[go: up one dir, main page]

FI114953B - Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite - Google Patents

Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite Download PDF

Info

Publication number
FI114953B
FI114953B FI20011909A FI20011909A FI114953B FI 114953 B FI114953 B FI 114953B FI 20011909 A FI20011909 A FI 20011909A FI 20011909 A FI20011909 A FI 20011909A FI 114953 B FI114953 B FI 114953B
Authority
FI
Finland
Prior art keywords
authentication
terminal
user
authentication protocol
expandable
Prior art date
Application number
FI20011909A
Other languages
English (en)
Swedish (sv)
Other versions
FI20011909L (fi
FI20011909A0 (fi
Inventor
Henry Haverinen
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of FI20011909A0 publication Critical patent/FI20011909A0/fi
Priority to FI20011909A priority Critical patent/FI114953B/fi
Priority to KR1020087018480A priority patent/KR100978818B1/ko
Priority to US10/491,116 priority patent/US7848522B2/en
Priority to AT02762485T priority patent/ATE326092T1/de
Priority to PCT/FI2002/000769 priority patent/WO2003030445A1/en
Priority to EP02762485A priority patent/EP1430640B1/en
Priority to ES02762485T priority patent/ES2263811T3/es
Priority to KR10-2004-7004332A priority patent/KR20040037113A/ko
Priority to BRPI0212814-4A priority patent/BRPI0212814B1/pt
Priority to CA2461804A priority patent/CA2461804C/en
Priority to BR0212814-4A priority patent/BR0212814A/pt
Priority to KR1020077016978A priority patent/KR100952453B1/ko
Priority to CNB028192281A priority patent/CN100433616C/zh
Priority to JP2003533513A priority patent/JP4837890B2/ja
Priority to DE60211360T priority patent/DE60211360T2/de
Publication of FI20011909L publication Critical patent/FI20011909L/fi
Priority to ZA200401571A priority patent/ZA200401571B/en
Application granted granted Critical
Publication of FI114953B publication Critical patent/FI114953B/fi
Priority to JP2009276886A priority patent/JP5189066B2/ja

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Collating Specific Patterns (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Description

