SE1050605A1 - Ett system och förfarande för att utföra autentisering och digital signering med två faktorer - Google Patents

Ett system och förfarande för att utföra autentisering och digital signering med två faktorer Download PDF

Info

Publication number
SE1050605A1
SE1050605A1 SE1050605A SE1050605A SE1050605A1 SE 1050605 A1 SE1050605 A1 SE 1050605A1 SE 1050605 A SE1050605 A SE 1050605A SE 1050605 A SE1050605 A SE 1050605A SE 1050605 A1 SE1050605 A1 SE 1050605A1
Authority
SE
Sweden
Prior art keywords
automatically
secret
signing
operable
browser
Prior art date
Application number
SE1050605A
Other languages
English (en)
Inventor
Erik Wahlstroem
Original Assignee
Technology Nexus Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technology Nexus Ab filed Critical Technology Nexus Ab
Priority to SE1050605A priority Critical patent/SE1050605A1/sv
Priority to US12/956,265 priority patent/US20110307700A1/en
Publication of SE1050605A1 publication Critical patent/SE1050605A1/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Abstract

Föreliggande uppfinning hänför sig till ett system (10) som kan användas för att utföra autentisering med två faktorer. Systemet (10) innefattar ett webbläsarmedel (12), ett servermedel (14) som är anslutet till webbläsarmedlet (12) och ett minnesmedel (16) som är anslutet till webbläsarmedlet (12). Servermedlet (14) kan användas för att ta emot en första faktor från ett användarmedel (18) och för att därefter automatiskt sända en utmaning med två faktorer till webbläsarmedlet (12). Webbläsarmedlet (12) kan i sin tur användas för att automatiskt hämta en krypterad hemlighet från minnesmedlet (16) och för att automatiskt dekryptera hemligheten. Autentiseringen med två faktorer är baserad på utmaningen och den dekrypterade hemligheten.(Fig 1)

