FI118365B - Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä - Google Patents

Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä Download PDF

Info

Publication number
FI118365B
FI118365B FI20021284A FI20021284A FI118365B FI 118365 B FI118365 B FI 118365B FI 20021284 A FI20021284 A FI 20021284A FI 20021284 A FI20021284 A FI 20021284A FI 118365 B FI118365 B FI 118365B
Authority
FI
Finland
Prior art keywords
user
electronic device
authentication
contexts
user profile
Prior art date
Application number
FI20021284A
Other languages
English (en)
Swedish (sv)
Other versions
FI20021284A0 (fi
FI20021284A (fi
Inventor
Niall O'donoghue
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Priority to FI20021284A priority Critical patent/FI118365B/fi
Publication of FI20021284A0 publication Critical patent/FI20021284A0/fi
Priority to PCT/FI2003/000516 priority patent/WO2004004197A1/en
Priority to CN038153807A priority patent/CN1666457B/zh
Priority to AU2003244669A priority patent/AU2003244669A1/en
Priority to EP03738148A priority patent/EP1525705A1/en
Priority to US10/608,235 priority patent/US8166529B2/en
Publication of FI20021284A publication Critical patent/FI20021284A/fi
Application granted granted Critical
Publication of FI118365B publication Critical patent/FI118365B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Description