114953
Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjes-telmä, päätelaite ja käyttöoikeuksien varmistuslaite 5 Nyt esillä oleva keksintö kohdistuu menetelmään päätelaitteen käyttäjän tunnistamiseksi, jossa päätelaitteessa käytetään käyttöoikeuksien varmistuslaitetta tunnistusprotokollan suorittamiseen, ja joka käyttöoikeuksien varmistuslaite liitetään päätelaitteeseen. Keksintö kohdistuu lisäksi tunnistusjärjestelmään, joka käsittää päätelaitteen, jossa on vä-10 lineet käyttöoikeuksien varmistuslaitteen liittämiseksi ainakin tunnistusta varten, ja jossa käyttöoikeuksien varmistuslaitteessa on välineet tunnistusprotokollan suorittamiseksi. Keksintö kohdistuu myös päätelaitteeseen, jossa on välineet käyttöoikeuksien varmistuslaitteen liittämiseksi ainakin tunnistusta varten, ja jossa käyttöoikeuksien varmis-15 tuslaitteessa on välineet tunnistusprotokollan suorittamiseksi. Keksintö kohdistuu vielä käyttöoikeuksien varmistuslaitteeseen käytettäväksi käyttäjän tunnistamisessa, joka käyttöoikeuksien varmistuslaite käsittää välineet tunnistusprotokollan suorittamiseksi.
20 Käyttöoikeuksien varmistuslaitteella tässä selityksessä tarkoitetaan sellaista toiminnallista laitetta, jossa on välineet jonkin toiminnon ja/tai laitteen käyttöoikeuksien varmistamiseksi ennen kuin laite on käytettä-.···. vissä ja/tai laitteen käytön yhteydessä. Esimerkkeinä tällaisista var- mistuslaitteista mainittakoon tässä yhteydessä ns. toimikortit, jotka tyy- • ♦ ‘ . 25 pillisesti sisältävät suorittimen, muistia ja liitäntävälineet. Toimikorttiin on järjestetty ohjelmisto tai vastaava, jolla toimikortille annettuja syöt- • · < t · teitä käsitellään ja muodostetaan vasteita. Tällaisia toimikortteja käy-:···: tetään mm. matkaviestimissä, maksukortteina, sähköisinä henkilökort teina, jne. Lisäksi tunnetaan käyttöoikeuksien varmistuslaitteita, joilla • ,· 30 esimerkiksi kopioidun ohjelmiston käyttö voidaan estää. Tällainen var- mistuslaite (englanniksi "dongle" tai "hardlock") asetetaan esimerkiksi : '·. tietokoneen tulostinliitäntään, jolloin ohjelmistossa on toteutettu var- mistusohjelma, joka käy tutkimassa mm. sen, onko tulostinliitäntään *·;·* kytketty varmistuslaite ja tarvittaessa vielä tutkii varmistuslaitteeseen V·; 35 mahdollisesti tallennetun tunnisteen (esim. lisenssinumero). Vaikka jat- kossa tässä selityksessä käytetään tällaisista käyttöoikeuksien var- 2 1149 S3 mistuslaitteista pääasiassa nimitystä toimikortti, on selvää, että keksintöä ei ole rajoitettu vain toimikorteissa käytettäväksi.
Tunnetaan päätelaitteita, joihin voidaan liittää toimikortti käytettäväksi 5 mm. käyttäjän tunnistuksessa. Tunnistus voi olla tarpeen mm. sen estämiseksi, että asiattomat käyttäjät eivät pääse käyttämään päätelaitetta tai suorittamaan päätelaitteella sellaisia toimintoja, joita muilla kuin päätelaitteen varsinaisella käyttäjällä ei ole oikeutta käyttää. Tunnis-tustoiminnot on tavallisesti järjestetty ainakin osittain toimikortin yhtey-10 teen, jolloin päätelaite välittää käyttäjän antamat tunnistetiedot toimikortille. Tunnistetietoina käytetään esimerkiksi käyttäjätunnusta (user name) ja salasanaa (password) tai henkilökohtaista tunnuslukua (PIN, Personal Identity Number). Toimikorttiin on asetettu tunnistusprotokol-la, jonka suorittamisessa käytetään tunnistusparametreina päätelait-15 teestä välitettyjä tunnistetietoja. Protokollan avulla lasketaan esimerkiksi vertailuluku, jota verrataan toimikortille tallennettuun tunnuslukuun. Tällöin näiden lukujen vastatessa toisiaan oletetaan, että käyttäjä on se, joka hän väittääkin olevansa.
20 Toimikorttipohjaista ratkaisua voidaan käyttää myös käyttäjän kirjautuessa päätelaitteella johonkin tietoverkkoon. Tietoverkkoon on järjestetty : , tunnistuspaivelin tai vastaava (Authentication Server), jonka yhteyteen on tallennettu rekisteröityneiden käyttäjien tunnistetietoja, kuten nimi, . käyttäjätunnus ja salasana. Tällöin tunnistuspaivelin ja toimikortti kom- , ' . 25 munikoivat keskenään päätelaitteen ja tietoverkon välityksellä. Tällai- t ! sessakin ratkaisussa voi olla tarpeen suorittaa käyttäjän tunnistus en- sin päätelaitteen käynnistyksen yhteydessä, minkä jälkeen suoritetaan toinen tunnistus tietoverkon tunnistuspalvelimessa. Tämä toinen tunnistus perustuu jonkin ennalta määrätyn tunnistusprotokollan sekä tun-i V 30 nistusalgoritmien käyttöön. Tällöin päätelaitteeseen sekä tietoverkkoon ·’...· on tallennettu tämän tunnistusprotokollan suorittamisessa tarpeelliset : !·. ohjelmakoodit. Tunnistusalgoritmi on tallennettu tunnistuspalvelimeen sekä toimikorttiin.
• · • $ • »
Vi 35 Tietoverkossa tunnistus voidaan suorittaa esimerkiksi siten, että pää- telaitteesta lähetetään kirjautumispyyntö tietoverkkoon, jossa kirjautu-mispyyntö välitetään tunnistuspalvelimeile. Tunnistuspaivelin muodos- 114953 3 taa ennalta sovitulla tunnistusalgoritmilla siemenluvun (challenge) tai vastaavan. Tunnistuspalvelin lähettää tämän jälkeen vastaussanoman, johon mainittu siemenluku on liitetty joko sellaisenaan tai salattuna. Tämän sanoman oikeellisuus voidaan vielä varmistaa digitaalisella al-5 lekirjoituksella, jonka toimikortti voi tarkistaa vastaanotettuaan vastaus-sanoman. Seuraavaksi suoritetaan toimikortissa käyttäjän tunnistetietojen sekä vastaanotetun siemenluvun perusteella tarkistusluvun muodostus vastaavalla ennalta määrätyllä tunnistusalgoritmilla. Tarkistus-luku välitetään tunnistuspalvelimelle, joka pystyy tunnistuspalvelimelle 10 tallennettujen käyttäjätietojen ja muodostamansa siemenluvun perusteella muodostamaan vertailuluvun. Tunnistuspalvelin voi verrata tarkistuslukua ja vertailulukua keskenään ja päätellä vertailun tuloksesta se, että vastaavatko tarkistusluvun ja vertailuluvun muodostuksessa käytetyt tiedot toisiaan. Mikäli tiedot vastaavat toisiaan, voidaan olet-15 taa, että käyttäjä on oikein tunnistettu ja käyttäjä voi aloittaa tietoverkon käytön. Edellä esitetyn kaltainen menetelmä on käytössä mm. GSM-matkaviestinjärjestelmässä ja UMTS-matkaviestinjärjestelmässä matkaviestimen kirjautuessa matkaviestinverkkoon. Toimikorttina GSM-matkaviestinjärjestelmässä käytetään ns. SIM-korttia (Subscriber Iden-20 tity Module) ja vastaavasti UMTS-matkaviestinjärjestelmässä käytetään USIM-korttia (UMTS Subscriber Identity Module). Tunnistuspalveli- : mena käytetään tunnistuskeskusta AuC (Authentication Centre). SIM- * .··. kortit sisältävät matkaviestinverkko-operaattorikohtaisen tunnistusalgo- .·*··, ritmin.
• * · * . 25
* · t * I
! Toimikorttipohjaisissa ratkaisuissa voidaan käyttäjätietoja sekä tunnis- * · *»· tusalgoritmi muuttaa vaihtamalla toimikortin tilalle uusi toimikortti, johon :·*·: on asetettu uusi tunnistusalgoritmi. Vastaavasti tunnistuspalvelimeen on asennettava tämä uusi tunnistusalgoritmi, ellei sitä jo ole asennettu- • 30 na.
: Ongelmana edellä esitetyissä tunnetun tekniikan mukaisissa ratkai- t · · suissa on mm. se, että tunnistusprotokollaa ei voi vaihtaa pelkästään T toimikorttia muuttamalla. Esimerkiksi GSM-matkaviestinjärjestelmissä V-i 35 ja UMTS-matkaviestinjärjestelmissä on käytössä erilaiset tunnistus- protokollat, jolloin GSM-matkaviestinjärjestelmän mukaista matkaviestintä ei voi päivittää käyttämään UMTS-matkaviestinjärjestelmässä 114953 4 käytössä olevaa tunnistusprotokollaa pelkästään toimikorttia vaihtamalla. Tällöin tunnistusprotokollamuutokset edellyttävät muutoksia myös ainakin päätelaitteen ohjelmistoon sekä tarvittaessa myös tun-nistuspalvelimen ohjelmistoon.
5
Langattoman viestimen käyttäjä voi liikkua eri matkaviestinverkkojen alueella. Tällöin käyttäjän ollessa muussa kuin omassa kotiverkossaan suoritetaan tunnistus siten, että vierailuverkko välittää tunnistusproto-kollan mukaiset sanomat päätelaitteen ja kotiverkon tunnistuskeskuk-10 sen välillä. Tunnistuksen suorittaa siis kotiverkon tunnistuskeskus. Tunnistusalgoritmi voidaan tällöin asettaa operaattorikohtaiseksi mm. GSM-matkaviestinjärjestelmissä ja UMTS-matkaviestinjärjestelmissä, koska kaikki tunnistuksessa käytettävät arvot muodostetaan kotiverkossa. Vierailuverkon ei tarvitse tuntea algoritmia, koska sen tehtävä 15 on vain vertailla lukuja. Mikäli halutaan säilyttää langattomien viestimien käytettävyys eri matkaviestinverkoissa, ei tunnistusprotokollaa voida asettaa operaattorikohtaiseksi tunnetun tekniikan mukaisia ratkaisuja käytettäessä.
20 Tunnetaan myös tiedonsiirtoverkkoja, joissa ns. kotiverkkoon on mahdollista kytkeä työasema esimerkiksi valinnaisen puhelinverkon välityksellä. Joissakin tällaisissa ns. dial-up -verkoissa on käytössä laajen-; nettu tunnistusprotokolla (EAP, Extendable Authentication Protocol).
Tällaisissa järjestelmissä vierailuverkon tehtävänä on vain välittää , . 25 EAP-protokollan mukaisia sanomia päätelaitteen ja kotiverkon tunnis- ! tuskeskuksen välillä. Vierailuverkon ei tarvitse osata tulkita EAP- proto- ' kollan mukaisia sanomia. Uusi tunnistusprotokolla tai -algoritmi voidaan *··' ottaa käyttöön muuttamatta lainkaan vierailuverkkoa. Kuitenkin pääte laitetta täytyy muuttaa, koska uuden EAP- protokollatyypin vaatima «* < i .·' 30 ohjelmisto täytyy päivittää nykytekniikan mukaisissa ratkaisuissa.
• I
• : !·, EAP on Internet-standardointijärjestön IETF (Internet Engineering Task • * · [•»l Force) määrittämä standardi laajennetulle tunnistusprotokollalle pis- ’‘l'’ teestä-pisteeseen protokollan (PPP, Point-to-Point protocol) yhteydes- • · ·’.·: 35 sä käytettäväksi ja sen tarkempi määrittely on esitetty mm. IETF:n do- kumentissa rfc2284.txt. Standardi käsittää määritykset tunnistuksessa käytettävien sanomien rakenteelle. EAP-sanoma käsittää otsikkoken 114953 5 tän sekä datakentän. Otsikkokentässä määritetään mm. sanoman tyyppi, tunniste ja pituus. Sanomat lähetetään siirtoyhteyskerroksessa (Data Link Layer) käytettävän PPP-protokollan sanomakehyksissä.