Description

25 30 2 fungera såsom en automatisk autentisering, och en autentisering med två faktorer där användaren måste ge båda faktorerna för hand. Kakan ifråga kan kopieras av vem som helst.
Patentdokumentet WO 2007/015253 A2 hänför sig till ett förfarande, ett system och en datorläsbar kod för att tillhandahålla autentiseringstjänster. I vissa utföringsformer görs ett försök att matcha en IP-adress som är associerad med en tjänst och/eller autentiseringsbegäran och användaruppgifter i begäran med ett ISP-konto. l belysande utföringsformer är, om det finns en indikation på att lP- adressen var utfärdad av en ISP till en användare som matchar användaruppgifterna, användaren autentiserad. I belysande utföringsformer upprätthålls en databas med tillåtna dynamiska och/eller statiska IP-adresser och användare autentiseras i enlighet med innehållet i den upprätthållna databasen.
En nackdel med denna lösning är att det är mycket lätt att ställa in din egen lP- adress, så den är inte en autentisering med två faktorer över huvud taget.
Patentdokumentet US 2009/0138950 A1 hänför sig till ett datoriserat förfarande för att ge åtkomst till en säker resurs. Förfarandet inkluderar att tillhandahålla var och en av ett flertal behöriga användare en länk till den säkra resursen. Varje länk inkluderar ett unikt lösenord som är inbäddat däri och varje unikt lösenord hänför sig till en speciell användaridentitet (användar-ID) och personlig kod (PIN). Förfarandet inkluderar även mottagning av en begäran om åtkomst av resursen med användning av en länk som har ett lösenord inbäddat däri, vilken begäran frambringas vid en webbläsare. Förfarandet inkluderar vidare att dirigera webbläsaren till en inloggningsskärmbild och via inloggningsskärmbilden ta emot en användar-ID och PIN-kod. Förfarandet inkluderar även att fastställa huruvida användaridentiteten och PIN-koden är relaterade till varandra och till lösenordet och att medge eller neka åtkomst till resursen i enlighet med fastställandet. En nackdel med denna lösning är att den inte är ett autentiseringsförfarande med två faktorer över huvud taget.
Patentdokumentet US 2007/0130473 A1 hänför sig till ett system för att autentisera en användare som kräver att ett fysiskt igenkänningstecken som är associerat med användaren ansluts till en särskild anordning som är associerad med användaren. En nackdel med denna lösning är att URL:en är öppen för alla, såsom t ex människor som avlyssnar trafiken eller människor som använder samma dator som användaren. Den sparas även i webbläsarhistoriken. 20 25 30 3 Patentdokumentet US 2009/0260077 A1 hänför sig till en inloggningsmetod med förbättrad säkerhet som tillhandahåller en bekväm och lättanvänd metod med två faktorer för att förbättra säkerheten för lösenord utan att kräva några förändringar på serversidan av ett klient/server-nät. Metoden nyttjar en bekväm och lättanvänd metod med två faktorer för att generera starka lösenord för webbapplikationer och andra applikationer. l denna metod används en bekväm eller personlig anordning så som en mus såsom den andra faktorn förutom ett användarlösenord. En hemlighet som är lagrad i musen eller den andra personliga anordningen hashas tillsammans med lösenordet som inmatas av en användare och serveridentiteten för att generera ett starkt, serverspecifikt lösenord som används för att autentisera användaren för servern. Denna lösenordsförbättrande operation genomförs inne i den personliga anordningen. En nackdel med denna lösning är att användarna fortfarande tvingas ha en alternativ hårdvara som de måste ta med sig. Den är inte i webbläsaren och alltid med dem.
De ovan nämnda lösningarna lider av många problem. idag behöver användare veta vad autentisering med två faktorer är för något innan de kan använda den. De behöver också förstå begreppen ett frö, en utmaning och ett svar.
Det manuella arbetet att skriva en utmaning på igenkänningstecknet, och sedan resultatet till begäraren av autentiseringen/signeringen. Detta är ett problem som många av de existerande autentiserings- och signeringsförfaranden uppvisar.
Vid användande av certifikat måste de levereras av en administratör, och sedan importeras och skyddas in i datorn av slutanvändaren.
Ett hårdvaruigenkänningstecken kan förloras och behöver bytas ut innan användaren kan logga in igen.
De aktuella hårdvaru- och mjukvarulösningarna är svåra och dyra att ta i anspråk. Om ett fel uppträder tar det månader att få ut en korrigering. ibland används en mobiltelefon såsom ett igenkänningstecken och ett SMS-meddelande sänds till användarens mobiltelefon. SMS är dyra att sända och kommer ibland att komma fram till mobiltelefonen långt efter att det sändes beroende på väntetider i nätet.
Ibland används ett synkroniserat tal och varje gång användaren använder igenkänningstecknet ändras detta tal. Samma förändring görs på serversidan.
Detta kallas synkroniserad autentisering. Ett allvarligt problem med denna metod 20 25 30 4 är att talet på igenkänningstecknet och på servern kan komma ur synkronisering.
Autentiseringsförfarandet kommer inte att fungera över huvud taget och ett nytt frö måste placeras manuellt i igenkänningstecknet för att logga in igen eller så måste talet på igenkänningstecknet och på servern återsynkroniseras. Återsynkroniseringen behöver göras av en administratör.
För att alltid kunna logga in måste användarna alltid ta med sig hårdvaruigenkänningstecknet hela tiden.
De aktuella mjukvaruigenkänningstecknen kan inte installeras med användning av verkligt tunna klienter.
Mjukvaruigenkänningstecknen måste utvecklas för alla olika typer av klienter.
I kända autentiseringsförfaranden med två faktorer är det vanligt att använda en utmaning och svar. Utmaningarna används tillsammans med en delad hemlighet. Ett svar beräknas med användning av utmaningen och hemligheten.
Vid användning av detta kända förfarande måste användaren förstå begreppet ett frö, en utmaning och ett svar. Det är också ett felbenäget förfarande beroende på alla användarsteg som krävs för en framgångsrik autentisering.
Sammanfattning av uppfinningen Ovan nämnda problem löses med ett system som kan användas för att utföra autentisering med två faktorer enligt krav 1. Systemet innefattar ett webbläsarmedel, ett servermedel som är anslutet till webbläsarmedlet och ett minnesmedel som är anslutet till webbläsarmedlet. Servermedlet kan användas för att ta emot en första faktor från ett användarmedel, och därefter för att automatiskt sända en utmaning med två faktorer till webbläsarmedlet. Webbläsarmedlet kan därefter användas för att automatiskt hämta en krypterad hemlighet från minnesmedlet och för att automatiskt dekryptera hemligheten. Autentiseringen med två faktorer är baserad på utmaningen och den dekrypterade hemligheten.
En huvudsaklig fördel med denna lösning är att en användare inte behöver veta att han/hon använder autentisering med två faktorer. En annan fördel är att användarinteraktion bara krävs i ett steg, allt annat görs automatiskt för användaren.
En ytterligare fördel i detta sammanhang uppnås om webbläsarmedlet också kan användas för att automatiskt beräkna ett svar baserat på utmaningen 20 25 30 5 och den dekrypterade hemligheten och för att automatiskt sända svaret till servermedlet, vilket i sin tur kan användas för att automatiskt autentisera användaren om svaret är en matchning och för att automatiskt avslå autentiseringen om svaret inte matchar.
Vidare är det en fördel i detta sammanhang om servermedlet kan användas för att ta bort hemligheten om svaret inte matchar.