118365
Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä Tämä keksintö koskee menetelmää ja laitetta langattoman päätelaitteen käyttäjän 5 autentikoimiseksi erilaisissa käyttöyhteyksissä, joita käytetään päätelaitteessa.
Tekniikan tausta
Nykyään käytetään sertifikaatteja ja loppukäyttäjän avaimia, kuten yleistä avainta ja 10 salaista avainta autentikoitaessa käyttäjiä, jotka ottavat yhteyden tietoliikenneverkkoihin, kuten Internetiin, yrityksen intranetiin tai tiettyihin niissä tuettuihin palveluihin. Sertifikaatteja, kuten End Entity Certificates, jakavat sertifikaattiviranomaiset välineiksi, joilla sertifikaattien omistajat (eli loppukäyttäjät) voivat autentikoitua palveluihin. Käyttäjät käyttävät yksityistä avaintaan allekitjoittaakseen digitaalisesti 15 mobiilikaupankäynnin tapahtumia. Online-palveluilla voi olla sertifikaatteja näiden palveluiden laillisuuden autentikoimiseksi vieraileville käyttäjille.
Lähitulevaisuudessa erilaisten turvapalvelulta, kuten autentikointia ja verfiointia, , vaativien mobiilipalveluiden ja -sovellusten määrä kasvaa. Tulee erilaisia sertifikaatteja 7! 20 ja käyttäjien pääsytilejä erilaisiin palveluihin, ja siksi niiden sertifikaattien määrä, jotka • · · .·.*· käyttäjien on tallennettava matkaviestimiinsä, todennäköisesti lisääntyy. Elektronisen • ·· • « laitteen käyttö ei kuitenkaan ole enää intuitiivista ja tyydyttävää, jos käyttäjän on • · .’.j manuaalisesti valittava tiettyyn palveluun liittyvä sertifikaatti useista • · ·***· sertifikaattivaihtoehdoista.
25 : Keksinnön yhteenveto • « · e ♦ • · ···
Nyt on keksitty menetelmä ja laite elektronisen laitteen käyttäjän autentikoimiseksi * erilaisissa käyttöyhteyksissä ja keskitetyllä tavalla. Käyttöyhteys käsittää kaikki ne ··· 30 tapahtumat mobiilikaupankäynnin palveluissa ja sovelluksissa, joita käyttäjä pystyy • · käyttämään elektronisella laitteella. Tämän keksinnön perusideana on tunnistaa käyttöyhteys, jonka käyttäjä on valinnut käytettäväksi ja valita mainittua käyttöyhteyttä vastaava käyttäjäprofiili. Käyttäjäprofiilit, jotka käsittävät käyttäjän avaimet 2 118365 autentikointia ja digitaalista allekirjoitusta varten sekä käyttäjän sertifikaatit mainittuihin käyttöyhteyksiin pääsemiseksi tai käyttäjän autentikoimiseksi mainituissa käyttöyhteyksissä tallennetaan elektronisessa laitteessa olevaan keskitettyyn rekisteriin. Ne kytketään toisiinsa niin, että tietyn käyttöyhteyden ja vastaavan käyttäjäprofiilin 5 välillä on yhteys. Kun käyttäjä valitsee tietyn käyttöyhteyden, tämän keksinnön mukainen laite pystyy automaattisesti tunnistamaan mainitun käyttöyhteyden ja valitsemaan vastaavan käyttäjäprofiilin käyttäjän päästämiseksi mainittuun käyttöyhteyteen tai käyttäjän autentikoimiseksi mainitussa käyttöyhteydessä käyttämällä mainittua käyttäjäprofiilia.
10
Keksinnön ensimmäisen aspektin mukaan toteutetaan menetelmä elektronisen laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy käyttämään, tunnettu siitä, että menetelmässä on seuraavat toiminnot: ylläpidetään keskitettyä rekisteriä laitteen käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin 15 liittyvistä ennalta määritetyistä käyttäjäprofiileista, laite siirtyy tiettyyn mainituista useista käyttöyhteyksistä, laite tunnistaa mainitun siirtymisen, valitaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainitulle tunnistamiselle, ja suoritetaan autentikointi valitussa käyttöyhteydessä käyttämällä valitun käyttäjäprofiilin tietoja.
• *· · 20 Keksinnön toisen aspektin mukaan toteutetaan elektroninen laite mainitun elektronisen • « · ,·*,*; laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy • ·· käyttämään, tunnettu siitä, että laitteessa on: keskitetty rekisteri laitteen käytettävissä • · : olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä ennalta tallennetuista • · .··*. käyttäjäprofiileista, siirtymävälineet, joilla siirrytään tiettyyn mainituista useista • · · 25 käyttöyhteyksistä, tunnistusvälineet, joilla tunnistetaan mainittu siirtyminen, valintavälineet, joilla valitaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainitulle tunnistamiselle, ja suoritusvälineet, joilla suoritetaan autentikointi valitussa . *: ·. käyttöyhteydessä käyttämällä valitun käyttäj äprofiilin tietoj a.
• · · • · • · • · · ;·! 30 Keksinnön kolmannen aspektin mukaan toteutetaan tietokoneohjelmatuote mainitun • · · elektronisen laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä * · pystyy käyttämään, tunnettu siitä, että tietokoneohjelmatuotteessa on: tietokoneohjelmakoodi, jolla laite saadaan ylläpitämään keskitettyä rekisteriä laitteen 3 118365 käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä ennalta tallennetuista käyttäjäprofiileista, tietokoneohjelmakoodi, jolla laite saadaan siirtymään johonkin tiettyyn mainituista useista käyttöyhteyksistä, tietokoneohjelmakoodi, jolla saadaan laite tunnistamaan mainittu siirtyminen, tietokoneohjelmakoodi, jolla saadaan 5 laite valitsemaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainitulle tunnistamiselle, ja tietokoneohjelmakoodi, jolla saadaan laite suorittamaan autentikointi valitussa käyttöyhteydessä käyttämällä valitun käyttäjäprofiilin tietoja.
Keksintöä selostetaan seuraavassa tarkemmin viitaten oheisiin piirustuksiin, joissa: 10
Kuva 1 esittää tämän keksinnön erään suoritusmuodon mukaista menetelmää vuokaaviona,
