SE531800C2 - Inloggningssystem - Google Patents

Inloggningssystem

Info

Publication number
SE531800C2
SE531800C2 SE0702768A SE0702768A SE531800C2 SE 531800 C2 SE531800 C2 SE 531800C2 SE 0702768 A SE0702768 A SE 0702768A SE 0702768 A SE0702768 A SE 0702768A SE 531800 C2 SE531800 C2 SE 531800C2
Authority
SE
Sweden
Prior art keywords
party
trusted
client
server
data set
Prior art date
Application number
SE0702768A
Other languages
English (en)
Other versions
SE0702768L (sv
Inventor
Michael Joergensen
Original Assignee
Sreg Internat Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sreg Internat Ab filed Critical Sreg Internat Ab
Priority to SE0702768A priority Critical patent/SE531800C2/sv
Priority to US12/747,126 priority patent/US20100325433A1/en
Priority to PCT/SE2008/000692 priority patent/WO2009075627A1/en
Priority to EP08858851A priority patent/EP2223461A4/en
Publication of SE0702768L publication Critical patent/SE0702768L/sv
Publication of SE531800C2 publication Critical patent/SE531800C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • H04L9/3202
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Description

15 20 25 30 2 användarens mobiltelefon för skapande av ett tillfälligt ändrat lösenord. Det skapade dynamiska lösenordet överförs till en fjärrserver som kör samma säkerhetsalgoritm som skapar samma dynamiska lösenord. Om de matchar beviljas användaren åtkomst.
US patentpublicering 2004/0203595 A1 beskriver ett autentiserings- system. Autentiseringssystemet skapar vid anfordran en tillfällig slumpmässig passerkod som är giltig under en begränsad tidsperiod. Användaren kan hämta lösenordet för passerkoden via ett mobiltelefonsamtal till autentise- ringssystemet före inloggning till systemet.
US patentpublicering 2007/0174080 A1 beskriver en metod i vilken kunder hos en inrättning, såsom en bank, kan registrera en eller flera av sina landkabel- eller mobiltelefonnummer och associera telefonnumren med sitt konto och därefter i anslutning till en fjärrtransaktion, använda den registrerade telefonen för att ringa in i ett banksystem eller bli uppringd av ett banksystem, för verifiering, varigenom den registrerade telefonen blir en säkerhetsteckenuppsättning som höjer säkerheten hos transaktionen.
US patentpublicering 2007/0138261 A'l beskriver ett PlN-serversystem som interagerar med en ekonomisk inrättning för autentisering av en mobiltelefon och en användare därav. PIN-servern förser mobiltelefonen med ett PlN-nummer för användning i en ekonomisk transaktion som innefattar den ekonomiska inrättningen och förser även de ekonomiska inrättningarna med de ett eller flera PIN-numren på ett sätt som resulterar i att de ett eller flera PlN-numren associeras med mobiltelefonanvändarens ett eller flera konton hos den ekonomiska inrättningen.
Dock åstadkommer inte de kända teknikerna alltid en tillräckligt hög nivå av säkerhet samtidigt som en låg nivå av komplexitet för användaren av tjänsten bibehålls. l den kända tekniken krävs ofta en separat anordning för varje tjänsteleverantör. Detta är besvärligt och eftersom säkerhetsalgo- ritmerna ofta är lagrade/kodade i anordningen kan algoritmerna avslöjas genom bakåtutveckling (”reverse engineering") eller liknande, således utsätts säkerheten hos autentiseringsmetoderna för fara.
Hackers och kriminella organisationer kommer titt och tätt på nya sluga sätt för utförande av identitetsstölder och onlinebedrägerier. Till följd av det 10 15 20 25 30 3 utvecklas säkerhetsmetoder ständigt för att förbättra säkerheten för användarna.
Eftersom en dedikerad anordning används i alla system enligt känd teknik för skapande av säkerhetsteckenuppsättningar, måste dock anordningen bytas ut varje gång varje gång en förbättrad algoritm och metod utvecklas.
Vidare bygger alla systemen enligt känd teknik på tredejpartslösningar och hindrar tjänsteleverantörer (online-bank eller affär, etc) från att välja de autentiseringsalgoritmer som de tycker är lämpliga och ändra dessa när de har behov av det.
Således föreligger det ett behov av en förbättrad metod och ett system för säker inloggning till en server. Det föreligger också ett behov av en förbättrad metod och ett system för säkert tillhandahållande av tjänster på en server till en klient.
Sammanfattning av uppfinningen Enligt en första aspekt av uppfinningen åstadkoms ett förfarande för säker inloggning till en server. Förfarandet innefattar stegen att: tillhandahålla ett första användarnamn och ett första lösenord från en klient till en server; fastställa huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en registrerad användare; tillhandahålla en första datauppsättning från servern till klient om resultatet av steget att fastställa är positivt; tillhandahålla ett andra användarnamn och ett andra lösenord från klienten till en betrodd tredje part; fastställa huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part; tillhandahålla nämnda första datauppsättning från klienten till nämnda betrodda tredje part om resultatet av steget att fastställa är positivt; tillhandahålla nämnda första datauppsättning från nämnda betrodda tredje part till servern; tillhandahålla en andra datauppsätt- ning från servern till nämnda betrodda tredje part om nämnda från nämnda betrodda tredje part mottagna datauppsättning motsvarar nämnda till klienten tillhandahållna första datauppsättning; tillhandahålla nämnda andra dataupp- sättning från nämnda betrodda tredje part till klienten; tillhandahålla nämnda 10 15 20 25 30 LJ r L ull när! m 'får får 4 andra datauppsättning från klienten till servern; logga in klienten mot servern om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda till nämnda betrodda tredje part tillhandahållna andra datauppsättning.
Förfarandet kan innefatta fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en hos en betrodd tredje part registrerad användare.
Enligt förfarandet kan klienten innefatta en dator som är ansluten till servern och en mobilterminal som är ansluten till nämnda betrodda tredje part.
Enligt förfarandet kan klienten innefatta en mobilterminal som är ansluten både till servern och nämnda betrodda tredje part.
Enligt förfarandet kan mobilterminalen innefatta ett applikations- program som tillhandahålls av nämnda betrodda tredje part för kommuni- kation med nämnda betrodda tredje part och/eller servern.
Enligt förfarandet kan klienten och nämnda betrodda tredje part kommunicera över en krypterad kanal vilken upprättas medelst applikations- programmet som tillhandahålls av nämnda betrodda tredje part.
Enligt en annan aspekt av föreliggande uppfinning, tillhandahålls ett system för säker inloggning på en server. Systemet innefattar: en klient anordnad att tillhandahålla ett första användarnamn och ett första lösenord till servern; organ för fastställand av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en registrerad användare; organ för tillhandahållande av en första datauppsättning från servern till klienten om resultatet av steget att fastställa är positivt; organ för tillhandahållande av ett andra användarnamn och ett andra lösenord från klienten till nämnda betrodda tredje part; organ för fastställande av huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en registrerad användare hos en registrerad betrodd tredje part; organ för tillhandahållande av nämnda första datauppsättning från klinten till nämnda betrodda tredje part om resultatet av steget att fastställa är positivt; organ för tillhandahållande av nämnda första datauppsättning från nämnda betrodda tredje part till servern; organ för tillhandahållande av en andra datauppsättning från servern till nämnda betrodda tredje part om nämnda första från nämnda betrodda tredje 10 15 20 25 30 534 ßÛÜ 5 part mottagna datauppsättning motsvarar nämnda första till klienten tillhandahållna datauppsättning; organ för tillhandahållande av nämnda andra datauppsättning från nämnda betrodda tredje part till klienten; organ för tillhandahållande av nämnda andra datauppsättning från klienten till servern; organ för inloggning av klienten mot servern om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning.
Systemet kan innefatta organ för fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en hos en betrodd tredje part registrerad användare.
Klienten kan innefatta en dator vilken är anslutbar till servern och en mobilterminal vilken är anslutbar till nämnda betrodda tredje part.
Klienten kan innefatta en mobilterminal vilken är anslutbar både till servern och nämnda betrodda tredje part.
Mobilterminalen kan innefatta ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda tredje part och/eller servern.
Klienten och nämnda betrodda tredje part kan vara anordnade att kommunicera över en krypterad kanal som upprättas medelst applikations- programmet som tillhandahålls av nämnda betrodda tredje part.
Enligt en tredje aspekt av föreliggande uppfinning tillhandahålls ett förfarande för säkert tillhandahållande av tjänster på en server till en klient.
Förfarandet innefattar stegen att: tillhandahålla en första datauppsättning från servern till klienten; tillhandahålla nämnda första datauppsättning från klienten till en betrodd tredje part; tillhandhålla nämnda första datauppsättning från nämnda tredje part till servern om klienten är en registrerad användare av tjänster hos nämnda betrodda tredje part; tillhandahålla en andra dataupp- sättning från servern till nämnda betrodda tredje part om nämnda första från nämnda betrodda tredje part mottagna datauppsättning motsvarar nämnda första till klienten tillhandahållna datauppsättning; tillhandahålla nämnda andra datauppsättning från nämnda betrodda tredje part till klienten; tillhandahålla nämnda andra datauppsättning från klienten till servern; tillhandahålla en eller flera tjänster på servern till klienten om nämnda andra 10 15 20 25 30 'l BÜÜ 6 från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning.
Enligt förfarandet kan klienten innefatta en dator vilken är ansluten till servern och en mobilterminal vilken är ansluten till nämnda betrodda tredje part.
Enligt förfarandet kantklienten innefatta en mobilterminal vilken är ansluten till både servern och nämnda betrodda tredje part.
Enligt förfarandet kan mobilterminalen innefatta ett applikatione- program vilket tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern.
Enligt förfarandet kan klienten och nämnda betrodda tredje part kommunicera över en krypterad kanal vilken har upprättats medelst applikationsprogrammet vilket tillhandahålls av nämnda betrodda tredje part.
Enligt förfarandet kan nämnda betrodda tredje part och servern kommunicera över en krypterad kanal.
Enligt en fjärde aspekt av föreliggande uppfinning tillhandahålls ett system för säkert tillhandahållande av tjänster på en server till en klient.