En ytterligare fördel i detta sammanhang uppnås om, när hemligheten har tagits bort, eller när det inte existerar någon, systemet kan användas för att spara en ny hemlighet i minnesmedlet.
Vidare är det en fördel i detta sammanhang om minnesmedlet är i form av ett lokalt, permanent minnesmedel i webbläsarmedlet.
En ytterligare fördel i detta sammanhang uppnås om hemligheten är krypterad genom att använda information från webbläsarmedlet, anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
Ovan nämnda problem löses även med ett förfarande för att utföra autentisering med två faktorer enligt krav 7. Förfarandet utförs med hjälp av ett system som innefattar ett webbläsarmedel, ett servermedel som är anslutet till webbläsarmedlet och ett minnesmedel som är anslutet till webbläsarmedlet.
Förfarandet innefattar stegen: - att med hjälp av servermedlet ta emot en första faktor från ett användarmedel; - att med hjälp av servermedlet automatiskt sända en utmaning med två faktorer till webbläsarmedlet; - att med hjälp av webbläsarmedlet automatiskt hämta en krypterad hemlighet från minnesmedlet; - att med hjälp av webbläsarmedlet automatiskt dekryptera hemligheten; och - att automatiskt utföra autentisering med två faktorer baserat på utmaningen och den dekrypterade hemligheten.
En huvudsaklig fördel med denna lösning är att en användare inte behöver veta att han/hon använder autentisering med två faktorer. En annan fördel är att användarinteraktion bara krävs i ett steg, allt annat görs automatiskt för användaren.
En ytterligare fördel i detta sammanhang uppnås om förfarandet även innefattar stegen: 20 25 30 6 - att med hjälp av webbläsarmedlet automatiskt beräkna ett svar baserat på utmaningen och den dekrypterade hemligheten; - att med hjälp av webbläsarmedlet automatiskt sända svaret till servermedlet; och - att med hjälp av servermedlet automatiskt autentisera användaren om svaret är en matchning; eller att automatiskt avslå autentiseringen om svaret inte matchar.
Vidare är det en fördel i detta sammanhang om förfarandet även innefattar steget: - att med hjälp av servermedlet ta bort hemligheten om svaret inte matchar.
En ytterligare fördel i detta sammanhang uppnås om förfarandet även innefattar steget: - att med hjälp av systemet spara en ny hemlighet i minnesmedlet, när hemligheten har tagits bort, eller när det inte existerar någon.
Vidare är det en fördel i detta sammanhang om minnesmedlet är i form av ett lokalt, permanent minnesmedel i webbläsarmedlet.
En ytterligare fördel i detta sammanhang uppnås om hemligheten är krypterad genom att använda information från webbläsarmedlet, anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
Ovan nämnda problem löses med ett system som kan användas för att utföra digital signering enligt krav 13. Systemet innefattar ett webbläsarmedel, ett servermedel som är anslutet till webbläsarmedlet och ett minnesmedel som är anslutet till webbläsarmedlet. Servermedlet kan användas för att automatiskt sända en signeringsutmaning till webbläsarmedlet. Därefter kan webbläsarmedlet användas för att automatiskt hämta en krypterad hemlighet från minnesmedlet och för att automatiskt dekryptera hemligheten. Den digitala signeringen är baserad på signeringsutmaningen och den dekrypterade hemligheten.
En huvudsaklig fördel med denna lösning är att en användare inte behöver veta att han/hon har signerat någonting digitalt. En annan fördel är att användarinteraktion bara krävs i ett steg, allt annat görs automatiskt för användaren.
En ytterligare fördel i detta sammanhang uppnås om webbläsarmedlet också kan användas för att ta emot en säkerhets-PIN-kod från ett användarmedel, för att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen, säkerhets-PIN-koden och den dekrypterade hemligheten och för att automatiskt 20 25 30 7 sända signeringssvaret till servermedlet, varefter servermedlet kan användas för att automatiskt utföra digital signering, om signeringssvaret är en matchning, eller för att automatiskt avslå den digitala signeringen om signeringssvaret inte matchar.
Enligt en annan utföringsform är det en fördel om servermedlet också kan användas för att först ta emot någonting för användaren känt från ett användarmedel och för att sedan signera digitalt.
Vidare är det en fördel i detta sammanhang om webbläsarmedlet också kan användas för att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen och den dekrypterade hemligheten och för att automatiskt sända signeringssvaret till servermedlet, vilket i sin tur kan användas för att automatiskt utföra den digitala signeringen, om signeringssvaret är en matchning, eller för att automatiskt avslå den digitala signeringen om signeringssvaret inte matchar.
En ytterligare fördel i detta sammanhang uppnås om servermedlet kan användas för att ta bort hemligheten om signeringssvaret inte matchar.
Vidare är det en fördel i detta sammanhang om, när hemligheten har tagits bort, eller när det inte existerar någon, systemet kan användas för att spara en ny hemlighet i minnesmedlet.
En ytterligare fördel i detta sammanhang uppnås om minnesmedlet är i form av ett lokalt, permanent minnesmedel iwebbläsarmedlet.
Vidare är det en fördel i detta sammanhang om hemligheten är krypterad genom att använda information från webbläsarmedlet, anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
Ovan nämnda problem löses även med ett förfarande för att utföra digital signering enligt krav 21. Förfarandet utförs med hjälp av ett system som innefattar ett webbläsarmedel, ett servermedel som är anslutet till webbläsarmedlet och ett minnesmedel som är anslutet till webbläsarmedlet. Förfarandet innefattar stegen: - att med hjälp av servermedlet automatiskt sända en signeringsutmaning till webbläsarmedlet; - att med hjälp av webbläsarmedlet automatiskt hämta en krypterad hemlighet från minnesmedlet; - att med hjälp av webbläsarmedlet automatiskt dekryptera hemligheten; och 20 25 30 8 - att automatiskt utföra digital signering baserat på signeringsutmaningen och den dekrypterade hemligheten.
En huvudsaklig fördel med denna lösning är att en användare inte behöver veta att han/hon har signerat någonting digitalt. En annan fördel är att användarinteraktion bara krävs i ett steg, allt annat görs automatiskt för användaren.
En ytterligare fördel i detta sammanhang uppnås om förfarandet även innefattar stegen: - att med hjälp av webbläsarmedlet ta emot en säkerhets-PIN-kod från ett användarmedel; - att med hjälp av webbläsarmedlet automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen, säkerhets-PIN-koden och den dekrypterade hemligheten; - att med hjälp av webbläsarmedlet automatiskt sända signeringssvaret till servermedlet; och - att med hjälp av servermedlet automatiskt utföra digital signering, om signeringssvaret är en matchning; eller att automatiskt avslå den digitala signeringen om signeringssvaret inte matchar.
Enligt en annan utföringsform är det en fördel om förfarandet även innefattar steget: - att med hjälp av servermedlet först ta emot någonting för användaren känt från ett användarmedel, och att sedan signera digitalt.
Vidare är det en fördel i detta sammanhang om förfarandet även innefattar stegen: - att med hjälp av webbläsarmedlet automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen och den dekrypterade hemligheten; - att med hjälp av webbläsarmedlet automatiskt sända signeringssvaret till servermedlet; och - att med hjälp av servermedlet automatiskt utföra digital signering, om signeringssvaret är en matchning; eller att automatiskt avslå den digitala signeringen om signeringssvaret inte matchar.
