tredjepart som tilbyr autentisering og kommuniserer med supplikanten via Ia grensesnittet med GSM HLR over Ie grensesnittet og med UMTS HSS over Ig grensesnittet.
Følgende meldinger er definert for å sendes over Id grensesnittet: authRequest( IMSI) - Med denne meldingen ber "authenticator" om en autentisering av en bruker som er identifisert med
IMSI.
authResponse( CHALLENGE) - Denne meldingen inneholder RAND/challenge fra "GSM triplet" eller "UMTS quintuplet".
Authenticator verifiserer om de fullmakter (credentials) som den mottar er gyldige eller ikke. Det gjøres ved å å hente informasjon fra SIM/USIM og GSM or UMTS nettverket. Ved vellykket autentisering vil både VPN-server og supplikant få informasjon om dette.
Etter at GSM/UMTS-aloritmen er kjørt for å generere "signed response" og krypteringsnøkkel ved CHALLENGE1, vil supplikanten forsøke å sette opp en kryptert forbindelse mot Authenticator ved å bruke Kcl. SRES1 sendes over forbindelsen til Authenticator. Hvis denne prosedyren er vellykket, vil Authenticator sende nye "challenges" til supplikanten. Supplikanten vil da starte GSM eller UMTS algoritmen n ganger på SIM kortet. Det vil da bli generert en streng K = (Kc2 I ... I Kcn+i) med lengde n<*>64 bits. K overføres fra supplikanten til VPN klienten. Den samme K overføres fra Authenticator til VPN-serveren. K brukes for å sette opp en kryptert forbindelse mellom VPN klienten og VPN-serveren. K kan ha en vilkårlig lengde, avhengig av krypteringsalgoritmen som brukes.
Hele prosessen vil bli forklart i beskrivelsen av figur 2 under.
Meldingssekvensdiagrammer
VPN ved bruk av GSM-autentisering
Figur 2 viser meldingssekvendsdiagrammer som forklarer autentiseringsprosessen mellom VPN-klienten og VPN-serveren ved bruk av GSM-autentisering.
Dette er meldingene i figur 2:
1. authRequest() - Brukeren bestemmer seg for å koble seg til VPN, og VPN-klienten sender en anmodning om autentisering til Supplikanten. 2. getIMSI() - Supplikanten ber brukerens SIM kort om å sende IMSI. 3. getlMSIResponse(IMSI) - Supplikanten mottar IMSI fra brukerens SIM kort. 4. authRequest(IMSI) - Supplikanten sender en autentiseringsanmodning til Authenticator som inneholder IMSI. 5. authRequest(IMSI) - Authenticator sender en autentiseringsanmodning til HLR i GSM-nettverket. Meldingen inneholder brukerens identitet, representert ved sin IMSI. 6. authResponse(TRIPLET1) - Authenticator mottar en triplet (TRIPLET1)fra HLR, som inneholder en "challenge", det forventede resultatet etter å ha kjørt GSM A3-algoritmen med denne "challenge" (XRES1) og en krypteringsnøkkel (Kci) som er generert av A8 algoritmen. 7. authResponse(CHALLENGE1) - Supplikanten mottar "challenge" fra Authenticator. 8. runA3A8(CHALLENGE1) - Supplikanten starter A3-algoritmen på SIM-kortet med den "challenge" det mottar. 9. runA3A8Response(SRES1, Kci) - Supplikanten mottar den signerte responsen (SRES1) og krypteringsnøkkelen (Kci) fra SIM-kortet, som er resultatet etter å ha kjørt A3- og A8-algoritmene. 10. authRequest(IMSI, SRES1) - Supplikanten sender en autentiseringsanmodning til Authenticator som inneholder brukeridentiteten (IMSI) og den signerte responen (SRES1). Denne meldingen kan/bør krypteres med Kci.