Kuva 2 esittää tämän keksinnön erään suoritusmuodon mukaista elektronista laitetta, 15
Kuva 3 esittää tämän keksinnön erään suoritusmuodon mukaista järjestelmää,
Kuva 4 esittää tämän keksinnön erään suoritusmuodon mukaista matkaviestintä.
• · · "" 20 Kuva 1 esittää keksinnön erään suoritusmuodon mukaista menetelmää vuokaaviona.
• * * • · · * *. Seuraavassa kuvatun menetelmän vaiheet toteutetaan edullisesti • · · • ·· tietokoneohjelmakoodina. Vaiheessa 101 käyttäjä valitsee käyttöyhteyden, esimerkiksi • · : palvelun tai sovelluksen. Keksinnön mukainen autentikoiva tietokoneohjelmasovellus • ♦ .***. käynnistetään laitteessa, esimerkiksi langattomassa viestimessä, kuten ·· · 25 solukkopuhelimessa tai multimedialaitteessa. Sovellus odottaa, että käyttäjä valitsee käytettävän käyttöyhteyden. Valintamahdollisuuden esittävän laitteen näytössä voi olla : esimerkiksi valikkorakenne. Käyttäjä voi tehdä valinnan esimerkiksi koskettamalla laitteen kosketusherkkää näyttöä tai näppäimistön avulla painamalla käyttöyhteyteen .***; liittyvää asianmukaista näppäintä näytöllä tai käyttämällä näppäimistöä kohdistimen te· 30 siirtämiseen laitteen kuvaruudulla. Käyttöyhteys on sovellus, kuten esimerkiksi • »i ....· pankkisovellus tai www-selain. Käyttäjä käynnistää sovelluksen eli valitsee • · käyttöyhteyden. Autentikoiva sovellus tunnistaa käyttäjän valitseman käyttöyhteyden. Tämä voidaan toteuttaa esimerkiksi tavalla, jossa on laitteen muistiin tallennettuna 4 118365 rekisteri, johon autentikointisovelluksella on pääsy. Kyseisessä rekisterissä ovat kaikkien laitteen käyttäjän käytettävissä olevien käyttöyhteyksien kaikki tunnisteet. Autentikointisovellus havaitsee, milloin tietty käyttöyhteys on käytössä esimerkiksi havaitsemalla, milloin sellainen käyttöyhteys käynnistetään laitteessa.
5
Laitteessa on turvaelementti, jossa sijaitsee käyttäjän avaimet ja käyttäjän sertifikaatit sisältävä rekisteri. Laitteen muistissa on myös turvallisesti tallennettuna keskitetty rekisteri laitteen käyttäjän käytettävissä olevien käyttöyhteyksien, kuten palveluiden ja/tai sovellusten tunnisteista. Käyttöyhteysrekisterin tunnisteet on kytketty turvaelementin 10 rekisterissä oleviin käyttäjän avaimiin ja käyttäjän sertifikaatteihin.
Jos autentikointisovellus tunnistaa (vaihe 102) käyttäjän valitseman käyttöyhteyden, se valitsee automaattisesti sopivan käyttäjäprofiilin, esimerkiksi mainitussa käyttöyhteydessä käytettävän käyttäjän avaimen ja käyttäjän sertifikaatin. Käyttäjälle 15 ilmoitetaan valitusta käyttäjäprofiilista. Käyttäjäprofiili on kytketty mainittuun käytössä olevaan käyttöyhteyteen esimerkiksi laitteen muistissa tai asianmukaisessa turvaelementissä (joka vaatii autentikointipääsyn) (vaihe 103) ja taijoaa käyttäjäprofiilin, kuten käyttäjän avaimen ja käyttäjän sertifikaatin käyttöyhteydelle (vaihe 104). Jos . sovellus ei pysty tunnistamaan käyttöyhteyttä vaiheessa 102, se tarkistaa vaiheessa 105, ·«* *.**.* 20 käytetäänkö mainittua käyttöyhteyttä ensimmäistä kertaa.
t · * • · • ♦ • · · • ·♦
Jos käyttöyhteyttä käytetään ensimmäistä kertaa (vaihe 105), sovellus pyytää käyttäjältä · .·. j kyseisessä käyttöyhteydessä käytettävää käyttäjäprofiilia (käyttäjän avainta ja käyttäjän • ·· • · .···. sertifikaattia) (vaihe 106), hankkimalla avain ja sertifikaatti esimerkiksi kyseisestä ·· · 25 palvelusta tai sertifikaattiviranomaiselta. Sertifikaattiviranomainen on elin tai **·*; organisaatio, jolla on oikeus laatia ja myöntää sertifikaatteja. Sertifikaatit ovat • · hierarkkisia, kuten tikapuut. Tikapuiden huipulla on juuritaso Root CA, joka laatii, .*·*. myöntää ja allekirjoittaa itselleen omat sertifikaattinsa. Sen alapuolella on erilaisia CA- • .*·*. tasoja (Sub CA), joiden on anottava sertifikaatit Root CArlta, ja nämä sertifikaatit ··· 30 allekirjoittaa Root CA. Näin sertifikaatit voidaan vahvistaa tikapuita pitkin alhaalta ylös.
• ··
Langaton päätelaite esittää sertifikaattipyynnön esimerkiksi seuraavalla tavalla. Palvelu pyytää käyttäjää autentikoitumaan. Ilman sertifikaattia käyttäjällä on kolme vaihtoehtoa: • · 5 118365 1. Ei voi autentikoitua ja poistuu, 2. Yrittää nimetöntä sisäänkiijautumista, 3. Palvelu esittää sertifikaatinpyyntösivun, joka perustuu esimerkiksi XML.ään tai johonkin muuhun mobiiliselaimen ymmärtämään kieleen. Käyttäjä siis hyväksyy sertifikaatin pyytämisen, täyttää henkilötietonsa (etunimi, sukunimi, matkapuhelinnumero jne.). Palvelu käsittelee 5 pyynnön, laatii palvelusertifikaatin, allekiijoittaa sen palvelun yksityisellä avaimella ja lähettää sen radioaalloilla käyttäjälle. Sertifikaatti saapuu käyttäjän laitteeseen, ja koska se on allekiijoitettu, se voidaan vahvistaa aidoksi, ja käyttäjä tallentaa sen turvaelementtiin. Sitten käyttäjä voi yhdistää sertifikaatin profiiliin.
10 Laitteessa oleva sovellus tallentaa mainitun käyttäjäprofiilin muistiin tai esimerkiksi turvaelementtiin (vaihe 107) ja lopuksi yhdistää mainitun sertifikaatin ja avaimen mainittuun profiiliin (vaihe 108).