En ytterligare fördel i detta sammanhang uppnås om förfarandet även innefattar steget: 20 25 30 9 - att med hjälp av servermedlet ta bort hemligheten om signeringssvaret inte matchar.
Vidare är det en fördel i detta sammanhang om förfarandet även innefattar steget: - att med hjälp av systemet spara en ny hemlighet i minnesmedlet, när hemligheten har tagits bort, eller när det inte existerar någon.
En ytterligare fördel i detta sammanhang uppnås om minnesmedlet är i form av ett lokalt, permanent minnesmedel i webbläsarmedlet.
Vidare är det en fördel i detta sammanhang om hemligheten är krypterad genom att använda information från webbläsarmedlet, anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
Ovan nämnda problem löses även med åtminstone en datorprogramprodukt enligt krav 29. Nämnda åtminstone en datorprogramprodukt är direkt laddningsbar till internminnet hos åtminstone en digital dator, och innefattar mjukvarukodpartier för att utföra stegen enligt krav 7 eller krav 21 när nämnda åtminstone en produkt körs på nämnda åtminstone en dator.
En huvudsaklig fördel med denna lösning är att en användare inte behöver veta att han/hon använder autentisering eller digital signering med två faktorer. En annan fördel är att användarinteraktion bara krävs i ett steg, allt annat görs automatiskt för användaren.
Det noteras att termen "innefattar/innefattande" såsom den används i denna beskrivning är avsedd att beteckna förekomsten av en given egenskap, steg eller komponent, utan att undantaga förekomsten av en eller flera andra egenskaper, särdrag, enheter, steg, komponenter eller grupper därav.
Utföringsformer av uppfinningen kommer nu att beskrivas med hänvisning till de åtföljande ritningarna, på vilka: Kort beskrivning av ritningarna Fig 1 är ett blockdiagram av ett system som kan användas för att utföra autentisering med två faktorer enligt föreliggande uppfinning; Fig 2 är ett flödesschema för ett förfarande för att utföra autentisering med två faktorer enligt föreliggande uppfinning; 20 25 30 10 Fig 3 är ett flödesschema i närmare detalj för det förfarande som visas i fig 2; Fig 4 är ett blockdiagram av ett system som kan användas för att utföra digital signering enligt föreliggande uppfinning; Fig 5 är ett flödesschema för ett förfarande för att utföra digital signering enligt föreliggande uppfinning; Fig 6 är ett flödesschema i närmare detalj för en första utföringsform av det förfarande som visas i fig 5; Fig 7 är ett flödesschema i närmare detalj för en andra utföringsform av det förfarande som visas i fig 5; och Fig 8 schematiskt visar ett antal datorprogramprodukter enligt föreliggande uppfinning.
Detaljerad beskrivning av föredragna utföringsformer Först av allt följer en förteckning av vissa ord som används, åtminstone delvis, i följande beskrivning.
Hårdvaruigenkänningstecken - någonting som användaren har. Ett fysiskt hjälpmedel som används för autentisering eller digital signering med två faktorer.
Mjukvarulgenkänningstecken - en mjukvaruapplikation som används såsom nämnda någonting man har vid autentisering eller digital signering med två faktorer. lgenkänningstecken - ett hårdvaru- eller mjukvaruigenkänningstecken.
Frö - en delad hemlighet som både, till exempel, servern och igenkänningstecknet känner till.
Hemlighet - frö.
Utmaning -till exempel en server genererar en utmaning, vilken kan vara ett slumptal. Utmaningen och fröet används sedan i nämnda någonting som användaren har för att beräkna ett svar som sänds till servern. Servern känner till utmaningen och de hemliga frövärdena och verifierar att det matchar.
Svar - sänt till, till exempel, servern från slutanvändaren. Ett svar är ett värde som beräknas med användning av utmaningen och fröet i nämnda någonting som användaren har.
I fig 1 visas ett blockdiagram av ett system 10 som kan användas för att utföra autentisering med två faktorer enligt föreliggande uppfinning. Systemet 10 20 25 30 11 innefattar ett webbläsarmedel 12, ett servermedel 14 som är anslutet till webbläsarmedlet 12 och ett minnesmedel 16 som också är anslutet till webbläsarmedlet 12. Vidare visas i fig 1 också ett användarmedel 18. Det ska påpekas att användarmedlet 18 både kan vara inkluderat eller inte vara inkluderat i systemet 10. Det ska påpekas att användarmedlet 18 även kan vara ett datorprogram. Servermedlet 14 kan användas för att ta emot en första faktor från användarmedlet 18, och därefter för att automatiskt sända en utmaning med två faktorer till webbläsarmedlet 12. Webbläsarmedlet 12 kan i sin tur användas för att automatiskt hämta en krypterad hemlighet från minnesmedlet 16. Därefter kan webbläsarmedlet 12 användas för att dekryptera hemligheten. Autentiseringen med två faktorer är baserad på utmaningen och den dekrypterade hemligheten.
Enligt en föredragen utföringsform av systemet 10 kan webbläsarmedlet 12 även användas för att automatiskt beräkna ett svar baserat på utmaningen och den dekrypterade hemligheten och för att automatiskt sända svaret till servermedlet 14. Servermedlet 14 kan i sin tur användas för att automatiskt autentisera användaren om svaret är en matchning, eller för att automatiskt avslå autentiseringen om svaret inte matchar.
Enligt en annan utföringsform kan servermedlet 14 vidare användas för att ta bort hemligheten om svaret inte matchar. När hemligheten har tagits bort, eller när det inte existerar någon, kan systemet 10 användas för att spara en ny hemligheti minnesmedlet 16.
Enligt ett föredraget alternativ har minnesmedlet 16 formen av ett lokalt, permanent minnesmedel 16 innefattat i webbläsarmedlet 12.
Enligt ännu ett föredraget alternativ är vidare hemligheten krypterad genom att använda information från webbläsarmedlet 12, anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
I fig 2 visas ett flödesschema för ett förfarande för att utföra autentisering med två faktorer enligt föreliggande uppfinning. Förfarandet kan t ex utföras med hjälp av ett system 10 såsom visas i fig 1. Förfarandet börjar vid block 200.
Därefter fortsätter förfarandet, vid block 202, med steget: att ta emot en första faktor från ett användarmedel 18 med hjälp av servermedlet 14. Förfarandet fortsätter, vid block 204, med steget: att automatiskt sända en utmaning med två faktorer till webbläsarmedlet 12 med hjälp av servermedlet 14. Därefter fortsätter 20 25 30 12 förfarandet, vid block 206, med steget: att automatiskt hämta en krypterad hemlighet från minnesmedlet 16 med hjälp av webbläsarmedlet 12. Förfarandet fortsätter, vid block 208, med steget: att automatiskt dekryptera hemligheten med hjälp av webbläsarmedlet 12. Därefter fortsätter förfarandet, vid block 210, med steget: att automatiskt utföra autentisering med två faktorer baserat på utmaningen och den dekrypterade hemligheten. Förfarandet är slutfört vid block 212.