5 Nyt esillä olevan keksinnön eräänä tarkoituksena on aikaansaada parannettu menetelmä käyttäjän tunnistamiseksi. Keksintö perustuu siihen ajatukseen, että muodostetaan toimikortille laajennettava tunnis-tusprotokollarajapinta (EAP IF, Extendable Authentication Protocol Interface), jonka kautta tunnistustoiminnot suoritetaan toimikortilla. Täs-10 mällisemmin ilmaistuna nyt esillä olevan keksinnön mukaiselle menetelmälle on pääasiassa tunnusomaista se, että käyttöoikeuksien varmistuslaitteella käytetään laajennettavaa tunnistusprotokollarajapintaa, jonka kautta ainakin osa tunnistustoiminnoista suoritetaan, jolloin käyttäjän tunnistamiseksi käyttöoikeuksien varmistuslaitteeseen väli-15 tetään tieto ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta, laajennettavassa tunnistusprotokollarajapin-nassa muodostetaan mainitun käytettävissä olevan tunnistusprotokol-lan mukainen vastaussanoma, ja laajennettavassa tunnistusprotokolla-rajapinnassa muodostettu vastaussanoma lähetetään käyttöoikeuksien 20 varmistuslaitteesta. Nyt esillä olevan keksinnön mukaiselle järjestelmälle on pääasiassa tunnusomaista se, että käyttöoikeuksien varmis-*: tuslaitteeseen on muodostettu laajennettava tunnistusprotokollaraja- ·. pinta sekä välineet ainakin osan tunnistustoiminnoista suorittamiseksi , ·. mainitun laajennettavan tunnistusprotokollarajapinnan kautta, että tieto ,' 25 ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusproto- ! kollasta on järjestetty välitettäväksi käyttöoikeuksien varmistuslaittee seen, ja että laajennettava tunnistusprotokollarajapinta käsittää välineet I · ’- ·* vastaussanoman muodostamiseksi, ja välineet laajennettavassa tun- nistusprotokollarajapinnassa muodostetun vastaussanoman lähettämi- I t > : 30 seksi käyttöoikeuksien varmistuslaitteesta. Nyt esillä olevan keksinnön j mukaiselle päätelaitteelle on pääasiassa tunnusomaista se, että käyt- : !·. töoikeuksien varmistuslaitteeseen on muodostettu laajennettava tun- [···[ nistusprotokollarajapinta sekä välineet ainakin osan tunnistustoimin noista suorittamiseksi mainitun laajennettavan tunnistusprotokollaraja- • » 35 pinnan kautta, välineet tiedon ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta vastaanottamiseksi, ja että laajennettava tunnistusprotokollarajapinta käsittää välineet vastaussanoman 114953 6 muodostamiseksi, ja välineet laajennettavassa tunnistusprotokol-larajapinnassa muodostetun vastaussanoman lähettämiseksi käyttöoikeuksien varmistuslaitteesta. Nyt esillä olevan keksinnön mukaiselle käyttöoikeuksien varmistuslaitteelle on vielä pääasiassa tunnusomaista 5 se, että käyttöoikeuksien varmistuslaitteeseen on muodostettu laajennettava tunnistusprotokollarajapinta sekä välineet ainakin osan tunnis-tustoiminnoista suorittamiseksi mainitun laajennettavan tunnistusproto-kollarajapinnan kautta, välineet tiedon ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta vastaanottamiseksi, ja 10 että laajennettava tunnistusprotokollarajapinta käsittää välineet vastaussanoman muodostamiseksi, ja välineet laajennettavassa tunnistus-protokollarajapinnassa muodostetun vastaussanoman lähettämiseksi käyttöoikeuksien varmistuslaitteesta. Tämän keksinnön yhteydessä käytettävä tunnistusprotokollarajapinta on siinä mielessä laajennettava, 15 että mikä tahansa tunnistusprotokolla voidaan suorittaa kyseistä rajapintaa käyttämällä muuttamatta rajapintaa tai päätelaitteen ohjelmistoa tai laitteistoa millään tavalla.
Nyt esillä olevalla keksinnöllä saavutetaan merkittäviä etuja tunnetun 20 tekniikan mukaisiin ratkaisuihin verrattuna. Keksinnön mukaista menetelmää sovellettaessa voidaan käyttäjän tunnistuksessa käytettävä tunnistusprotokolla vaihtaa toimikorttia vaihtamalla. Tällöin ei ole tarve ; ·; suorittaa ohjelmistopäivityksiä vierailuverkossa tai päätelaitteessa.
, Λ Tällä tavoin esim. matkaviestinverkoissa tunnistusprotokolla voi olla / 25 operaattorikohtainen, koska tunnistuskeskuksena käytetään kotiverkon tunnistuskeskusta. Tällöin vierailuverkossa voi olla käytössä erilainen | ,1 tunnistusprotokolla kuin käyttäjän kotiverkossa. Koska ohjelmistopäivi- • · tyksiä ei tarvitse suorittaa, vältytään hankalalta ja vaikeasti hallittavalta päivitystiedostojen välitykseltä.
Γ . ·1 30
Keksintöä selostetaan seuraavassa tarkemmin viitaten samalla oheisiin : j1; piirustuksiin, joissa I t 1 · < I I • · kuva 1 esittää keksinnön erään edullisen suoritusmuodon mukaista • · :.‘i 35 tunnistusjärjestelmää pelkistettynä kaaviona,
• < I
• · « · 7 1 1 4953 kuva 2 esittää keksinnön erään edullisen suoritusmuodon mukaista langatonta päätelaitetta pelkistettynä lohkokaaviona, kuva 3 esittää keksinnön erään edullisen suoritusmuodon mukaista 5 toimikorttia pelkistettynä lohkokaaviona, kuva 4 esittää keksinnön erään edullisen suoritusmuodon mukaista menetelmää signalointikaaviona, ja 10 kuvat 5a—5e esittävät eräitä keksinnön erään edullisen suoritusmuodon mukaisessa järjestelmässä käytettäviä sanomia.
Seuraavassa keksinnön yksityiskohtaisessa selostuksessa käytetään 15 esimerkkinä tunnistusjärjestelmästä 1 matkaviestinverkon 2 tunnistus-järjestelmää, mutta keksintöä ei ole rajoitettu ainoastaan matkaviestinverkkojen yhteydessä käytettäväksi. Matkaviestinverkko 2 on esimerkiksi GSM-matkaviestinjärjestelmä tai UMTS-matkaviestinjärjestelmä, mutta on selvää, että keksintöä voidaan soveltaa muissakin tietoliiken-20 nejärjestelmissä.
Nyt esillä olevaa keksintöä voidaan soveltaa myös mm. UMTS-SIP- . ·. tunnistuksen yhteydessä, jossa käytetään EAP- standardin mukaista * » protokollaa, kuten myös IEEE 802.1 X -tunnistusprotokollaa käyttävissä . 25 järjestelmissä. Kyseinen protokolla ollaan ottamassa käyttöön myös | langattomissa lähiverkoissa (WLAN, Wireless Local Area Network) ja # · » · se perustuu EAP-standardin mukaisen protokollan käyttöön.
• · t · 1 »
Tunnistusjärjestelmä käsittää tunnistuspalvelimen 3, kuten matkavies-Γ > 30 tinverkon tunnistuskeskuksen AuC. Tunnistusjärjestelmässä on myös tiedonsiirtovälineet 4 tunnistuksessa tarvittavien tietojen välittämiseksi ; z, käyttäjän päätelaitteen 5 ja tunnistuspalvelimen 3 välillä. Tiedonsiirto- välineet käsittävät esimerkiksi matkaviestinverkon 2 tukiasemia 6, tuki- t t asemaohjaimia 7 sekä yhden tai useamman matkapuhelinkeskuksen 8.
O*· 35 Tunnistuspalvelin 3 voi olla erillinen matkaviestinverkkoon 2 liitetty pal- velin tai se voi olla järjestetty esim. matkapuhelinkeskuksen 8 yhteyteen.
114953 8
Kuvassa 2 on esitetty keksinnön erään edullisen suoritusmuodon mukainen päätelaite 5, jota voidaan käyttää kuvan 1 mukaisessa tunnis-tusjärjestelmässä. Päätelaitteessa 5 on tässä keksinnön edullisessa 5 suoritusmuodossa mm. matkaviestinvälineet 9 matkaviestinverkon 2 kanssa kommunikoimiseksi, käyttöliittymä 10, ohjauslohko 11, muistivälineet 12, 13 sekä liitäntävälineet 14 toimikortin 15 liittämiseksi päätelaitteeseen 5. Muistivälineet käsittävät edullisesti lukumuistia 12 (ROM, Read Only Memory) sekä luku/kirjoitusmuistia 13 (RAM, Ran-10 dom Access Memory). Liitäntävälineet 14 toimikortin 15 liittämiseksi voidaan käytännössä toteuttaa monella eri tavalla. Eräänä mahdollisuutena on käyttää fyysistä liitäntää, jolloin liitäntävälineissä 14 on liittimet tai vastaavat, jotka kytkeytyvät toimikortin 15 vastaaviin liittimiin toimikortin 15 ollessa asennettuna päätelaitteeseen 5. Nämä liitäntävä-15 lineet voivat perustua myös langattomaan yhteyteen, jolloin liitäntävälineet 14 ja toimikortti 15 käsittävät langattomat tiedonsiirtovälineet (ei esitetty), kuten radiotiedonsiirtovälineet (esim. Bluetooth™, WLAN), optiset tiedonsiirtovälineet (esim. infrapuna), akustiset tiedonsiirtovälineet, ja/tai induktiiviset tiedonsiirtovälineet.
20 Päätelaitteeseen 5, edullisesti ohjauslohkon 11 sovellusohjelmistoon, on toteutettu myös protokollapino, jossa suoritetaan tarvittavia protokollamuunnoksia välitettäessä sanomia matkaviestinverkosta 2 pääte-;. laitteeseen 5 ja päätelaitteesta 5 matkaviestinverkkoon 2.
' 25
Kuvassa 3 on esitetty keksinnön erään edullisen suoritusmuodon mukainen toimikortti 15, jota voidaan käyttää mm. kuvassa 2 esitetyn päätelaitteen 5 yhteydessä. Toimikortti 15 käsittää edullisesti mm. suorittimen 16, muistivälineet, kuten lukumuistia 17 ja luku/kirjoitusmuistia 30 18, sekä liitäntävälineet 19.
< · : !·. Lukumuistina 12, 17 voidaan käyttää mm. kertaalleen kirjoitettavaa muistia (OTP-ROM, One Time Programmable ROM; PROM, Programmable ROM) tai uudelleen kirjoitettavissa olevaa muistia • a :.**i 35 (EEPROM, Electrically Erasable Programmable ROM; Flash). Myös ns.
:]]]: haihtumatonta luku/kirjoitusmuistia (Non-volatile RAM) voidaan käyttää lukumuistina. Luku/kirjoitusmuistina 13, 18 käytetään edullisesti dy- 9 1 1 4953 naamista luku/kirjoitusmuistia (DRAM) ja/tai staattista luku/kirjoitus-muistia (SRAM).
Toimikortin lukumuistiin 17 on tallennettu mm. päätelaitteen käynnis-5 tyksen yhteydessä suoritettava käyttäjän tunnistusalgoritmi sekä matkaviestinverkkoon 2 kirjautumisen yhteydessä suoritettava päätelaitteen käyttäjän tunnistusalgoritmi. Lisäksi toimikortin lukumuistiin 17 on tallennettu laajennettavan tunnistusprotokollarajapinnan toimintoja, joita selostetaan myöhemmin tässä selityksessä. Toimikortin lukumuisti 10 17 sisältää vielä toimikortin toimintojen ohjaamisessa tarpeellisia muita ohjelmakomentoja sinänsä tunnetusti.
