Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular.

Un método para proporcionar acceso a un servicio basado en internet desde un dispositivo (10) de teléfono celular,

comprendiendo el método:

usar un testigo para calcular una contraseña limitada en tiempo para un usuario específico que busca acceso al servicio basado en internet desde un dispositivo de teléfono celular;

recibir una contraseña limitada en tiempo desde el usuario calculada usando el testigo; y

verificar la contraseña limitada en tiempo para conceder acceso al servicio basado en internet;

y caracterizado por generar el testigo en un servidor de un proveedor del servicio basado en internet y proporcionar el testigo al dispositivo de teléfono celular de un usuario que busca acceso al servicio basado en internet,

y en que el testigo tiene validez limitada de tiempo.

donde durante la validez del testigo, se posibilita el acceso al servicio basado en internet sin requerir comunicación con el servidor usado para generar el testigo.

Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular

Campo de la invención

Esta invención se refiere a los mecanismos de control de acceso para servicios accedidos a través de internet. En particular esta invención se refiere a la autenticación y verificación independiente de un cliente o empleado para que obtengan acceso legítimamente a una sección privada o segura de una aplicación de internet u obtengan acceso a una red empresarial.

Antecedentes de la invención

El problema al que se refiere esta invención, se refiere a los métodos actuales para identificación y autorización posterior de un empleado o cliente para acceder legítimamente a una red empresarial o a una sección segura de una aplicación de internet. En este caso el acceso podría iniciarse desde, pero sin limitación, un ordenador personal, asistente digital personal, televisión o consola de juegos conectada a internet. La conexión a internet en este caso podría ser a través de una línea fija, Wi-Fi o conexión de datos celular (por ejemplo GPRS o conexión de red de 3G) .

Los mecanismos actuales para autenticación de un individuo incluyen la emisión y uso mediante el individuo de un nombre de usuario y contraseña o la emisión y uso mediante el individuo de un nombre de usuario, PIN y código numérico generado automáticamente desde una tarjeta de testigo. Estos mecanismos para autenticación y verificación tienen un número de serias desventajas que incluyen (1) gestión de los credenciales del usuario por la empresa o el comerciante; (2) el coste asociado con el registro, emisión y mantenimiento continuo de los credenciales; y (3) la capacidad para obtener acceso maliciosamente a unos credenciales en línea del consumidor o usuario.

En el caso de credenciales de autenticación de nombre de usuario y contraseña sencillos, se requiere que un individuo introduzca estos cuando se pidan para identificarle. Estos credenciales normalmente se transmiten electrónicamente a través de un enlace seguro para verificarse y una vez verificados se concede acceso al individuo al recurso; por ejemplo este puede acceder a una red segura o porción segura de una aplicación de internet. Para que este sistema de autenticación opere eficazmente, se requiere que la empresa o el comerciante hagan funcionar los procedimientos de registro, verificación y gestión operacional. Por lo tanto se requiere que un empleado o cliente se registre y elija por sí mismo o se le emita con un nombre de usuario y contraseña únicos. Estos credenciales tienen que almacenarse de manera segura y cuando se requiera compararse con los credenciales introducidos mediante un individuo para autenticarle a sí mismo para acceder a un recurso.

En el caso de credenciales de nombre de usuario, PIN y tarjeta de testigo, un individuo introduce su nombre de usuario, PIN y valor numérico actual desde la tarjeta de testigo cuando se pida. Estos credenciales se transmiten normalmente a través de un enlace seguro y se verifican mediante sistemas empleados mediante el empleado o el comerciante. En este caso, la verificación incluye verificación basada en algoritmo para asegurar que el nombre de usuario, PIN y testigo numérico generado son válidos. Si se probó que estos credenciales son correctos a continuación se permite acceso al empleado o cliente a la aplicación de internet o a la red empresarial. Puede observarse que el uso de una tarjeta de testigo mejora significativamente la fortaleza de los credenciales de 45 autenticación puesto que la tarjeta de testigo genera matemáticamente una serie de códigos limitados en tiempo de uso único y como tal se requiere que el empleado o cliente tenga la tarjeta de testigo en su posesión cuando se autentiquen a sí mismos. Por supuesto, esto requiere la emisión de tarjetas de testigo, con costes consiguientes, y también la inconveniencia para el usuario.

La gestión y control de credenciales de autenticación requiere que las empresas y comerciantes empleen una amplia variedad de servicios. Estos servicios incluyen procesos de registro, suministro seguro, verificación y control en el caso de usuarios que pierden u olvidan sus credenciales personales. A medida que el número de hogares conectados a internet aumenta y el número de servicios de internet aumenta se deduce que los costes de operación asociados a empresas y comerciantes aumentará.