I fig 3 visas ett flödesschema i närmare detalj för det förfarande som visas i fig 2. För fullständighets skull ska det påpekas att även denna metod kan genomföras med hjälp av systemet 10 som visas i fig 1. Förfarandet börjar vid block 220. Därefter fortsätter förfarandet, vid block 222, med steget: att ta emot en första faktor från ett användarmedel 18 med hjälp av servermedlet 14. Förfarandet fortsätter, vid block 224, med steget: att automatiskt sända en utmaning med två faktorer till webbläsarmedlet 12 med hjälp av servermedlet 14. Därefter fortsätter förfarandet, vid block 226, med steget: att automatiskt hämta en krypterad hemlighet från minnesmedlet 16 med hjälp av webbläsarmedlet 12. Vidare fortsätter förfarandet, vid block 228, med steget: att automatiskt dekryptera hemligheten med hjälp av webbläsarmedlet 12. Förfarandet fortsätter, vid block 230, med steget: att automatiskt beräkna ett svar baserat på utmaningen och den dekrypterade hemligheten med hjälp av webbläsarmedlet 12. Därefter fortsätter förfarandet, vid block 232, med steget: att automatiskt sända svaret till servermedlet 14 med hjälp av webbläsarmedlet 12. Förfarandet fortsätter, vid block 234, med att ställa frågan: Är svaret en matchning? Om beskedet är negativt fortsätter förfarandet, vid block 236, med steget: att automatiskt avslå autentiseringen. Om beskedet å andra sidan ärjakande fortsätter förfarandet, vid block 238, med steget: att automatiskt autentisera användaren. Förfarandet är slutfört vid block 240.
Enligt en föredragen utföringsform av förfarandet innefattar det även steget: att ta bort hemligheten med hjälp av servermedlet 14 om svaret inte matchar.
Vidare innefattar förfarandet enligt en annan utföringsform steget: att när hemligheten har tagits bort, eller när det inte existerar någon, spara en ny hemlighet i minnesmedlet 16 med hjälp av systemet 10. 20 25 30 13 Enligt ett föredraget alternativ av förfarandet har minnesmedlet 16 formen av ett lokalt, permanent minnesmedel 16 innefattat i webbläsarmedlet 12.
Vidare är, enligt ännu ett föredraget alternativ av förfarandet, hemligheten krypterad genom att använda information från webbläsarmedlet 12, anordningsspecifik information, och användarnamn och lösenord från användannedæt18.
Uppfinningen används såsom en av två faktorer som kombinerade resulterar i autentiseringen med två faktorer. Om en Systemadministratör anser att en autentisering med två faktorer inte behövs, kan lösningen enligt föreliggande uppfinning användas såsom en autentisering med en faktor.
I fig 4 visas ett blockdiagram av ett system 50 som kan användas för att utföra digital signering enligt föreliggande uppfinning. Föreliggande system 50 innefattar ett webbläsarmedel 52, ett servermedel 54 som är anslutet till webbläsarmedlet 52 och ett minnesmedel 56 som också är anslutet till webbläsarmedlet 52. Vidare visas i fig 4 också ett användarmedel 58.
Användarmedlet 58 representeras med en streckad linje, eftersom det inte behöver vara en del av fig 4. Det kan också utelämnas. Det ska påpekas att användarmedlet 58 antingen kan inkluderas eller inte inkluderas i systemet 50. Det ska också påpekas att användarmedlet 58 även kan vara ett datorprogram.
Servermedlet 54 kan användas för att automatiskt sända en signeringsutmaning till webbläsarmedlet 52. Webbläsarmedlet 52 kan i sin tur användas för att automatiskt hämta en krypterad hemlighet från minnesmedlet 56. Därefter kan webbläsarmedlet 52 användas för att dekryptera hemligheten. Den digitala signeringen är baserad på signeringsutmaningen och den dekrypterade hemligheten.
Enligt en första föredragen utföringsform av systemet 50 kan webbläsarmedlet 52 även användas för att ta emot en säkerhets-PIN-kod från användarmedlet 58, för att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen, säkerhets-PIN-koden och den dekrypterade hemligheten och för att automatiskt sända signeringssvaret till servermedlet 54. Därefter kan servermedlet 54 användas för att automatiskt utföra den digitala signeringen, om signeringssvaret är en matchning. Om signeringssvaret å andra sidan inte matchar, kan servermedlet 54 användas för att automatiskt avslå den digitala signeringen. 15 20 25 30 14 Enligt en andra föredragen utföringsform av systemet 50 kan servermedlet 54 även användas för att först ta emot någonting för användaren känt från användarmedlet 58. Det ska påpekas att nämnda någonting skulle t ex kunna vara en faktor, så som ett kodmedel, ett länkmedel, eller ett användarnamn och ett lösenord. Den digitala signeringen utförs då med användning av signeringsutmaningen och den dekrypterade hemligheten. Vidare kan webbläsarmedlet 52 även användas för att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen och den dekrypterade hemligheten och för att automatiskt sända signeringssvaret till servermedlet 54. Servermedlet 54 kan i sin tur användas för att automatiskt utföra den digitala signeringen, om signeringssvaret är en matchning. Om signeringssvaret å andra sidan inte matchar, kan servermedlet 54 användas för att automatiskt avslå den digitala signeringen.
Enligt en annan utföringsform kan servermedlet 54 användas för att ta bort hemligheten om signeringssvaret inte matchar.
Vidare kan, enligt ytterligare en utföringsform, när hemligheten har tagits bort, eller när det inte existerar någon, systemet 50 användas för att spara en ny hemlighet i minnesmedlet 56.
Enligt ett föredraget alternativ är minnesmedlet 56 i form av ett lokalt, permanent minnesmedel 56 innefattat i webbläsarmedlet 52.
Företrädesvis är det lokala minnesmedlet 56 en permanent lagring som är både permanent och säker. Att spara hemligheten i till exempel en kaka är inte en säker lagring. För att verkligen vara säker måste lagringen vara skyddad genom att använda samma ursprungspolicy och certifikat.
Enligt ännu ett föredraget alternativ är vidare hemligheten krypterad genom att använda information från webbläsarmedlet 52, anordningsspecifik information, och användarnamn och lösenord från användarmedlet 58. l fig 5 visas ett flödesschema för ett förfarande för att utföra digital signering enligt föreliggande uppfinning. Förfarandet kan t ex utföras med hjälp av ett system 50 som visas i fig 4. Förfarandet börjar vid block 300. Därefter fortsätter förfarandet, vid block 302, med steget: att automatiskt sända en signeringsutmaning till webbläsarmedlet 52 med hjälp av servermedlet 54.
Förfarandet fortsätter, vid block 304, med steget: att automatiskt hämta en krypterad hemlighet från minnesmedlet 56 med hjälp av webbläsarmedlet 52. 20 25 30 15 Därefter fortsätter förfarandet, vid block 306, med steget: att automatiskt dekryptera hemligheten med hjälp av webbläsarmedlet 52. Förfarandet fortsätter, vid block 308, med steget: att automatiskt utföra digital signering baserat på signeringsutmaningen och den dekrypterade hemligheten. Förfarandet är slutfört vid block 310.
I fig 6 visas ett flödesschema i närmare detalj för en första utföringsform av det förfarande som visas i fig 5. Förfarandet börjar vid block 320. Därefter fortsätter förfarandet, vid block 322, med steget: att automatiskt sända en signeringsutmaning till webbläsarmedlet 52 med hjälp av servermedlet 54.
Förfarandet fortsätter, vid block 324, med steget: att automatiskt hämta en krypterad hemlighet från minnesmedlet 56 med hjälp av webbläsarmedlet 52.
Därefter fortsätter förfarandet, vid block 326, med steget: att ta emot en säkerhets- PIN-kod från användarmedlet 58 med hjälp av webbläsarmedlet 52. Förfarandet fortsätter, vid block 328, med steget: att automatiskt dekryptera hemligheten med hjälp av webbläsarmedlet 52. Därefter fortsätter förfarandet, vid block 330, med steget: att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen, säkerhets-PIN-koden och den dekrypterade hemligheten med hjälp av webbläsarmedlet 52. Förfarandet fortsätter, vid block 332, med steget: att automatiskt sända signeringssvaret till servermedlet 54 med hjälp av webbläsarmedlet 52. Därefter fortsätter förfarandet, vid block 334, med att ställa frågan: Är signeringssvaret en matchning? Om beskedet är negativt fortsätter förfarandet, vid block 336, med steget: att automatiskt avslå den digitala signeringen. Om beskedet å andra sidan är jakande fortsätter förfarandet, vid block 338, med steget: att automatiskt utföra digital signering. Förfarandet är slutfört vid block 340.
