FI105965B - Autentikointi tietoliikenneverkosssa - Google Patents

Autentikointi tietoliikenneverkosssa Download PDF

Info

Publication number
FI105965B
FI105965B FI981564A FI981564A FI105965B FI 105965 B FI105965 B FI 105965B FI 981564 A FI981564 A FI 981564A FI 981564 A FI981564 A FI 981564A FI 105965 B FI105965 B FI 105965B
Authority
FI
Finland
Prior art keywords
network
terminal
authentication
key
unit
Prior art date
Application number
FI981564A
Other languages
English (en)
Swedish (sv)
Other versions
FI981564A (fi
FI981564A0 (fi
Inventor
Markku Verkama
Original Assignee
Nokia Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Networks Oy filed Critical Nokia Networks Oy
Publication of FI981564A0 publication Critical patent/FI981564A0/fi
Priority to FI981564A priority Critical patent/FI105965B/fi
Priority to AT99934737T priority patent/ATE357827T1/de
Priority to DE69935590T priority patent/DE69935590T2/de
Priority to AU50403/99A priority patent/AU5040399A/en
Priority to JP2000558686A priority patent/JP2002520708A/ja
Priority to EP99934737A priority patent/EP1095533B1/en
Priority to PCT/FI1999/000593 priority patent/WO2000002407A2/fi
Priority to ES99934737T priority patent/ES2285848T3/es
Publication of FI981564A publication Critical patent/FI981564A/fi
Application granted granted Critical
Publication of FI105965B publication Critical patent/FI105965B/fi
Priority to US09/751,138 priority patent/US7660772B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/102Bill distribution or payments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/2026Wireless network, e.g. GSM, PCS, TACS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/32Involving wireless systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

