Método y dispositivo para la autenticación de pregunta-respuesta.

Método para realizar un proceso de pregunta-respuesta para autentificar un dispositivo que proporciona la respuesta, comprendiendo el método, en esta secuencia, las etapas de:

a) proporcionar un primer par

(50, 50') de preguntas-respuestas en un dispositivo fuente (10), en el que el primer par (50, 50') de preguntas-respuestas se asigna a uno o más dispositivos (30) que proporcionan la respuesta;

b) cargar el primer par (50, 50') de preguntas-respuestas del dispositivo fuente (10) a un dispositivo (20) que efectúa la pregunta, mientras el dispositivo fuente (10) está conectado operativamente al dispositivo (20) que efectúa la pregunta;

c) realizar, mientras el dispositivo (20) que efectúa la pregunta no está conectado operativamente al dispositivo fuente (10), un proceso de pregunta-respuesta entre el dispositivo (20) que efectúa la pregunta y uno del uno o más dispositivos (30) que proporcionan la respuesta al que se asigna el primer par (50, 50') de preguntasrespuestas, utilizando el primer par (50, 50') de preguntas-respuestas, que se asigna al dispositivo (30) que proporciona la respuesta;

d) cargar uno o más segundos pares (50, 50') de preguntas-respuestas de un dispositivo fuente (10) al dispositivo (20) que efectúa la pregunta, mientras que el dispositivo fuente (10) está conectado operativamente al dispositivo (20) que efectúa la pregunta, en el que la etapa de cargar el primer par (50, 50') de preguntas-respuestas del dispositivo fuente (10) a un dispositivo (20) que efectúa la pregunta se realiza antes de que el dispositivo (20) que efectúa la pregunta haya recibido alguna información de uno de los dispositivos (30) que proporcionan la respuesta, al que se asigna el primer par (50, 50') de preguntas respuestas, y en el que el dispositivo (20) que efectúa la pregunta comprende un par (50, 50') de preguntasrespuestas e información (460) de validez, asociada con el par (50, 50') de preguntas-respuestas, cuya información (460) de validez especifica uno o más períodos de tiempo durante los cuales el dispositivo (20) que efectúa la pregunta puede utilizar válidamente el par (50, 50') de preguntas-respuestas asociado para realizar un proceso de pregunta-respuesta,

y en el que el dispositivo (20) que efectúa la pregunta se adapta para utilizar el par (50, 50') de preguntasrespuestas asociado sólo durante esos períodos de tiempo para realizar un proceso de pregunta-respuesta.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10173747.

Solicitante: 3M Innovative Properties Co.

Nacionalidad solicitante: Estados Unidos de América.

Dirección: 3M Center P.O. Box 33427 St. Paul, MN 55133-3427 ESTADOS UNIDOS DE AMERICA.

Inventor/es: STEINBRINK,MANUEL, SCHRIX,LARS, MANSHOLT,MICHAEL.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones para las comunicaciones secretas o... > H04L9/32 (comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema)
  • SECCION G — FISICA > DISPOSITIVOS DE CONTROL > APARATOS DE CONTROL DE HORARIOS O DE ASISTENCIA;... > G07C9/00 (Aparatos registradores de la entrada o de la salida de una persona aislada)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/44 (Programa o dispositivo de autenticación)

PDF original: ES-2527793_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Método y dispositivo para la autenticación de pregunta-respuesta

Esta invención se refiere a un método para realizar un proceso de pregunta-respuesta con pares de pregunta-respuesta calculados previamente. Esta invención también se refiere a un programa informático, un sistema para realizar dichos procesos de pregunta-respuesta y una combinación del sistema y un armario de telecomunicaciones.

En un proceso de pregunta-respuesta, un dispositivo que efectúa la pregunta envía un mensaje con una pregunta a un dispositivo que proporciona la respuesta, que envía un mensaje de respuesta de vuelta al dispositivo que realiza la pregunta. En el mundo digital, los procesos de pregunta-respuesta son muy utilizados en las comunicaciones entre dispositivos digitales. A menudo, un dispositivo realiza un proceso de pregunta-respuesta con otro dispositivo para autentificar a ese otro dispositivo.