I fig 7 visas ett flödesschema i närmare detalj för en andra utföringsform av det förfarande som visas i fig 5. Förfarandet börjar vid block 350. Därefter fortsätter förfarandet, vid block 352, med steget: att ta emot en första faktor från användarmedlet 58 med hjälp av servermedlet 54. Det ska påpekas att den första faktorn i steg 352 kan vara någonting som användaren har loggat in med, så som en URL, en kod, ett användarnamn och ett lösenord. Den skulle även kunna vara en autentisering med två faktorer. Förfarandet fortsätter, vid block 354, med steget: att automatiskt sända en signeringsutmaning till webbläsarmedlet 52 med hjälp av servermedlet 54. Därefter fortsätter förfarandet, vid block 356, med steget: 20 25 30 16 att automatiskt hämta en krypterad hemlighet från minnesmedlet 56 med hjälp av webbläsarmedlet 52. Förfarandet fortsätter, vid block 358, med steget: att automatiskt dekryptera hemligheten med hjälp av webbläsarmedlet 52. Därefter fortsätter förfarandet, vid block 360, med steget: att automatiskt beräkna ett signeringssvar baserat på signeringsutmaningen och den dekrypterade hemligheten med hjälp av webbläsarmedlet 52. Förfarandet fortsätter, vid block 362, med steget: att automatiskt sända signeringssvaret till servermedlet 54 med hjälp av webbläsarmedlet 52. Därefter fortsätter förfarandet, vid block 364, med att ställa frågan: Är signeringssvaret en matchning? Om beskedet är negativt fortsätter förfarandet, vid block 366, med steget: att automatiskt avslå den digitala signeringen. Om beskedet å andra sidan ärjakande fortsätter förfarandet, vid block 368, med steget: att automatiskt utföra digital signering. Förfarandet är slutfört vid block 370.
Enligt en föredragen utföringsform innefattar förfarandet även steget: att ta bort hemligheten med hjälp av servermedlet 54 om signeringssvaret inte matchar.
Enligt en ytterligare föredragen utföringsform innefattar förfarandet även steget: att när hemligheten har tagits bort, eller när det inte existerar någon, spara en ny hemlighet i minnesmedlet 56 med hjälp av systemet 50.
Vidare är, enligt ytterligare en utföringsform, minnesmedlet 56 i form av ett lokalt, permanent minnesmedel 56 innefattat iwebbläsarmedlet 52.
Enligt ett ytterligare alternativ är hemligheten krypterad genom att använda information från webbläsarmedlet 52, anordningsspecifik information, och användarnamn och lösenord från användarmedlet 58.
I fig 8 framgår schematiskt några datorprogramprodukter 1021 102,, enligt föreliggande uppfinning. I fig 8 framgår n olika digitala datorer 1001, 100,,, där n är ett heltal. l fig 8 framgår n olika datorprogramprodukter1021, 102,,, här visade i form av CD-skivor. De olika datorprogramprodukterna 1021, 102,, är direkt laddningsbara till internminnet hos de n olika datorerna 1001, 100,,. Varje datorprogramprodukt 1021, 102,, innefattar mjukvarukodpartier för att utföra alla stegen enligt krav 7 eller krav 21, när produkten/produkterna 1021, 102,, körs pä datorerna 1001, 100,,. Datorprogramprodukterna 1021, 102,, kan, exempelvis, vara i form av disketter, RAM-skivor, magnetband, magnetooptiska skivor eller några andra lämpliga produkter. Vidare kan datorprogramprodukterna 20 25 30 17 1021, _. läggas på servermedlet och distribueras till webbläsarmedlet över Internet. _, 102,1 även vara i form av en fil som distribueras digitalt, t ex kan den Den anordningsspecifika informationen kan tex vara all möjlig information som vi kan samla in från webbläsaren. Till exempel operativsystem och exakt versionsnummer för webbläsaren. Till exempel operativsystem och exakt versionsnummer för webbläsaren, vilka webbläsarinsticksprogram som är installerade, tidzon, skärmstorlek och färgdjup och teckensnitt. Det är även möjligt att få lP-numret för klienten (där webbläsaren är installerad) från servern.
Istället för att använda användarnamn och lösenord kan vi använda godtycklig kunskap, eller kombination av flera kunskapsbitar, som användaren har.
Den skulle kunna vara en PIN-kod. Vidare skulle den kunna vara en URL till en webbsida som bara användaren känner till. Den skulle även kunna beskrivas såsom en ytterligare faktor vid autentisering med två faktorer.
Ovan nämnda system och förfarande för digital signering kan användas tillsammans med ett värde som användaren önskar signera för att visualisera värdet för användaren. Värdet som ska signeras skulle även kunna vara en del av signeringsutmaningen.
Ovan beskrivna system och förfaranden uppvisar alla eller till del följande nedan förtecknade fördelar.
En full autentisering med tvä faktorer och en digital signering görs varje gång en användare vill det men användaren behöver inte göra någonting för att få den.
Användarna behöver inte veta att de använder autentisering med två faktorer.
Vissa av de nuvarande lösningarna enligt känd teknik använder SMS- meddelanden för att sända ett lösenord som är giltigt en gång. Vid användning av föreliggande lösning måste inte användarna vänta på och läsa ett SMS- meddelande. Dessutom existerar ingen kostnad för serveroperatören att sända SMS-meddelanden varje gång en användare vill logga in.
Användaren behöver inte läsa och skriva in ett utmaningsvärde på en anordning eller ett program och sedan generera ett svar och sedan skriva in detta i den första anordningen eller programmet. Detta görs automatiskt.
Samma implementering av föreliggande lösningar kan användas på nästan alla olika klienter (servrar, datorer, bärbara anordningar). 20 25 30 18 Med föreliggande uppfinning är det möjligt att göra djupgående förändringar i implementeringen och släppa detta över natten till slutkunder genom att ändra en webbsida. De nuvarande lösningarna enligt känd teknik kommer ofta att ta månader att ändra.
Föreliggande lösningar behöver inte distribueras från en server eller administreras av en administratör.
Föreliggande lösningar är självbetjänande. Användaren kan själv hantera och sätta igenkänningstecken ur funktion. De kommer även själva att notera om en säkerhetsbrytning har skett.
Föreliggande lösningar kan inte förloras.
Föreliggande lösning kommer inte att råka ur synkronisering såsom vissa synkroniserade förfaranden kan göra. Om den gör det, kan användare återsynkronisera den själva.
Lösningen enligt föreliggande uppfinning är ditt mjuka igenkänningstecken. Du behöver inte ta med dig någonting annat.
Ingen klientinstallation behövs över huvud taget. Alla har redan vad vi behöver installera.
Föreliggande lösningar kommer att fungera på godtycklig tunn klient. Den utnyttjar i och för sig välkända standarder och tekniker. Men den använder dem på ett helt nytt sätt, vilket resulterar i alla de fördelar som beskrivs ovan.
Vidare skulle en synkroniserad variabel kunna användas tillsammans med lösningarna enligt föreliggande uppfinning. Detta kommer att kombinera säkerheten för ett synkroniserat förfarande och lättheten att använda föreliggande lösning. Variabeln synkroniseras mellan klienten och servern och kan användas när svaret beräknas.
Uppfinningen är inte begränsad till de beskrivna utföringsformerna. Det kommer att vara uppenbart för fackmannen att många olika modifieringar är tänkbara inom ramen för de följande patentkraven.