1 105965
Autentikointi tietoliikenneverkossa ψ
Keksinnön ala , Keksintö liittyy yleisesti autentikoinnin toteuttamiseen tietoliikennever- 5 kossa, erityisesti IP-verkossa (IP=lntemet Protocol). Autentikoinnilla tarkoitetaan tietoa generoineen osapuolen, kuten tilaajan, identiteetin todennusta. Autentikoinnin avulla voidaan myöskin taata kyseisen tiedon eheys (integrity) ja luottamuksellisuus (confidentiality). Autentikointi voidaan suorittaa erilaisia tarkoitusperiä, kuten verkkopalvelujen käyttöoikeuksien tarkistamista varten. 10 Keksintö on tarkoitettu käytettäväksi erityisesti liikkuvien päätelaitteiden yhteydessä, mutta keksinnön mukaista ratkaisua voidaan käyttää myös kiinteiden päätelaitteiden yhteydessä.
Keksinnön tausta 15 Eräs televiestinnän nykyisistä suuntauksista on erilaisten liikkuvien päätelaitteiden, kuten kannettavien tietokoneiden (laptops), PDA-laitteiden (Personal Digital Assistant) tai älypuhelimien yleistyminen.
Perinteisissä IP-verkoissa eivät liikkuvat käyttäjät ole voineet vastaanottaa dataa oman IP-aliverkkonsa ulkopuolella, koska verkon reitittimet 20 eivät ole pystyneet välittämään tietosähkeitä käyttäjän uuteen sijaintipaikkaan. Koska tämä rajoittaa oleellisesti kannettavien päätelaitteiden käytettävyyttä, on IP-protokollaan kehitetty liikkuvuutta tukevia ominaisuuksia. Mobile IP-protokolla (jatkossa MIP) on mekanismi, jolla hallitaan käyttäjän liikkuvuutta eri IP-aliverkkojen välillä. MIP on olemassa olevan IP:n versio, joka tukee pääte-25 laitteen liikkuvuutta.
MIP perustuu siihen, että kullakin liikkuvalla tietokoneella tai solmulla (mobile host, mobile node) on sille osoitettu agentti (“kotiagentti”, home agent), joka välittää paketit liikkuvan solmun sen hetkiseen sijaintipaikkaan. Kun liikkuva solmu liikkuu aliverkosta toiseen, se rekisteröityy kyseistä aliverkkoa , : 30 palvelevalle agentille (“vierailuagentti”, foreign agent). Viimemainittu suorittaa tarkistuksia liikkuvan solmun kotiagentin kanssa, rekisteröi liikkuvan solmun ja lähettää sille rekisteröinti-informaation. Liikkuvalle solmulle osoitetut paketit lähetetään liikkuvan solmun alkuperäiseen sijaintipaikkaan (kotiagentille omaan aliverkkoon), josta ne välitetään edelleen sen hetkiselle vierailuagentil-35 le, joka lähettää ne edelleen liikkuvalle solmulle. Koska esillä oleva keksintö ei liity MlPiin, ei protokollaa kuvata tässä yhteydessä tarkemmin. MlP-periaatetta 2 105965 kuvataan esim. RFC 2002:ssa, October 1996 (Request For Comments) tai artikkelissa Upkar Varshney, Supporting Mobility with Wireless ATM, Internet Watch, January 1997, joista kiinnostunut lukija löytää halutessaan taustain-formaatiota.
5 Kuten edellä mainittiin, rekisteröinti suoritetaan kotialiverkossa sijait sevan kotiagentin kanssa aina silloin, kun käyttäjä vierailee jossakin muussa IP-aliverkossa. Rekisteröinnin yhteydessä kotiagentti autentikoi käyttäjän. Toisin sanoen, kotiagentti varmistaa rekisteröintipyynnön lähettäneen osapuolen identiteetin.
10 Autentikoinnissa tarvittavien avaimien hallinta on kuitenkin Internetis sä vaikea ongelma. Verkon tietoturvaominaisuuksien parantamiseksi on kehitetty erilaisia järjestelmiä, joiden avulla käyttäjät voivat lähettää tiedon salattuna vastakkaiselle osapuolelle. Eräs tällainen järjestelmä on Kerberos, joka on palvelu, jonka avulla verkon käyttäjät ja palvelut voivat autentikoida toisensa ja 15 jonka avulla käyttäjät ja palvelut voivat luoda väliinsä salattuja tiedonsiirtoyhteyksiä. Tällaiset järjestelmät on kuitenkin tarkoitettu lähinnä kiinteille päätelaitteille, ne ovat monimutkaisia ja raskaita ja vaativat joko etukäteen suoritettua rekisteröintiä ko. järjestelmien käyttäjiksi tai ainakin raskasta kommunikointia osapuolten välillä ennen kuin päätelaite pääsee lähettämään varsinaista 20 hyötyinformaatiota.
Keksinnön yhteenveto
Keksinnön tarkoituksena on päästä eroon edellä kuvatusta epäkohdasta ja saada aikaan ratkaisu, jonka avulla päätelaite pystyy aloittamaan * 25 hyötyliikenteen nopeasti sen jälkeen, kun se on kytkeytynyt verkkoon.
Tämä päämäärä saavutetaan ratkaisulla, joka on määritelty itsenäisissä patenttivaatimuksissa.
Keksinnössä käytetään matkaviestinverkon yhteydestä tunnettua menettelyä verkon ja verkossa olevan päätelaitteen välisen yhteisen salaisuu-30 den generoimiseen, jolloin päätelaitteen kytkeytyessä verkkoon se voi suorittaa normaalin (vain vähäistä sanomanvaihtoa vaativan) rekisteröinnin, jonka yhteydessä kulkee tieto, joka indikoi ko. salaisuuden. Keksintö perustuu siihen ajatukseen, että MlP.ssä määriteltyä indeksiä SPI (Security Parameter Index), joka on osoitin, joka osoittaa normaalisti tietoyksikköön, joka kertoo erilaista 35 autentikoinnin suoritustapaan liittyvää tietoa, voidaan käyttää pelkästään kyseisen salaisuuden ilmoittamiseen, ja jättää muut SPI-parametrin avulla 3 105965 osoitettavissa olevat asiat etukäteen määritellyiksi vakioiksi. Tällöin ko. salaisuuden synnyttämiseen voidaan käyttää matkaviestinverkosta tunnettuja keinoja.
Keksinnön mukaisen ratkaisun ansiosta päätelaite pystyy verkkoon 5 kytkeytyessään aloittamaan hyötyliikenteen hyvin helposti ja ilman raskasta tai pitkällistä sanomanvaihtoa. Vaikka päätelaitteen ja verkon välistä salaisuutta ei olekaan määritelty tarkasti etukäteen, tarvitaan IP-verkkoon kytkeytymisen yhteydessä ainoastaan normaali ΜΙΡ-rekisteröinti. Lisäksi turvataso paranee, koska osapuolien keskinäinen salaisuus ei ole enää kiinteä, vaan dynaami- 10 sesti muuttuva avain.
Keksinnön mukaisen ratkaisun ansiosta sellaisten ISP-operaattorien, jotka tarjoavat myös matkaviestinpalveluja ei tarvitse erikseen hankkia avaimienhallintajärjestelmää IP-verkkoon, vaan he voivat hyödyntää operoimansa matkaviestinverkon ominaisuuksia myös tähän tarkoitukseen.
15
Kuvioluettelo
Seuraavassa keksintöä ja sen edullisia toteutustapoja kuvataan tarkemmin viitaten kuvioihin 1...5 oheisten piirustusten mukaisissa esimerkeissä, joissa 20 kuvio 1 havainnollistaa erästä keksinnön mukaisen menetelmän toimintaympäristöä, kuvio 2 havainnollistaa eri elementtien välillä käytävää sanomanvaihtoa, kuvio 3 havainnollistaa liikkuvan solmun ja kotiagentin välillä lähetettävien rekisteröintisanomien rakennetta, 25 kuvio 4 havainnollistaa rekisteröintisanoman autentikointilaajennuskentän rakennetta, ja kuvio 5 havainnollistaa päätelaitteen niitä toiminnallisia lohkoja, jotka ovat keksinnön kannalta oleellisia.
30 Keksinnön yksityiskohtainen kuvaus
Kuviossa 1 on esitetty keksinnön mukaisen menetelmän tyypillistä toimintaympäristöä. Järjestelmän alueella liikkuvilla käyttäjillä on käytössään kannettavia tietokoneita tai muita vastaavia päätelaitteita, esim. PDA-laitteita tai älypuhelimia. Kuviossa on havainnollistettu vain yhtä päätelaitetta TE1, 35 jonka oletetaan tässä esimerkissä olevan kannettava tietokone. Kuvioon on merkitty kaksi IP-aliverkkoa: ensimmäinen lähiverkko LAN1, esim. Ethernet- 4 105965 lähiverkko, joka on liitetty Internetiin reitittimen R1 kautta ja toinen lähiverkko LAN2, joka on kytketty Internetiin reitittimen R2 kautta. Lähiverkot voivat olla esim. yritysten sisäisiä verkkoja Päätelaitteilla on pääsy aliverkkoihin liityntäpisteiden (access point) 5 AP1 ja vastaavasti AP2 kautta sinänsä tunnetulla tavalla, esim. langattomasi, kuten kuviossa esitetään. Kuviossa oletetaan, että päätelaite TE1 on yhteydessä lähiverkkoon LAN1.
Päätelaitteessa on tyypillisesti liityntäelimet sekä lähiverkkoon (IP-verkkoon) että GSM-matkaviestinverkkoon (Global System for Mobile Com-10 munications). Lähiverkkoon liityntä tapahtuu esim. päätelaitteessa olevan LAN-kortin avulla ja GSM-verkkoon GSM-kortin avulla, joka on käytännössä riisuttu puhelin, joka on sijoitettu esim. tietokoneen PCMCIA-korttipaikkaan. GSM-korttiin liittyy lisäksi SIM-kortti (Subscriber Identity Module).
GSM-verkon osalta keksintö ei vaadi mitään erikoisratkaisuja, joten 15 GSM-verkon toteutus on sinänsä tunnettu. Kuviossa GSM-verkosta on esitetty päätelaite TE1, kolme tukiasemaa BTS1...BTS3 (Base Transceiver Station), niiden yhteinen tukiasemaohjain BSC1 (Base Station Controller), matkavies-tinkeskus MSC (Mobile Services Switching Centre), jonka järjestelmärajapinnan kautta matkaviestinverkko kytkeytyy muihin verkkoihin ja kotirekisteri HLR 20 (Home Location Register), jonka yhteydessä on tunnistuskeskus AuC