Systemet innefattar: organ för tillhandahållande av en första datauppsättning från servern till klienten; organ för tillhandahållande av nämnda första datauppsättning från klienten till en betrodd tredje part; organ för tillhandahållande av nämnda första datauppsättning från nämnda betrodda tredje part till servern om klienten är en registrerad användare av tjänster hos nämnda betrodda tredje part; organ för tillhandahållande av en andra datauppsättning från servern till nämnda betrodda tredje part om nämnda första datauppsättning som har tagits emot från nämnda betrodda tredje part motsvarar nämnda första datauppsättning som har tillhandahålls till klienten; organ för tillhandahållande av nämnda andra datauppsättning från nämnda betrodda tredje part till klienten; organ för tillhandahållande av nämnda andra datauppsättning från klienten till servern; organ för tillhandahållande av en eller flera tjänster på servern till klienten om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning. 10 15 20 25 30 ffšïšfi SÜÜ 7 Klienten kan innefatta en dator som är anslutbar till servern och en mobilterminal som är anslutbar till nämnda betrodda tredje part.
Klienten kan innefatta en mobilterminal som är anslutbar till både servern och nämnda betrodda tredje part.
Mobilterminalen kan innefatta ett applikationsprogram som tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern.
Klienten och nämnda betrodda tredje part kan vara anordnade att kommunicera över en krypterad kanal som upprättas medelst det av nämnda betrodda tredje part tillhandahållna applikationsprogrammet.
Enligt en femte aspekt av föreliggande uppfinning tillhandahålls ett alternativt förfarande för säker inloggning mot en server. Förfarandet innefattar stegen att: tillhandahålla ett första användarnamn från en klient till servern, fastställa huruvida nämnda första användare motsvarar en användare som är registrerad hos en betrodd tredje part; tillhandahålla ett andra användarnamn och ett första lösenord från klienten till nämnda betrodda tredje part, fastställa huruvida nämnda andra användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos en betrodd tredje part; tillhandahålla en första datauppsättning från servern till nämnda tredje betrodda part om användaren är registrerad hos nämnda betrodda tredje part; tillhandahålla nämnda första datauppsättning från nämnda betrodda tredje part till klienten; tillhandahålla nämnda första datauppsättning från klienten till servern; logga in klienten mot servern om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning.
Enligt förfarandet kan klienten innefatta en dator vilken är ansluten till servern och en mobilterminal vilken är ansluten till nämnda betrodda tredje part.
Enligt förfarandet kan klienten innefatta en mobilterminal vilken är ansluten till både servern och nämnda betrodda tredje part.
Enligt förfarandet kan mobilterminalen innefatta ett applikations- program vilket tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern. 10 15 20 25 30 Såå BGC* 8 Enligt förfarandet kan klienten och nämnda betrodda tredje part kommunicera över en krypterad kanal vilken upprättas medelst det av nämnda betrodda tredje part tillhandahållna applikationsprogrammet.
Enligt förfarandet kan ett andra lösenord tillhandahållas från klienten till servern och steget att fastställa kan innefatta fastställande av huruvida nämnda första användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part.
Enligt en femte aspekt av föreliggande uppfinning tillhandahålls ett alternativt system för säker inloggning mot en server. Systemet innefattar: en klient anordnad att tillhandahålla ett första användarnamn till servern; organ för fastställande av huruvida nämnda första användarnamn motsvarar en registrerad användare; organ för tillhandahållande av ett andra användarnamn och ett första lösenord från klienten till nämnda betrodda tredje part; organ för fastställande av huruvida nämnda andra användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos en betrodd tredje part; organ för tillhandahållande av en första datauppsättning från servern till nämnda betrodda tredje part om användaren är registrerad hos nämnda betrodda tredje part; organ för tillhandahållande av nämnda första datauppsättning från nämnda tredje part till klienten; organ för tillhandahållande av nämnda första datauppsättning från klienten till servern; organ för inloggning av klienten mot servern om nämnda första från klienten mottagna datauppsättning motsvarar nämnda första till nämnda betrodda tredje part tillhandahållna datauppsättning.
Systemet kan innefatta organ för fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part.
Klienten kan innefatta en dator vilken är anslutbar till servern och en mobilterminal vilken är anslutbar till nämnda betrodda tredje part.
Klienten kan innefatta en mobilterminal vilken är anslutbar både till servern och nämnda betrodda tredje part.
Mobilterminalen kan innefatta ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern. 10 15 20 25 30 9 Klienten och nämnda betrodda tredje part kan kommunicera över en krypterad kanal som upprättats medelst det av nämnda betrodda tredje part tillhandahållna applikationsprogrammet.
Systemet kan vara anordnat att tillhandahålla ett andra lösenord från klienten till servern och organet för fastställande av kan vara anordnat att fastställa huruvida nämnda första användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part.
Ritningar Fig 1 visar ett säkerhetssystem enligt en första utföringsform av uppfinningen.
Fig 2 är ett flödesschema över en metod för säker inloggning mot en server enligt en utföringsform av uppfinningen.
Fig 3 är ett flödesschema över en metod för säker inloggning mot en server enligt en alternativ utföringsform av uppfinningen.
Fig 4 är ett flödesschema över en metod för säkert tillhandahållande av tjänster enligt en utföringsform av uppfinningen.
Qetalierad beskrivning av utförinqsformerna Fig 1 visar ett system enligt en första aspekt av föreliggande uppfinning.
Systemet 100 innefattar en server 110 vilken tillhandahåller en eller flera tjänster till en klient 120 vilken är ansluten till servern 110. Tjänsterna som tillhandahålls av servern 110 kan vara banktjänst online, elektroniska transak- tioner, signering av elektroniska transaktioner, en affär online, etc.
Enligt en föredragen utföringsform av föreliggande uppfinning innefattar klienten 120 två eller flera enheter såsom en dator 121 vilka är anslutna till servern 110 via ett nätverk och en mobilterminal 122 såsom en mobiltelefon, en PDA eller någon annan anordning med möjligheter för trådlös kommunikation för anslutning till en betrodd tredje part, vilka kommer att beskrivas mer i detalj nedan. Klienten 120 kan alternativt innefatta endast en enhet vilken kan kommunicera med olika nätverksanordningar samtidigt.
Mobilterminalen innefattar presentationsorgan, såsom en högtalare eller en bildskärm. Mobilterminalen 122 kan vidare innefatta inmatningsorgan i form av ett tangentbord, knappsats eller liknande. Mobilterminalen 122 kan vidare 10 15 20 25 30 10 innefatta möjligheter för lnternetkommunikation (tillexempel stödja "Wireless Application Protocol" (WAP) eller annat kommunikationsprotokoll).
Såsom nämnts ovan innefattar systemet även en server hos en betrodd tredje part (TTP, ”Trusted Third Party”) 130 som kommunicerar med både servern 110 och klienten 120. Både servern 110 och klienten 120 är registrerade hos nämnda betrodda tredje part 130. Nämnda betrodda tredje part 130 kan innefatta en databas med registrerade servrar (eller tjänsteleverantörer) och klienter. Nämnda betrodda tredje part 130 är vidare känd och registrerad hos servern 110. Nämnda betrodda tredje part 130 fungerar som en betrodd part under autentisering, åstadkommer en ökad nivå av säkerhet utan att öka komplexiteten för varken tjänsteleverantören eller användaren av tjänsterna. Nämnda betrodda tredje part 130 kan vidare fungera som en betrodd tredje part för varje tjänsteleverantörantal.
Detaljerna, fördelarna och användningarna av nämnda betrodda tredje part 130 kommer att framgå ur följande beskrivning.
Servern 110 och nämnda betrodda tredje part 130 innefattar organ för anslutning till ett nätverk och fjärrkommunicerar med varandra, till exempel nätverkskort, trådbundet eller trådlöst och kan anslutas till nätverket genom routrar, brandväggar eller genom andra konventionella nätverksinfrastruk- turer.
Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via ett gemensamt nätverk såsom Internet eller något annat globalt nätverk ('Wide Area Network", WAN) eller lokalt nätverk (”Local Area Network", LAN).
Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via Internet över en krypterad kanal såsom en anslutning av typen SSL (”Secure Sockets Layer”) eller TLS (”Transport Layer Security”) eller liknande.
Klientmobilterminalen 122 kan kommunicera med nämnda betrodda tredje part 130 via något nätverk, till exempel via en trådlös åtkomstpunkt som är ansluten till Internet, via ett cellulärt nätverk som stöder GPRS (”Genera| Packet Radio Service"), 3G-drift eller liknande.
En användare hos klienten 120 som vill erhålla åtkomst till en eller flera tjänster hos servern 110 såsom beskrivs ovan tillhandahåller ett första användarnamn och ett första lösenord till servern 110. 10 15 20 25 30 Büëfš 11 Nämnda första användarnamn och nämnda första lösenord kan tillhandahållas till servern 110 genom konventionella metoder, det vill säga genom att man skriver in nämnda första användarnamn och nämnda första lösenord via ett webbgränssnitt som tillhandahålls av servern 110 till en klientdator 121 eller klientmobilterminal 122. Nämnda första användarnamn och nämnda första lösenord kan också tillhandahållas med användning av en dedikerad applikation, till exempel en Java-applikation, en Java-applet eller liknande som kör på klientdatorn 121. Nämnda första användarnamn och nämnda första lösenord krypteras företrädesvis innan de tillhandahålls till servern 110. Krypteringen kan åstadkommas genom metoder som är välkända inom området, till exempel asymmetriska nyckelpar, elektroniska certifikat, etc.
Efter mottagning av användarnamnet och lösenordet från användaren hos klienten 120 fastställer servern 110 huruvida användarnamnet och lösenordet motsvarar en användare som är registrerad hos servern 110.
Detta kan åstadkommas av servern 110 som letar efter ett matchande användarnamn i en lokal eller tjärrdatabas innefattande information om registrerade användare av servern 110. Om lösenordet som tillhandahålls av användaren matchar lösenordet i databaspost som motsvarar det tillhanda- hållna användarnamnet, autentiseras mobilterminalen 122 för användning med servern 110. Ytterligare metoder för utförande av användarautentisering är välkända inom området internet och nätverksteknologi och kommer inte att beskrivas mer i detalj i denna beskrivning. Om användaren är registrerad hos servern 110 upprättas en krypterad kommunikationskanal mellan servern 110 och klientdatorn 121.