Jos käyttöyhteyttä ei tunnisteta ensimmäistä kertaa käytettäväksi käyttöyhteydeksi 15 vaiheessa 105, sovellus taijoaa valikoiman käyttäjäprofiileita turvaelementistä käyttäjälle (vaihe 109). Käyttöyhteydet voidaan jakaa erilaisiin luokkiin, esimerkiksi kauppa, pankki, koti jne. Myös käyttöyhteyteen liittyvät sertifikaatit voidaan luokitella. Kim käyttäjä valitsee yhden käyttäjäprofiilin sovelluksen taijoamasta luettelosta, mainittu , käyttäjäprofiili tunnistetaan (vaihe 110) ja asianmukainen käyttäjän avain ja käyttäjän ··» "*.* 20 sertifikaatti valitaan mainitun tunnistetun käyttäjäprofiilin perusteella, ja sovellus tarjoaa * · • · · mainitun avaimen ja sertifikaatin käyttäjälle (vaihe 111). Nyt mainittu avain ja • ·· sertifikaatti ovat käyttäjän käytettävissä mainitussa käyttöyhteydessä esimerkiksi • · : käyttäjän autentikoimiseksi pääsemään johonkin käyttöyhteyteen, kuten palveluun, tai • · * • · .··*. jonkin tapahtuman, esimerkiksi jonkin käyttöyhteyden tapahtuman, kuten ostospalvelun, ·· · 25 autentikoimiseksi. On huomattava, että sertifikaatit yhdistyvät automaattisesti **·; avainpareihin (yksityinen avain / julkinen avain). Palvelusertifikaatin yksityinen avain ei • « :***: koskaan poistu palvelusta. Vain julkinen avain ja siihen liittyvä sertifikaatti on käyttäjän laitteessa. Koska itse avaimet ovat salattuja, käyttäjän ei tarvitse katsella eikä valita .·**. avaimia. Vain niihin liittyvät käyttäjän luettavissa olevat sertifikaattitiedot ovat käyttäjän • · · 30 katseltavissa.
• · • · ·
Kuva 2 esittää tämän keksinnön erään suoritusmuodon mukaista elektronista laitetta. Laitteessa 200 on prosessori 201 ja muisti 202, joka voi olla esimerkiksi ROM-muisti tai • · 6 118365 RAM-muisti, laitteen tehtävien käsittelemiseksi. Laitteessa 200 voi lisäksi olla yksi tai useampia sovelluksia 203 erilaisten tehtävien suorittamiseksi laitteessa 200. Laitteessa 200 on lisäksi näppäimistö 204 ja näyttö 205 tietojen syöttämiseksi ja esittämiseksi. Laitteessa on myös edullisesti ohjelmasovellus 208 ja turvaelementtirekisteri 209.
5 Sovellus 208 voi olla esimerkiksi turvallisesti sijoitettu muistiin (ROM) ennen kuin käyttäjä hankkii laitteen, tai se voi olla jälkeenpäin lisätty SW-sovellus, jonka käyttäjä ostaa myyjältä, esimerkiksi Club Nokialta, ja joka sitten asennetaan muistiin, joka on poistettavissa laitteesta, kuten WIM (WAP-identiteettimoduuli) (irrotettava yksikkö) tai turvalliseen ASIC-piiriin (Application Specific Integrated Circuit) (kiinteä yksikkö). 10 Sovelluksessa 208 on keskitetty rekisteri laitteen käyttäjän käytettävissä olevista palveluista ja mainittuihin palveluihin liittyvistä käyttäjäprofiileista. Se mahdollistaa turvatoimintojen räätälöinnin käyttäjän mukaan pikatoimintojen muodostamiseksi, jolloin käyttäjän ei tarvitse valita yhtä avainta kotia varten, toista toimistoa varten ja niin edelleen. Sovelluksessa on lisäksi tietokoneohjelmakoodi käyttäjän valitseman 15 käyttöyhteyden tunnistamiseksi, tietokoneohjelmakoodi ainakin yhden käyttäjäprofiilin valitsemiseksi vastauksena tunnistettuun palveluun, ja tietokoneohjelmakoodi käyttäjän autentikoimiseksi valitussa palvelussa vastauksena valittuun käyttäjäprofiiliin.
. Turvaelementissä 209 resursseja ovat nämä käyttäjän avaimet ja käyttäjän sertifikaatit.
··· 20 Käyttäjän ei tarvitse valita avainta tai sertifikaattia, jota käytetään valitun käyttöyhteyden • · · kanssa. Sovellus 208 on tarpeeksi älykäs tunnistaakseen käyttäjän käynnistämän • ·« käyttöyhteyden ja valitsee asianmukaisen avaimen tai sertifikaatin, jolloin laitteen 200 • * j käyttäjä voi käyttää laitetta paljon helpommin ja tehokkaammin. Sovelluksen 208 voisi • · .***, myös halutessaan poistaa käytöstä tekninen asiantuntija tai asiantunteva käyttäjä, joka ··* 25 haluaa päästä lähelle avainten ja sertifikaattien käsittelytapahtumia.
·· · • · · • 9 9 9
Kuva 3 esittää tämän keksinnön erään suoritusmuodon mukaista jäijestelmää. Tässä 9 järjestelmässä käyttäjä 301 käyttää tämän keksinnön mukaista matkaviestintä 200. Kun .***. käyttäjä on työssä 301, hän käyttää laitteessaan käyttöyhteyttä Työ. Käyttöyhteyttä Työ ··· ./ 30 käytetään esimerkiksi työntekijän yritystietojen käytön suojaamiseksi. Kun käyttäjä lähtee työstä 302 ja menee autoonsa 303, hän vaihtaa käytössä olevaksi käyttöyhteydeksi
Ajaminen, jota käytetään autoon pääsemiseksi ja auton turvalaitteiden kytkemiseksi päälle/pois päältä. Seuraavaksi käyttäjä menee esimerkiksi kauppaan 304 ostamaan • · 7 118365 ruokaa ja vaihtaa taas käytössä olevaksi käyttöyhteydeksi Kauppa, jota käytetään käyttäjän autentikoimiseen henkilökohtaisissa ostostapahtumissa. Lopuksi käyttäjä tulee kotiin ja vaihtaa laitteensa käyttöyhteydeksi Koti, joka on se käyttöyhteys, jossa päästään ohjaamaan pääsyä asuntoon ja hälytystä. Laitteessa 200 on sovellus, joka on yksilöity, 5 käyttäjän konfiguroitavissa oleva, turvatoimintoihin liittyvä, erillinen, älykäs SW-agentti, jota voidaan käyttää erilaisissa käyttöyhteyksissä, kuten Työ, Kauppa, Koti, Ajaminen, Viihde. Laitteessa on lisäksi turvaelementti, joka säilyttää turvallisesti käyttäjän avaimet ja henkilökohtaiset sertifikaatit. Sovellus käyttää turvaelementin resursseja tavoilla, jotka riippuvat käytössä olevan käyttöyhteyden vaatimuksista. Käyttäjän ei tarvitse huolehtia 10 siitä, kuinka laite autentikoi hänet asianmukaisesti esimerkiksi yritys-, koti-, auto- tai ostoskäyttöä varten. Sovellus valitsee asianmukaisen turvatason, asianmukaiset sertifikaattitiedot ja niin edelleen. Vastaavasti voidaan ajatella erityistä sovellusta teini-ikäisten laitteille, jotka vaativat muita turvapalvelulta, eli siinä voivat olla esimerkiksi käyttöyhteydet Koulu, Koti, PopShop, Kaverit, Yksityiset jutteluryhmät ja niin edelleen. 15