(Authentication Center). Lisäksi kuviossa on esitetty lyhytsanomakeskus SMSC (Short Message Switching Centre), jota käytetään hyväksi keksinnön eräässä toteutustavassa.
Lisäksi kuviossa on esitetty päätelaitteen TE1 kotiagentti HA, joka on « 25 Internetiin yhteydessä olevan reitittimen R3 yhteydessä. Käytännössä koti-agentin omistava organisaatio toimii usein paitsi ISP-operaattorina (Internet Service Provider), myös matkaviestinoperaattorina, minkä vuoksi kotiagentilta HA voidaan esteettä luoda yhteys matkaviestinverkkoon. Käytännössä reititin, jossa on kotiagenttitoiminto ja kotirekisteri voivat olla vaikkapa samassa laite-30 huoneessa.
Kuvion kaltaisessa ympäristössä käyttäjä voi (tunnettuja MIP-mekanismeja hyödyntäen) siirtyä vapaasti (liikenteen katkeamatta) IP-aliverkosta toiseen. Lisäksi datayhteys voidaan säilyttää GSM-verkon avulla, vaikka päätelaite poistuukin (langattoman) lähiverkon peittoalueelta. Lähiverkot 35 muodostavat tällä tavoin paikallisia alueita (ns. hot spot), joiden sisällä päätelaitteella on suurinopeuksinen datayhteys ja käyttäjän liikkuessa ulos lähiver- 5 105965 kon alueelta yhteys voidaan säilyttää GSM-verkon avulla. Koska nämä me-. nettelyt ovat sinänsä tunnettuja, eivätkä ne liity varsinaiseen keksintöön, ei niitä kuvata tässä yhteydessä tarkemmin.
Keksinnön mukaisesti päätelaitteen rekisteröinnin yhteydessä suori-5 tettavassa autentikoinnissa hyödynnetään GSM-verkon autentikointimekanis-meja. Seuraavassa kuvataan ensin rekisteröitymistä ja sen yhteydessä suoritettavaa autentikointia.
Kuviossa 2 on esimerkki rekisteröitymisen yhteydessä suoritettavasta sanomanvaihdosta. MlP-protokollan mukaisesti vierailuagentti FA lähettää 10 omaan aliverkkoonsa jatkuvasti broadcast-sanomia, joita kutsutaan nimellä “agent advertisement" ja joita on kuviossa merkitty viitemerkillä AA. Kun päätelaite kytkeytyy kyseiseen aliverkkoon, se vastaanottaa näitä sanomia ja päättelee niiden perusteella, onko se omassa kotiverkossaan vai jossakin muussa verkossa. Jos päätelaite huomaa, että se on kotiverkossaan, se toimii 15 ilman liikkuvuuteen liittyviä palveluja (mobility services). Muussa tapauksessa päätelaite saa c/o-osoitteen (care-of address) ko. vieraaseen verkkoon. Tämä osoite on siis verkon sen pisteen osoite, johon päätelaite on väliaikaisesti kytkeytyneenä. Tämä osoite muodostaa samalla ko. päätelaitteelle johtavan tunnelin (tunnel) päätepisteen (termination point). Päätelaite saa osoitteen 20 tyypillisesti em. broadcast-sanomista, joita vierailuagentti lähettää. Tämän jälkeen päätelaite lähettää omalle kotiagentilleen rekisteröintipyyntösanoman RR (Registration Request) vierailuagentin FA kautta. Sanoma sisältää mm. sen c/o-osoitteen, jonka päätelaite on juuri saanut. Vastaanottamansa pyyntö-sanoman perusteella kotiagentti päivittää kyseisen päätelaitteen sijaintitiedon 25 tietokantaansa ja lähettää päätelaitteelle vierailuagentin kautta rekisteröinti-vastauksen (Registration Reply) R_Reply. Vastaussanomassa on kaikki tarpeelliset tiedot siitä, miten (millä ehdoilla) kotiagentti on hyväksynyt rekiste-röintipyynnön.
Liikkuva solmu voi rekisteröityä myös suoraan kotiagentille. Em.
: 30 RFCissä on kuvattu ne säännöt, jotka määräävät sen, rekisteröityykö liikkuva solmu kotiagentille suoraan vai vierailuagentin kautta. Jos liikkuva solmu saa c/o-osoitteen edellä kuvatulla tavalla, on rekisteröinti tehtävä aina vierailuagentin kautta.
Kaikki edellä mainitut, päätelaitteen, vierailuagentin ja kotiagentin 35 väliset sanomat ovat MlP-protokollan mukaisia sanomia. Seuraavassa kuvataan tarkemmin, kuinka näitä sanomia käytetään esillä olevassa keksinnössä.
6 105965
Rekisteröinnin yhteydessä suoritettava autentikointi perustuu rekiste-röintisanomasta laskettuun tarkastusarvoon (hash-arvoon). Laskennassa käytetään hyväksi verkon ja käyttäjän yhteisesti tuntemaa salaisuutta. MlPissä on liikkuvia solmuja varten määritelty liikkuvuuden turvayhteys (Mobility Secu-5 rity Association), jonka avulla solmut voivat keskenään sopia käyttämistään turvaominaisuuksista. Liikkuvuuden turvayhteys käsittää joukon viitekehyksiä (contexts), joista kukin ilmoittaa autentikointialgoritmin, moodin, jossa ko. algoritmia käytetään, mainitun salaisuuden (esim. avain tai avainpari) ja tavan, jolla suojaudutaan ns. replay-hyökkäyksiä vastaan. Liikkuvat solmut valitsevat 10 tietyn viitekehyksen käyttöön em. turvaparametri-indeksillä SPI, joka indikoi kulloinkin käytettävän viitekehyksen.
MIP:ssä on määritelty erityinen laajennusmekanismi, jonka avulla MlP-ohjaussanomiin tai ICMP-sanomiin (Internet Control Message Protocol) liitetään ns. laajennuskenttiä (extensions), joissa voidaan siirtää optionaalista 15 informaatiota.
Rekisteröintipyyntö ja -vastaus (RR ja R_Reply, kuvio 2) käyttävät UDP-protokollaa (User Datagram Protocol). Kuviossa 3 on esitetty näiden rekisteröintisanomien otsikkojen yleistä rakennetta. IP- ja UDP-otsikkoja seu-raavat ΜΙΡ-kentät, joihin kuuluu tyyppikenttä 31, joka kertoo MlP-sanoman 20 tyypin, koodikenttä 32, joka kertoo rekisteröintipyynnön tapauksessa erilaista liikkuvaan solmuun ja rekisteröintipyyntöön liittyvää tietoa ja rekisteröintivasta-uksen tapauksessa rekisteröintipyynnön tuloksen, elinaikakenttä 33, joka kertoo pyynnön tai hyväksytyn rekisteröinnin voimassaoloajan, kotiosoitekenttä 34, joka sisältää liikkuvan solmun IP-osoitteen, kotiagenttikenttä 35, joka 25 sisältää liikkuvan solmun kotiagentin IP-osoitteen ja identifiointikenttä 37, joka sisältää numeron, joka liittää pyynnön ja siihen liittyvän vastauksen toisiinsa. Rekisteröintipyynnössä on lisäksi c/o-osoitekenttä 36, indikoi em. tunnelin pään IP-osoitteen (tätä kenttää ei ole rekisteröintivastauksessa).
Edellä kuvattua kiinteää otsikko-osaa seuraavat em. laajennuskentät. 30 Autentikointia varten on omat laajennuskenttänsä (authentication extensions). Esim. liikkuvan solmun ja sen kotiagentin väliset rekisteröintisanomat autenti-koidaan tähän nimenomaiseen tarkoitukseen varatun laajennuskentän (Mobile-Home Authentication Extension) avulla, joka on oltava kaikissa rekiste-röintipyynnöissä ja kaikissa rekisteröintivastauksissa. (Sen sijaan liikkuvan 35 solmun ja vierailuagentin välillä käytettävä laajennuskenttä (Mobile-Foreign 7 105965
Authentication Extension) on rekisteröintipyynnöissä ja -vastauksissa vain, jos liikkuvan solmun ja vierailuagentin välillä on liikkuvuuden turvayhteys.)
Kuviossa 4 on havainnollistettu liikkuvan solmun ja sen kotiagentin välillä käytettävän laajennuskentän rakennetta. Laajennuskenttä sisältää 5 tyyppitiedon, joka kertoo laajennuskentän tyypin, pituustiedon, joka osoittaa kentän kokonaispituuden, SPI-indeksin, jonka pituus on 4 tavua ja autenti-kaattorin, jonka pituus voi vaihdella ja jonka pituus on oletusarvoisesti 128 bittiä.
Autentikoinnissa käytetään oletusarvoisesti tunnettua MD5-algoritmia 10 ns. prefix+suffix-moodissa. MD5 on algoritmi, joka laskee mielivaltaisen pituisesta sanomasta 128 bitin pituisen tiivistelmän (digest), joka on em. tarkastusta! hash-arvo ja joka toimii tässä tapauksessa autentikaattorina, johon autenti-kointi perustuu. Prefix+suffix-moodilla tarkoitetaan sitä, että siinä bittijonossa, josta autentikaattori lasketaan on verkon ja liikkuvan solmun yhteinen salai-15 suus (esim. yhteinen avain) ensimmäisenä ja viimeisenä. Autentikointilaajen-nuskentässä ilmoitetaan indeksin SPI avulla, mitä viitekehystä käytetään. Viitekehys puolestaan indikoi, kuinka autentikaattori (hash-arvo) on muodostettava. Autentikaattori välitetään vastekerrokselle (peer) autentikointilaajen-nuskentässä (kuviot 3 ja 4), jolloin vastekerros pystyy muodostamaan SPI:n 20 avulla itsenäisesti autentikaattorin ja vertaamaan sitä vastaanotettuun autenti-kaattoriin.
Keksinnössä hyödynnetään matkaviestinverkon, erityisesti GSM-verkon ominaisuuksia yhteisen salaisuuden muodostamiseen seuraavalla tavalla.