Servern 110 kontaktar sedan nämnda betrodda tredje part 130, företrädesvis via en krypterad kommunikationskanal för fastställande av huruvida användaren också är en hos nämnda betrodda tredje part 130 registrerad användare. Detta kan åstadkommas genom att servern 110 överför ett meddelande till nämnda betrodda tredje part 130 via den krypterade kommunikationskanalen, varvid meddelandet som innehåller användarens identitet och ytterligare information som krävs för identifiering av användaren hos nämnda betrodda tredje part 130. 10 15 20 25 30 f Tl Elf) *i Eêïriji 12 Nämnda betrodda tredje part 130 kan fastställa huruvida användaren är registrerad för nämnda betrodda tredje part 130 genom sökning av identifieringsinformationen som har tagits emot av servern 110 i en lokal eller fiärrdatabas som innefattar poster av användare som är registrerade för tjänster hos nämnda betrodda tredje part 130.
Om nämnda betrodda tredje part 130 bekräftar att användaren är en registrerad användare tillhandahåller servern 110 en första datauppsättning från servern 110 till klienten 120. Detta kan företrädesvis göras genom överföring av en första datauppsättning, det vill säga en första kod, från servern 110 till klienten 120 via den upprättade krypterade kommunikations- kanalen och genom visning av koden på en bildskärm för användaren hos klienten 120. Nämnda första datauppsättning kan vara en nyckel ur ett nyckelpar som har skapats av någon välkänd nyckelskapande algoritm, symmetrinyckelalgoritmer (DES, AES) eller algoritm av typen publik nyckel (RSA). Nämnda första datauppsättning kan också vara en slumpmässig eller pseudoslumpmässig kombination av siffror eller bokstäver.
Användaren hos klienten 120 använder sedan mobilterminalen 122i klienten 120 för tillhandahållande av ett andra användarnamn och ett andra lösenord från klienten till 120 till nämnda betrodda tredje part 130.
Nämnda andra användarnamn och nämnda andra lösenord tillhanda- hålls företrädesvis till nämnda betrodda tredje part 130 via en krypterad kanal.
Nämnda andra användarnamn och nämnda andra lösenord kan skrivas in via ett webbgränssnitt som är åtkomligt över Internet. Åtkomsten till nämnda betrodda tredje part 130 tillhandahålls företrädesvis via en dedikerad klientapplikation i mobilterminalen 122. Klientapplikationen kan vara en Java- applikation eller någon annan applikationstyp som kan vara lämplig för exekvering på en mobilterminal 122. Klientapplikationen kan vidare vara godkänd för användning med nämnda betrodda tredje part 130 av leverantören av nämnda betrodda tredje part 130. Klientapplikationen förser användaren av mobilterminalen 122 med ett gränssnitt för tillhandahållande av nämnda andra användarnamn och lösenord. Klientapplikationen upprättar vidare en krypterad kanal mellan mobilterminalen 122 och nämnda betrodda tredje part 130. 10 15 20 25 30 531 SÜÛ 13 Kommunikationen mellan mobilterminalen 122 och nämnda betrodda tredje part 130 kan initieras av användaren på mobilterminalen 122 eller av nämnda betrodda tredje part 130. I det förra fallet kan klientapplikationen upprätta en krypterad kommunikationskanal till nämnda betrodda tredje part och överföra nämnda andra användarnamn och nämnda andra lösenord. l det senare fallet kan servern 110 instruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och tillhandahålla information till användaren därav för inmatning av nämnda andra användar- namn och nämnda andra lösenord. Alternativt kan servern instruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och utan att nämnda andra användarnamn och nämnda andra lösenord tillhandahåller åtkomst till tjänsterna hos nämnda betrodda tredje part, i det här fallet, det vill säga såsom kommer att beskrivas mer i detalj nedan, gör det möjligt för användaren vid mobilterminalen 122 att tillhandahålla nämnda första från servern 110 mottagna datauppsättning till nämnda betrodda tredje part 130 via den krypterade kanalen. Detta resulterar i en något lägre säkerhetsnivå men om mobilterminalen registreras hos nämnda betrodda tredje part före upprättande av den krypterade kanalen ovan, kan säkerhetsnivån vara acceptabel för många applikationer. En kombination av de olika initieringsmöjligheterna kan också användas. Till exempel kan en användare hos klienten 120 förses med endast begränsade tjänster om initieringen utförs med användning av en lägre säkerhetsnivå, det vill säga användaren kan till exempel titta på data hos nämnda betrodda tredje part 130 eller servern 110, men inte ändra nämnda data förrän en högre säkerhetsnivå inrättas, till exempel genom tillhandahållande av ett andra användarnamn och lösenord.
Klientapplikationen innefattar företrädesvis en unik kod som associeras med nämnda andra användarnamn och nämnda andra lösenord.
Klientapplikationen och den unika koden tillhandahålls företrädesvis av nämnda betrodda tredje part 130 till mobilterminalen 122 under registrering av mobilterminalen 122 för användning med nämnda betrodda tredje part 130. Den unika koden kan lagras i till exempel en databas hos nämnda betrodda tredje part 130 tillsammans med användarnamnet, lösenordet och 10 15 20 25 30 53 *i 323% 14 ytterligare användarinformation. Klientapplikationen kan tillhandahålla den unika koden till nämnda betrodda tredje part 130 tillsammans med nämnda andra användarnamn och nämnda andra lösenord. Detta gör det möjligt för nämnda betrodda tredje part 130 att jämföra den mottagna unika koden med den lagrade unika koden. Mobilterminalen kan sedan autentiseras för användning med nämnda betrodda tredje part 130 endast om den mottagna unika koden matchar den lagrade unika koden. Detta åstadkommer en ytterligare säkerhetsnivà eftersom endast mobilterminalen 122 som används under registrering hos en betrodd tredje part 130 godkänns för nämnda betrodda tredje part 130.
Nämnda betrodda tredje part 130 fastställer sedan huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos en betrodd tredje part. Om en unik kod också används enligt stycket ovan, kan nämnda betrodda tredje part 130 vidare fastställa huruvida den mottagna unika koden matchar en lagrad unik kod såsom har beskrivits i föregående stycke. Fastställandet kan åstadkommas genom att nämnda betrodda tredje part 130 letar efter en matchande post i en lokal eller tjärrdatabas innefattande information om hos nämnda betrodda tredje part 130 registrerade användare. Om mobilterminalen 122 förekommer i databasposten, autentiseras mobilterminalen 122 för användning med nämnda betrodda tredje part 130.
Om användaren autentiseras hos nämnda betrodda tredje part 130 bekräftar nämnda betrodda tredje part 130 detta för klienten 120, varvid klienten 120 tillhandahåller nämnda första från servern 110 mottagna datauppsättning till nämnda betrodda tredje part via den enligt ovan beskrivet upprättade krypterade kanalen. Nämnda första datauppsättning kan tillhandahållas till nämnda betrodda tredje part 130 med användning av ett konventionellt webbgränssnitt eller med användning av en dedikerad applikation såsom har beskrivits ovan.
Vid mottagning av nämnda första datauppsättning från klienten 120 tillhandahåller nämnda betrodda tredje part 130 nämnda första datauppsättning till servern 110 via den enligt ovan upprättade krypterade kommunikationskanalen. 10 15 20 25 30 Un MJ må EE' Ü 'Ü 15 Servern 110 jämför sedan nämnda första datauppsättning med nämnda datauppsättningen som har tillhandahållits till klienten 120. Denna jämförelse kan åstadkommas av en styrenhet i servern 110, varvid styrenheten innefattar ett dataminnesutrymme där nämnda första datauppsättning kan lagras. Styrenheten kan sedan jämföra nämnda första lagrade datauppsättning med nämnda första mottagna datauppsättning.
Nämnda första datauppsättning kan vara giltig under ett inställt tidsintervall, till exempel 30 sekunder från tillhandahållande av nämnda första datauppsättning från servern 110 till klienten 120. Dock kan också varje annat lämpligt tidsintervall användas. Om servern 110 tar emot nämnda första datauppsättning efter utgången av tidsintervallet kommer servern 110 inte att acceptera nämnda första datauppsättning.
Om nämnda första från nämnda betrodda tredje part 130 mottagna datauppsättning motsvarar nämnda första till klienten 120 tillhandahållna datauppsättning, tillhandahåller servern 110 en andra datauppsättning, det vill säga en andra kod, från servern 110 till nämnda betrodda tredje part 130.
Nämnda andra datauppsättning överförs till nämnda betrodda tredje part 130 via den ovan beskrivna krypterade kommunikationskanalen. Den kan överföras som ett meddelande i ett eller flera datapaket genom metoder som är välkända inom området. Nämnda andra datauppsättning kan skapas genom liknande metoder som nämnda första datauppsättning. Det vill säga, nämnda andra datauppsättning kan vara nyckeln som motsvarar nämnda första datauppsättningsnyckel av ett ovan beskrivet nyckelpar. Nämnda andra datauppsättning kan också vara en slumpmässig eller pseudoslumpmässig kombination av siffror eller bokstäver.
Vid mottagning av nämnda andra datauppsättning tillhandahåller nämnda betrodda tredje part 130 nämnda andra datauppsättning till klienten 120 via den krypterade kanalen, varvid nämnda andra datauppsättning visas på mobilterminalens 122 bildskärm. Nämnda andra datauppsättning kan tillhandahållas till klienten 120 helt enkelt genom vidarebefordran av meddelandet som har tagits emot från servern 110 eller genom extraktion av nämnda andra datauppsättning från meddelandet, skapa ett nytt meddelande 10 15 20 25 30 lf! 1.1.3 mått C33 *Ü ti: 16 innefattande nämnda andra extraherade datauppsättning och överföra meddelandet via den krypterade kanalen till klienten 120.
Användaren hos klienten 120 kan sedan tillhandahålla nämnda andra datauppsättning till servern 110 via den enligt ovan beskrivet upprättade krypterade kommunikationskanalen. Användaren kan tillhandahålla nämnda andra datauppsättning till servern 110 genom att användaren skriver in nämnda andra datauppsättning via ett webbgränssnitt som tillhandahålls av servern 110. Det kan också tillhandahållas med användning av en dedikerad applikation, till exempel en Java-applikation, en Java-applet eller liknande.
Servern 110 jämför sedan nämnda mottagna andra datauppsättning med den till nämnda betrodda tredje part 130 tillhandahållna datauppsätt- ningen. Denna jämförelse kan åstadkommas av en styrenhet i servern 110, varvid styrenheten innefattar ett dataminnesutrymme där nämnda andra datauppsättning kan lagras innan den överförs till nämnda betrodda tredje part 130. Styrenheten jämför nämnda lagrade andra datauppsättning med nämnda mottagna andra datauppsättning. Klienten 120 loggas på före ytterligare tjänster hos servern 110, som inte är åtkomliga genom endast tillhandahållande av ett första användarnamn och ett första lösenord, om nämnda andra från klienten 120 mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning (lagrad i styrenheten).