Tiettyyn profiiliin voi liittyä useita palveluita tai sovelluksia. Käyttäjäprofiilin hallintaohjelma pystyy edullisesti havaitsemaan sovellusten ja palveluiden avainsanat, kuten ’’tapahtuma” tai ’’kuitti” Kauppaprofiilissa, tai ’’työhönpääsy” tai ”kotiavain” Työ-ja Kotiprofiilissa. Koska avainsanoja käytetään mobiilikaupankäynnin tapahtumien • φ · · . ·, ·. 20 käsittelyssä, avainsanoj a voidaan käyttää myös tässä käyttöyhteydessä.
• · · • · • * • · m • * · • *
Kuva 4 esittää tämän keksinnön mukaista matkaviestintä 400. Laitteessa on näyttö 401 :*·,· tietojen esittämiseksi käyttäjälle visuaalisesti ja näppäimistö 402, jolla käyttäjä voi • · syöttää tietoja. Laitteessa 400 on lisäksi puhelimen näppäimistössä allekiijoituspainike • · · 25 403 ja autentikointipainike 404, joiden avulla kaikentasoiset käyttäjät pääsevät helposti • \· käynnistämään käyttäjän autentikointiin ja digitaaliseen allekirjoitukseen liittyvät • · · prosessit. Puhelimen näppäimistössä olevat, kerran painettavat painikkeet voivat korvata :T: monimutkaiset autentikoinnin ja digitaalisen allekirjoituksen käyttöliittymät. Painikkeet on edullisesti nimetty intuitiivisesti ja ne voivat korvata monimutkaiset 30 vuorovaikutusjaksot samojen toimintojen suorittamiseksi. Digitaalisen allekirjoituksen painike 403 ja käyttäjän autentikointipainike ovat turvallisia oikoteitä käyttäjän autentikointiin ja digitaaliseen allekirjoitukseen liittyvien prosessien käynnistämiseksi matkaviestimessä. Käyttäjä voi konfiguroida kyseisten prosessien asetukset esimerkiksi 8 118365 käyttöoppaan mukaan, mutta hän voi sen jälkeen suorittaa prosessit yksinkertaisesti painamalla asianmukaisia painikkeita puhelimen näppäimistöllä.
Seuraavassa kuvataan käytännön esimerkkiä tämän keksinnön mukaisesta järjestelmästä 5 viitaten kuviin 3 ja 4. Käyttäjä 301 asettaa laitteen, esimerkiksi viestinlaitteen, kuten matkaviestimen 200 Käyttäjäprofiilin hallinta -sovelluksessa Automaattinen havaitseminen -profiiliin, ja puhelimessa 200 on nyt ’’Yleinen profiili”. Käyttäjä menee kauppaan 304, esimerkiksi levykauppaan, ja puhelin 200 havaitsee kaupan 304 paikallisen solun rekisteröinnistä, että käyttäjä on mainitussa kaupassa. Puhelin 200 antaa 10 äänimerkin ja esittää käyttäjälle sanoman ’’Aktivoi Kauppaprofiili?” (käyttäjän on hallittava tilanne ja voitava valita) näytöllä 401. Jos käyttäjä valitsee Kyllä, puhelin siirtyy Kauppaprofiili-tilaan, jossa puhelin 200 voi vastaanottaa erikoistarjouksia koskevia viestejä radioaalloilla paikallisen solun yleislähetyksestä. Käyttäjää 301 kiinnostaa yksi erikoistarjous ja hän menee noutamaan sen. Lopuksi käyttäjä 301 menee 15 kassalle ja päättää maksaa sähköisellä luottokortilla (e-kortilla). Käyttäjä 301 painaa ”A”-painiketta 404 näppäimistöllä ja antaa asianmukaisen PIN-koodin e-kortin autentikoimiseksi (samoin kuin esittäisi ajokortin luottokortin omistuksen todistamiseksi). Kassa hyväksyy e-kortin autentikoinnin ja lähettää e-laskun käyttäjän puhelimeen 200. ... Puhelin 200 vastaanottaa e-laskun, antaa e-laskusta käyttäjälle kuitin, jonka käyttäjä 301 20 allekirjoittaa vahvistaen siten tapahtuman. Käyttäjä 301 valitsee sitten ”S”-painikkeen • · · • · : 403 näppäimistöltä ja antaa asianmukaisen PIN-koodin voidakseen käyttää • · allekirjoitusnäppäintä, joka allekirjoittaa e-laskun, ja puhelin 200 valitsee automaattisesti Käyttäjän sertifikaatti -näppäimen e-laskun allekirjoittamiseksi. Puhelin 200 antaa • · äänimerkin ja näyttää sanoman ’’Tapahtuma allekirjoitettu ja päätetty”, ja sen jälkeen 25 käyttäjä 301 lähtee kaupasta 304. Sitten puhelin 200 havaitsee, että käyttäjä on poistunut • · · • ',! kaupan 304 paikallisesta solusta. Puhelin 200 antaa äänimerkin ja näyttää sanoman • a a ’’Kauppaprofiili poistettu käytöstä”, ja sen jälkeen se antaa äänimerkin ja näyttää : * * *; sanoman ” Yleinen profiili otettu käyttöön”.
t • * · • a • 9 9·· * 30 Digitaalisessa allekirjoituksessa käyttäjällä on turvaelementissä yksityinen avain, joka ei ·...: koskaan poistu turvaelementistä. Käyttöyhteyden allekirjoittamiseksi käyttäjä painaa ensin ”A”-painiketta autentikoituakseen laitteelle tai turvaelementille käyttämällä PIN-koodia (jos se on suljettu). Jos turvaelementti on jo auki, käyttäjä voi painaa ”S”- 118365 g painiketta, joka sitten autentikoi PIN-koodia käyttämällä pääsyn turvaelementissä olevaan allekiijoitusnäppäimeen. Turvallisuussyistä on edullista pyytää aina PIN-koodia jonkin käyttöyhteyden allekiijoittaimseksi.
5 Tässä hakemuksessa esitetään keksinnön toteutus ja suoritusmuodot esimerkkien avulla. Alan asiantuntija ymmärtää, ettei keksintö rajoitu edellä esitettyjen suoritusmuotojen yksityiskohtiin, ja että se voidaan toteuttaa myös jossakin muussa muodossa poikkeamatta keksinnön tunnusmerkeistä. Esitettyjä suoritusmuotoja on pidettävä kuvaavina, mutta ei rajoittavina. Näin siis mahdollisuuksia keksinnön toteuttamiseksi ja 10 käyttämiseksi rajoittavat vain oheiset patenttivaatimukset, ja patenttivaatimusten määrittelemät erilaiset vaihtoehdot keksinnön toteuttamiseksi, vastaavat suoritusmuodot mukaan luettuna, kuuluvat myös keksinnön suojapiiriin.
»M
···· • Φ • · · Φ Φ Φ Φ • ♦ • * • ·· • · • Φ · • Φ • · * • * · • • Φ · • Φ • · • * · • Φ · • · · • · • m «·· • · • · • Φ* ·· * · · • · Φ t φ Φ Φ φ Φ φ # Φ · · • • # • · Φ ·# Φ ·