Junto con los costes de operación asociados con gestionar y controlar credenciales de usuario existe un problema grave con la seguridad inherente de los dispositivos conectados a internet. Es bien entendido por la industria de la tecnología de la información que el entorno informático personal es propenso a ataques maliciosos y este problema está aumentando a medida que el número de hogares conectados a internet aumenta. La Asociación de Servicios de Pago y Compensación (APACS) ha identificado un número de métodos usados mediante estafadores que afecta gravemente la seguridad de recursos en línea que usan un nombre de usuario y contraseña sencillos. Estos métodos incluyen ataques de suplantación de identidad (Phising) y ataques de caballos de Troya. El fin de ambos de estos tipos de ataque es obtener acceso a credenciales de un cliente o usuarios de internet posibilitando, por lo tanto, la capacidad para un estafador de asumir la identidad del cliente o usuario. Un ataque de suplantación de 65 identidad (phising) toma normalmente la forma de un mecanismo de comunicación electrónica tal como correo electrónico que pide al cliente o usuario suministrar sus credenciales de internet mediante un correo electrónico que

pretende ser desde la empresa o el comerciante. Un ataque de caballo de Troya está diseñado para recoger información de pulsación de teclas a medida que el cliente o usuario introduce sus credenciales y transfiere automáticamente estos al estafador. Una vez que se ha obtenido el nombre de usuario y contraseña simplemente posibilita a un tercero asumir la identidad del cliente o usuario para obtener acceso al recurso de internet o empresarial específico.

La invención tiene por objeto proporcionar un mecanismo de acceso de servicio alternativo que reduce algunos de estos problemas.

La Patente de Estados Unidos Número US 6.928.558 B1 presenta un método y disposición para identificar a un usuario en un sistema informático, en el que se implementa una conexión al sistema informático mediante una estación móvil.

Sumario de la invención

De acuerdo con un aspecto de la invención, se proporciona un método para proporcionar acceso a un servicio basado en internet desde un dispositivo de teléfono celular, comprendiendo el método:

usar un testigo para calcular una contraseña limitada en tiempo para un usuario específico que busca acceso al servicio basado en internet desde un dispositivo de teléfono celular; recibir una contraseña limitada en tiempo a partir de la calculada del usuario usando el testigo; y verificar la contraseña limitada en tiempo para conceder acceso al servicio basado en internet; y caracterizado por generar el testigo en un servidor de un proveedor del servicio basado en internet y proporcionar el testigo al dispositivo de telefonía celular de un usuario que busca acceso al servicio basado en internet, y en el que el testigo tiene validez limitada en tiempo, donde durante la validez del testigo, se posibilita el acceso al servicio basado en internet sin requerir comunicación con el servidor usado para generar el testigo.

Preferentemente se recibe al menos un parámetro de identificación de usuario adicional con la contraseña limitada en tiempo, y donde verificar la contraseña limitada en tiempo y el al menos un parámetro de identificación de usuario adicional se verifica con la contraseña limitada en tiempo para conceder acceso al servicio basado en internet.

Esta invención proporciona a las empresas y comerciantes un mecanismo significativamente más seguro y más comercialmente eficaz que las soluciones existentes. La invención usa un subconjunto de las características de un teléfono celular para proporcionar seguridad adicional. En particular, la invención proporciona un sistema de autenticación de doble factor basado en teléfono celular.

La invención proporciona un mecanismo pragmático, seguro y rentable para empresas y comerciantes de todos los tamaños. Utilizando servicios y dispositivos existentes que los clientes y empleados tienen en su posesión (teléfonos celulares o dispositivos de conectividad celular similares) , la invención proporciona una ventaja significativa para abordar tanto los costes de operación asociados como los problemas de seguridad inherentes de los... [Seguir leyendo]

1. Un método para proporcionar acceso a un servicio basado en internet desde un dispositivo (10) de teléfono celular, comprendiendo el método:

usar un testigo para calcular una contraseña limitada en tiempo para un usuario específico que busca acceso al servicio basado en internet desde un dispositivo de teléfono celular; recibir una contraseña limitada en tiempo desde el usuario calculada usando el testigo; y verificar la contraseña limitada en tiempo para conceder acceso al servicio basado en internet; y caracterizado por generar el testigo en un servidor de un proveedor del servicio basado en internet y proporcionar el testigo al dispositivo de teléfono celular de un usuario que busca acceso al servicio basado en internet, y en que el testigo tiene validez limitada de tiempo. donde durante la validez del testigo, se posibilita el acceso al servicio basado en internet sin requerir comunicación con el servidor usado para generar el testigo.

2. Un método como se reivindica en la reivindicación 1, donde se recibe al menos un parámetro de identificación de usuario adicional con la contraseña limitada en tiempo, y donde verificar la contraseña limitada en tiempo y el al menos un parámetro de identificación de usuario adicional se verifica con la contraseña limitada en tiempo para conceder acceso al servicio basado en internet.

3. Un método como se reivindica en cualquier reivindicación anterior, donde el cálculo de la contraseña limitada en tiempo tiene en cuenta el tiempo actual.