Claims (29)

20 25 30 19 PATENTKRAV
1. System (10) som kan användas för att utföra autentisering med två faktorer, kännetecknat därav att nämnda system (10) innefattar ett webbläsarmedel (12), ett servermedel (14) som är anslutet till nämnda webbläsarmedel (12) och ett minnesmedel (16) som är anslutet till nämnda webbläsarmedel (12), varvid nämnda servermedel (14) kan användas för att ta emot en första faktor från ett användarmedel (18), och därefter för att automatiskt sända en utmaning med två faktorer till nämnda webbläsarmedel (12), varefter nämnda webbläsarmedel (12) kan användas för att automatiskt hämta en krypterad hemlighet från nämnda minnesmedel (16) och för att automatiskt dekryptera nämnda hemlighet, varvid nämnda autentisering med två faktorer är baserad på nämnda utmaning och nämnda dekrypterade hemlighet.
2. System (10) som kan användas för att utföra autentisering med två faktorer enligt krav 1, kännetecknat därav att nämnda webbläsarmedel (12) också kan användas för att automatiskt beräkna ett svar baserat på nämnda utmaning och nämnda dekrypterade hemlighet och för att automatiskt sända nämnda svar till nämnda servermedel (14), vilket i sin tur kan användas för att automatiskt autentisera användaren om nämnda svar är en matchning och för att automatiskt avslå autentiseringen om nämnda svar inte matchar.
3. System (10) som kan användas för att utföra autentisering med två faktorer enligt krav 2, kännetecknat därav att nämnda servermedel ( 14) kan användas för att ta bort nämnda hemlighet om nämnda svar inte matchar.
4. System (10) som kan användas för att utföra autentisering med två faktorer enligt krav 3, kännetecknat därav att, när nämnda hemlighet har tagits bort, eller när det inte existerar någon, nämnda system (10) kan användas för att spara en ny hemlighet i nämnda minnesmedel (16).
5. System (10) som kan användas för att utföra autentisering med två faktorer enligt något av kraven 1-4, kännetecknat därav att nämnda 20 25 30 20 minnesmedel (16) är i form av ett lokalt, permanent minnesmedel (16) i nämnda webbläsarmedel (12).
6. System (10) som kan användas för att utföra autentisering med två faktorer enligt något av kraven 1-5, kännetecknat därav att nämnda hemlighet är krypterad genom att använda information från nämnda webbläsarmedel (12), anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
7. Förfarande för att utföra autentisering med två faktorer med hjälp av ett system (10) innefattande ett webbläsarmedel (12), ett servermedel (14) som är anslutet till nämnda webbläsarmedel (12) och ett minnesmedel (16) som är anslutet till nämnda webbläsarmedel (12), varvid nämnda förfarande innefattar stegen: - att med hjälp av nämnda servermedel (14) ta emot en första faktor från ett användarmedel (18); - att med hjälp av nämnda servermedel (14) automatiskt sända en utmaning med två faktorer till nämnda webbläsarmedel ( 12); - att med hjälp av nämnda webbläsarmedel (12) automatiskt hämta en krypterad hemlighet från nämnda minnesmedel (16); - att med hjälp av nämnda webbläsarmedel (12) automatiskt dekryptera nämnda hemlighet; och - att automatiskt utföra autentisering med två faktorer baserat på nämnda utmaning och nämnda dekrypterade hemlighet.
8. Förfarande för att utföra autentisering med två faktorer enligt krav 7, kännetecknat därav att nämnda förfarande även innefattar stegen: - att med hjälp av nämnda webbläsarmedel (12) automatiskt beräkna ett svar baserat på nämnda utmaning och nämnda dekrypterade hemlighet; - att med hjälp av nämnda webbläsarmedel (12) automatiskt sända nämnda svar till nämnda servermedel (14); och - att med hjälp av nämnda servermedel (14) automatiskt autentisera användaren om nämnda svar är en matchning; eller att automatiskt avslå autentiseringen om nämnda svar inte matchar. 20 25 30 21
9. Förfarande för att utföra autentisering med två faktorer enligt krav 8, kännetecknat därav att nämnda förfarande även innefattar steget: - att med hjälp av nämnda servermedei (14) ta bort nämnda hemlighet om nämnda svar inte matchar.
10. Förfarande för att utföra autentisering med två faktorer enligt krav 9, kännetecknat därav att nämnda förfarande även innefattar steget: - att med hjälp av nämnda system (10) spara en ny hemlighet i nämnda minnesmedel (16), när nämnda hemlighet har tagits bort, eller när det inte existerar någon.
11. Förfarande för att utföra autentisering med två faktorer enligt något av kraven 7-10, kännetecknat därav att nämnda minnesmedel (16) är i form av ett lokalt, permanent minnesmedel (16) i nämnda webbläsarmedel (12).
12. Förfarande för att utföra autentisering med två faktorer enligt något av kraven 7-11, kännetecknat därav att nämnda hemlighet är krypterad genom att använda information från nämnda webbläsarmedel (12), anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
13. System (50) som kan användas för att utföra digital signering, kännetecknat därav att nämnda system (50) innefattar ett webbläsarmedel (52), ett servermedei (54) som är anslutet till nämnda webbläsarmedel (52) och ett minnesmedel (56) som är anslutet till nämnda webbläsarmedel (52), varvid nämnda servermedei (54) kan användas för att automatiskt sända en signeringsutmaning till nämnda webbläsarmedel (52), varefter nämnda webbläsarmedel (52) kan användas för att automatiskt hämta en krypterad hemlighet från nämnda minnesmedel (56) och för att automatiskt dekryptera nämnda hemlighet, varvid nämnda digitala signering är baserad på nämnda signeringsutmaning och nämnda dekrypterade hemlighet. 20 25 30 22
14. System (50) som kan användas för att utföra digital signering enligt krav 13, kännetecknat därav att nämnda webbläsarmedel (52) också kan användas för att ta emot en säkerhets-PIN-kod från ett användarmedel (58), för att automatiskt beräkna ett signeringssvar baserat på nämnda signeringsutmaning, nämnda säkerhets-PIN-kod och nämnda dekrypterade hemlighet och för att automatiskt sända nämnda signeringssvar till nämnda servermedel (54), varefter nämnda servermedel (54) kan användas för att automatiskt utföra nämnda digitala signering, om nämnda signeringssvar är en matchning, eller för att automatiskt avslå nämnda digitala signering om nämnda signeringssvar inte matchar.
15. System (50) som kan användas för att utföra digital signering enligt krav 13, kännetecknat därav att nämnda servermedel (54) också kan användas för att först ta emot någonting för användaren känt från ett användarmedel (58) och för att sedan signera digitalt.
16. System (50) som kan användas för att utföra digital signering enligt krav 15, kännetecknat därav att nämnda webbläsarmedel (52) också kan användas för att automatiskt beräkna ett signeringssvar baserat på nämnda signeringsutmaning och nämnda dekrypterade hemlighet och för att automatiskt sända nämnda signeringssvar till nämnda servermedel (54), vilket i sin tur kan användas för att automatiskt utföra nämnda digitala signering, om nämnda signeringssvar är en matchning, eller för att automatiskt avslå nämnda digitala signering om nämnda signeringssvar inte matchar.
17. 14 eller 16, kännetecknat därav att nämnda servermedel (54) kan användas för System (50) som kan användas för att utföra digital signering enligt krav att ta bort nämnda hemlighet om nämnda signeringssvar inte matchar.
18. 17, kännetecknat därav att, när nämnda hemlighet har tagits bort, eller när det System (50) som kan användas för att utföra digital signering enligt krav inte existerar någon, nämnda system (50) kan användas för att spara en ny hemligheti nämnda minnesmedel (56). 20 25 30 23
19. System (50) som kan användas för att utföra digital signering enligt något av kraven 13-18, kännetecknat därav att nämnda minnesmedel (56) är i form av ett lokalt, permanent minnesmedel (56) i nämnda webbläsarmedel (52).
20. System (50) som kan användas för att utföra digital signering enligt något av kraven 13-19, kännetecknat därav att nämnda hemlighet är krypterad genom att använda information från nämnda webbläsarmedel (52), anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
21. Förfarande för att utföra digital signering med hjälp av ett system (50) innefattande ett webbläsarmedel (52), ett servermedel (54) som är anslutet till nämnda webbläsarmedel (52) och ett minnesmedel (56) som är anslutet till nämnda webbläsarmedel (52), varvid nämnda förfarande innefattar stegen: - att med hjälp av nämnda servermedel (54) automatiskt sända en signeringsutmaning till nämnda webbläsarmedel (52); - att med hjälp av nämnda webbläsarmedel (52) automatiskt hämta en krypterad hemlighet från nämnda minnesmedel (56); - att med hjälp av nämnda webbläsarmedel (52) automatiskt dekryptera nämnda hemlighet; och - att automatiskt utföra digital signering baserat på nämnda signeringsutmaning och nämnda dekrypterade hemlighet.
22. Förfarande för att utföra digital signering enligt krav 21, kännetecknat därav att nämnda förfarande även innefattar stegen: - att med hjälp av nämnda webbläsarmedel (52) ta emot en säkerhets-PIN-kod från ett användarmedel (58); - att med hjälp av nämnda webbläsarmedel (52) automatiskt beräkna ett signeringssvar baserat på nämnda signeringsutmaning, nämnda säkerhets-PlN- kod och nämnda dekrypterade hemlighet; - att med hjälp av nämnda webbläsarmedel (52) automatiskt sända nämnda signeringssvar till nämnda servermedel (54); och 20 25 30 24 - att med hjälp av nämnda servermedel (54) automatiskt utföra digital signering, om nämnda signeringssvar är en matchning; eller att automatiskt avslå nämnda digitala signering om nämnda signeringssvar inte matchar.
23. Förfarande för att utföra digital signering enligt krav 21, kännetecknat därav att nämnda förfarande även innefattar steget: - att med hjälp av nämnda servermedel (54) först ta emot någonting för användaren känt från ett användarmedel (58), och att sedan signera digitalt.
24. Förfarande för att utföra digital signering enligt krav 23, kännetecknat därav att nämnda förfarande även innefattar stegen: - att med hjälp av nämnda webbläsarmedel (52) automatiskt beräkna ett signeringssvar baserat på nämnda signeringsutmaning och nämnda dekrypterade hemlighet; - att med hjälp av nämnda webbläsarmedel (52) automatiskt sända nämnda signeringssvar till nämnda servermedel (54); och - att med hjälp av nämnda servermedel (54) automatiskt utföra digital signering, om nämnda signeringssvar är en matchning; eller att automatiskt avslå nämnda digitala signering om nämnda signeringssvar inte matchar.
25. Förfarande för att utföra digital signering enligt krav 22 eller 24, kännetecknat därav att nämnda förfarande även innefattar steget: - att med hjälp av nämnda servermedel (54) ta bort nämnda hemlighet om nämnda signeringssvar inte matchar.
26. Förfarande för att utföra digital signering enligt krav 25, kännetecknat därav att nämnda förfarande även innefattar steget: - att med hjälp av nämnda system (50) spara en ny hemlighet i nämnda minnesmedel (56), när nämnda hemlighet har tagits bort, eller när det inte existerar någon.
27. Förfarande för att utföra digital signering enligt något av kraven 21-26, kännetecknat därav att nämnda minnesmedel (56) är i form av ett lokalt, permanent minnesmedel (56) i nämnda webbläsarmedel (52). 25
28. Förfarande för att utföra digital signering enligt något av kraven 21-27, kännetecknat därav att nämnda hemlighet är krypterad genom att använda information från nämnda webbläsarmedel (52), anordningsspecifik information, och användarnamn och lösenord, eller annan information som bara är känd av användaren.
29. Åtminstone en datorprogramprodukt (1021, 102,.) som är direkt laddningsbar till internminnet hos åtminstone en digital dator (1001, 100,1), innefattande mjukvarukodpartier för att utföra stegen enligt krav 7 eller krav 21 när nämnda åtminstone en produkt (1021, 102,.) körs på nämnda åtminstone en dator (1001, 100,).
SE1050605A 2010-06-14 2010-06-14 Ett system och förfarande för att utföra autentisering och digital signering med två faktorer SE1050605A1 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE1050605A SE1050605A1 (sv) 2010-06-14 2010-06-14 Ett system och förfarande för att utföra autentisering och digital signering med två faktorer
US12/956,265 US20110307700A1 (en) 2010-06-14 2010-11-30 System and method for performing two factor authentication and digital signing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE1050605A SE1050605A1 (sv) 2010-06-14 2010-06-14 Ett system och förfarande för att utföra autentisering och digital signering med två faktorer