Precis som nämnda första datauppsättning kan också nämnda andra datauppsättning vara giltig under ett inställt tidsintervall, till exempel 30 sekunder från tillhandahållande av nämnda andra datauppsättning från servern 110 till nämnda betrodda tredje part 130. Dock kan också varje annat lämpligt tidsintervall användas. Om servern 110 tar emot nämnda andra datauppsättning efter utgången av tidsintervallet kommer servern 110 inte att acceptera nämnda andra datauppsättning och klienten 120 loggas inte in mot servern 1 10.
Flg 2 är ett flödesschema över en metod för säker inloggning mot en server enligt en utföringsform av uppfinningen. Ett första användarnamn och ett första lösenord tillhandahålls 210 från en klient till servern. Enligt en annan utföringsform kan klienten innefatta en dator som är ansluten till servern och 10 15 20 25 30 17 en mobilterminal som är ansluten till en betrodd tredje part. Enligt en ytterligare utföringsform innefattar klienten en mobilterminal som är ansluten till både servern och nämnda betrodda tredje part. Mobilterminalen kan innefatta ett applikationsprogram som tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern. Applikationsprogrammet kan upprätta en krypterad kanal mellan klienten och nämnda betrodda tredje part och/eller servern.
Enligt metoden fastställs 212 det vidare huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part. Om fastställandet är positivt tillhandahålls 214 en första datauppsättning från servern till klienten. Nämnda betrodda tredje part och servern kommunicerar företrädesvis över en krypterad kanal.
Ett andra användarnamn och ett andra lösenord tillhandahålls 216 från klienten till nämnda betrodda tredje part. Det fastställs 218 vidare huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos en betrodd tredje part. Om fastställandet är positivt tillhandahålls 220 nämnda första datauppsättning från klienten till nämnda betrodda tredje part. Klienten och nämnda betrodda tredje part kommunicerar företrädesvis över en krypterad kanal.
Vidare tillhandahålls 222 nämnda första datauppsättning från nämnda betrodda tredje part till servern. Om nämnda första från nämnda betrodda tredje part mottagna datauppsättning motsvarar nämnda första till klienten tillhandahållna datauppsättning, tillhandahålls 224 en andra datauppsättning från servern till nämnda betrodda tredje part till klienten.
Nämnda andra datauppsättning tillhandahålls 226 från nämnda betrodda tredje part till klienten och tillhandahålls 228 i sin tur från klienten mot servern. Om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part tillhandahållna datauppsättning, loggas 230 klienten in mot servern.
Enligt en andra utföringsform tillhandahålls en förenklad metod och ett system för åstadkommande av säker inloggning mot en server 110. Denna utföringsform beskrivs även med hänvisning till fig 1 vilken visar ett system 10 15 20 25 30 iii nl' ...Ib En få! fiT-i 18 100 innefattande en server 110 vilken tillhandahåller en eller flera tjänster till en klient 120 som är ansluten till servern 110. Tjänsterna kan vara onlinebanktjänst, elektroniska transaktioner, signering av elektroniska transaktioner, en affär online, etc.
Enligt en föredragen utföringsform av föreliggande uppfinning innefattar klienten 120 två eller flera enheter såsom en dator 121 vilken är ansluten till servern 110 via ett nätverk och en mobilterminal 122 såsom en mobiltelefon, en PDA eller någon annan anordning med möjlighetertill trådlös kommunikation. Klienten 120 kan alternativt innefatta endast en enhet vilken kan kommunicera med olika nätverksanordningar samtidigt. Mobilterminalen 122 innefattar presentationsorgan, såsom en högtalare eller en bildskärm.
Mobilterminalen 122 kan vidare innefatta inmatningsorgan i form av ett tangentbord, knappsats eller liknande. Mobilterminalen 122 kan vidare innefatta möjligheter för lnternetkommunikation (tillexempel stödja ”Wireless Application Protocol” (WAP) eller annat kommunikationsprotokoll).
Systemet innefattar även en server hos en betrodd tredje part 130 som kommunicerar med både servern 110 och klienten 120. Både servern 110 och klienten 120 är registrerade hos nämnda betrodda tredje part 130.
Nämnda betrodda tredje part 130 kan innefatta en databas med registrerade servrar (eller tjänsteleverantörer) och klienter 120. Nämnda betrodda tredje part 130 är vidare känd och registrerad hos servern 110. Nämnda betrodda tredje part 130 är anordnad att fungera som en betrodd part under autentisering, åstadkommande av en ökad nivå av säkerhet utan att öka komplexiteten för varken tjänsteleverantören eller användaren av tjänsterna.
Nämnda betrodda tredje part 130 kan vidare fungera som en betrodd tredje part för varje av tjänsteleverantörantal. Detaljerna och användningarna av nämnda betrodda tredje part 130 kommer att framgå ur följande beskrivning.
Servern 110 och nämnda betrodda tredje part 130 innefattar vanliga organ för anslutning till ett nätverk och fjärrkommunicerar med varandra, till exempel nätverkskort, trådbundet eller trådlöst och kan anslutas till nätverket genom routrar, brandväggar eller genom andra konventionella nätverksinfra- strukturer. 10 15 20 25 30 53? SÜÜ 19 Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via ett gemensamt nätverk såsom lnternet eller något annat globalt nätverk ("Wide Area Network", WAN) eller lokalt nätverk (”Local Area Network", LAN).
Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via lnternet över en krypterad kanal såsom en anslutning av typen SSL ("Secure Sockets Layer”) eller TLS (”Transport Layer Security”) eller liknande. Servern 110 och klientdatorn kan kommunicera via ett gemensamt nätverk såsom Internet eller något annat globalt nätverk (”Wide Area Network", WAN) eller lokalt nätverk ("Looal Area Network", LAN). Klientmobilterminalen 122 kan kommunicera med nämnda betrodda tredje part 130 via något nätverk, till exempel via en trådlös åtkomstpunkt som är ansluten till Internet, via ett cellulärt nätverk som stöder GPRS (”General Packet Radio Service”), SG-drift eller liknande.
En användare hos klienten 120 som vill erhålla åtkomst till en eller flera tjänster hos servern 110 såsom beskrivs ovan tillhandahåller ett första användarnamn. Nämnda första användarnamn kan vara något användarnamn som är registrerat för användning med servern 110 och kan vara i form av ett personnummer eller liknande. Eventuellt kan användaren även tillhandahålla ett första lösenord till servern 110.
Nämnda första användarnamn kan tillhandahållas till servern 110 genom att man till exempel skriver in nämnda första användarnamn via ett webbgränssnitt som tillhandahålls av servern 110. Det kan också tillhandahållas med användning av en dedikerad applikation, till exempel en Java-applikation, en Java-applet eller liknande som kör på klientdatorn.
Nämnda första användarnamn krypteras företrädesvis innan det tillhandahålls till servern 110. Krypteringen kan åstadkommas genom metoder som är välkända inom området, till exempel asymmetriska nyckelpar, elektroniska certifikat, etc.
Efter mottagning av användarnamnet och lösenordet från användaren hos klienten 120 fastställer servern 110 huruvida användarnamnet motsvarar en användare som är registrerad hos servern 110. Detta kan åstadkommas genom att servern 110 letar efter ett matchande användarnamn i en lokal eller fiärrdatabas innefattande information om registrerade användare av servern 10 15 20 25 30 20 110. Ytterligare metoder för utförande av användarautentisering är välkända inom området Internet och nätverksteknologi och kommer inte att vidare redogöras för i detalj i denna beskrivning. Om användaren registreras hos servern 110 upprättas en krypterad kommunikationskanal mellan servern 110 och klientdatorn.
Servern 110 kontakter sedan nämnda betrodda tredje part 130, företrädesvis via en krypterad kommunikationskanal för fastställande av huruvida användaren också är en registrerad användare hos nämnda betrodda tredje part 130. Detta kan åstadkommas genom att servern 110 överför ett meddelande till nämnda betrodda tredje part 130 via den krypterade kommunikationskanalen, varvid meddelandet innefattar användarens identitet och ytterligare information som krävs för identifiering av användaren hos nämnda betrodda tredje part 130.
Nämnda betrodda tredje part 130 kan fastställa huruvida användaren är registrerad för nämnda betrodda tredje part 130 genom sökning efter identifieringsinformationen som har tagits emot av servern 110 i en fjärr- eller lokal databas innefattande poster av användare som är registrerade för nämnda betrodda tredje part 130.
Om nämnda betrodda tredje part 130 bekräftar att användaren är en registrerad användare tillhandahåller servern 110 en första datauppsättning från servern 110 till nämnda betrodda tredje part 130. Detta kan företrädesvis göras genom överföring av en första datauppsättning, det vill säga en första kod, från servern 110 till nämnda betrodda tredje part 130 via den upprättade krypterade kommunikationskanalen. Nämnda första datauppsättning kan vara en av ett nyckelpar som har skapats av någon välkänd nyckelskapande algoritm, algoritm av typen symmetrisk nyckel (DES, AES) eller algoritm av typen publik nyckel (RSA). Nämnda första datauppsättning kan också vara en slumpmässig eller pseudoslumpmässig kombination av siffror eller bokstäver.
Användaren hos klienten 120 använder sedan en mobilterminal 122 för tillhandahållande av ett andra användarnamn och ett andra (eller första) lösenord från klienten 120 till nämnda betrodda tredje part 130. Nämnda andra användarnamn och nämnda andra lösenord tillhandahålls företrädesvis till nämnda betrodda tredje part 130 via en krypterad kanal. Nämnda andra 10 15 20 25 30 21 användarnamn och nämnda andra lösenord kan skrivas in via ett webbgränssnitt som är åtkomligt över Internet. Åtkomsten till nämnda betrodda tredje part 130 tillhandahålls företrädesvis via en dedikerad klientapplikation i mobilterminalen 122. Klientapplikationen kan vara en Java- applikation eller någon annan applikationstyp som är lämplig för exekvering på en mobilterminal 122. Klientapplikationen kan vidare godkännas för användning med nämnda betrodda tredje part 130 av leverantören av nämnda betrodda tredje part 130. Klientapplikationen förser användaren av mobilterminalen 122 med ett gränssnitt för tillhandahållande av användarnamnet och lösenordet. Klientapplikationen upprättar vidare en krypterad kommunikationskanal mellan mobilterminalen 122 och nämnda betrodda tredje part 130.