25 Kotiagentti HA hakee matkaviestinverkon kotirekisterin HLR yhtey dessä olevasta tunnistuskeskuksesta AuC joukon tilaajakohtaisia tunnistus-kolmikkoja (authentication triplets), joista kukin sisältää tunnettuun tapaan haasteen (RAND), vasteen SRES (Signed Response) ja avaimen Ke (yhteyskohtainen salausavain). Tilaajakohtainen tieto voidaan hakea esim. 30 siten, että kotiagentille on talletettu päätelaitteiden IP-osoitteita vastaavat tilaajatunnukset IMSI (International Mobile Subscriber Identity) kyselyjä varten. Tunnistuskolmikkojen siirto voidaan tehdä millä tahansa tunnetulla tavalla, esim. varustamalla tunnistuskeskus TCP/IP-pinolla ja välittämällä kolmikot kotiagentille yhdessä tai useammassa IP-tietosähkeessä. Kuten edellä todet-35 tiin, kotiagentti ja kotirekisteri sekä tunnistuskeskus ovat tyypillisesti saman operaattorin omistuksessa ja voivat olla vaikkapa samassa huoneessa, joten β 105965 kyseinen siirtoyhteys on suojattu. Keksinnön kannalta oleellista on ainoastaan se, että kotiagentti saa tunnistuskolmikoista vasteen ja avaimen Ke. Haasteet voidaan siis jopa jättää välittämättä. Kotiagentti HA tallettaa tunnistuskolmikot itselleen.
5 Lisäksi tunnistuskolmikkojen sisältämät haasteet (RANDit) välitetään edelleen liikkuvalle solmulle (päätelaitteelle TE1) jollakin sopivalla, olemassa olevalla siirtotavalla. Lähetyksen voi suorittaa joko kotiagentti saatuaan tunnistuskolmikot tai HLR/AuC vasteena kotiagentin lähettämään tunnistuskol-mikkopyyntöön. Eräs vaihtoehto on välittää haasteet HLR/AuC:lta lyhytsano-10 maa käyttäen lyhytsanomakeskuksen SMSC kautta päätelaitteelle. Toinen vaihtoehto on siirtää haasteet Internetin kautta IP-tietosähkeessä. Jos päätelaite ei ole vielä kertaakaan ollut yhteydessä IP-verkkoon, on lähetys kuitenkin suoritettava GSM-verkon avulla (lyhytsanomalla). Toinen vaihtoehto tällaisessa tapauksessa on tehdä sopimus, jonka mukaan ensimmäisellä rekisteröity-15 miskerralla käytetään jotakin tiettyä ennalta sovittua RAND-arvoa, jolloin haasteiden lähetys voidaan tämän jälkeen tehdä IP-verkon kautta.
Tunnistuskolmikkojen ja haasteiden siirtomekanismit eivät ole keksinnön kannalta oleellisia, vaan siirtoon voidaan käyttää mitä tahansa tunnettua tekniikkaa. Kerralla haettavien ja siirrettävien tunnistuskolmikkojen ja haastei-20 den lukumäärä riippuu siitä, mitä siirtomekanismia käytetään. Esim. lyhytsanoman maksimipituus (160 merkkiä) rajoittaa kerrallaan siirrettävien haasteiden lukumäärän kymmeneen, koska haasteen pituus on 16 tavua.
Kun liikkuva solmu TE1 haluaa suorittaa ΜΙΡ-rekisteröinnin, yksi .. kyseisistä haasteista valitaan liikkuvassa solmussa käyttöön, minkä jälkeen 25 suoritetaan tunnetut A3- ja A8-algoritmit SIM-kortilla kyseistä haastetta käyttäen (vrt. kuvio 2). Tuloksena saadaan vaste (SRES) ja avain Ke, joista edellinen on 32 bitin pituinen ja jälkimmäinen 64 bitin pituinen. Edellä mainitussa rekiste-röintipyyntösanomassa RR lähetetään tämän jälkeen juuri laskettu SRES-arvo SPI-parametrinä (vrt. kuviot 2 ja 4) ja saatua avainta Ke käytetään em. salai-" 30 suutena, jonka perusteella lasketaan autentikaattori, joka sisällytetään rekiste- röintipyyntösanomaan. Kuten edellä mainittiin, MlPissä SPIn pituudeksi on määritelty juuri 32 bittiä. Vastaanotettuaan SRES-arvon kotiagentti huomaa, minkä haasteen käyttäjä on valinnut, jolloin se voi valita vastaavan Ke: n ja suorittaa autentikaattorin tarkistuksen.
35 Rekisteröintisanomien vaihto tapahtuu siis muuten tunnetusti, mutta lasketun vasteen arvo siirretään rekisteröintipyyntösanoman SPI-kentässä ja 9 105965 sen lisäksi autentikaattorin laskennassa käytettävänä salaisuutena käytetään matkaviestinjärjestelmän avulla generoitua avainta (GSM-jäijestelmässä generoitava yhteyskohtainen salausavain Ke).
Tunnistuskolmikot voidaan myös tallettaa esim. HLR/AuC:n yhteyteen 5 tai johonkin kolmanteen paikkaan siirtämättä niitä kotiagentille. Tällöin toimitaan siten, että saadessaan rekisteröintipyyntösanoman kotiagentti kysyy tunnistuskolmikkojen tallennuspaikasta, mikä avain oli kysymyksessä. Tämä edellyttää kuitenkin turvattua yhteyttä kotiagentin ja tallennuspaikan välillä.
MIP määrittelee SPI.n sallitut arvot; arvot 0...255 ovat varattuja, eikä 10 niitä saa käyttää missään turvayhteydessä. Jos haaste tuottaa sellaisen SRES-arvon, joka ei ole sallittu SPI:n arvona, kyseinen haaste on hylättävä. HLR/AuC:n yhteyteen voidaan rakentaa logiikka, joka suodattaa pois sellaiset haasteet, jotka tuottaisivat ei-sallitun arvon. Vaihtoehtoisesti tällainen logiikka voidaan rakentaa liikkuvan solmun päähän. Tällöin liikkuva solmu ei lähetä 15 sellaisia rekisteröintipyyntöjä, joissa SRES-arvo vastaa ei-sallittua SPI-arvoa.
On mahdollista, että päätelaitteelle tarkoitetuista tai sille jo välitetyistä haasteista kaksi tai useampi on sellaisia, että ne antavat saman SRES-arvon. Jos näin käy, käytetty salaisuus ei ole yksikäsitteisesti määritelty. Tällöin hylätään kyseisistä haasteita yhtä lukuunottamatta kaikki muut. Tämä logiikka 20 voi olla HLR/AuC:n yhteydessä tai päätelaitteissa.
Kuviossa 5 on havainnollistettu päätelaitteen niitä toiminnallisia lohkoja, jotka ovat keksinnön kannalta oleellisia. Kuviossa on esitetty vain yksi liityntä verkkoon (IP-verkko). Verkosta tulevat haasteet tulevat sanomien lähetys- ja vastaanottolohkolle MEB, josta ne talletetaan muistilohkoon MB. 25 Valintalohko SB valitsee talletetuista haasteista yhden ja syöttää sen SIM-kortille. Tuloksena saatava vaste syötetään lähetys- ja vastaanottolohkolle MEB, joka sijoittaa vasteen lähtevän rekisteröintipyyntösanoman SPI:lle varattuun kenttään. Autentikointilohko AB määrittää lähteviin sanomiin autentikaattorin SIM-kortilta saamaansa avainta Ke käyttäen ja suorittaa saapuvien .30 sanomien autentikointia ko. avaimen avulla.
GSM-verkon autentikointi perustuu 32-bittisen SRES-arvon vertaamiseen. Koska keksinnössä käytetään autentikoinnissa 64-bittistä avainta Ke, autentikoinnin suojaustaso ylittää GSM:n tason. Salausavaimella Ke ei ole MIP:n kannalta sinänsä käyttöä, vaan se muodostaa ainoastaan liikkuvan 35 solmun ja verkon välisen yhteisen salaisuuden. Jos saavutettua autentikoinnin 10 105965 suojaustasoa pidetään kuitenkin liian heikkona, on mahdollista käyttää salaisuutena esim. kahden peräkkäisen RANDin tuottamaa avainta Ke.
Ns. replay-hyökkäyksen estämiseksi voidaan käyttää MIP:ssä määriteltyjä keinoja, aikaleimaa tai satunnaislukua (nonce), jotka molemmat käyttä-5 vät edellä kuvattua identifiointikenttää. Aikaleimaa käytettäessä on erikseen varmistuttava käyttäjän ja verkon kellojen riittävästä synkronoinnista. Käytetty menettely on kuitenkin valittava etukäteen, koska sitä ei voida ilmoittaa SPI:n avulla.
Vaihtoehtoisesti voidaan käyttää menettelyä, jolla varmistetaan, että 10 käytetyt haasteet ovat ainutkertaisia, jolloin verkko ei saa lähettää tai hyväksyä jo kertaalleen käytettyjä haasteita. Tämä edellyttää lisätoiminnallisuutta HLR/AuC:ssä tai kotiagentissa (tai molemmissa) siten, että ne eivät hyväksy jo kertaalleen käytettyä haastetta.
Keksintöä voidaan käyttää myös ilman matkaviestinverkkoa, riittää 15 kun järjestelmässä on verkkoelementti, joka osaa muodostaa tunnistuskolmi-kot samalla tavalla kuin HLR/AuC. Näin ollen myös päätelaite voi olla kiinteä. Jos matkaviestinverkkoa ei hyödynnetä, ensimmäisen haastejoukon välittämiseen ei voida käyttää lyhytsanomaa, vaan ensimmäinen rekisteröinti on suoritettava esim. etukäteen sovitulla haastearvolla.
20 Haasteen arvoa ei tarvitse välittää päätelaitteelta, vaan riittää, että kotiagentti saa tietää, mikä avain on valittu käyttöön. Tämä ilmoitus voidaan suorittaa esim. siten, että haasteet lajitellaan samanlaiseen järjestykseen molemmissa päissä ja päätelaite ilmoittaa vain järjestysnumeron, joka vastaa valittua haastetta. Käytetyt järjestysnumerot voivat alkaa mistä tahansa tahan-25 sa numerosta, joka on suurempi kuin SPI:n suurin ei-sallittu arvo (255), esim. arvosta 300.
Vaikka keksintöä on edellä selostettu viitaten oheisten piirustusten mukaisiin esimerkkeihin, on selvää, ettei keksintö ole rajoittunut siihen, vaan sitä voidaan muunnella oheisissa patenttivaatimuksissa esitetyn keksinnöllisen : 30 ajatuksen puitteissa. Keksinnön mukainen ratkaisu ei esim. välttämättä ole sidottu MlPiin, vaan sitä voidaan käyttää minkä tahansa samankaltaisen protokollan yhteydessä, jossa välitetään, yhden sanoman tai vaikkapa usean erillisen sanoman avulla, autentikaattori ja tieto siitä, kuinka autentikaattori on muodostettava. Näin ollen keksintö ei myöskään ole välttämättä sidottu IP-35 verkkoon. Autentikointia ei myöskään välttämättä tehdä rekisteröitymisen yhteydessä. Tunnistusyksikön (SIM) toteutus voi myös vaihdella, mutta sen on „ 105965 11 muodostettava vaste samalla tavalla kuin matkaviestinverkossa tehdään, jotta vertailu voidaan tehdä. 1 ·«