Publications (1)

Publication Number Publication Date
SE1050605A1 true SE1050605A1 (sv) 2011-12-15

Family

ID=45097202

Family Applications (1)

Application Number Title Priority Date Filing Date
SE1050605A SE1050605A1 (sv) 2010-06-14 2010-06-14 Ett system och förfarande för att utföra autentisering och digital signering med två faktorer

Country Status (2)

Country Link
US (1) US20110307700A1 (sv)
SE (1) SE1050605A1 (sv)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9641497B2 (en) * 2011-04-08 2017-05-02 Microsoft Technology Licensing, Llc Multi-browser authentication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3871670B2 (ja) * 2003-09-19 2007-01-24 本田技研工業株式会社 Icタグアクセス認証システム
US7660904B2 (en) * 2004-05-11 2010-02-09 Microsoft Corporation Providing keys to share data within an instant messaging session
US20070130462A1 (en) * 2005-12-06 2007-06-07 Law Eric C W Asynchronous encryption for secured electronic communications
US8261087B2 (en) * 2006-03-09 2012-09-04 Vasco Data Security, Inc. Digipass for web-functional description
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query

Also Published As

Publication number Publication date
US20110307700A1 (en) 2011-12-15

Similar Documents

Publication Publication Date Title
US10027670B2 (en) Distributed authentication
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
EP2705642B1 (en) System and method for providing access credentials
US11095635B2 (en) Server authentication using multiple authentication chains
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
EP2842258B1 (en) Multi-factor certificate authority
US8862899B2 (en) Storage access authentication mechanism
US9264420B2 (en) Single sign-on for network applications
US20090307486A1 (en) System and method for secured network access utilizing a client .net software component
CN110401629B (zh) 一种激活授权的方法及相关装置
US20080320566A1 (en) Device provisioning and domain join emulation over non-secured networks
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
US11240027B2 (en) Synchronizing radius server databases using distributed ledger network
EP1836798A2 (en) Method and apparatus providing policy-based revocation of network security credentials
US10263789B1 (en) Auto-generation of security certificate
US10516653B2 (en) Public key pinning for private networks
JP2022512352A (ja) リダイレクションを含むタイムスタンプベースの認証
Huang et al. A token-based user authentication mechanism for data exchange in RESTful API
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
EP2997711A1 (en) Providing single sign-on for wireless devices
WO2022257931A1 (zh) 安全加速服务部署方法、装置、介质及设备
SE1050605A1 (sv) Ett system och förfarande för att utföra autentisering och digital signering med två faktorer
JP2024501752A (ja) 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可
US20200053059A1 (en) Secure Method to Replicate On-Premise Secrets in a Cloud Environment

Legal Events

Date Code Title Description
NAV Patent application has lapsed