Päätelaitteen lukumuistiin 12 on vastaavasti tallennettu päätelaitteen 5 toimintojen ohjaamisessa tarvittavia ohjelmakomentoja, toimikortin 15 15 ja päätelaitteen 5 välisessä kommunikoinnissa tarvittavia ohjelmakomentoja, matkaviestintoimintojen yhteydessä tarvittavia ohjelmakomentoja, käyttöliittymän ohjauskomentoja jne. Päätelaitteeseen 5 ei kuitenkaan välttämättä tarvitse tallentaa tunnistusprotokollatoimintoja, koska nämä toiminnot suoritetaan tämän keksinnön mukaisessa jär-20 jestelmässä toimikortille toteutetussa laajennettavassa tunnistusproto-kollarajapinnassa.
• · • · . ·. Tässä keksinnössä esitettävässä laajennettavassa tunnistusprotokolla- .· rajapinnassa voidaan toteuttaa esim. operaatio, jolla toimikortilta kysy- * « . 25 tään käyttäjän identiteetti, sekä operaatio, jolla toimikortille voi syöttää kyselysanoman, kuten EAP Request -sanoman. Toimikortin tehtävä on tällöin muodostaa tälle sanomalle vastaussanoma (esim. EAP Response). Päätelaite ja vierailuverkko voidaan toteuttaa siten, että kyselyjä vastaussanomien vaihtoa voidaan suorittaa useampia kuin yksi i .·' 30 ennen kuin tunnistuksen tulos selviää. Lisäksi toimikortilla on edullisesti operaatio, jolla tunnistuksen yhteydessä muodostettu avainmateriaali : !·. saadaan päätelaitteen käyttöön. Avainmateriaalia voidaan tämän [••S jälkeen käyttää vaikka ilmatien välityksellä siirrettävän informaation salaukseen, jota esimerkiksi GSM- ja UMTS-matkaviestinverkoissa ny- • · 35 kyisin käytetään.
• ·« • · »* # 114953 10
Siinä vaiheessa kun päätelaite 5 kytketään päälle, voidaan suorittaa sinänsä tunnettu käyttäjän varmentaminen esimerkiksi siten, että päätelaite 5 esittää käyttöliittymän 10 näytöllä 20 ilmoituksen, jossa käyttäjää pyydetään antamaan tunnuskoodi (PIN, Personal Identity Num-5 ber). Tämän jälkeen käyttäjä esim. näppäilee käyttöliittymän 10 näppäimistöllä 21 tunnuslukunsa, jonka päätelaitteen ohjauslohko 11 välittää toimikortille 15. Toimikortilla 15 suoritin 16 suorittaa tunnusluvun tarkistuksen toimikortin lukumuistiin 17 tallennettujen käyttäjätietojen ja tarkistusta varten järjestetyn algoritmin avulla sinänsä tunnetusti.
10 Jos tunnusluku on annettu oikein, voidaan päätelaite 5 käynnistää.
Käynnistyksen jälkeen voidaan aloittaa verkkoon kirjautuminen, mikäli matkaviestinverkon 2 jonkin tukiaseman 6 signaali on vastaanotettavissa päätelaitteessa 5. Jos verkkoon kirjautuminen on mahdollista, 15 aloitetaan kirjautumisessa tarvittava sanomien välitys (signalointi), joka on sinänsä tunnettua. Kirjautumisessa suoritetaan tarvittaessa sijainnin päivitys (LA, Location Update). Lisäksi kirjautumisprosessissa varataan signalointia varten lähetys- ja vastaanottoradiokanava, joita päätelaite ja tukiasema käyttävät kommunikoinnissa. Kirjautumisen yhteydessä 20 suoritetaan päätelaitteen tunnistus (authentication), jota on pelkistetysti esitetty kuvan 4 signalointikaaviossa. Matkaviestinverkon 2 tunnistus-!*: palvelin 3 muodostaa kirjautumispyyntösanoman 501, josta eräs edulli- *· nen esimerkki on esitetty kuvassa 5a.
25 Kirjautumispyyntösanoma on edullisesti laajennettavan tunnistusproto-. kollan mukainen sanoma, joka käsittää tiettyjä tietueita, joiden sisältä miä arvoja muuttamalla voidaan olennaisesti samaa tietuerakennetta käyttäen muodostaa useita erilaisia sanomia. Sanoma käsittää edullisesti otsikkokentän ja datakentän. Otsikkokentässä on mm. seuraavat 30 tietueet: Kooditietue 502, jossa välitetään tieto siitä, onko kyseessä ky-,: selysanoma (request), vastaussanoma (response), onnistunut toiminto : ! . (success), vai epäonnistunut toiminto (failure); tunnistetietue 503, jota ’··-! käytetään sanomien identifiointiin esim. siten, että peräkkäisissä sa- nomissa tulisi olla eri tunnistetieto, paitsi lähetettäessä sama sanoma » » 35 uudelleen; pituustietue 504 ilmaisee vielä sanoman pituuden. Data-kentässä välitettävä tieto riippuu mm. sanoman käyttötarkoituksesta.
Nyt esillä olevan keksinnön erään edullisen suoritusmuodon mukaises- 114953 11 sa järjestelmässä datakenttä sisältää tyyppitietueen 505, joka ilmaisee sen, minkä tyyppinen sanoma on kyseessä. Esimerkiksi EAP-tyyppi-numeron perusteella päätelaite 15 voi päätellä, mikä toimikortti 15 tai ohjelmistomoduuli käsittelee kyseisen EAP-tyypin (eli tunnistusproto-5 koltan). Muut sanoman sisältämät tietueet ovat tyyppikohtaisia ja voivat sisältää esimerkiksi käytettävän tunnistusprotokollan mukaisia tietoja, kuten erilaisia haaste- tai siemenlukuja (challenge), vastauslukuja (response), digitaalisia allekirjoituksia tai varmenteita, salaisella avaimella laskettuja tunnistekenttiä (message authentication code) jne.
10
Kirjautumispyyntösanomalla tunnistuspalvelin 3 pyytää päätelaitetta 5 lähettämään omat tunnistetietonsa. Kirjautumispyyntösanoman välitystä esittää nuoli 401 kuvassa 4. Päätelaitteen 5 matkaviestinvälineis-sä 9 suoritetaan tarvittavat toimenpiteet radiotaajuisten signaalien 15 muuntamiseksi kantataajuisiksi signaaleiksi sinänsä tunnetusti. Kirjau-tumispyyntösanoma välitetään päätelaitteessa 5 toimikortille 15, jossa sanoma käsitellään laajennettavassa tunnistusprotokollarajapinnassa. Käytännössä tämä tarkoittaa sitä, että toimikortin suoritin 16 vastaanottaa kirjautumispyyntösanoman ja suorittaa tarvittavat toimenpiteet.
20 Toimikortin suoritin 16 muodostaa vastaussanoman, jossa datakenttä sisältää päätelaitteen käyttäjän tunnistetietoja, edullisesti kansainväli-·’: sen matkaviestintilaajatunnuksen (IMS!, International Mobile Subscri- ·. ber Identifier). Tämä kansainvälinen matkaviestintilaajatunnus käsittää maakoodin (MCC, Mobile Country Code), matkaviestinverkkotunnuk-25 sen (MNC, Mobile Network Code) sekä matkaviestintilaajanumeron . (MSIN, Mobile Subscriber Identification Number). Jokaisessa SIM- tyyppisessä toimikortissa 15 tämä tunnistetieto IMSI on yksilöllinen, joten matkaviestintilaaja voidaan yksilöidä tämän tunnistetiedon perusteella.
30 .·* EAP-standardin mukaisessa tapauksessa tunnistetieto välitetään EAP- : /. Response/ldentity -paketissa, jossa identiteettinä vierailuverkossa ’··! (roaming network) on ns. verkkotunniste (NAI, Network Access Identi- * · fier). Keksinnön eräässä edullisessa suoritusmuodossa käyttäjän tun-* 35 nistetieto (esim. IMSI) välitetään tähän verkkotunnisteeseen koodat- tuna. Yleisessä tapauksessa verkkotunniste on merkkijono, joka identifioi tilaajan. Se voi sisältää operaattoritunnuksen, jolloin se on sähkö- 12 114953 postiosoitetta muistuttavaa muotoa käyttäjän tunnistetieto ©operaattori, maakoodi.
Sen jälkeen kun vastaussanoma on muodostettu toimikortilla 15, välit-5 tää toimikortti 15 tämän sanoman toimikortin liitäntävälineiden 19 kautta päätelaitteen liitäntävälineisiin 14. Päätelaitteen ohjauslohko 11 lukee sanoman, suorittaa tarvittavat protokollamuunnokset, ja välittää sanoman matkaviestinvälineisiin 9 muunnettavaksi radiotaajuisiksi signaaleiksi. Päätelaite 5 voi nyt lähettää kirjautumispyyntösanoman tuki-10 asemalle 6 (nuoli 402). Kirjautumispyyntösanoma vastaanotetaan tukiasemalla 6, josta se välitetään tukiasemaohjaimen 7 kautta matkapuhelinkeskukseen 8. Matkapuhelinkeskus 8 välittää sanoman edelleen tunnistuspalvelimeen 3. Tunnistuspalvelimessa 3 suoritetaan tämän jälkeen sanoman tutkiminen.
15
Matkaviestinverkossa vastaussanoma välitetään kyseisen käyttäjän kotiverkkoon, jossa tunnistuspalvelin 3 käsittelee saapuneen vastaus-sanoman ja suorittaa tilaajatietojen tarkistuksen esim. kotirekisteristä HLR. Sen jälkeen kun käyttäjän tilaajatiedot on tarkistettu tietokannas-20 ta, aloitetaan käyttäjän tunnistusprosessi, jossa pyritään varmentamaan, että kyseessä todella on se käyttäjä, jonka tilaajatiedot on vas-taussanomassa ilmoitettu. Tunnistuspalvelin 3 jatkaa tunnistusproses-sin suorittamista muodostamalla tunnistuksen käynnistyssanoman, jonka datakentässä lähetetään mm. tietoa siitä, mitä protokollaversioita ‘ 25 tunnistuspalvelin 3 tukee (nuoli 403). Tämän sanoman eräs edullinen . muoto on esitetty oheisessa kuvassa 5b.
» Päätelaitteessa 5 sanoma välitetään toimikortin 15 laajennettavaan tunnistusprotokollarajapintaan, jossa suoritetaan mm. sanomassa lä-i .·’ 30 hetettyjen protokollaversiotietojen tutkiminen. Jos yksi tai useampi tun- I t nistuspalvelimella 3 käytettävissä oleva protokolla on käytettävissä ; myös toimikortilla 15, valitaan toimikortissa 15 jokin tällaisista protokol- /’·! lista käytettäväksi tunnistusprosessin jatkovaiheissa. Tämä protokolla
f I
[T voi lisäksi määrittää sen, mitä tunnistusalgoritmia käytetään tunnistuk- : 35 seen.
» | t 114953 13
On selvää, että edellä esitetty sanomien välitys on vain eräs esimerkki siitä, miten nyt esillä olevaa keksintöä voidaan soveltaa. Toimikortin 15 käsittelemiä viestejä voi olla eri määrä kuin edellä esitetyssä esimerkissä on mainittu. Yleisessä tapauksessa tietoliikenneverkosta välite-5 tään päätelaitteeseen 5 erilaisia pyyntöjä (esim. EAP Request), jotka päätelaitteen 5 ohjelmisto ohjaa toimikortille 15. Toimikortti 15 muodostaa vastaussanomat (esim. EAP Response), jotka päätelaite 5 välittää vierailuverkkoon ja sieltä edelleen kotiverkon tunnistuspalveli-melle 3. Näiden pyyntöjen ja vastausten lukumäärää ei ole rajoitettu ja 10 ainoastaan toimikortin 15 ja tunnistuspalvelimen 3 tarvitsee ymmärtää niitä.