Claims (13)

1. Autentikointimenetelmä tietoliikenneverkkoa, erityisesti IP-verkkoa varten, jonka menetelmän mukaisesti - verkon päätelaitteelta (TE1) lähetetään verkolle autentikaattori ja 5 tietoyksikkö (SPI), joka sisältää autentikaattorin muodostamistapaan liittyvää tietoa, ja - tietoyksikön avulla määritetään verkossa tarkastusarvo, jota verrataan mainittuun autentikaattoriin, tunnettu siitä, että 10. verkon päätelaitteessa käytetään sellaista tunnistusyksikköä, jolle syötteenä annetusta haasteesta voidaan määrittää vaste ja avain oleellisesti samalla tavalla kuin tunnetun matkaviestinjärjestelmän tilaajan tunnistusyksi-kössä, - generoidaan verkkoon joukko tilaajakohtaisia autentikointitietoloh-15 koja, joista kukin sisältää haasteen, vasteen ja avaimen, jolloin generointi suoritetaan samalla tavalla kuin mainitussa matkaviestinjärjestelmässä, - päätelaitteelle välitetään ainakin osa autentikointitietolohkojen sisältämistä haasteista, - päätelaitteella valitaan yksi haasteista käyttöön ja sen perusteella 20 määritetään päätelaitteen tunnistusyksikön avulla vaste ja käyttöön otettava avain, - verkolle ilmoitetaan mainitun tietoyksikön avulla, mitä haastetta vastaava avain on valittu, ja - autentikaattori ja mainittu tarkastusarvo määritetään valitun avaimen • ·» 1 25 avulla.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tietoyksikkö on mobile IP -protokollan rekisteröintisanomassa oleva indeksi SPI (Security Parameter Index).
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu sii- : 30 tä, että tietoyksikölle sijoitetaan päätelaitteella määritetyn vasteen arvo.
4. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että haasteet lajitellaan päätelaitteella ennalta määrättyjen lajittelukriteerien e avulla järjestykseen ja tietoyksikölle sijoitetaan valittua haastetta vastaava järjestysnumero.
5. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että päätelaitteessa käytetään tunnistusyksikkönä tunnetun GSM-järjestelmän 13 105965 käyttämää tilaajan tunnistusyksikköä SIM (Subscriber Identity Module) ja mainitut autentikointitietolohkot ovat GSM-järjestelmän käyttämiä tunnistus-kolmikkoja.
6. Patenttivaatimuksen 5 mukainen menetelmä, tunnettu siitä, 5 että tunnistuskolmikot haetaan GSM-järjestelmän tunnistuskeskuksesta AuC.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että päätelaitteelle välitettävät haasteet välitetään tunnettua lyhytsanomapalvelua käyttäen.
8. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, 10 että päätelaitteelle välitettävät haasteet välitetään IP-verkon kautta lähetettävässä IP-tietosähkeessä.
9. Patenttivaatimuksen 1 mukainen menetelmä IP-verkkoa varten, tunnettu siitä, että autentikointitietolohkot välitetään päätelaitteen koti-agentille ja kotiagentille ilmoitetaan mainitun tietoyksikön avulla, mitä haastetta 15 vastaava avain on valittu, jolloin mainittu tarkastusarvo määritetään kotiagen-tissa.
10. Autentikointijärjestelmä tietoliikenneverkkoa, erityisesti IP-verkkoa varten, joka järjestelmä sisältää - verkon päätelaitteessa (TE1) ensimmäiset sanomanlähetyselimet 20 (MEB) autentikaattorin ja tietoyksikön (SPI) lähettämiseksi verkolle, joka tietoyksikkö sisältää autentikaattorin muodostamistapaan liittyvää tietoa, ja - tarkastuselimet (HA) tarkastusarvon määrittämiseksi tietoyksikön avulla, tunnettu siitä, että 25. verkon päätelaite käsittää sellaisen tunnistusyksikön, jolle syötteenä annetusta haasteesta voidaan määrittää vaste ja avain oleellisesti samalla tavalla kuin tunnetun matkaviestinjärjestelmän tilaajan tunnistusyksikössä, - järjestelmä sisältää generointielimet (HLR/AuC) autentikointitietoloh-kojen generoimiseksi samalla tavalla kuin mainitussa matkaviestinjärjestel- .· 30 mässä, jotka autentikointitietolohkot ovat sellaisia, että kukin niistä sisältää haasteen, vasteen ja avaimen, - järjestelmä sisältää välityselimet autentikointitietolohkojen sisältämi-en haasteiden välittämiseksi päätelaitteelle, - päätelaitteessa on valintaelimet (SB) yhden haasteen valitsemiseksi 35 käyttöön, Μ 105965 14 - ensimmäiset sanomanlähetyselimet (MEB) sijoittavat mainitulle tietoyksikölle arvon, joka osoittaa, mitä haastetta vastaava avain on valittu käyttöön päätelaitteessa, ja - ensimmäiset sanomanlähetyselimet (MEB) määrittävät autentikaat-5 torin ja tarkastuselimet mainitun tarkastusarvon valitun avaimen perusteella.
11. Patenttivaatimuksen 10 mukainen järjestelmä, tunnettu siitä, että päätelaitteen yhteydessä oleva tunnistusyksikkö on GSM-matkaviestinjärjestelmässä käytettävä tilaajan tunnistusyksikkö SIM.
12. Patenttivaatimuksen 10 mukainen järjestelmä, tunnettu siitä, 10 että mainitut generointielimet käsittävät GSM-matkaviestinjärjestelmän tunnis- tuskeskuksen AuC.
12 105965
13. Patenttivaatimuksen 10 mukainen järjestelmä, tunnettu siitä, että mainitut välityselimet käsittävät tunnetun lyhytsanomapalvelun toteuttavat elimet (SMSC). • # • — 15 105965
FI981564A 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkosssa FI105965B (fi)