Kommunikationen mellan mobilterminalen 122 och nämnda betrodda tredje part 130 kan initieras av användaren på mobilterminalen 122 eller av nämnda betrodda tredje part 130. I det förra fallet kan klientapplikationen upprätta en krypterad kanal till nämnda betrodda tredje part och överföra nämnda andra användarnamn och nämnda andra lösenord. I det senare fallet kan servern 110 lnstruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och tillhandahålla information till användaren därav för inmatning av nämnda andra användarnamn och nämnda andra lösenord. Alternativt kan servern lnstruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och utan att nämnda andra användarnamn och nämnda andra lösenord tillhandahåller åtkomst till tjänsterna hos nämnda betrodda tredje part, i det här fallet, det vill säga såsom kommer att beskrivas i mer detalj nedan, gör det möjligt för användaren vid mobilterminalen 122 att tillhandahålla nämnda första från servern 110 mottagna datauppsättning till nämnda betrodda tredje part 130 via den krypterade kanalen. Detta resulterar i en något lägre säkerhetsnivå men om mobilterminalen registreras hos nämnda betrodda tredje part före upprättande av den krypterade kommunikationskanalen ovan, kan säkerhetsnivån vara acceptabel för många applikationer. En kombination av de olika initieringsmöjligheterna kan också användas. Till exempel kan en användare hos klienten 120 vara försedd med endast begränsade tjänster om 10 15 20 25 30 Ešäfi ßtfšü 22 initieringen endast utförs med användning av en lägre säkerhetsnivå, det vill säga användaren kan till exempel titta på data hos nämnda betrodda tredje part 130 eller servern 110, men inte ändra nämnda data förrän en högre säkerhetsnivå inrättas, till exempel genom tillhandahållande av ett andra användarnamn eller lösenord.
Klientapplikationen innefattar företrädesvis en unik kod som associeras med nämnda andra användarnamn och nämnda andra lösenord. Klientappli- kationen och den unika koden tillhandahålls företrädesvis av nämnda betrodda tredje part 130 till mobilterminalen 122 under registrering av mobilterminalen 122 för användning med nämnda betrodda tredje part 130.
Den unika koden lagras till exempel även i en databas hos nämnda betrodda tredje part 130 tillsammans med användarnamnet, lösenordet och ytterligare användarinformation. Klientapplikationen 120 kan tillhandahålla den unika koden till nämnda betrodda tredje part 130 tillsammans med nämnda andra användarnamn och nämnda andra lösenord. Detta gör det möjligt för nämnda betrodda tredje part 130 att jämföra den mottagna unika koden med den lagrade unika koden. Mobilterminalen 122 kan sedan autentiseras för användning med nämnda betrodda tredje part 130 endast om den mottagna unika koden matchar den lagrade unika koden. Detta åstadkommer en ytterligare säkerhetsnivå eftersom endast mobilterminalen 122 som används under registrering hos nämnda betrodda tredje part 130 godkänns för nämnda betrodda tredje part 130.
Nämnda betrodda tredje part 130 fastställer sedan huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos en betrodd tredje part 130. Om en unik kod också används enligt ovan, kan nämnda betrodda tredje part 130 vidare fastställa huruvida den mottagna unika koden matchar en lagrad unik kod såsom beskrivits ovan. Fastställandet kan åstadkommas genom att nämnda betrodda tredje part 130 letar efter en matchande post i en lokal eller fjärrdatabas innefattande information om hos nämnda betrodda tredje part 130 registrerade användare. Om mobilterminalen 122 förekommer i databasposten, autentiseras mobilterminalen 122 för användning med nämnda betrodda tredje part 130. 10 15 20 25 30 531 BÜÜ 23 Om användaren autentlseras hos nämnda betrodda tredje part 130 tillhandahåller nämnda betrodda tredje part 130 nämnda första datauppsättning till klienten 120 via den krypterade kanalen, varvid nämnda första datauppsättning visas på bildskärmen hos mobilterminalen 122. Den första datauppsättningen kan tillhandahållas till klienten 120 helt enkelt genom överföring av meddelandet som har tagits emot från servern 110 eller genom extraktion av nämnda första datauppsättning från meddelandet, skapa ett nytt meddelande innefattande nämnda första extraherade datauppsättning och sedan överföra meddelandet via den krypterade kommunikationskanalen till klienten 120.
Användaren hos klienten 120 kan sedan tillhandahålla nämnda första datauppsättning till servern via den enligt ovan beskrivet upprättade krypterade kommunikationskanalen. Användaren kan tillhandahålla nämnda första datauppsättning till servern 110 genom att användaren skriver in nämnda första datauppsättning via ett webbgränssnitt som tillhandahålls av en webbtjänst hos servern 110. Nämnda första datauppsättning kan också tillhandahållas med användning av en dedikerad applikation, till exempel en Java-applikation, en Java-applet eller liknande.
Servern 110 jämför sedan nämnda första mottagna datauppsättning med den till nämnda betrodda tredje part 130 tillhandahållna datauppsätt- ningen. Denna jämförelse kan åstadkommas av en styrenhet i servern 110, varvid Styrenheten innefattar ett dataminnesutrymme där nämnda första datauppsättning kan lagras innan den överförs till nämnda betrodda tredje part 130. Styrenheten jämför nämnda första lagrade datauppsättning med nämnda första mottagna datauppsättning. Klienten 120 loggas på för ytterligare tjänster hos servern 110, som inte är åtkomliga genom endast tillhandahållande av ett första användarnamn och ett första lösenord, om nämnda första från klienten 120 mottagna datauppsättning motsvarar nämnda första till nämnda betrodda tredje part tillhandahållna datauppsättning (som är lagrad i styrenheten).
Nämnda första datauppsättning kan vara giltig under ett inställt tldsintervall, till exempel 30 sekunder från tillhandahållande av nämnda andra datauppsättning från servern 110 till nämnda betrodda tredje part 130. Dock 'IO 15 20 25 30 24 kan också varje annat lämpligt tidsintervall användas. Om servern 110 tar emot nämnda första datauppsättning efter utgången av tidsintervallet kommer servern 110 inte att acceptera nämnda första datauppsättning och klienten 120 loggas inte in mot servern 110.
Fig 4 är et fiödesschema över en metod för säker inloggning mot en server enligt en alternativ utföringsform av uppfinningen. Ett första användarnamn tillhandahålls 410 från en klient till servern. Eventuellt tillhandahålls ett andra lösenord från klienten till servern förutom nämnda första användarnamn. Enligt en annan utföringsform kan klienten innefatta en dator som är ansluten till servern och en mobilterminal som är ansluten till en betrodd tredje part. Enligt en ytterligare utföringsform innefattar klienten en mobilterminal som är ansluten till både servern och nämnda betrodda tredje part. Mobilterminalen kan innefatta ett applikationsprogram som tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern. Applikationsprogrammet kan upprätta en krypterad kommunikationskanal mellan klienten och nämnda betrodda tredje part och/eller servern.
Enligt metoden fastställs 412 det vidare huruvida nämnda första användarnamn och (eventuellt) nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part. Vidare tillhandahålls 414 ett andra användarnamn och ett första lösenord från klienten till nämnda betrodda tredje part. Det fastställs 416 vidare huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos en betrodd tredje part. Om fastställandet är positivt tillhandahålls 418 en första datauppsättning från servern till nämnda betrodda tredje part. Servern och nämnda betrodda tredje part kommunicerar företrädesvis över en krypterad kanal.
Vidare tillhandahålls 420 nämnda första datauppsättning från nämnda betrodda tredje part till klienten och i sin tur tillhandahålls 422 nämnda första datauppsättning från klienten till servern. Om nämnda första från klienten mottagna datauppsättning motsvarar nämnda första till nämnda tredje part tillhandahållna datauppsättning, loggas 424 klienten in för ytterligare tjänster hos servern. 10 15 20 25 30 BÛÜ 25 Enligt en andra aspekt av föreliggande uppfinning tillhandahålls ett system och en metod för säkert tillhandahållande av tjänster på en server 110 till en klient 120. Denna aspekt och utföringsform beskrivs också med hänvisning till fig 1 vilken visar ett system 100 innefattande en server 110 vilken tillhandahåller en eller flera tjänster till en klient 120 som är ansluten till servern 110. Tjänsterna kan vara banktjänst online, elektroniska transaktioner, signering av elektroniska transaktioner, en affär online, etc.
Enligt en föredragen utföringsform av föreliggande uppfinning innefattar klienten 120 två eller flera enheter såsom en dator 121 vilken är ansluten till servern 110 via ett nätverk och en mobilterminal 122 såsom en mobiltelefon, en PDA eller någon annan anordning med möjligheter till trådlös kommunikation. Klienten 120 kan alternativt innefatta endast en enhet vilken kan kommunicera med olika nätverksanordningar samtidigt. Mobilterminalen 122 innefattar presentationsorgan, såsom en högtalare eller en bildskärm.
Mobilterminalen 122 kan vidare innefatta inmatningsorgan i form av ett tangentbord, knappsats eller liknande. Mobilterminalen 122 kan vidare innefatta möjligheter för lnternetkommunikation (tillexempel stödja Wireless Application Protocol (WAP) eller annat kommunikationsprotokoll).
Servern 110, nämnda betrodda tredje part 130 och klienten 120 kommunicerar via ett eller flera nätverk. Servern 110 och nämnda betrodda tredje part 130 innefattar organ för anslutning till ett nätverk och fjärr- kommunicerar med varandra, till exempel nätverkskort, trådbundet eller trådlöst. Nätverket kan vara Internet. Klientmobilterminalen 122 kan kommunicera med nämnda betrodda tredje part 130 via något nätverk, till exempel genom anslutning till en trådlös åtkomstpunkt som är ansluten till Internet eller kommunicera via GPRS med Internet, etc.
Servern 110 och nämnda betrodda tredje part 130 innefattar organ för anslutning till ett nätverk och fjärrkommunicerar med varandra, till exempel nätverkskort, trådbundet eller trådlöst och kan vara anslutna till nätverket medelst routrar, brandväggar eller genom annan konventionell nätverksinfrastruktur.
Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via ett gemensamt nätverk såsom Internet eller något annat globalt nätverk 10 15 20 25 30 26 ('Wide Area Network“, WAN) eller lokalt nätverk ("Local Area Network”, LAN).
Servern 110 och nämnda betrodda tredje part 130 kan kommunicera via Internet över en krypterad kanal såsom en anslutning av typen SSL (”Secure Sockets Layer) eller TLS ("Transport Layer Security”) eller liknande.
Klientmobilterminalen kan kommunicera med nämnda betrodda tredje part 130 via något nätverk, till exempel via en trådlös åtkomstpunkt som är ansluten till internet, via ett cellulärt nätverk som stöder GPRS (”General Packet Radio Service"), 3G-drift eller liknande.
En användare hos klienten 120 som vill erhålla åtkomst till en eller flera tjänster hos servern 110 såsom nämnts ovan förses av servern 110 med en första datauppsättning. Detta kan företrädesvis göras genom överföring av en första datauppsättning, det vill säga en första kod, från servern 110 till klienten 120 och genom visning av koden på en bildskärm hos klienten 120.