"Authenticator" verifiserer at SRES1 er lik XRES1. Ved match vil Authenticator gå videre til trinn 11. Hvis ikke vil Authenticator sende en feilmelding til supplikanten, som igjen sender denne videre til VPN klienten. 11. n <*> authRequest(IMSI) - Disse er
autentiseringsanmodninger som Authenticator sender i tillegg for å generere tilstrekkelig lange krypteringsnøkler til VPN-forbindelsen. 12. n <*> authResponse(TRIPLET) - Dette er responsen fra autentiseringsanmodningene og hver inneholder forskjellige triplets som GSM nettverket har generert. 13. authResponse(n* CHALLENGE) - Dette er responsen som Authenticator sender til supplikanten og inneholder n "challenges" som Authenticator har mottatt fra GSM-nettverket. 14. accountUpdate (IMSI, K = (Kc2 I ... I Kcn+i) ) - Dette er en melding som "autehnticator" sender til VPN-serveren for å oppdatere krypteringsnøkkelen som skal brukes for en bruker identifisert ved IMSI. 15. n <*> runA3A8(CHALLENGE) - Dette er n meldinger som sendes til SIM-kortet for å kjøre A3/A8-algoritmen med "challenges" som kortet har mottatt. 16. n <*> runA3A8Response(SRES, Kc) - Dette er n meldinger mottatt fra SIM kortet og inneholder n sett av SRES og Kc. 17. authResponse (IMSI, K = (Kc2 I ... I Kcn+i) ) - Dette er responsen på autentiseringsanmodningene som ble sendt av VPN-klienten. Meldingen inneholder brukerens identitet representert ved IMSI og nøkkelen K som skal brukes for å kryptere brukerdataene. 18. connect(IMSI) - Dette er en anmodning om å sette opp en VPN forbindelse mellom VPN klienten og VPN-serveren. Den inneholder brukerens identitet IMSI, og forbindelsen krypteres med nøkkelen K som ble mottatt i forrige melding.
VPN med bruk av UMTS-autentisering
Figur 3 viser an meldingssekvensdiagram som forklarer autentiseringsprosessen mellom VPN-klienten og VPN-server ved bruk av UMTS autentisering.
Dette er meldingene i figur 3:
1. authRequest() - Brukeren bestemmer seg for å koble seg til VPN, og VPN-klienten sender en anmodning om autentisering til Supplikanten. 2. getlMSIO - Supplikanten ber brukerens SIM-kort om å sende IMSI. 3. getlMSIResponse(IMSI) - Supplikanten mottar IMSI fra brukerens SIM-kort. 4. authRequest(IMSI) - Supplikanten sender en autentiseringsanmodnin til "authenticator" som inneholder IMSI. 5. authRequest(IMSI) - "Autehnticator" sender en autentiseringsanmodning til HSS i UMTS-nettverket. Meldingen inneholder brukerens identitet, representert ved sin IMSI. 6. authResponse(QUINTUPLET1) - "Authenticator" mottar en triplet (QUINTUPLET1) fra HSS som består av et random tall RANDI, en forventet respons XRES1, en krypteringsnøkkel Kci, en "integrity" nøkkel Ikl og et autorisringstoken AUTN1. 7. authResponse(CHALLENGE1) - Authenticator returnerer en utfordring, CHALLENGE1, som består av RANDI og AUTN1 til Supplikantent. 8. runf2f3(CHALLENGE1) - Supplikanten starter en beregning av RESI ved bruk av f2 og krypteringsnøkkelen Kci som kjøres på UMTS SIM-kortet og bruker CHALLENGE1 som input. UMTS SIM-kortet verifiserer AUTN1 og svarer bare hvis det er en vellykket verifisering. 9. runf2f 3Response (RESI, Kci) - Supplikanten mottar den signerte responsen (RESI) og en krypteringsnøkkel (RESI) fra USIM. 10. authRequest(IMSI, RESI) - Supplikanten sender en ny autentiseringsanmodning til Authenticator som inneholder responsen. Denne anmodningen bør/kan krypteres med Kci.
Authenticator verifiserer at RESI er lik XRES1. Hvis det ikke er match, vil Authenticator returnere en feilmelding til supplikanten som videresender denne til VPN-klienten. Ved match vil Authenticator fortsette med trinn 11.