Claims (14)

118365
1 Menetelmä elektronisen laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy käyttämään elektronisella laitteella, 5 tunnettu siitä, että menetelmässä: ylläpidetään keskitettyä rekisteriä laitteen käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä ennalta tallennetuista käyttäjäprofiileista, laite siirtyy tiettyyn mainituista useista käyttöyhteyksistä, 10 laite tunnistaa mainitun siirtymisen, valitaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainittuun tunnistamiseen, ja suoritetaan autentikointi valitussa käyttöyhteydessä käyttämällä valitussa käyttäjäprofiilissa olevia tietoja. 15
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että mainitussa käyttäjäprofiilissa on ainakin jokin seuraavista: käyttäjän avain, käyttäjän sertifikaatti. M» *** 20
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että mainitussa • · · 77 « · t * · φ * , ·. : käyttäjän avaimessa on ainakin jokin seuraavista: julkinen avain ja salainen avain. • · · • · • t
: 4. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että mainittuun ·· 77 • · käyttöyhteyteen sisältyy jokin tapahtuma jossakin palvelussa tai sovelluksessa, jota • · · 25 käyttäjä käyttää laitteessa, ja mainittu tapahtuma käsittää ainakin jonkin seuraavista: autentikointitapahtuma, todennustapahtuma. * * * • · • · *··
5. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että autentikointi * käsittää käyttäjän henkilöllisyyden autentikoinnin siirryttäessä valittuun Φ·· :·. 30 käyttöyhteyteen. • · · m • m 118365
6. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että autentikointi käsittää käyttäjän valitussa käyttöyhteydessä suorittaman tapahtuman autentikoinnin.
7. Elektroninen laite (200) mainitun elektronisen laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy käyttämään elektronisella laitteella, tunnettu siitä, että laitteessa on: keskitetty rekisteri (202, 209) laitteen käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä ennalta tallennetuista käyttäjäprofiileista, 10 siirtymisvälineet (201-203, 208) siirtymiseksi johonkin tiettyyn mainituista useista käyttöyhteyksistä, tunnistusvälineet (201-203,208) mainitun siirtymisen tunnistamiseksi, valintavälineet (201-203, 208, 209), joilla valitaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainittuun tunnistamiseen, ja 15 suoritusvälineet (201-203, 208, 209) autentikoinnin suorittamiseksi valitussa käyttöyhteydessä käyttämällä valitun käyttäjäprofiilin tietoja.
8. Patenttivaatimuksen 7 mukainen elektroninen laite, tunnettu siitä, että mainitut suoritusvälineet on järjestetty suorittamaan mainittu autentikointiprosessi m 20 käyttämällä mainittuja valitun käyttäjäprofiilin tietoja käyttäjän henkilöllisyyden * I · • · . ·, : autentikoimiseksi, kun käyttäjä päästetään mainittuun käyttöyhteyteen.
• » • · ·*·.· 9. Patenttivaatimuksen 7 mukainen elektroninen laite, tunnettu siitä, että mainitut • * suoritusvälineet on jäqestetty suorittamaan mainittu autentikointiprosessi • · * 25 käyttämällä mainittuja valitun käyttäjäprofiilin tietoja käyttäjän mainitussa ·· m • ‘ ’· käyttöyhteydessä suorittaman tapahtuman autentikoimiseksi. ··· • · • · φ · ·
10. Patenttivaatimusten 8 ja 9 mukainen elektroninen laite, tunnettu siitä, että • mainitussa käyttäjäprofiilissa on ainakin jokin seuraavista: käyttäjän avain ja ;·. 30 käyttäjän sertifikaatti. * ·
11. Patenttivaatimuksen 10 mukainen elektroninen laite, tunnettu siitä, että mainittu käyttäjän avain käsittää julkisen avaimen ja salaisen avaimen. 118365
12. Patenttivaatimuksen 11 mukainen elektroninen laite, tunnettu siitä, että mainittu laite on matkaviestin.
13. Elektroninen laite (200) mainitun elektronisen laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy käyttämään elektronisella laitteella, tunnettu siitä, että laitteessa on; keskitetty rekisteri (202, 209) laitteen käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä ennalta tallennetuista käyttäjäprofiileista, 10 liittymä (201-205, 208) siirtymiseksi johonkin tiettyyn mainituista useista käyttöyhteyksistä, prosessori (201), joka on konfiguroitu: tunnistamaan mainittu siirtyminen, valitsemaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainittuun 15 tunnistamiseen, j a suorittamaan autentikointi valitussa käyttöyhteydessä käyttämällä valitussa käyttäjäprofiilissa olevia tietoja.
14. Tietokoneohjelmatuote elektroniseen laitteeseen (200) mainitun elektronisen ···« 20 laitteen käyttäjän autentikoimiseksi useissa käyttöyhteyksissä, joita käyttäjä pystyy • · · • · . *.': käyttämään, tunnettu siitä, että tietokoneohjelmatuotteessa on: • · tietokoneohjelmakoodi, jolla laite saadaan ylläpitämään keskitettyä rekisteriä : * . · laitteen käytettävissä olevista käyttöyhteyksistä ja kaikkiin käyttöyhteyksiin liittyvistä * t : * * j: ennalta tallennetuista käyttäjäprofiileista, 25 tietokoneohjelmakoodi, jolla saadaan laite siirtymään tiettyyn mainituista *· · : V useista käyttöyhteyksistä, ··« : tietokoneohjelmakoodi, jolla saadaan laite tunnistamaan mainittu siirtyminen, :*·*: tietokoneohjelmakoodi, jolla saadaan laite valitsemaan keskitetystä rekisteristä käyttäjäprofiili vastauksena mainitulle tunnistamiselle, ja :·. 30 tietokoneohjelmakoodi, jolla saadaan laite suorittamaan autentikointi valitussa ····· käyttöyhteydessä käyttämällä valitun käyttäjäprofiilin tietoja. 118365
FI20021284A 2002-06-28 2002-06-28 Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä FI118365B (fi)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20021284A FI118365B (fi) 2002-06-28 2002-06-28 Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä
PCT/FI2003/000516 WO2004004197A1 (en) 2002-06-28 2003-06-26 Method and device for authenticating a user in a variety of contexts
CN038153807A CN1666457B (zh) 2002-06-28 2003-06-26 用于在多种环境中鉴权用户的方法和装置
AU2003244669A AU2003244669A1 (en) 2002-06-28 2003-06-26 Method and device for authenticating a user in a variety of contexts
EP03738148A EP1525705A1 (en) 2002-06-28 2003-06-26 Method and device for authenticating a user in a variety of contexts
US10/608,235 US8166529B2 (en) 2002-06-28 2003-06-27 Method and device for authenticating a user in a variety of contexts