Koden kan också tillhandahållas till klienten som ljuddata (för hörselskadade) eller i någon annan form. Nämnda första datauppsättningen kan vara en nyckel ur ett nyckelpar som har skapats av någon välkänd nyckelskapande algoritm, symmetrinyckelalgoritmer (DES, AES) eller algoritm av typen publik nyckel (RSA). Nämnda första datauppsättning kan också vara en slump- mässig eller pseudoslumpmässig kombination av siffror eller bokstäver.
Användaren hos klienten 120 använder sedan en mobilterminal 122 i för tillhandahållande av en första datauppsättning från klienten till 120 till nämnda betrodda tredje part 130. Nämnda första datauppsättning lösenord tillhandahålls företrädesvis till nämnda betrodda tredje part 130 via en krypterad kanal. Nämnda första datauppsättning kan skrivas in via ett webbgränssnitt över internet. Åtkomsten till nämnda betrodda tredje part 130 tillhandahålls företrädesvis via en dedikerad klientapplikation i mobilterminalen 122. Kllentapplikationen kan vara en Java-applikation eller någon annan applikationstyp som är lämplig för exekvering på en mobilterminal 122. Klientapplikationen kan vidare vara godkänd för användning med nämnda betrodda tredje part 130 av leverantören av nämnda betrodda tredje part 130. Klientapplikationen förser användaren av mobilterminalen 122 med ett gränssnitt för tillhandahållande av användarnamnet och lösenordet. Klientapplikationen upprättar vidare en 10 15 20 25 30 553V? ÜÜÜ 27 krypterad kanal mellan mobilterminalen 122 och nämnda betrodda tredje part 130.
Kommunikationen mellan mobilterminalen 122 och nämnda betrodda tredje part 130 kan initieras av användaren på mobilterminalen 122 eller av nämnda betrodda tredje part 130. l det förra fallet kan Klientapplikationen upprätta en krypterad kanal till nämnda betrodda tredje part och överföra nämnda andra användarnamn och andra lösenord. l det senare fallet kan servern 110 instruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och tillhandahålla information till användaren därav för inmatning av nämnda andra användarnamn och nämnda andra lösenord. Alternativt kan servern instruera nämnda betrodda tredje part 130 att upprätta en krypterad kanal till mobilterminalen 122 och utan att nämnda andra användarnamn och nämnda andra lösenord tillhandahåller åtkomst till tjänsterna hos nämnda betrodda tredje part 130, i det här fallet, det vill säga såsom kommer att beskrivas i mer detalj nedan, gör det möjligt för användaren vid mobilterminalen 122 att tillhandahålla nämnda första från servern 110 mottagna datauppsättning till nämnda betrodda tredje part 130 via den krypterade kanalen. Detta resulterar i en något lägre säkerhetsnivå men om mobilterminalen registreras hos nämnda betrodda tredje part före upprättande av den krypterade kanalen ovan, kan säkerhetsnivån vara acceptabel för många applikationer.
Klientapplikationen innefattar företrädesvis en unik kod som associeras med nämnda andra användarnamn och nämnda andra lösenord.
Klientapplikationen och den unika koden tillhandahålls företrädesvis av nämnda betrodda tredje part 130 till mobilterrninalen 122 under registrering av mobilterminalen 122 för användning med nämnda betrodda tredje part 130. Den unika koden kan lagras till exempel även i en databas hos nämnda betrodda tredje part 130 tillsammans med användarnamnet, lösenordet och ytterligare användarinformation. Klientapplikationen kan tillhandahålla den unika koden till nämnda betrodda tredje part 130 tillsammans med nämnda andra användarnamn och nämnda andra lösenord. Detta gör det möjligt för nämnda betrodda tredje part 130 att jämföra den mottagna unika koden med den lagrade unika koden. Mobilterminalen 122 kan sedan autentiseras för 10 15 20 25 30 531 BÛÜ 28 användning med nämnda betrodda tredje part 130 endast om den mottagna unika koden matchar den lagrade unika koden. Detta åstadkommer en ytterligare säkerhetsnivå eftersom endast mobilterminalen 122 som används under registrering hos en betrodd tredje part 130 godkänns för nämnda betrodda tredje part 130.
Nämnda betrodda tredje part 130 fastställer sedan huruvida klienten 120, till exempel mobilterminalen 122, är registrerad och godkänd som en användare hos nämnda betrodda tredje part 130. Detta kan åstadkommas genom att nämnda betrodda tredje part 130 letar efter en matchande post i en lokal eller tjärrdatabas innefattande information om hos nämnda betrodda tredje part 130 registrerade användare. Om mobilterminalen 122 förekommer i databasposten, godkänns mobilterminalen 122 för användning med nämnda betrodda tredje part 130.
Om användaren, det vill säga mobilterminalen 122 är registrerad och autentiserad hos nämnda betrodda tredje part 130 tillhandahåller nämnda betrodda tredje part 130 nämnda första datauppsättning till servern 110.
Nämnda första datauppsättning tillhandahålls företrädesvis via en krypterad kommunikationskanal mellan nämnda betrodda tredje part 130 och servern 110. Den kan överföras som ett meddelande i ett eller flera datapaket genom metoder som är välkända inom området.
Servern 110 jämför sedan nämnda första mottagna datauppsättning med nämnda till klienten 120 tillhandahållna datauppsättning. Denna jämförelse kan åstadkommas av en styrenhet i servern 110, varvid styrenheten innefattar ett dataminnesutrymme där nämnda första datauppsättning kan lagras. Styrenheten kan sedan jämföra nämnda första lagrade datauppsättning med nämnda första mottagna datauppsättning.
Nämnda första datauppsättning kan vara giltig under ett inställt tidsintervall, till exempel 30 sekunder från tillhandahållande av nämnda första datauppsättning från servern 110 till klienten 120. Dock kan också varje annat lämpligt tidsintervall användas. Om servern 110 tar emot nämnda första datauppsättning efter utgången av tidsintervallet kommer servern 110 inte att acceptera nämnda första datauppsättning. 10 15 20 25 30 531 BÜÜ 29 Om nämnda första från nämnda betrodda tredje part 130 mottagna datauppsättning motsvarar nämnda första till klienten 120 tillhandahållna datauppsättning, tillhandahåller servern 110 en andra datauppsättning, det vill säga en andra kod, från servern 110 till nämnda betrodda tredje part 130.
Nämnda andra datauppsättning överförs till nämnda betrodda tredje part 130 via den ovan beskrivna krypterade kanalen. Den kan överföras som ett meddelande i ett eller flera datapaket genom metoder som är välkända inom området. Nämnda andra datauppsättning kan skapas genom liknande metoder som nämnda första datauppsättning. Det vill säga, nämnda andra datauppsättning kan vara nyckeln som motsvarar nämnda första datauppsätt- ningsnyckel av ett första nyckelpar som består. Nämnda andra datauppsättning kan också vara en slumpmässig eller pseudoslumpmässig kombination av siffror eller bokstäver.
Vid mottagning av nämnda andra datauppsättning tillhandahåller nämnda betrodda tredje part 130 nämnda andra datauppsättning till klienten 120 via den krypterade kanalen, varvid nämnda andra datauppsättning visas på mobilterminalens 122 bildskärm. Nämnda andra datauppsättning kan tillhandahållas till klienten 120 helt enkelt genom vidarebefordran av meddelandet som har tagits emot från servern 110 eller genom extraktion av nämnda anda datauppsättning från meddelandet som har överförts från servern 110, skapande av ett nytt meddelande innefattande nämnda andra extraherade datauppsättning och överföring av meddelandet via den krypterade kanalen till klienten 120.
Användaren hos klienten 120 kan sedan tillhandahålla nämnda andra datauppsättning till servern 110 via den enligt ovan beskrivet upprättade krypterade kommunikationskanalen. Användaren kan tillhandahålla nämnda andra datauppsättning till servern 110 genom att användaren skriver in nämnda andra datauppsättning via ett webbgränssnitt som tillhandahålls av servern 110. Den kan också tillhandahållas med användning av en dedikerad applikation, till exempel en Java-applikation, en Java-applet eller liknande.
Servern 110 jämför sedan nämnda första mottagna datauppsättning med datauppsättningen som tillhandahållits till nämnda betrodda tredje part 130. Denna jämförelse kan åstadkommas av en styrenhet i servern 110, 10 15 20 25 30 ast ang 30 varvid styrenheten innefattar ett dataminnesutrymme där nämnda första datauppsättning kan lagras innan den överförs till användaren. Styrenheten jämför nämnda första lagrade datauppsättning med nämnda första mottagna datauppsättning och tillhandahåller en eller flera tjänster till klienten 120 om nämnda andra från klienten 120 mottagna datauppsättning motsvarar nämnda andra till nämnda tredje part 130 tillhandahållna datauppsättning (som är lagrad i styrenheten).
Fig 3 är ett flödesschema över en metod för säkert tillhandahållande av tjänster på en server till en klient enligt en utföringsform av uppfinningen. En första datauppsättning tillhandahålls 310 från en server till en klient vilken första datauppsättning i sin tur tillhandahålls 312 till en betrodd tredje part.
Enligt en utföringsform kan klienten innefatta en dator som är ansluten till servern och en mobilterminal som en ansluten till en betrodd tredje part.
Enligt en ytterligare utföringsform innefattar klienten en mobilterminal som är ansluten både till servern och till nämnda betrodda tredje part.
Mobilterminalen kan innefatta ett applikationsprogram som tillhandahålls av nämnda betrodda tredje part för kommunikation med nämnda betrodda tredje part och/eller servern. Applikationsprogrammet kan upprätta en krypterad kanal mellan klienten och nämnda betrodda tredje part och/eller servern.
Enligt metoden tillhandahålls 314 vidare nämnda första datauppsättning från nämnda betrodda tredje part till servern om klienten är en registrerad användare av tjänster hos nämnda betrodda tredje part. Om nämnda första datauppsättning som tas emot från nämnda betrodda tredje part motsvarar nämnda till klienten tillhandahållna första datauppsättning, tillhandahålls 316 en andra datauppsättning från servern till nämnda betrodda tredje part.
Nämnda andra datauppsättning tillhandahålls 318 från nämnda betrodda tredje part till klienten och tillhandahålls 320 i sin tur från klienten till servern. Om nämnda andra från klienten mottagna datauppsättning motsvarar nämnda andra till nämnda tredje part tillhandahållna datauppsättning, tillhandahålls 322 en eller flera tjänster på servern till klienten. 10 553? ßÛÜ 31 I en alternativ utföringsform kan klienten 120 innefatta en eller flera enheter vilka kan kommunicera med olika nätverksanordningar samtidigt. En sådan enhet kan vara en mobilterminal 122 som innefattar presentations- organ, såsom en högtalare eller en bildskärm. Mobilterminalen 122 kan vidare innefatta inmatningsorgan i form av ett tangentbord, knappsats eller liknande.
En sådan klientmobilterminal 122 kan användas både för mottagning av tjänsterna som tillhandahålls av servern 110 och för kommunikation med nämnda betrodda tredje part 130. Mobilterminalen 122 kan kommunicera med nämnda betrodda tredje part 130 via något nätverk, till exempel via en trådlös åtkomstpunkt som är ansluten till internet, via ett cellulärt nätverk som stöder GPRS (”General Packet Radio Service"), 3G-drift eller liknande.