11. n <*> authRequest(IMSI) - Disse er
autentiseringsanmodninger som Authenticator sender til UMTS-nettverket i tillegg for å generere tilstrekkelig lange krypteringsnøkler til VPN forbindelsen. 12. n <*> authResponse(QUINTUPLET) - Dette er responsen fra autentiserinngsanmodningene, og hver inneholder forskjellige quintuple som UMTS-nettverket har generert. 13. authResponse(n<*> CHALLENGE) - Dette er responsen som Authenticator sender til supplikanten og inneholder n "challenges" fra quintuples som Authenticator har mottatt fra UMTS-nettverket. 14. accountUpdate (IMSI, K = (Kc2 | ... | Kcn+i) ) - Dette er en melding som "autehnticator" sender til VPN-serveren for å oppdatere krypteringsnøkkelen (K) som skal benyttes for en bruker identifisert ved
IMSI.
15. n <*> runf2f3(CHALLENGE) - Dette er n meldinger som sendes til SIM-kortet for å kjøre f2/f3 algoritmene med "challenges" som kortet har mottatt. 16. n <*> runf2f 3Response (RES, Kc) - Dette er n meldinger mottatt fra SIM kortet og inneholder n sett av RES og Kc. 17. authResponse (IMSI, K = (Kc2 I ... I Kcn+1) ) - Dette er responsen på autentiseringsanmodningene som ble sendt av VPN-klienten. Meldingen inneholder brukerens identitet representert ved IMSI og nøkkelen K som skal brukes for å kryptere brukerdataene. 18. connect(IMSI) - Dette er en anmodning om å sette opp en VPN-forbindelse mellom VPN-klienten og VPN-serveren. Den inneholder brukerens identitet IMSI, og forbindelsen krypteres med nøkkelen K som ble mottatt i forrige melding.
Information sources included by reference
[1] Liberty Alliance, specifications available online: https://www.projectliberty.org/resources/specifications.php
[2] Kristol, D. & Montulli, L. (1997). "HTTP State Management Mechanism", IETF, February 1997, available online: http://www.ietf.org/rfc/rfc2109.txt?number=2109
[3] Fielding, R. et al. (1997). "Hypertext Transfer Protocol - HTTP/1.1", IETF, January 1997, available online: http://www.ietf.org/rfc/rfc2068.txt?number=2068
[4] ETSI, Digital cellular telecommunications system (Phase 2+); Specification of the GSM-MILENAGE algorithms: An example algorithm set for the GSM Authentication and Key Generation Functions A3 and A8 (3GPP TS 55.205 version 6.1.0 Release 6), 2004
[5] W3C RFC 2616 Network Working Group: Hypertext Transfer Protocol — HTTP/1.1, 1999
Claims (1)
1. En metode for etablering av et Virtuelt Privat nettverk (VPN) hvor autentisering er skilt fra resten av etableringsprosessen, karakterisert ved at VPN-klienten og VPN-serveren er tilpasset for å kommunisere med autentiseringskomponentene som består av Supplikant og Authenticator for å autentisere brukeren.
2. En metode, som i krav 1, er karakterisert ved at nevnte kommunikasjon med autentiseringskomponenter består av følgende trinn: VPN-klienten ber en ny komponent kalt supplikant, som ligger på brukerens datamaskin, foreta brukerautentisering; nevnte Supplikant vil returnere et autentiseringstoken til VPN-klienten ved vellykket autentisering; en komponent kalt Authenticator vil sende det samme autentiseringstokenet til VPN-serveren;
3. En metode, som i krav 2, er karakterisert ved match av autentiseringstoken, vil VPN-serveren og VPN-klienten fortsette med etableringen av en sikker kanal mellom dem.
4. En metode, som i krav 2, er karakterisert ved at nevnte brukerautentisering utføres av nevnte Supplikant og nevnte Authenticator
5. En metode, som i krav 4, er karakterisert ved at nevnte autentisering er basert GSM SIM-autentisering, som består av følgende trinn: nevnte Supplikant ber brukerens SIM kort om IMSI; Supplikanten ber Authenticator om en autentisering, basert på IMSI; Authenticator sender en autentiseringsanmodning til Home Location Register (HLR) i GSM-nettverket; Authenticator mottar autentiseringstriplet, som inneholder en "challenge", resultatet (XRES) som er resultatet etter å ha kjørt GSM A3 algoritmen med "challenge" som input og krypteringsnøkkelen (Kc); Authenticator sender "challenge" til Supplikanten; Supplikanten sender challenge til SIM-kortet og ber om respons (SRES); Supplikanten sender responsen (SRES) til Authenticator; Authenticator sammenligner det forventede resultatet (XRES) med responsen (SRES); Autenticator godkjenner autentiseringen som vellykket dersom XRES og SRES er like.