Priority Applications (9)

Application Number Priority Date Filing Date Title
FI981564A FI105965B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkosssa
JP2000558686A JP2002520708A (ja) 1998-07-07 1999-07-02 テレコミュニケーションネットワークにおける認証
DE69935590T DE69935590T2 (de) 1998-07-07 1999-07-02 Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
AU50403/99A AU5040399A (en) 1998-07-07 1999-07-02 Authentication in a telecommunications network
AT99934737T ATE357827T1 (de) 1998-07-07 1999-07-02 Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
EP99934737A EP1095533B1 (en) 1998-07-07 1999-07-02 Authentication method and corresponding system for a telecommunications network
PCT/FI1999/000593 WO2000002407A2 (fi) 1998-07-07 1999-07-02 Authentication in a telecommunications network
ES99934737T ES2285848T3 (es) 1998-07-07 1999-07-02 Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones.
US09/751,138 US7660772B2 (en) 1998-07-07 2000-12-29 Authentication in a telecommunications network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI981564 1998-07-07
FI981564A FI105965B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkosssa

Publications (3)

Publication Number Publication Date
FI981564A0 FI981564A0 (fi) 1998-07-07
FI981564A FI981564A (fi) 2000-01-08
FI105965B true FI105965B (fi) 2000-10-31

Family

ID=8552156

Family Applications (1)

Application Number Title Priority Date Filing Date
FI981564A FI105965B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkosssa

Country Status (9)

Country Link
US (1) US7660772B2 (fi)
EP (1) EP1095533B1 (fi)
JP (1) JP2002520708A (fi)
AT (1) ATE357827T1 (fi)
AU (1) AU5040399A (fi)
DE (1) DE69935590T2 (fi)
ES (1) ES2285848T3 (fi)
FI (1) FI105965B (fi)
WO (1) WO2000002407A2 (fi)