Tunnistusprotokollat perustuvat pääsääntöisesti siihen, että tunnistavassa laitteessa ja tunnistettavassa laitteessa käytetään samaa tun-15 nistusalgoritmia, jossa syötteenä käytetään samoja lukuja. Esimerkiksi GSM-matkaviestinjärjestelmässä jokaiselle matkaviestintilaajalle on annettu salainen avain Ki, joka on tallennettu SIM-kortille. Lisäksi tämä salainen avain on tallennettu kyseisen matkaviestintilaajan kotirekisteriin. Tunnistusalgoritmi laskee vertailuluvun, jolloin vertaamalla toisiinsa 20 tunnistavan laitteen ja tunnistettavan laitteen muodostamia vertailulukuja, voidaan suurella todennäköisyydellä varmistaa toisen osapuolen oikeellisuus. Jotta väärinkäytösten mahdollisuus olisi mahdollisimman : pieni, ei kaikkia tunnistusalgoritmille syötettäviä lukuja välitetä laitteiden välillä, vaan ne on tallennettuna laitteeseen ja/tai tietokantaan, josta 25 laite voi ne noutaa. Erityisesti mainittua salaista avainta ei välitetä mis-. sään vaiheessa matkaviestinverkossa. Tässä keksinnön erään edulli sen suoritusmuodon mukaisessa menetelmässä toimitaan seuraavasti.
Toimikortilla 15 valitaan ensimmäinen satunnaisluku NONCE_MT jolla-.·’ 30 kin menetelmällä. Lisäksi voidaan valita tunnistusprosessissa määri tettävälle avaimelle voimassaoloaika. Tieto valitusta tunnistusprotokol- ·. lasta, mainittu ensimmäinen satunnaisluku NONCE_MT sekä mahdolli- * · ··’ sesti valittu voimassaoloaika lähetetään käynnistyksen vastaussano- * · massa tunnistuspalvelimelle 3 edellä esitettyjä sanomanvälitysmeka-.'·: 35 nismeja käyttäen (nuoli 404). Tämän sanoman eräs edullinen muoto on ,,. · esitetty oheisessa kuvassa 5c.
114953 14
Tunnistuspalvelin 3 noutaa kotirekisteristä HLR n kappaletta (n>1) käyttäjää vastaavia salaisia avaimia Ki, valitsee vastaavan määrän toisia satunnaislukuja RAND ja laskee näiden tietojen perusteella ensin n kappaletta salausavaimia Ke ja allekirjoitettuja vasteita SRES (Signed 5 Response). Lisäksi tunnistuspalvelin 3 laskee valittua tunnistusproto-kollaa vastaavaa yhtä tai useampaa tunnistusalgoritmia käyttäen is-tuntoavaimen K sekä ensimmäisen tunnistuskoodin MAC„RAND. Parametreinä tässä laskennassa käytetään edullisesti salausavainta n*Kc, satunnaislukuja n*RAND, matkaviestintilaajatunnusta IMSI ja en-10 simmäistä satunnaislukua NONCE JVIT. Tunnistuspalvelin 3 voi hyväksyä toimikortin 15 ehdottaman voimassaoloajan avaimelle tai valita jonkin muun voimassaoloajan. Tunnistuspalvelin 3 lähettää tarkistuksen käynnistyssanomassa valitsemansa yhden tai useamman satunnaisluvun n* RAND, laskemansa ensimmäisen tunnistuskoodin 15 MAC_RAND sekä tiedon avaimelle valitusta voimassaoloajasta päätelaitteelle 5 (nuoli 405). Tämän sanoman eräs edullinen muoto on esitetty oheisessa kuvassa 5d.
Päätelaitteen 5 toimikortin 15 laajennettavassa tunnistusprotokollaraja-20 pinnassa suoritetaan vastaavasti sama tunnistusalgoritmi, jossa käytetään parametreinä toimikortin 15 valitsemaa ensimmäistä satunnaislukua NONCE_MT, tiettyä määrää salausavaimia n*Kc, tunnistuspalve-·. limen 3 valitsemia toisia satunnaislukuja n*RAND sekä kansainvälistä matkaviestintilaajatunnusta IMSI (lohko 406). Tunnistusalgoritmin tu- * * ; 25 losta verrataan toimikortille 15 välitettyyn tunnistuspalvelimessa 3 las- . kettuun ensimmäiseen tunnistuskoodiin MAC_RAND. Jos vertailu osoittaa, että tunnistusalgoritmin laskennan tulos on sama toimikortilla ·' 15 ja tunnistuspalvelimessa 3, voidaan toimikortilla olettaa, että tun- nistuspalvelimen lähettämä tarkistuksen käynnistyssanoma on todella 30 kyseisen tunnistuspalvelimen 3 lähettämä ja että siinä olevat satunnaisluvut ovat luotettavia. Jos vertailu osoittaa, että lasketut luvut eivät vastaa toisiaan, tunnistustoiminnot edullisesti lopetetaan toimikortilla 15 ja päätelaitetta 5 ei rekisteröidä matkaviestinverkkoon, tai mikäli kyseessä on jonkin palvelun käytön yhteydessä suoritettava tunnistus, i 35 palvelun käyttö estetään.
1 U953 15
Tilanteessa, jossa vertailu osoittaa satunnaislukujen olevan luotettavia, toimikortilla 15 suoritetaan allekirjoitettujen vasteiden SRES muodostaminen. Tämä suoritetaan vastaavalla algoritmilla kuin tunnistuspalve-limessa 3 käyttämällä parametreinä salausavaimia n*Kc sekä tunnis-5 tuspalvelimen 3 valitsemia toisia satunnaislukuja n*RAND. Laskettuja allekirjoitettuja vasteita n*SRES sekä edullisesti matkaviestintilaajatun-nusta IMSI ja ensimmäistä satunnaislukua NONCE_MT voidaan tämän jälkeen käyttää toisen tunnistuskoodin MAC_SRES laskemisessa jollakin algoritmilla. Toimikortilla 15 muodostetaan tarkistuksen käynnistys-10 sanomaan vastaussanoma, joka välitetään tunnistuspalvelimeen 3 (nuoli 407). Tässä vastaussanomassa välitetään toimikortilla laskettu toinen tunnistusluku MAC_SRES. Tämän sanoman eräs edullinen muoto on esitetty oheisessa kuvassa 5b. Tunnistuspalvelin 3 voi suorittaa vastaavan laskennan ja verrata laskemaansa tunnistuslukua toi-15 mikortilta 15 välitettyyn toiseen tunnistuslukuun MAC_SRES. Jos tun-nistusluvut vastaavat toisiaan, voidaan tunnistuspalvelimessa 15 olettaa, että kyseessä on todella se käyttäjä, jonka matkaviestintilaajatun-nus on päätelaitteen toimikortilta 15 välitetty tunnistuspalvelimeen 3. Onnistuneen tunnistusprosessin päätteeksi tunnistuspalvelin 3 lähettää 20 päätelaitteeseen 5 tästä tiedon (nuoli 408). Tässä sanomassa tunnistuspalvelin 3 voi lähettää myös istuntoavaimen K päätelaitteelle 5.
< I
» · ; ; On selvää, että edellä esitetty tunnistusprosessi ja sen yhteydessä vä- . . liiettyjen sanomien rakenne ja sisältö ovat vain eräitä edullisia esimerk- , : 25 kejä erään tunnistusprotokollan (ΕΑΡ/SIM) mukaisesta toiminnasta.
Nyt esillä olevan keksinnön puitteissa voidaan käyttää myös muita sanomarakenteita ja tunnistustietoja, jolloin yksityiskohdat voivat poiketa edellä esitetystä esimerkistä. Keksintöä ei myöskään ole rajoitettu ainoastaan laajennettuun tunnistusprotokollaan, vaan keksinnön 30 yhteydessä voidaan soveltaa myös muita yleisiä tunnistusprotokollia.
: Olennaista on se, että toimikortille 15 on muodostettu tunnistusproto- . kollarajapinta, jossa voidaan suorittaa vastaanotettujen tunnistukseen , ·’! liittyvien sanomien käsittely, tunnistukseen liittyvien sanomien muo- dostus tunnistuspalvelimelle 3 välittämistä varten, tunnistukseen liitty-:, ’ i 35 vien avaimien käsittely (esim. noutaminen toimikortin lukumuistista 17 ja/tai vastaanotetusta sanomasta) sekä tunnistukseen liittyvien sanomien oikeellisuustarkastelujen suorittaminen. Tällöin kaikki tunnistuk- 114953 16 seen olennaisesti liittyvät toiminnot päätelaitteessa 5 voidaan sijoittaa toimikortille 15.
Keksinnön mukaista menetelmää voidaan soveltaa myös tilanteessa, 5 jossa päätelaite 5 kytketään esimerkiksi Internet-tietoverkkoon 22 ja käyttäjän tunnistuksessa käytetään SIM-korttia. Tällöin tunnistuspalve-lin voidaan sijoittaa esimerkiksi Internet-tietoverkon 22 ja matkaviestinverkon rajapintaan, jolloin tunnistuspalvelin voi kommunikoida matkaviestinverkon tunnistuskeskuksen AuC kanssa tarvittavien tunnistus-10 tietojen noutamiseksi. Päätelaitteen 5 ja nk. verkkoyhteyspalvelimen (Network Access Server, NAS) välillä on käytössä PPP-protokolla. Verkkoyhteyspalvelin kommunikoi tunnistuspalvelimen kanssa käyttämällä AAA-protokollaa. Langattomissa lähiverkoissa tilanne on olennaisilta osiltaan samankaltainen. Päätelaitteen ja langattoman lähiver-15 kon tukiaseman (access point) välillä käytetään esim. IEEE 802.1X-protokollaa, joka perustuu EAP-protokollan käyttöön. Tukiasema kommunikoi tunnistuskeskuksen kanssa käyttämällä AAA-protokollaa.
Keksinnön mukaisella menetelmällä voidaan tunnistusprotokolla vaih-20 taa esimerkiksi toimikorttia 15 vaihtamalla. Tällöin voidaan käyttää sellaista protokollaa, joka on toteutettu uudella toimikortilla 15 sekä tun-. nistuspalvelimessa. Esimerkiksi päätelaitteen 5 ohjelmistoon ei tarvitse tehdä muutoksia tunnistusprotokollan vaihtamisen yhteydessä.
! 25 Päätelaitteena 5 voidaan käyttää esimerkiksi langatonta päätelaitetta kuten langatonta viestintä, kommunikointilaitetta, kuten Nokia 9210 Communicator, tai vastaavaa. Keksintöä voidaan soveltaa myös esi-: ; merkiksi lähiverkon työaseman tunnistuksessa ja Internet-tietoverkkoon 22 joko langallisella tai langattomalla yhteydellä kytkettävän tietoko-j 30 neen tunnistamisessa.
: X Keksintöä voidaan soveltaa myös siten, että käyttöoikeuksien varmis- tuslaitteen 15 laajennettu tunnistusprotokollarajapinta jakaa osan kryptografisista laskentaoperaatioista päätelaitteella 5 suoritettavaksi.
·*'·:* 35 Kryptografia operaatioita ovat mm. salaus, salauksen purkaminen, hajautusfunktiot (hash), viestin varmennusfunktiot (message authentication code), varmenteiden (certificates) tarkistaminen sekä muut julki- 114953 17 sen avaimen kryptografian operaatiot kuten Diffie-Hellman -avainten-vaihdon laskenta jne. Osa tällaisista kryptografisista operaatioista vaatii runsaasti laskentakapasiteettia, joka saattaa joissakin sovelluksissa olla helpommin järjestettävissä päätelaitteeseen 5 kuin käyttöoikeuk-5 sien varmistuslaitteeseen 15. Lisäksi tällaiset operaatiot ovat krypto-grafisia perusoperaatiota, jotka on usein toteutettu yleiskäyttöisissä kirjastoissa ja eivät välttämättä edellytä ohjelmistopäivityksiä päätelaitteeseen 5. Tällöin voidaan käyttää erilaisia tunnisteita, joiden perusteella käyttöoikeuksien varmistuslaite 15 voi informoida päätelaitetta 5 10 kulloinkin käytettävästä operaatiosta/algoritmista ja välittää tarvittavia parametreja laajennetun tunnistusprotokollarajapinnan kautta päätelaitteeseen 5. Päätelaite 5 puolestaan välittää vastauksia käyttöoikeuksien varmistuslaitteen 15 laajennettuun tunnistusprotokollarajapintaan.
15 On selvää, että nyt esillä olevaa keksintöä ei ole rajoitettu ainoastaan edellä esitettyihin suoritusmuotoihin, vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.
* 1 • » I I · * 1 i
I I I
» * 1 ·