6. En metode, som i krav 4, som er karakterisert ved at nevnte brukerautentisering er basert på UMTS-autentisering som består av: nevnte Supplikant ber brukerens SIM-kort om IMSI; Supplikanten ber Authenticator om en autentisering, basert på IMSI; Authenticator sender en autentiseringsanmodning til Home Subscriber Server (HSS) i UMTS-nettverket; Authenticator mottar en quintuplet fra HSS som består av et random tall RANDI, en forventet respons XRES1, en krypteringsnøkkel Kci, en integrity nøkkel Ikl og et autoriseringstoken AUTN1; Authenticator sender en "challenge" som består av RANDI og AUTN1 til supplikanten; Supplikanten sender "challenge" til UMTS SIM kortet og ber om respons (SRES1) fra SIM-kortet; Supplikanten sender responsen (SRES1) til Authenticator; Authenticator sammenligner det forventede resultatet (XRES1) og den mottatte responsen (SRES1); Autenticator godkjenner autentiseringen som vellykket dersom XRES1 og SRES1 er like.
7. En metode, som i krav 1, som er karakterisert ved at de kryptografiske elementer som produseres i SIM-autentiseringsfasen brukes for å kryptere brukerdata som overføres mellom VPN-klient og VPN-server.
8. En metode, som i krav 7, er karakterisert ved at krypteringsnøkkelen som brukes for å kryptere brukerdata mellom VPN-klienten og VPN-serveren, fåes ved å kjede sammen n krypteringsnøkler som er generert med GSM/UMTS algoritmen i autentiseringsfasen og nevnte verdi n er avhengig av kravet til nøkkellengde fra VPN løsningen.
9. En metode som i krav 8, karakterisert ved at generering og overføring av krypteringsnøkkel består av følgende trinn: Authenticator sender n autentiseringsanmodninger mot GSM/UMTS nettverket for å motta n sett med autentiseringsdata; Authenticator generer krypteringsnøkkelen ved å kjede sammen de n krypteringsnøklene som ligger i de n sett med autentiseringsdata som er mottatt; Authenticator sender nøkkelen K og IMSI til VPN-serveren; sender n random tall, RAND, som er innholdt i de n autentiserings datasett som er mottatt, til supplikanten; kjører GSM/UMTS algoritmen på SIM kortet eller USIM kortet for å generere n kodenøkler; genererer krypteringsnøkkelen K ved å kjede sammen de n kodenøklene som ligger i de n autentiserings data, som er mottatt, til supplikanten; Supplikanten sender krypteringsnøkkelen K og IMSI til VPN klienten.
10. Et arrangement for etablering av et Virtuelt Privat nettverk (VPN) hvor autentisering er skilt fra resten av etableringsprosessen, karakterisert ved at VPN-klienten og VPN-serveren er tilpasset for å kommunisere med autentiseringskomponentene som består av Supplikant og Authenticator for å autentisere brukeren.
11. Et arrangement, som i krav 10, karakterisert ved at VPN klienten er tilpasset for å kommunisere med en komponent som kalles en Supplikant, som befinner seg på den samme brukerens datamaskin og VPN-serveren er tilpasset for å kommunisere med en komponent som kalles en Authenticator, som ligger på en server på nettverket.
12. Et arrangement, som i krav 11, karakterisert ved at VPN klienten er tilpasset for å sende en autentiseringsanmodning til nevnte Supplikant, når brukeren ønsker å etablere en VPN-forbindelse og motta et autentiseringstoken fra nevnte Supplikant, ved vellykket autentisering.
13. Et arrangement, som i krav 11, karakterisert ved at VPN-serveren er tilpasset for å motta autentiseringstoken fra nevnte Authenticator ved vellykket autentisering.
14. Et arrangement, som i krav 11, karakterisert ved at nevnte Supplikant og nevnte Authenticator er utstyrt med autentiseringsfunksjoner for å autentisere brukeren
15. Et arrangement, som i krav 11, er karakterisert ved at nevnte Supplikant og nevnte Authenticator er utstyrt med GSM SIM-autentiseringsfunksjon og UMTS SIM-autentiseringsfunksjon.