Families Citing this family (144)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8706630B2 (en) 1999-08-19 2014-04-22 E2Interactive, Inc. System and method for securely authorizing and distributing stored-value card data
CA2384436C (en) * 1999-09-10 2010-06-29 Portogo, Inc. Systems and method for insuring correct data transmission over the internet
FR2802372B1 (fr) * 1999-12-09 2002-05-03 France Telecom Systeme de paiement electronique a travers un reseau de telecommunication
AU780943B2 (en) * 1999-12-30 2005-04-28 International Business Machines Corporation Method of payment by means of an electronic communication device
US7895126B1 (en) * 2000-03-10 2011-02-22 Kudelski S.A. Method, communications system and receiver device for the billing of access controlled programmes and /or data from broadcast transmitters
US7147558B2 (en) * 2000-03-22 2006-12-12 Wms Gaming Inc. System and method for dispensing gaming machine credits in multiple different media of monetary exchange
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US8903737B2 (en) * 2000-04-25 2014-12-02 Accenture Global Service Limited Method and system for a wireless universal mobile product interface
EP1281137B1 (de) * 2000-05-09 2003-09-10 Swisscom Mobile AG Transaktionsverfahren und verkaufssystem
US7529563B1 (en) * 2000-07-10 2009-05-05 Pitroda Satyan G System for distribution and use of virtual stored value cards
US7933589B1 (en) * 2000-07-13 2011-04-26 Aeritas, Llc Method and system for facilitation of wireless e-commerce transactions
US7240036B1 (en) 2000-07-13 2007-07-03 Gtech Global Services Corporation Method and system for facilitation of wireless e-commerce transactions
US7979057B2 (en) * 2000-10-06 2011-07-12 S.F. Ip Properties 62 Llc Third-party provider method and system
US7039022B1 (en) * 2000-11-16 2006-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Transaction system
US20020116329A1 (en) * 2001-02-20 2002-08-22 Serbetcioglu Bekir Sami Systems and methods for approval of credit/debit account transactions using a wireless device
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
KR20020078989A (ko) * 2001-04-12 2002-10-19 (주)엠커머스 휴대단말기를 이용한 신용카드 거래인증 시스템 및 그 방법
US7444513B2 (en) * 2001-05-14 2008-10-28 Nokia Corporiation Authentication in data communication
US6581845B2 (en) * 2001-07-11 2003-06-24 Ri-Ju Ye Chip-base plastic currency with cash amount loading function
US7328842B2 (en) * 2001-08-14 2008-02-12 Ikan Technologies Inc. Networked waste processing apparatus
FI20011680A (fi) * 2001-08-21 2003-02-22 Bookit Oy Ajanvarausmenetelmä ja -järjestelmä
US7603081B2 (en) * 2001-09-14 2009-10-13 Atc Technologies, Llc Radiotelephones and operating methods that use a single radio frequency chain and a single baseband processor for space-based and terrestrial communications
US7996888B2 (en) 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
CA2482648C (en) * 2002-04-26 2012-08-07 Thomson Licensing S.A. Transitive authentication authorization accounting in interworking between access networks
KR20040104660A (ko) * 2002-04-28 2004-12-10 페이쿨 인터내셔널 리미티드 통신 운영자가 금융 거래 서비스를 제공할 수 있도록 하는시스템 및 상기 거래를 구현하는 방법
US8468354B2 (en) 2002-06-06 2013-06-18 Thomson Licensing Broker-based interworking using hierarchical certificates
EP1514245A1 (en) * 2002-06-18 2005-03-16 Telefonaktiebolaget LM Ericsson (publ) Parallel coordinated operations in private domains
US7784684B2 (en) * 2002-08-08 2010-08-31 Fujitsu Limited Wireless computer wallet for physical point of sale (POS) transactions
US7353382B2 (en) * 2002-08-08 2008-04-01 Fujitsu Limited Security framework and protocol for universal pervasive transactions
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US7822688B2 (en) * 2002-08-08 2010-10-26 Fujitsu Limited Wireless wallet
US20040107170A1 (en) * 2002-08-08 2004-06-03 Fujitsu Limited Apparatuses for purchasing of goods and services
US7349871B2 (en) * 2002-08-08 2008-03-25 Fujitsu Limited Methods for purchasing of goods and services
US7801826B2 (en) * 2002-08-08 2010-09-21 Fujitsu Limited Framework and system for purchasing of goods and services
RS20050149A (en) * 2002-08-16 2007-02-05 Togewa Holding Ag., Method and system for gsm authentication wlan roaming
GB2394327B (en) * 2002-10-17 2006-08-02 Vodafone Plc Device for facilitating and authenticating transactions
US8825928B2 (en) 2002-10-17 2014-09-02 Vodafone Group Plc Facilitating and authenticating transactions through the use of a dongle interfacing a security card and a data processing apparatus
US10657561B1 (en) 2008-08-20 2020-05-19 Modiv Media, Inc. Zone tracking system and method
US8626130B2 (en) * 2005-08-23 2014-01-07 Modiv Media, Inc. System and method for user controlled log-in; interacting and log-out
US8783561B2 (en) 2006-07-14 2014-07-22 Modiv Media, Inc. System and method for administering a loyalty program and processing payments
US11257094B2 (en) 2002-10-23 2022-02-22 Catalina Marketing Corporation System and method of a media delivery services platform for targeting consumers in real time
US9811836B2 (en) 2002-10-23 2017-11-07 Modiv Media, Inc System and method of a media delivery services platform for targeting consumers in real time
US10430798B2 (en) 2002-10-23 2019-10-01 Matthew Volpi System and method of a media delivery services platform for targeting consumers in real time
EG23422A (en) * 2002-11-24 2005-07-10 Ashraf Kamal Salem Mashhour Scheme for spreading and easy use of electronic services and remote payments.
US6934535B2 (en) * 2002-12-02 2005-08-23 Nokia Corporation Privacy protection in a server
US7136937B2 (en) * 2003-05-25 2006-11-14 M Systems Ltd. Contact and contactless interface storage device with processor
US7761374B2 (en) * 2003-08-18 2010-07-20 Visa International Service Association Method and system for generating a dynamic verification value
GB2406925B (en) * 2003-10-09 2007-01-03 Vodafone Plc Facilitating and authenticating transactions
US8655309B2 (en) 2003-11-14 2014-02-18 E2Interactive, Inc. Systems and methods for electronic device point-of-sale activation
US7877605B2 (en) * 2004-02-06 2011-01-25 Fujitsu Limited Opinion registering application for a universal pervasive transaction framework
JP4630275B2 (ja) * 2004-03-17 2011-02-09 アイピートーク株式会社 無線通信端末及び無線通信方法
EP1839431A4 (en) * 2004-11-08 2012-05-09 Duroturf Internat Inc PURCHASING CARD SYSTEM AND METHOD THEREFOR
GB2410113A (en) * 2004-11-29 2005-07-20 Morse Group Ltd A system and method of accessing banking services via a mobile telephone
US9821344B2 (en) 2004-12-10 2017-11-21 Ikan Holdings Llc Systems and methods for scanning information from storage area contents
WO2006099066A2 (en) * 2005-03-09 2006-09-21 Zajac Optimum Output Motors, Inc. Rotary valve system and engine using the same
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
US20080313056A1 (en) * 2005-06-03 2008-12-18 Shadow Enterprises Inc. Ordering and Image Transmission System and Method Utilizing Instant Messaging
US8947542B2 (en) * 2005-07-26 2015-02-03 Alex Is The Best, Llc Integrated internet camera system and method
US7633524B2 (en) * 2005-07-26 2009-12-15 Frank Clemente Integrated internet camera system
US7494067B1 (en) * 2005-09-07 2009-02-24 Sprint Communications Company L.P. Alternate authorization for proximity card
DE102006006072B3 (de) 2006-02-09 2007-08-23 Siemens Ag Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden
US7896252B2 (en) * 2006-02-13 2011-03-01 The Western Union Company Presentation instrument with user-created pin and methods for activating
US8430298B2 (en) * 2006-02-13 2013-04-30 The Western Union Company Presentation instrument package arrangement
US8510220B2 (en) 2006-07-06 2013-08-13 Qualcomm Incorporated Methods and systems for viewing aggregated payment obligations in a mobile environment
US8121945B2 (en) 2006-07-06 2012-02-21 Firethorn Mobile, Inc. Methods and systems for payment method selection by a payee in a mobile environment
US8145568B2 (en) * 2006-07-06 2012-03-27 Firethorn Mobile, Inc. Methods and systems for indicating a payment in a mobile environment
US8160959B2 (en) 2006-07-06 2012-04-17 Firethorn Mobile, Inc. Methods and systems for payment transactions in a mobile environment
US9911114B2 (en) * 2006-07-06 2018-03-06 Qualcomm Incorporated Methods and systems for making a payment via a stored value card in a mobile environment
US8489067B2 (en) 2006-07-06 2013-07-16 Qualcomm Incorporated Methods and systems for distribution of a mobile wallet for a mobile device
US8467766B2 (en) 2006-07-06 2013-06-18 Qualcomm Incorporated Methods and systems for managing payment sources in a mobile environment
AU2008204849B2 (en) 2007-01-09 2011-12-08 Visa U.S.A. Inc. Contactless transaction
CN101291329A (zh) * 2007-04-16 2008-10-22 林仲宇 以电话号码及识别码做为网络在线刷卡双重认证之方法
US8768778B2 (en) * 2007-06-29 2014-07-01 Boku, Inc. Effecting an electronic payment
EP2186373A4 (en) * 2007-08-13 2012-12-19 Nortel Networks Ltd NEW DIAMETER SIGNALING FOR IPV4 MOBILE PROTOCOL
WO2009026460A1 (en) 2007-08-23 2009-02-26 Giftango Corporation Systems and methods for electronic delivery of stored value
DE102007050055A1 (de) * 2007-10-17 2009-05-20 Deutsche Telekom Ag Verfahren zum Abwickeln eines Parkvorgangs mit Hilfe eines Mobilfunkgerätes
US7726579B2 (en) * 2008-01-10 2010-06-01 Sony Corporation In-chassis TV chip with dynamic purse
GB2457445A (en) * 2008-02-12 2009-08-19 Vidicom Ltd Verifying payment transactions
CA2820983C (en) * 2008-05-18 2019-02-05 Google Inc. Secured electronic transaction system
GB0809383D0 (en) 2008-05-23 2008-07-02 Vidicom Ltd Customer to supplier funds transfer
US20100076833A1 (en) * 2008-09-19 2010-03-25 Giftango Corporation Systems and methods for managing and using a virtual card
WO2010036737A2 (en) * 2008-09-26 2010-04-01 Giftango Corporation System and methods for managing a virtual card based on geographical information
US11797953B2 (en) * 2008-11-24 2023-10-24 Malikie Innovations Limited Electronic payment system including merchant server and associated methods
US8930272B2 (en) * 2008-12-19 2015-01-06 Ebay Inc. Systems and methods for mobile transactions
US9652761B2 (en) * 2009-01-23 2017-05-16 Boku, Inc. Systems and methods to facilitate electronic payments
US9990623B2 (en) * 2009-03-02 2018-06-05 Boku, Inc. Systems and methods to provide information
US8700530B2 (en) * 2009-03-10 2014-04-15 Boku, Inc. Systems and methods to process user initiated transactions
US20100299220A1 (en) * 2009-05-19 2010-11-25 Boku, Inc. Systems and Methods to Confirm Transactions via Mobile Devices
WO2010138969A1 (en) * 2009-05-29 2010-12-02 Boku, Inc. Systems and methods to schedule transactions
US9595028B2 (en) 2009-06-08 2017-03-14 Boku, Inc. Systems and methods to add funds to an account via a mobile communication device
US20100312645A1 (en) * 2009-06-09 2010-12-09 Boku, Inc. Systems and Methods to Facilitate Purchases on Mobile Devices
US9697510B2 (en) * 2009-07-23 2017-07-04 Boku, Inc. Systems and methods to facilitate retail transactions
US9519892B2 (en) * 2009-08-04 2016-12-13 Boku, Inc. Systems and methods to accelerate transactions
US20110078077A1 (en) * 2009-09-29 2011-03-31 Boku, Inc. Systems and Methods to Facilitate Online Transactions
US20110125610A1 (en) * 2009-11-20 2011-05-26 Boku, Inc. Systems and Methods to Automate the Initiation of Transactions via Mobile Devices
US20110137740A1 (en) 2009-12-04 2011-06-09 Ashmit Bhattacharya Processing value-ascertainable items
US8412626B2 (en) * 2009-12-10 2013-04-02 Boku, Inc. Systems and methods to secure transactions via mobile devices
WO2011084648A2 (en) * 2009-12-16 2011-07-14 Giftango Corporation Systems and methods for generating a virtual value item for a promotional campaign
US20110143710A1 (en) * 2009-12-16 2011-06-16 Boku, Inc. Systems and methods to facilitate electronic payments
US10255591B2 (en) * 2009-12-18 2019-04-09 Visa International Service Association Payment channel returning limited use proxy dynamic value
US8566188B2 (en) * 2010-01-13 2013-10-22 Boku, Inc. Systems and methods to route messages to facilitate online transactions
US20110185406A1 (en) * 2010-01-26 2011-07-28 Boku, Inc. Systems and Methods to Authenticate Users
US20110213671A1 (en) * 2010-02-26 2011-09-01 Boku, Inc. Systems and Methods to Process Payments
US20110217994A1 (en) * 2010-03-03 2011-09-08 Boku, Inc. Systems and Methods to Automate Transactions via Mobile Devices
US20110238483A1 (en) * 2010-03-29 2011-09-29 Boku, Inc. Systems and Methods to Distribute and Redeem Offers
US8583504B2 (en) * 2010-03-29 2013-11-12 Boku, Inc. Systems and methods to provide offers on mobile devices
US10068287B2 (en) 2010-06-11 2018-09-04 David A. Nelsen Systems and methods to manage and control use of a virtual card
US8589290B2 (en) 2010-08-11 2013-11-19 Boku, Inc. Systems and methods to identify carrier information for transmission of billing messages
US9031869B2 (en) 2010-10-13 2015-05-12 Gift Card Impressions, LLC Method and system for generating a teaser video associated with a personalized gift
US9483786B2 (en) 2011-10-13 2016-11-01 Gift Card Impressions, LLC Gift card ordering system and method
US8699994B2 (en) 2010-12-16 2014-04-15 Boku, Inc. Systems and methods to selectively authenticate via mobile communications
US8583496B2 (en) 2010-12-29 2013-11-12 Boku, Inc. Systems and methods to process payments via account identifiers and phone numbers
US8700524B2 (en) 2011-01-04 2014-04-15 Boku, Inc. Systems and methods to restrict payment transactions
US9123040B2 (en) 2011-01-21 2015-09-01 Iii Holdings 1, Llc Systems and methods for encoded alias based transactions
US10089606B2 (en) 2011-02-11 2018-10-02 Bytemark, Inc. System and method for trusted mobile device payment
US20120296826A1 (en) 2011-05-18 2012-11-22 Bytemark, Inc. Method and system for distributing electronic tickets with visual display
US8494967B2 (en) * 2011-03-11 2013-07-23 Bytemark, Inc. Method and system for distributing electronic tickets with visual display
US10762733B2 (en) 2013-09-26 2020-09-01 Bytemark, Inc. Method and system for electronic ticket validation using proximity detection
US10453067B2 (en) 2011-03-11 2019-10-22 Bytemark, Inc. Short range wireless translation methods and systems for hands-free fare validation
US10360567B2 (en) 2011-03-11 2019-07-23 Bytemark, Inc. Method and system for distributing electronic tickets with data integrity checking
WO2012148842A1 (en) 2011-04-26 2012-11-01 Boku, Inc. Systems and methods to facilitate repeated purchases
US9191217B2 (en) 2011-04-28 2015-11-17 Boku, Inc. Systems and methods to process donations
US9830622B1 (en) 2011-04-28 2017-11-28 Boku, Inc. Systems and methods to process donations
US20130073458A1 (en) * 2011-09-19 2013-03-21 Cardinalcommerce Corporation Open wallet for electronic transactions
US20130159178A1 (en) * 2011-12-14 2013-06-20 Firethorn Mobile, Inc. System and Method For Loading A Virtual Token Managed By A Mobile Wallet System
US10417677B2 (en) 2012-01-30 2019-09-17 Gift Card Impressions, LLC Group video generating system
US8682385B2 (en) * 2012-05-11 2014-03-25 International Business Machines Corporation Managing third party transactions at a mobile operator
EP2893504A4 (en) 2012-09-04 2016-02-24 Linq3 Technologies Llc SYSTEM AND METHOD FOR INTEGRATED GAME THROUGH THE USE OF BAR CODES ON SMARTPHONES AND PORTABLE DEVICES
US10229561B2 (en) 2012-09-04 2019-03-12 Linq3 Technologies Llc Processing of a user device game-playing transaction based on location
US10943432B2 (en) 2012-09-04 2021-03-09 E2Interactive, Inc. Processing of a game-playing transaction based on location
US9565911B2 (en) 2013-02-15 2017-02-14 Gift Card Impressions, LLC Gift card presentation devices
US11219288B2 (en) 2013-02-15 2022-01-11 E2Interactive, Inc. Gift card box with slanted tray and slit
US10115268B2 (en) 2013-03-15 2018-10-30 Linq3 Technologies Llc Systems and methods for integrated game play at payment-enabled terminals
US10217107B2 (en) 2013-05-02 2019-02-26 Gift Card Impressions, LLC Stored value card kiosk system and method
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US10262346B2 (en) 2014-04-30 2019-04-16 Gift Card Impressions, Inc. System and method for a merchant onsite personalization gifting platform
CN105338164A (zh) 2014-08-01 2016-02-17 阿里巴巴集团控股有限公司 充值提示方法和充值提示装置
MX2018001976A (es) 2015-08-17 2019-02-14 Bytemark Inc Metodos de translacion inalambrica de corto alcance y sistema para validacion de billetes en modo manos libres.
US11803784B2 (en) 2015-08-17 2023-10-31 Siemens Mobility, Inc. Sensor fusion for transit applications
US10954049B2 (en) 2017-12-12 2021-03-23 E2Interactive, Inc. Viscous liquid vessel for gifting
US12020309B2 (en) 2018-05-18 2024-06-25 E2Interactive, Inc. Augmented reality gifting on a mobile device
US10880313B2 (en) 2018-09-05 2020-12-29 Consumerinfo.Com, Inc. Database platform for realtime updating of user data from third party sources