Claims (36)

10 15 20 25 30 531 BÜÜ 32 PATENTKRAV
1. Förfarande för säker inloggning mot en server (110), innefattande stegen att: tillhandahålla ett första användarnamn och ett första lösenord från en klient (120) till servern (110), fastställa huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en registrerad användare; tillhandahålla en första datauppsättning från servern (110) till klienten (120) om resultatet av steget att fastställa är positivt; tillhandahålla ett andra användamamn och ett andra lösenord från klienten (120) till en betrodd tredje part (130); fastställa huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part (130); tillhandahålla nämnda första datauppsättning från klienten (120) till nämnda betrodda tredje part (130) om resultatet av steget att fastställa är positivt; tillhandahålla nämnda första datauppsättning från nämnda betrodda tredje part (130) till servern (110); tillhandahålla en andra datauppsättning från servern (110) till nämnda betrodda tredje part (130) om nämnda första från nämnda betrodda tredje part (130) mottagna datauppsättning motsvarar nämnda första till klienten (120) tillhandahållna datauppsättning; tillhandahålla nämnda andra datauppsättning från nämnda betrodda tredje part (130) till klienten (120); tillhandahålla nämnda andra datauppsättning från klienten (120) till servern (110); logga in klienten (120) på servern (110) om nämnda andra från klienten (120) mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part (130) tillhandahållna datauppsättning. 10 15 20 25 30 Sflü 33
2. Förfarande enligt krav 1 innefattande steget att fastställa huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en hos en betrodd tredje part (130) registrerad användare.
3. Förfarande enligt något av föregående krav, varvid klienten (120) innefattar en dator som är ansluten till servern (110) och en mobilterminal (122) som är ansluten till nämnda betrodda tredje part (130).
4. Förfarande enligt något av föregående krav, varvid klienten (120) innefattar en mobilterminal (122) som är ansluten till både servern (110) och nämnda betrodda tredje part (130).
5. Förfarande enligt något av kraven 3 eller 4, varvid mobilterminalen (122) innefattar ett applikationsprogram som tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part (130) och/eller servern (110).
6. Förfarande enligt något av föregående krav, varvid klienten (120) och nämnda betrodda tredje part (130) kommunicerar över en krypterad kanal vilken upprättas medelst applikationsprogrammet som tillhandahålls av nämnda betrodda tredje part (130).
7. System för säker inloggning mot en server (110), innefattande: en klient (120) anordnad att tillhandahålla ett första användarnamn och ett första lösenord till servern (110); organ för fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en registrerad användare; organ för tillhandahållande av en första datauppsättning från servern (110) till klienten (120) om resultatet av steget att fastställa är positivt; organ för tillhandahållande av ett andra användarnamn och ett andra lösenord från klienten (120) till nämnda betrodda tredje part (130); 10 15 20 25 30 ššïfšâ BÛQ 34 organ för faststäilande av huruvida nämnda andra användarnamn och nämnda andra lösenord motsvarar en hos en betrodd tredje part (130) registrerad användare; organ för tillhandahållande av nämnda första datauppsättning från klienten (120) till nämnda betrodda tredje part (130) om resultatet av steget att fastställa är positivt; organ för tillhandahållande av nämnda första datauppsättning från nämnda betrodda tredje part (130) till servern (110); organ för tillhandahållande av en andra datauppsättning från servern (110) till nämnda betrodda tredje part (130) om nämnda första från nämnda betrodda tredje part (130) mottagna datauppsättning motsvarar nämnda första till klienten (120) tillhandahållna datauppsättnlng; organ för tillhandahållande av nämnda andra datauppsättning från nämnda betrodda tredje part (130) till klienten (120); organ för tillhandahållande av nämnda andra datauppsättning från klienten (120) till servern (110); organ för inloggning av klienten (120) mot servern (110) om nämnda andra från klienten (120) mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part (130) tillhandahållna datauppsättning.
8. System enligt krav 7 innefattande organ för fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en hos en betrodd tredje part (130) registrerad användare.
9. System enligt krav 7, varvid klienten (120) innefattar en dator vilken är anslutbar till servern (110) och en mobilterminal vilken är anslutbar till nämnda betrodda tredje part (130).
10. System enligt något av kraven 7-9, varvid klienten (120) innefattar en mobilterminal (122) vilken är anslutbar både till servern (110) och nämnda betrodda tredje part (130). 10 15 20 25 30 35
11. System enligt något av kraven 9 eller 10, varvid mobilterminalen (122) innefattar ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part (130) och/eller servern (110).
12. System enligt något av kraven 7-11, varvid klienten (120) och nämnda betrodda tredje part (130) är anordnade att kommunicera över en krypterad kanal som har upprättats medelst applikationsprogrammet som tillhandahålls av nämnda betrodda tredje part (130).
13. Förfarande för säkert tillhandahållande av tjänster på en server (110) till en klient (120), innefattande stegen att: tillhandahålla en första datauppsättning från servern (110) till klienten (120); tillhandahålla nämnda första datauppsättning från klienten (120) till en betrodd tredje part (130); tillhandhålla nämnda första datauppsättning från nämnda tredje part (130) till servern (110) om klienten (120) är en registrerad användare av tjänster hos nämnda betrodda tredje part (130); tillhandahålla en andra datauppsättning från servern (110) till nämnda betrodda tredje part (130) om nämnda första från nämnda betrodda tredje part (130) mottagna datauppsättning motsvarar nämnda första till klienten (120) tillhandahållna datauppsättning; tillhandahålla nämnda andra datauppsättning från nämnda betrodda tredje part (130) till klienten (120); tillhandahålla nämnda andra datauppsättning från klienten (120) till servern (110); tillhandahålla en eller flera tjänster på servern (110) till klienten (120) om nämnda andra från klienten (120) mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part (130) tillhandahållna datauppsättning. 10 15 20 25 30 Büâf* 36
14. Förfarande enligt krav 13, varvid klienten (120) innefattar en dator vilken är ansluten till servern (110) och en mobilterminal (120) vilken är ansluten till nämnda betrodda tredje part (130).
15. Förfarande enligt något av kraven 13 eller 14, varvid klienten (120) innefattar en mobilterminal (122) vi|ken är ansluten till både servern (110) och nämnda betrodda tredje part (130).
16. Förfarande enligt något av kraven 14 eller 15, varvid mobil- terminalen (122) innefattar ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part (130) och/eller servern (110).
17. Förfarande enligt något av kraven 13-16, varvid klienten (120) och nämnda betrodda tredje part (130) kommunicerar över en krypterad kanal vilken upprättats medelst applikationsprogrammet vilket tillhandahålls av nämnda betrodda tredje part (130).
18. System för säkert tillhandahållande av tjänster på en server (110) till en klient (120), innefattande: organ för tillhandahållande av en första datauppsättning från servern (110) till klienten (120); organ för tillhandahållande av nämnda första datauppsättning från klienten (120) till en betrodd tredje part (130); organ för tillhandahållande av nämnda första datauppsättning från nämnda betrodda tredje part (130) till servern (110) om klienten (120) är en registrerad användare av tjänster hos nämnda betrodda tredje part (130), organ för tillhandahållande av en andra datauppsättning från servern (110) till nämnda betrodda tredje part (130) om nämnda första från nämnda betrodda tredje part (130) mottagna datauppsättning motsvarar nämnda första till klienten (120) tillhandahållna datauppsättning; organ för tillhandahållande av nämnda andra datauppsättning från nämnda betrodda tredje part (130) till klienten (120); 10 15 20 25 30 BÜÜ 37 organ för tillhandahållande av nämnda andra datauppsättning från klienten (120) till servern (110); organ för tillhandahållande av en eller flera tjänster på servern (110) till klienten (120) om nämnda andra från klienten (120) mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part (130) tillhandahållna datauppsättning.
19. System enligt krav 18, varvid klienten (120) innefattar en dator som är anslutbar till servern (110) och en mobilterminal (120) som är anslutbar till nämnda betrodda tredje part (130).
20. System enligt något av kraven 18 eller 19, varvid klienten (120) innefattar en mobilterminal (122) som är anslutbar till både servern (110) och nämnda betrodda tredje part (130).
21. System enligt något av kraven 19 eller 20, varvid mobilterminalen innefattar ett applikatlonsprogram som tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part (130) och/eller servern (110).
22. System enligt något av kraven 18-21, varvid klienten (120) och nämnda betrodda tredje part (130) är anordnade att kommunicera över en krypterad kanal som har upprättats medelst det av nämnda betrodda tredje part (130) tillhandahållna applikationsprogrammet.
23. Förfarande för säker inloggning mot en server (110), innefattande stegen att: tillhandahålla ett första användarnamn från en klient (120) till servern (110), fastställa huruvida nämnda första användare motsvarar en registrerad användare; tillhandahålla ett andra användamamn och ett första lösenord från klienten (120) till nämnda betrodda tredje part (130); 10 15 20 25 30 533 BÜÜ 38 fastställa huruvida nämnda andra användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part (130); tillhandahålla en första datauppsättning från servern (110) till nämnda betrodda tredje part (130) om användaren är registrerad hos nämnda betrodda tredje part (130); tillhandahålla nämnda första datauppsättning från nämnda betrodda tredje part (130) till klienten (120); tillhandahålla nämnda första datauppsättning från klienten (120) till servern (110); logga in klienten (120) mot servern (110) om nämnda andra från klienten (120) mottagna datauppsättning motsvarar nämnda andra till nämnda betrodda tredje part (130) tillhandahållna datauppsättning.
24. Förfarande enligt krav 23, innefattande steget att fastställa huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos en betrodd tredje part (130).
25. Förfarande enligt krav 23, varvid klienten (120) innefattar en dator vilken är ansluten till servern (110) och en mobilterminal (122) vilken är ansluten till nämnda betrodda tredje part (130).
26. Förfarande enligt något av kraven 23 eller 25, varvid klienten (120) innefattar en mobilterminal (122) vilken är ansluten till både servern (110) och nämnda betrodda tredje part (130).
27. Förfarande enligt något av kraven 25 eller 26, varvid mobilterminalen (122) innefattar ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part (130) och/eller servern (110).
28. Förfarande enligt något av kraven 23-27, varvid klienten (120) och nämnda betrodda tredje part (130) kommunicerar över en krypterad kanal 10 15 20 25 30 53% BÜÜ 39 vilken har upprättats medelst det av nämnda betrodda tredje part (130) tillhandahållna applikationsprogrammet.
29. Förfarande enligt något av kraven 23-28, varvid förutom nämnda första användarnamn tillhandahålls ett andra lösenord från klienten (120) till servern (110) och steget att fastställa innefattar steget att fastställa huruvida nämnda första användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part (130).
30. System för säker inloggning mot en server (110), innefattande: en klient (120) anordnad att tillhandahålla ett första användarnamn till servern (110); organ för fastställande av huruvida nämnda första användarnamn motsvarar en registrerad användare; organ för tillhandahållande av ett andra användarnamn och ett första lösenord från klienten (120) till nämnda betrodda tredje part (130); organ för fastställande av huruvida nämnda andra användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos en betrodd tredje part (130); organ för tillhandahållande av en första datauppsättning från servern (110) till nämnda betrodda tredje part om användaren är registrerad hos nämnda betrodda tredje part (130); organ för tillhandahållande av nämnda första datauppsättning från nämnda tredje part (130) till klienten (120); organ för tillhandahållande av nämnda första datauppsättning från klienten (120) till servern (110); organ för inloggning av klienten (120) mot servern (110) om nämnda första från klienten (120) mottagna datauppsättning motsvarar nämnda första till nämnda betrodda tredje part (130) tillhandahållna datauppsättning.
31. System enligt krav 30, innefattande organ för fastställande av huruvida nämnda första användarnamn och nämnda första lösenord motsvarar en användare som är registrerad hos en betrodd tredje part (130). 10 15 20 25 53% ägg 40
32. System enligt något av kraven 30 eller 31, varvid klienten (120) innefattar en dator vilken är anslutbar till servern (110) och en mobilterminal vilken är anslutbar till nämnda betrodda tredje part (130).
33. System enligt något av kraven 30-32, varvid klienten (120) innefattar en mobilterminal vilken är anslutbar både till servern (110) och nämnda betrodda tredje part (130).
34. System enligt något av kraven 32 eller 33, varvid mobilterminalen (122) innefattar ett applikationsprogram vilket tillhandahålls av nämnda betrodda tredje part (130) för kommunikation med nämnda betrodda tredje part och/eller servern (110).
35. System enligt något av kraven 30-34, varvid klienten (120) och nämnda betrodda tredje part (130) är anordnade att kommunicera över en krypterad kanal som upprättas medelst det av nämnda betrodda tredje part (130) tillhandahållna applikationsprogrammet.
36. System enligt något av kraven 30-35, varvid klienten (120) förutom nämnda första användarnamn är anordnad att tillhandahålla ett andra lösenord till servern (110) och organet för fastställande är anordnat att faststäila huruvida nämnda första användarnamn och nämnda andra lösenord motsvarar en användare som är registrerad hos nämnda betrodda tredje part (1 30).
SE0702768A 2007-12-12 2007-12-12 Inloggningssystem SE531800C2 (sv)