17. Et arrangement, som i krav 11, er karakterisert ved at nevnte Supplikant og nevnte Authenticator er utstyrt med funksjoner for å generere krypteringsnøkkel for å kryptere kanalen mellom VPN klienten og VPN-serveren ved å kjede sammen de n kodenøklene som er generert med GSM/UMTS algoritmen.
18. Et arrangement, som i krav 11, karakterisert ved at nevnte Supplikant er utstyrt med funksjoner for å levere krypteringsnøkkelen for å kryptere kanalen mellom VPN-klienten og VPN-serveren til VPN-klienten og nevnte Authenticator, er utstyrt med funksjoner for å levere krypteringsnøkkelen for å kryptere kanalen mellom VPN-klienten og VPN-serveren til VPN-serveren.
19. Et arrangement, som i krav 11, karakterisert ved at VPN-klienten og VPN-serveren er tilpasset for å motta krypteringsnøkkelen for å kryptere kanalen mellom VPN-klienten og VPN-serveren, et autentiseringstoken fra Supplikanten og Authenticator, og bruke nevnte krypteringsnøkkel ved etableringen av den krypterte kanalen mellom VPN-klienten og VPN-serveren.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20062847A NO327337B1 (no) | 2006-06-19 | 2006-06-19 | En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20062847A NO327337B1 (no) | 2006-06-19 | 2006-06-19 | En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| NO20062847L NO20062847L (no) | 2007-12-20 |
| NO327337B1 true NO327337B1 (no) | 2009-06-15 |
Family
ID=40810910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20062847A NO327337B1 (no) | 2006-06-19 | 2006-06-19 | En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk |
Country Status (1)
| Country | Link |
|---|---|
| NO (1) | NO327337B1 (no) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6795701B1 (en) * | 2002-05-31 | 2004-09-21 | Transat Technologies, Inc. | Adaptable radio link for wireless communication networks |
| WO2005120007A1 (en) * | 2004-05-31 | 2005-12-15 | Telecom Italia S.P.A. | Method and system for a secure connection in communication networks |
-
2006
- 2006-06-19 NO NO20062847A patent/NO327337B1/no not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| NO20062847L (no) | 2007-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US20190052622A1 (en) | Device and method certificate generation | |
| US8793497B2 (en) | Puzzle-based authentication between a token and verifiers | |
| US7707412B2 (en) | Linked authentication protocols | |
| CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| US7844834B2 (en) | Method and system for protecting data, related communication network and computer program product | |
| Chattaraj et al. | A new two-server authentication and key agreement protocol for accessing secure cloud services | |
| JP2009510955A (ja) | ユーザ認証の方法およびデバイス | |
| KR20060132026A (ko) | 무선 휴대용 장치들의 배치와 규약 | |
| EP1747638A1 (en) | Systems and methods to securely generate shared keys | |
| KR20070057871A (ko) | 다항식에 기초한 인증 방법 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| US8498617B2 (en) | Method for enrolling a user terminal in a wireless local area network | |
| KR101014849B1 (ko) | 제 3의 신뢰기관의 도움 없이 공개키에 대한 상호 인증 및키 교환 방법 및 그 장치 | |
| KR100537426B1 (ko) | 유비쿼터스 개인 상호인증 보안방법 | |
| EP2905717A1 (en) | Device and method for device and user authentication | |
| EP1623551B1 (en) | Network security method and system | |
| CN114666114A (zh) | 一种基于生物特征的移动云数据安全认证方法 | |
| NO327337B1 (no) | En anordning og en metode for sterk brukerautentisering og kryptering av brukerdata i private virtuelle nettverk | |
| CN113472731B (zh) | 一种针对数据库用户身份验证的双因素认证方法 | |
| JP6609212B2 (ja) | 暗号化通信チャネル確立システム、方法、プログラム及びコンピュータ読取り可能なプログラム記録媒体 | |
| Lei et al. | An improved kerberos scheme based on dynamic password | |
| Mogollon | Access authentication | |
| Shieh et al. | Cryptanalysis on Sun-Yeh’s Password-Based Authentication and Key Distribution Protocols with Perfect Forward Secrecy | |
| WO2015133951A1 (en) | Method, communication device, and computer program for improving communication privacy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Lapsed by not paying the annual fees |