Claims (14)

114953
1. Menetelmä päätelaitteen (5) käyttäjän tunnistamiseksi, jossa päätelaitteessa käytetään käyttöoikeuksien varmistuslaitetta (15) tunnistus- 5 protokollan suorittamiseen, ja joka käyttöoikeuksien varmistuslaite (15) liitetään päätelaitteeseen (5), tunnettu siitä, että käyttöoikeuksien varmistuslaitteella (15) käytetään laajennettavaa tunnistusprotokolla-rajapintaa, jonka kautta ainakin osa tunnistustoiminnoista suoritetaan, jolloin käyttäjän tunnistamiseksi käyttöoikeuksien varmistuslaitteeseen 10 (15) välitetään tieto ainakin yhdestä käyttäjän tunnistuksessa käytettä västä tunnistusprotokollasta, laajennettavassa tunnistusprotokollaraja-pinnassa muodostetaan mainitun käytettävissä olevan tunnistusproto-kollan mukainen vastaussanoma, ja laajennettavassa tunnistusproto-kollarajapinnassa muodostettu vastaussanoma lähetetään käyttöoike-15 uksien varmistuslaitteesta (15).
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käyttäjän tunnistamiseksi käyttöoikeuksien varmistuslaitteeseen (15) välitetään kyselysanoma. 20
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että käyttöoikeuksien varmistuslaitteeseen (15) tallennetaan tunnistuspro-tokollan mukaisessa tunnistuksessa käytettävä ainakin yksi tunnistus- :·. algoritmi. 25
4. Patenttivaatimuksen 3 mukainen menetelmä, tunnettu siitä, että käyttöoikeuksien varmistuslaitteeseen (15) on tallennettu tunnistetietoa (IMSI, Ki) käyttäjän tunnistamiseksi, jolloin kyselysanoman käsittelyvaiheessa (406) käytetään mainittua ainakin yhtä tunnistusalgoritmia 30 ja käyttöoikeuksien varmistuslaitteeseen (15) tallennettua tunnistetie-toa (IMSI, Ki) käyttäjän tunnistamiseksi.
... 5. Jonkin patenttivaatimuksen 1—4 mukainen menetelmä, jossa infor maatiota siirretään päätelaitteen (5) ja ainakin yhden tiedonsiirtover-35 kon (2) välillä, tunnettu siitä, että kyselysanoman käsittelyvai- / i heessa(406) laajennettavassa tunnistusprotokollarajapinnassa muo dostetaan ainakin yksi salausavain (Ke), jota käytetään päätelait- 114953 teen (5) ja tiedonsiirtoverkon (2) välillä siirrettävän informaation salaukseen.
6. Tunnistusjärjestelmä (1), joka käsittää päätelaitteen (5), jossa on vä-5 lineet (14) käyttöoikeuksien varmistuslaitteen (15) liittämiseksi ainakin tunnistusta varten, ja jossa käyttöoikeuksien varmistuslaitteessa (15) on välineet (16, 17) tunnistusprotokollan suorittamiseksi, tunnettu siitä, että käyttöoikeuksien varmistuslaitteeseen (15) on muodostettu laajennettava tunnistusprotokollarajapinta, sekä välineet 10 (16,17, 18,19) ainakin osan tunnistustoiminnoista suorittamiseksi mainitun laajennettavan tunnistusprotokollarajapinnan kautta, että tieto ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusproto-kollasta on järjestetty välitettäväksi käyttöoikeuksien varmistuslaitteeseen (15), ja että laajennettava tunnistusprotokollarajapinta käsittää 15 välineet (16) vastaussanoman muodostamiseksi, ja välineet (19) laajennettavassa tunnistusprotokollarajapinnassa muodostetun vastaus-sanoman lähettämiseksi käyttöoikeuksien varmistuslaitteesta (15).
7. Patenttivaatimuksen 6 mukainen järjestelmä, tunnettu siitä, että se 20 käsittää välineet (6, 7, 9,14) kyselysanoman välittämiseksi käyttöoikeuksien varmistuslaitteeseen (15), ja että laajennettava tunnistusproto- :kollarajapinta käsittää välineet (16) kyselysanoman käsittelemiseksi. I'.
8. Patenttivaatimuksen 7 mukainen järjestelmä, tunnettu siitä, että 25 tieto käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta on järjestetty välitettäväksi mainitussa kyselysanomassa, ja että käyttö- » oikeuksien varmistuslaitteeseen (15) on tallennettu tunnistusprotokollan mukaisessa tunnistuksessa käytettävä ainakin yksi tunnistus-algoritmi. :: 30
9. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, että käyttöoikeuksien varmistuslaitteeseen (15) on tallennettu tunnistetie-toa(IMSI, Ki) käyttäjän tunnistamiseksi, että välineet (16) kyselysanoman käsittelemiseksi käsittävät välineet mainitun ainakin yhden tun-35 nistusalgoritmin ja käyttöoikeuksien varmistuslaitteeseen (15) tallen-. * netun tunnistetiedon (IMSI, Ki) käyttämiseksi käyttäjän tunnistami sessa. 114953
10. Jonkin patenttivaatimuksen 6—9 mukainen järjestelmä, joka käsittää välineet (3, 6, 7) informaation siirtämiseksi päätelaitteen (5) ja ainakin yhden tiedonsiirtoverkon (2) välillä, tunnettu siitä, että laajennet-5 tava tunnistusprotokollarajapinta käsittää välineet (16) ainakin yhden salausavaimen (Ke) muodostamiseksi, ja välineet (9,11) mainitun ainakin yhden salausavaimen (Ke) käyttämiseksi päätelaitteen (5) ja tiedonsiirtoverkon (2) välillä siirrettävän informaation salaukseen. 10
11. Päätelaite (5), jossa on välineet (14) käyttöoikeuksien varmistus- laitteen (15) liittämiseksi ainakin tunnistusta varten, ja jossa käyttöoikeuksien varmistuslaitteessa (15) on välineet (16,17) tunnistusprotokol-lan suorittamiseksi, tunnettu siitä, että käyttöoikeuksien varmistus-laitteeseen (15) on muodostettu laajennettava tunnistusprotokollaraja-15 pinta sekä välineet (16, 17, 18,19) ainakin osan tunnistustoiminnoista suorittamiseksi mainitun laajennettavan tunnistusprotokollarajapinnan kautta, välineet (19) tiedon ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta vastaanottamiseksi, ja että laajennettava tunnistusprotokollarajapinta käsittää välineet (16) vastaussa-20 noman muodostamiseksi, ja välineet (19) laajennettavassa tunnistus-protokollarajapinnassa muodostetun vastaussanoman lähettämiseksi Γ: käyttöoikeuksien varmistuslaitteesta (15).
:·. 12. Patenttivaatimuksen 11 mukainen päätelaite, tunnettu siitä, että * · 25 se käsittää välineet (9) matkaviestintoimintojen suorittamiseksi. * a
13. Käyttöoikeuksien varmistuslaite (15) käytettäväksi käyttäjän tun- 1 a nistamisessa, joka käyttöoikeuksien varmistuslaite käsittää välineet (16, 17) tunnistusprotokollan suorittamiseksi, tunnettu siitä, että 30 käyttöoikeuksien varmistuslaitteeseen (15) on muodostettu laajennet-tava tunnistusprotokollarajapinta sekä välineet (16, 17, 18, 19) ainakin osan tunnistustoiminnoista suorittamiseksi mainitun laajennettavan tunnistusprotokollarajapinnan kautta, välineet (19) tiedon ainakin yhdestä käyttäjän tunnistuksessa käytettävästä tunnistusprotokollasta 35 vastaanottamiseksi, ja että laajennettava tunnistusprotokollarajapinta . I käsittää välineet (16) vastaussanoman muodostamiseksi, ja väli neet (19) laajennettavassa tunnistusprotokollarajapinnassa muodoste- 114953 tun vastaussanoman lähettämiseksi käyttöoikeuksien varmistuslaitteesta (15).
14. Patenttivaatimuksen 13 mukainen käyttöoikeuksien varmistuslaite, 5 tunnettu siitä, että se on matkaviestintilaajakortti (SIM, USIM). . 1 * · * · • 1 1 1 ♦ » • 1 * » * · • 1 1 * · 114953
FI20011909A 2001-09-28 2001-09-28 Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite FI114953B (fi)