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20021284A FI118365B (fi) 2002-06-28 2002-06-28 Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä
FI20021284 2002-06-28

Publications (3)

Publication Number Publication Date
FI20021284A0 FI20021284A0 (fi) 2002-06-28
FI20021284A FI20021284A (fi) 2003-12-29
FI118365B true FI118365B (fi) 2007-10-15

Family

ID=8564268

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20021284A FI118365B (fi) 2002-06-28 2002-06-28 Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä

Country Status (6)

Country Link
US (1) US8166529B2 (fi)
EP (1) EP1525705A1 (fi)
CN (1) CN1666457B (fi)
AU (1) AU2003244669A1 (fi)
FI (1) FI118365B (fi)
WO (1) WO2004004197A1 (fi)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7571488B2 (en) * 2004-03-31 2009-08-04 Panasonic Corporation Rights management terminal, server apparatus and usage information collection system
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
WO2007012786A2 (fr) * 2005-07-29 2007-02-01 France Telecom Procede de mise en oeuvre d'une sequence d'authentifications
JP4899442B2 (ja) * 2005-11-21 2012-03-21 ソニー株式会社 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
GB2456290B (en) * 2007-10-05 2011-03-30 Iti Scotland Ltd Distributed protocol for authorisation
US20100031028A1 (en) * 2008-07-31 2010-02-04 Research In Motion Limited Systems and methods for selecting a certificate for use with secure messages
EP2351285B1 (en) * 2008-10-21 2019-07-03 Fmr Llc Context-based user authentication, workflow processing, and data management
US8347080B2 (en) 2010-05-10 2013-01-01 Research In Motion Limited System and method for multi-certificate and certificate authority strategy
WO2013131265A1 (en) * 2012-03-08 2013-09-12 Nokia Corporation A context-aware adaptive authentication method and apparatus
DE102013207933A1 (de) 2013-04-30 2014-10-30 Henkel Ag & Co. Kgaa Reinigungsmittel enthaltend Proteasen
US9854059B2 (en) * 2016-03-04 2017-12-26 Facebook, Inc. Local-area network (LAN)-based location determination
US10979430B1 (en) * 2017-05-17 2021-04-13 Adnazon Technologies, Inc. Service-initiated user authentication via delegated methods
US10498742B2 (en) * 2017-06-01 2019-12-03 Samsung Electronics Co., Ltd. Secure access with trusted proximity device
US10972468B2 (en) 2017-11-21 2021-04-06 Vmware, Inc. Adaptive device enrollment
US10986078B2 (en) * 2017-11-21 2021-04-20 Vmware, Inc. Adaptive device enrollment