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK0504364T3 (da) * 1990-08-29 1998-03-16 Hughes Aircraft Co Protokol til distribueret brugerautentifikation
US5311596A (en) * 1992-08-31 1994-05-10 At&T Bell Laboratories Continuous authentication using an in-band or out-of-band side channel
US5455863A (en) * 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US5864757A (en) * 1995-12-12 1999-01-26 Bellsouth Corporation Methods and apparatus for locking communications devices
US6167279A (en) * 1996-03-13 2000-12-26 Telcordia Technologies, Inc. Method and system for supporting PACS using a GSM mobile switching center
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
EP0960402B1 (en) * 1996-06-19 2007-09-26 Behruz Vazvan Real time system and method for remote purchase payment and remote bill payment transactions and transferring of electronic cash and other required data
US6219793B1 (en) * 1996-09-11 2001-04-17 Hush, Inc. Method of using fingerprints to authenticate wireless communications
FI103469B (fi) * 1996-09-17 1999-06-30 Nokia Telecommunications Oy Kopioidun tilaajatunnuksen väärinkäytön estäminen matkaviestinjärjeste lmässä
US7145898B1 (en) * 1996-11-18 2006-12-05 Mci Communications Corporation System, method and article of manufacture for selecting a gateway of a hybrid communication system architecture
US6909708B1 (en) * 1996-11-18 2005-06-21 Mci Communications Corporation System, method and article of manufacture for a communication system architecture including video conferencing
US6377691B1 (en) * 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US7003480B2 (en) * 1997-02-27 2006-02-21 Microsoft Corporation GUMP: grand unified meta-protocol for simple standards-based electronic commerce transactions
WO1998044402A1 (en) * 1997-03-27 1998-10-08 British Telecommunications Public Limited Company Copy protection of data
US6414950B1 (en) 1997-10-14 2002-07-02 Lucent Technologies Inc. Sequence delivery of messages
US6076163A (en) * 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials
US6772336B1 (en) * 1998-10-16 2004-08-03 Alfred R. Dixon, Jr. Computer access authentication method
KR100395526B1 (ko) * 2001-12-14 2003-08-25 삼성전자주식회사 잉크젯 프린터의 캐리지 얼라인먼트 조정장치
JP2004242142A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> ユーザ管理方法、該方法に使用する加入者収容ルータ装置及び加入者認証サーバ装置、及び該方法を実行させるためのコンピュータプログラム

Also Published As

Publication number Publication date
JP2002520708A (ja) 2002-07-09
FI981564A (fi) 2000-01-08
DE69935590D1 (de) 2007-05-03
ES2285848T3 (es) 2007-11-16
WO2000002407A3 (fi) 2000-02-24
US20010005840A1 (en) 2001-06-28
WO2000002407A2 (fi) 2000-01-13
ATE357827T1 (de) 2007-04-15
DE69935590T2 (de) 2007-10-25
FI981564A0 (fi) 1998-07-07
EP1095533A2 (en) 2001-05-02
EP1095533B1 (en) 2007-03-21
AU5040399A (en) 2000-01-24
US7660772B2 (en) 2010-02-09

Similar Documents

Publication Publication Date Title
FI105965B (fi) Autentikointi tietoliikenneverkosssa
US7545768B2 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
EP1735990B1 (en) Mobile ipv6 authentication and authorization
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
KR100450973B1 (ko) 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US9445272B2 (en) Authentication in heterogeneous IP networks
FI105966B (fi) Autentikointi tietoliikenneverkossa
US7895339B2 (en) Network managing method and network managing apparatus
US8413243B2 (en) Method and apparatus for use in a communications network
JP5087012B2 (ja) ロケーションプライバシをサポートする経路最適化
US8750303B2 (en) Mobility signaling delegation
Haverinen et al. Authentication and key generation for mobile IP using GSM authentication and roaming
Al-Ka’bi On Security in Wireless Mobile Networking