Priority Applications (17)

Application Number Priority Date Filing Date Title
FI20011909A FI114953B (fi) 2001-09-28 2001-09-28 Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
BRPI0212814-4A BRPI0212814B1 (pt) 2001-09-28 2002-09-27 Método para autenticar o usuário de um terminal, sistema de autenticação, dispositivo de verificação dos direitos de uso, e, terminal
BR0212814-4A BR0212814A (pt) 2001-09-28 2002-09-27 Método e sistema de autenticação do usuário do terminal, terminal, dispositivo de autorização para ser usado para identificação do usuário, programa de computador, e, dispositivo de armazenagem
AT02762485T ATE326092T1 (de) 2001-09-28 2002-09-27 Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
PCT/FI2002/000769 WO2003030445A1 (en) 2001-09-28 2002-09-27 A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
EP02762485A EP1430640B1 (en) 2001-09-28 2002-09-27 A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
ES02762485T ES2263811T3 (es) 2001-09-28 2002-09-27 Procedimiento para auntentificacion de usuario en un terminal, sistema de autentificacion, terminal y dispositivo de autorizacion.
KR10-2004-7004332A KR20040037113A (ko) 2001-09-28 2002-09-27 단말기에서 사용자를 인증하기 위한 인증 방법, 인증시스템, 단말기, 및 인증 장치
KR1020087018480A KR100978818B1 (ko) 2001-09-28 2002-09-27 단말기에서 사용자를 인증하기 위한 인증 방법, 인증시스템, 단말기, 및 인증 장치
CA2461804A CA2461804C (en) 2001-09-28 2002-09-27 A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
US10/491,116 US7848522B2 (en) 2001-09-28 2002-09-27 Method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
KR1020077016978A KR100952453B1 (ko) 2001-09-28 2002-09-27 단말기에서 사용자를 인증하기 위한 인증 방법, 인증시스템, 단말기, 및 인증 장치
CNB028192281A CN100433616C (zh) 2001-09-28 2002-09-27 用于鉴权终端的用户的方法、鉴权系统、终端、和授权设备
JP2003533513A JP4837890B2 (ja) 2001-09-28 2002-09-27 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置
DE60211360T DE60211360T2 (de) 2001-09-28 2002-09-27 Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
ZA200401571A ZA200401571B (en) 2001-09-28 2004-02-26 A method for authenticating a user in a terminal, an authentication system, a terminal and an authorization device.
JP2009276886A JP5189066B2 (ja) 2001-09-28 2009-12-04 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011909A FI114953B (fi) 2001-09-28 2001-09-28 Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
FI20011909 2001-09-28