4. Un método como se revindica en cualquier reivindicación anterior, donde el cálculo de la contraseña limitada en tiempo tiene en cuenta un parámetro de identidad del dispositivo (10) de teléfono celular.

5. Un método como se reivindica en cualquier reivindicación anterior, donde el cálculo de la contraseña limitada en tiempo usa la función:

Contraseña = f (IP XOR NT XOR t) , donde t es una medición del tiempo actual, IP es un parámetro de identidad del dispositivo (10) de telefonía celular y NT es el testigo numérico.

6. Un método como se reivindica en la reivindicación 7, donde la función f comprende:

f (x) = RightTrunc (Decimal (SHA (x) ) ) , donde RightTrunc es una función para extraer un número de bits más bajo, Decimal es una función para convertir una serie de bytes a un valor entero y SHA es un algoritmo de troceo seguro.

7. Un método como se reivindica en la reivindicación 2, donde el al menos un parámetro de identificación de usuario adicional comprende un nombre de usuario.

8. Un método como se reivindica en la reivindicación 7, donde el al menos un parámetro de identificación de usuario

adicional comprende una contraseña de usuario o número de identificación de personal. 45

9. Un método como se revindica en cualquier reivindicación anterior, donde el testigo comprende un testigo numérico en la forma de un valor de sal.

10. Un método como se reivindica en la reivindicación 1, donde la validez está limitada a un valor entre 1 hora y 1 semana.

11. Un método como se reivindica en la reivindicación 1, donde la validez del testigo se define como una ventana de tiempo, con ventanas de tiempo para testigos secuenciales solapantes.

12. Un método como se reivindica en cualquier reivindicación anterior, donde la provisión del testigo al dispositivo (10) de teléfono celular depende de la autenticación del dispositivo de teléfono celular.

13. Un método como se reivindica en la reivindicación 12, donde la autenticación comprende verificar el al menos un parámetro de identificación de usuario adicional como estando asociado con el dispositivo (10) de teléfono celular específico usando una base de datos de usuarios registrados.

14. Un método como se reivindica en la reivindicación 13, donde el dispositivo (10) de teléfono celular específico se identifica usando el MSISDN.

15. Un método como se revindica en cualquier reivindicación anterior, donde cuando se proporciona el testigo, se implementa también la sincronización de reloj entre el dispositivo (10) de teléfono celular y el proveedor del servicio 8

basado en internet.

16. Un método como se reivindica en cualquier reivindicación anterior, donde se implementa el acceso al servicio basado en internet a través de un dispositivo conectado a internet. 5

17. Un método como se reivindica en la reivindicación 16, donde el dispositivo conectado a internet comprende uno de un ordenador personal, un PDA, un decodificador de salón de TV y una consola de juegos.

18. Un programa informático que comprende medios de código adaptados para realizar todas las etapas de 10 cualquier reivindicación anterior cuando se ejecuta dicho programa en un ordenador.

19. Un producto de programa informático que comprende un programa informático como se revindica en la reivindicación 18 realizado en un medio legible por ordenador.

20. Un sistema para proporcionar acceso a un servicio basado en internet desde un dispositivo de teléfono celular, comprendiendo el sistema:

un servidor (20) de un proveedor del servicio basado en internet; y un dispositivo de telefonía celular que comprende medios para instalación (10) , de una aplicación de software que posibilita el cálculo de una contraseña limitada en tiempo desde un testigo para un usuario específico que busca acceso al servicio basado en internet, donde el servidor (20) comprende adicionalmente medios para recibir la contraseña limitada en tiempo desde el usuario calculada usando el testigo, y para verificar la contraseña limitada en tiempo para posibilitar o prohibir acceso al servicio basado en internet, y caracterizado por que el servidor comprende adicionalmente medios para generar el testigo y para proporcionar el testigo al dispositivo de teléfono celular de un usuario que busca acceso al servicio basado en internet, y por que el testigo tiene validez limitada en tiempo, donde durante la validez del testigo, el acceso al servicio basado en internet está habilitado sin requerir comunicación con el servidor usado para generar el testigo.

21. Un sistema como se reivindica en la reivindicación 20, donde el servidor comprende adicionalmente medios (40) para verificar al menos un parámetro de identificación de usuario adicional.

22. Un sistema como se reivindica en la reivindicación 20 o 21, donde el cálculo de la contraseña limitada en tiempo usa la función:

Contraseña = f (IP XOR NT XOR t) , donde t es una medición del tiempo actual, IP es un parámetro de identidad del dispositivo (10) de teléfono celular y NT es el testigo numérico. 40

23. Un sistema como se reivindica en la reivindicación 23, donde la función f comprende:

f (x) = RightTrunc (Decimal (SHA (x) ) ) , donde RightTrunc es una función para extraer un número de bits más bajo, Decimal es una función para convertir una serie de bytes a un valor entero y SHA es un algoritmo de troceo 45 seguro.