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537474A (en) 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US5721781A (en) * 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6338138B1 (en) * 1998-01-27 2002-01-08 Sun Microsystems, Inc. Network-based authentication of computer user
US6205480B1 (en) 1998-08-19 2001-03-20 Computer Associates Think, Inc. System and method for web server user authentication
US6567915B1 (en) * 1998-10-23 2003-05-20 Microsoft Corporation Integrated circuit card with identity authentication table and authorization tables defining access rights based on Boolean expressions of authenticated identities
US7305562B1 (en) * 1999-03-09 2007-12-04 Citibank, N.A. System, method and computer program product for an authentication management infrastructure
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates
US6901261B2 (en) * 1999-05-19 2005-05-31 Inria Institut Nationalde Recherche En Informatique Etaen Automatique Mobile telephony device and process enabling access to a context-sensitive service using the position and/or identity of the user
US6263434B1 (en) * 1999-09-21 2001-07-17 Sun Microsystems, Inc. Signed group criteria
WO2001067684A2 (en) * 2000-03-06 2001-09-13 Openwave Technologies Inc. Short haul radio supported wireless communications
US6766160B1 (en) * 2000-04-11 2004-07-20 Nokia Corporation Apparatus, and associated method, for facilitating authentication of communication stations in a mobile communication system
WO2001080133A2 (en) * 2000-04-17 2001-10-25 Emtera Corporation System and method for wireless purchases of goods and services
JP2002091299A (ja) * 2000-08-31 2002-03-27 Internatl Business Mach Corp <Ibm> 電子署名システム、電子署名方法、電子署名の仲介方法、電子署名の仲介システム、情報端末および記録媒体
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US6714778B2 (en) * 2001-05-15 2004-03-30 Nokia Corporation Context sensitive web services
US7198571B2 (en) * 2002-03-15 2007-04-03 Igt Room key based in-room player tracking
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device

Also Published As

Publication number Publication date
CN1666457A (zh) 2005-09-07
EP1525705A1 (en) 2005-04-27
WO2004004197A1 (en) 2004-01-08
CN1666457B (zh) 2010-07-14
AU2003244669A1 (en) 2004-01-19
FI20021284A0 (fi) 2002-06-28
US8166529B2 (en) 2012-04-24
FI20021284A (fi) 2003-12-29
US20040064701A1 (en) 2004-04-01

Similar Documents

Publication Publication Date Title
US8201232B2 (en) Authentication, identity, and service management for computing and communication systems
EP2701416B1 (en) Mobile Electronic Device And Use Thereof For Electronic Transactions
FI118365B (fi) Menetelmä ja laite käyttäjän autentikoimiseksi erilaisissa käyttöyhteyksissä
CN1816136B (zh) 通过移动电话的用户认证
US8522039B2 (en) Method and apparatus for establishing a federated identity using a personal wireless device
US10230727B2 (en) Method and system for authenticating a user
EP2355443B1 (en) Network authentication method and device for implementing the same
EP3200493B1 (en) User authentication management
JP5039150B2 (ja) セキュアリソースの認可
US20140289132A1 (en) Flexible quasi out of band authentication architecture
JP2000358282A (ja) 双方向移動通信装置のウェブ上でのプロビジョニングを容易とする方法及びシステム
CA2665961C (en) Method and system for delivering a command to a mobile device
US9680841B2 (en) Network authentication method for secure user identity verification using user positioning information
US20170230351A1 (en) Method and system for authenticating a user
JP2000092236A (ja) 情報提供システム
JP2008047022A (ja) 携帯端末装置による情報共有システム
CN107211275A (zh) 指代用于在移动设备上呈现的内容的链路指示
KR101297166B1 (ko) 생체 정보를 이용한 사용자 인증 방법 및 시스템과 생체정보를 이용하여 인증 정보를 전송하는 이동통신 단말기
WO2009048191A1 (en) Security authentication method and system
EP2916510B1 (en) Network authentication method for secure user identity verification using user positioning information
WO2017048177A1 (en) Method and system for authenticating a user
CN114299643A (zh) 门锁的管理方法、装置、存储介质及电子设备
US9357393B2 (en) Information processing apparatus, communication system, and information processing method
KR102209881B1 (ko) Mo 서비스를 이용한 본인 인증 방법
US20150264034A1 (en) Multi-layer authentication

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 118365

Country of ref document: FI