Publications (3)

Publication Number Publication Date
FI20011909A0 FI20011909A0 (fi) 2001-09-28
FI20011909L FI20011909L (fi) 2003-03-29
FI114953B true FI114953B (fi) 2005-01-31

Family

ID=8561973

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20011909A FI114953B (fi) 2001-09-28 2001-09-28 Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite

Country Status (13)

Country Link
US (1) US7848522B2 (fi)
EP (1) EP1430640B1 (fi)
JP (2) JP4837890B2 (fi)
KR (3) KR100978818B1 (fi)
CN (1) CN100433616C (fi)
AT (1) ATE326092T1 (fi)
BR (2) BR0212814A (fi)
CA (1) CA2461804C (fi)
DE (1) DE60211360T2 (fi)
ES (1) ES2263811T3 (fi)
FI (1) FI114953B (fi)
WO (1) WO2003030445A1 (fi)
ZA (1) ZA200401571B (fi)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004077742A1 (de) 2003-02-28 2004-09-10 Siemens Aktiengesellschaft Verfahren zur übertragung von daten in einem wlan-netz
US20040225709A1 (en) * 2003-05-06 2004-11-11 Joseph Kubler Automatically configuring security system
CN1549482B (zh) * 2003-05-16 2010-04-07 华为技术有限公司 一种实现高速率分组数据业务认证的方法
US8229118B2 (en) * 2003-11-07 2012-07-24 Qualcomm Incorporated Method and apparatus for authentication in wireless communications
FR2869190B1 (fr) * 2004-04-19 2006-07-21 Alcatel Sa Procede permettant a l'usager d'un terminal telephonique sans fil d'etablir une connexion d'urgence dans un reseau local; terminal et serveur pour la mise en oeuvre de ce procede
GB2415816B (en) * 2004-06-30 2007-12-05 Nokia Corp Security device
KR20060003296A (ko) * 2004-07-05 2006-01-10 삼성전자주식회사 이동통신망과 무선랜 사이의 핸드 오프 방법 및 그 시스템
KR100651718B1 (ko) * 2004-10-18 2006-12-01 한국전자통신연구원 Usim 카드의 공개키 생성과 갱신 제어 방법 및 장치
US20060174127A1 (en) * 2004-11-05 2006-08-03 Asawaree Kalavade Network access server (NAS) discovery and associated automated authentication in heterogenous public hotspot networks
JP4786190B2 (ja) * 2005-02-01 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ 認証ベクトル生成装置、加入者認証モジュール、無線通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法
GB0506570D0 (en) * 2005-03-31 2005-05-04 Vodafone Plc Facilitating and authenticating transactions
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US7657255B2 (en) * 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
US20070124589A1 (en) * 2005-11-30 2007-05-31 Sutton Ronald D Systems and methods for the protection of non-encrypted biometric data
US8763081B2 (en) 2006-04-03 2014-06-24 Bridgeport Networks, Inc. Network based authentication
DE102006018645B4 (de) * 2006-04-21 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Vorrichtungen und Computerprogrammprodukt zum Ver- und Entschlüsseln von Mediendaten
US20080101273A1 (en) * 2006-10-27 2008-05-01 Hewlett-Packard Development Company Lp Wireless device association
DE102006060040B4 (de) * 2006-12-19 2009-09-17 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
KR101009871B1 (ko) * 2007-08-09 2011-01-19 한국과학기술원 통신 시스템에서 인증 방법
US8509439B2 (en) * 2007-12-31 2013-08-13 Intel Corporation Assigning nonces for security keys
US9003197B2 (en) * 2008-03-27 2015-04-07 General Instrument Corporation Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
JP4638928B2 (ja) * 2008-08-19 2011-02-23 シャープ株式会社 認証システム、端末装置、及び、情報処理装置
WO2010027327A1 (en) * 2008-09-04 2010-03-11 T-Data Systems (S) Pte Ltd Method and apparatus for wireless digital content management
ATE529821T1 (de) * 2009-08-28 2011-11-15 Sagem Orga Gmbh Chipkarte, elektronisches system, verfahren, das mit der chipkarte umgesetzt wird und computerprogrammprodukt
TWI421777B (zh) * 2010-06-30 2014-01-01 Mstar Semiconductor Inc 認證處理裝置及其相關行動裝置
KR101116339B1 (ko) * 2010-09-14 2012-03-09 주식회사 이맥소프트 개인정보 보호를 강화한 전자투표장치
TWI466525B (zh) * 2011-11-21 2014-12-21 Inst Information Industry 存取控制系統及其存取控制方法
US9680646B2 (en) * 2015-02-05 2017-06-13 Apple Inc. Relay service for communication between controllers and accessories
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
JP5951094B1 (ja) 2015-09-07 2016-07-13 ヤフー株式会社 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム
JP6122924B2 (ja) 2015-09-11 2017-04-26 ヤフー株式会社 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム
DE102018005201A1 (de) * 2018-06-29 2020-01-02 Giesecke+Devrient Mobile Security Gmbh Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem
US11151576B2 (en) 2019-04-05 2021-10-19 At&T Intellectual Property I, L.P. Authorizing transactions using negative pin messages
US12021861B2 (en) * 2021-01-04 2024-06-25 Bank Of America Corporation Identity verification through multisystem cooperation
CN114189365B (zh) * 2021-11-26 2024-05-28 特赞(上海)信息科技有限公司 基于字段映射的通用多租户业务授权方法和装置
CN115297479A (zh) * 2022-08-04 2022-11-04 上海博泰悦臻网络技术服务有限公司 一种认证方法及认证系统

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537474A (en) 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
EP0723251A3 (en) * 1995-01-20 1998-12-30 Tandem Computers Incorporated Method and apparatus for user and security device authentication
WO1997011565A2 (en) * 1995-09-21 1997-03-27 Motorola Inc. Embedded protocol
JP3296230B2 (ja) 1996-01-23 2002-06-24 ケイディーディーアイ株式会社 加入者/移動機識別装置
FI102235B (fi) 1996-01-24 1998-10-30 Nokia Telecommunications Oy Autentikointiavainten hallinta matkaviestinjärjestelmässä
US5910774A (en) 1996-09-18 1999-06-08 Itron, Inc. Sensor for count and tamper detection
JP3050843B2 (ja) * 1997-02-28 2000-06-12 松下電器産業株式会社 デジタル著作物の著作権保護のための暗号技術利用プロトコルを複数から選択して使用する情報機器
JP4268690B2 (ja) * 1997-03-26 2009-05-27 ソニー株式会社 認証システムおよび方法、並びに認証方法
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US6976165B1 (en) 1999-09-07 2005-12-13 Emc Corporation System and method for secure storage, transfer and retrieval of content addressable information
EP1094682B1 (en) 1999-10-22 2005-06-08 Telefonaktiebolaget LM Ericsson (publ) Mobile phone incorporating security firmware
WO2001033883A1 (en) * 1999-11-03 2001-05-10 Nokia Corporation Method and apparatus for selecting an identification confirmation information
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
US6721793B1 (en) * 2000-05-10 2004-04-13 Cisco Technology, Inc. Intellectual property over non-internet protocol systems and networks
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20030093680A1 (en) * 2001-11-13 2003-05-15 International Business Machines Corporation Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities
US7376701B2 (en) * 2002-04-29 2008-05-20 Cisco Technology, Inc. System and methodology for control of, and access and response to internet email from a wireless device
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data
US8166499B2 (en) * 2003-09-18 2012-04-24 General Instrument Corporation Method, apparatus and set-top device for transmitting content to a receiver

Also Published As

Publication number Publication date
ATE326092T1 (de) 2006-06-15
WO2003030445A1 (en) 2003-04-10
JP2005505194A (ja) 2005-02-17
CA2461804C (en) 2010-11-23
JP5189066B2 (ja) 2013-04-24
BR0212814A (pt) 2004-10-05
EP1430640A1 (en) 2004-06-23
KR20070087211A (ko) 2007-08-27
DE60211360D1 (de) 2006-06-14
US7848522B2 (en) 2010-12-07
FI20011909L (fi) 2003-03-29
CN100433616C (zh) 2008-11-12
KR100978818B1 (ko) 2010-08-30
US20040236964A1 (en) 2004-11-25
JP2010114912A (ja) 2010-05-20
JP4837890B2 (ja) 2011-12-14
CA2461804A1 (en) 2003-04-10
DE60211360T2 (de) 2006-09-28
CN1561607A (zh) 2005-01-05
KR20040037113A (ko) 2004-05-04
ZA200401571B (en) 2004-08-31
KR100952453B1 (ko) 2010-04-13
BRPI0212814B1 (pt) 2019-07-30
KR20080078740A (ko) 2008-08-27
ES2263811T3 (es) 2006-12-16
EP1430640B1 (en) 2006-05-10
FI20011909A0 (fi) 2001-09-28

Similar Documents

Publication Publication Date Title
FI114953B (fi) Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
US8400970B2 (en) System and method for securing a personalized indicium assigned to a mobile communications device
US8407769B2 (en) Methods and apparatus for wireless device registration
US7505756B2 (en) Dynamic online subscription for wireless wide-area networks
CN108737381B (zh) 一种物联网系统的扩展认证方法
US7644272B2 (en) Systems and methods for providing security to different functions
US20040162998A1 (en) Service authentication in a communication system
CN101138217A (zh) 通过比较非网络始发身份来认证用户的方法和设备
CN100459786C (zh) 经移动终端控制资源的方法和系统、相关网络及其计算机程序产品
US9788202B2 (en) Method of accessing a WLAN access point
CN104982053B (zh) 用于获得认证无线设备的永久身份的方法和网络节点
CN107835204A (zh) 配置文件策略规则的安全控制
KR102741518B1 (ko) 네트워크 슬라이스 상에서 사용자를 인증하기 위한 방법
US11533400B2 (en) Method, device, and system for securing an access to at least one service
CA2527767C (en) System and method for securing a personalized indicium assigned to a mobile communications device
FI116182B (fi) Tilaajan autentikointi

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 114953

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: NOKIA TECHNOLOGIES OY

MA Patent expired