Priority Applications (4)

Application Number Priority Date Filing Date Title
SE0702768A SE531800C2 (sv) 2007-12-12 2007-12-12 Inloggningssystem
US12/747,126 US20100325433A1 (en) 2007-12-12 2008-12-11 Login system
PCT/SE2008/000692 WO2009075627A1 (en) 2007-12-12 2008-12-11 Login system
EP08858851A EP2223461A4 (en) 2007-12-12 2008-12-11 REGISTRATION SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0702768A SE531800C2 (sv) 2007-12-12 2007-12-12 Inloggningssystem

Publications (2)

Publication Number Publication Date
SE0702768L SE0702768L (sv) 2009-06-13
SE531800C2 true SE531800C2 (sv) 2009-08-11

Family

ID=40755740

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0702768A SE531800C2 (sv) 2007-12-12 2007-12-12 Inloggningssystem

Country Status (4)

Country Link
US (1) US20100325433A1 (sv)
EP (1) EP2223461A4 (sv)
SE (1) SE531800C2 (sv)
WO (1) WO2009075627A1 (sv)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377784B (zh) * 2011-11-24 2014-06-04 飞天诚信科技股份有限公司 动态口令的认证方法及系统
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035406A (en) * 1997-04-02 2000-03-07 Quintet, Inc. Plurality-factor security system
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
US7356837B2 (en) * 2001-08-29 2008-04-08 Nader Asghari-Kamrani Centralized identification and authentication system and method
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US20040203595A1 (en) * 2002-08-12 2004-10-14 Singhal Tara Chand Method and apparatus for user authentication using a cellular telephone and a transient pass code
CA2557143C (en) * 2004-02-27 2014-10-14 Sesame Networks Inc. Trust inheritance in network authentication
US7613919B2 (en) * 2004-10-12 2009-11-03 Bagley Brian B Single-use password authentication
JP4737974B2 (ja) * 2004-11-26 2011-08-03 株式会社東芝 オンラインショッピングシステムとそのユーザ管理装置、ネット店舗装置及びユーザ端末装置
US7983979B2 (en) * 2005-03-10 2011-07-19 Debix One, Inc. Method and system for managing account information
US7540022B2 (en) * 2005-06-30 2009-05-26 Nokia Corporation Using one-time passwords with single sign-on authentication
US9569772B2 (en) * 2005-12-21 2017-02-14 Patent Navigation Inc Enhancing bank card security with a mobile device
US20070174080A1 (en) * 2006-01-20 2007-07-26 Christopher Scott Outwater Method and apparatus for improved transaction security using a telephone as a security token
US20090025066A1 (en) * 2007-07-17 2009-01-22 Protectia Corporation Systems and methods for first and second party authentication

Also Published As

Publication number Publication date
EP2223461A1 (en) 2010-09-01
US20100325433A1 (en) 2010-12-23
EP2223461A4 (en) 2012-09-05
WO2009075627A1 (en) 2009-06-18
SE0702768L (sv) 2009-06-13

Similar Documents

Publication Publication Date Title
US10755279B2 (en) Methods, systems and products for authentication
US9356930B2 (en) Secure randomized input
US8156335B2 (en) IP address secure multi-channel authentication for online transactions
US9047473B2 (en) System and method for second factor authentication services
KR101019458B1 (ko) 확장된 일회용 암호 방법 및 장치
AU2007260593B2 (en) An authentication system and process
US8954745B2 (en) Method and apparatus for generating one-time passwords
CN108989278A (zh) 认证服务系统及方法
US20090063850A1 (en) Multiple factor user authentication system
US20150113615A1 (en) Text message authentication system
US9009793B2 (en) Dynamic pin dual factor authentication using mobile device
US9009800B2 (en) Systems and methods of authentication in a disconnected environment
JP2012503229A (ja) サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム
US8171303B2 (en) Authenticating a login
WO2012004640A1 (en) Transaction authentication
US20100257366A1 (en) Method of authenticating a user
US20160125410A1 (en) System and Method for Detecting and Preventing Social Engineering-Type Attacks Against Users
SE531800C2 (sv) Inloggningssystem
KR20180037168A (ko) Otp를 이용한 상호 인증 방법 및 시스템
KR20180039037A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
US20100005515A1 (en) Systems and methods for associate to associate authentication
KR101493057B1 (ko) 일회용 코드 제공 방법
US10853816B1 (en) Systems and methods for authentication of an individual on a communications device
Schürmann et al. Wiretapping end-to-end encrypted VoIP calls: real-world attacks on ZRTP
KR20240075374A (ko) 사용자 단말을 이용한 인증 기반 금융거래서비스 제공 시스템 및 방법

Legal Events

Date Code Title Description
NUG Patent has lapsed