Los procesos de pregunta-respuesta también se pueden utilizar en aplicaciones criptográficas. En algunas aplicaciones criptográficas de procesos de pregunta-respuesta, el dispositivo que realiza la pregunta posee una clave de encriptado secreta, que utiliza para calcular la respuesta correcta que espera recibir de un dispositivo que proporciona la respuesta auténtica al enviar una pregunta específica al dispositivo que proporciona la respuesta. Si el dispositivo que efectúa la pregunta se mantiene en un espacio seguro, existe poco riesgo de que la clave de encriptado pueda verse en peligro. Sin embargo, si se tiene libre acceso al dispositivo que efectúa la pregunta, un intruso puede tener tiempo suficiente para extraer la clave de encriptado del dispositivo que efectúa la pregunta y hacer un mal uso de ella.

En un intento de proteger la clave secreta, la clave no se suele guardar en el dispositivo que efectúa la pregunta, sino en un dispositivo independiente, un dispositivo fuente, que puede estar ubicado en un espacio seguro y que al menos está conectado operativamente de forma temporal al dispositivo que efectúa la pregunta, por ejemplo, a través de una red. El dispositivo fuente genera mensajes con preguntas y calcula para cada mensaje con una pregunta el mensaje con la respuesta prevista, utilizando la clave secreta. A continuación, proporciona al dispositivo que efectúa la pregunta estos pares de mensajes con preguntas y mensajes con las respuestas previstas correspondientes, denominados pares de preguntas-respuestas o CRP, que se almacenan en el dispositivo que efectúa la pregunta. Estos CRP permiten que el dispositivo que efectúa la pregunta realice un proceso de pregunta-respuesta con un dispositivo que proporciona la respuesta y verifique la respuesta que recibe del dispositivo que proporciona la respuesta, aunque el dispositivo que efectúa la pregunta no tenga la clave secreta. En un proceso de pregunta-respuesta seguro, los CRP normalmente se utilizan sólo una vez, de modo que un intruso no pueda deducir la respuesta prevista a una pregunta de un proceso de pregunta-respuesta anterior.

Dicho sistema se describe en la solicitud de patente US-2008/0159534, donde los dispositivos utilizan un aparato para autentificar un accesorio, y donde una memoria de preguntas y respuestas almacena las preguntas y las respuestas calculadas previamente. Un accesorio recibe una pregunta de un dispositivo y genera su respuesta. Un circuito de habilitación en el dispositivo compara la respuesta recibida con la respuesta almacenada.

En la solicitud de patente internacional W02007/041866, se describe un dispositivo de comunicación móvil que autentifica una batería inteligente antes de su uso. El dispositivo incluye un procesador principal y una memoria de dispositivo. El procesador principal envía una solicitud de autenticación al procesador de la batería, que genera una respuesta y la envía al procesador principal. La batería inteligente es autentificada si la respuesta generada coincide con la información de seguridad almacenada en la memoria del dispositivo.

La seguridad de los procesos de pregunta-respuesta puede mejorarse todavía más asignando un par de preguntas- respuestas calculado previamente a determinados dispositivos que proporcionan la respuesta, de modo que se pueda utilizar exclusivamente con estos dispositivos que proporcionan la respuesta. En algunos entornos, un par de pregunta- respuesta se asigna a un solo dispositivo que proporciona la respuesta. En este último caso, al menos un par de preguntas-respuestas, asignado a este dispositivo que proporciona la respuesta, debe estar presente en el dispositivo que efectúa la pregunta, antes de que se pueda realizar un proceso de pregunta-respuesta entre ese dispositivo que proporciona la respuesta específico y el dispositivo que efectúa la pregunta.

La solicitud de patente US-2003/0233546A1 describe un procedimiento de autenticación mediante pregunta-respuesta en el que un usuario inicia la autenticación global transmitiendo un ID de usuario a una parte intermedia, que envía el ID de usuario a un centro de autenticación asociado solicitando los datos de autenticación. En función del ID de usuario recibido, el centro de autenticación identifica una clave secreta asociada con el usuario específico. La patente WO 2007/041866 describe un dispositivo móvil que autentifica una batería inteligente antes de su uso, mediante pares de preguntas y respuestas que se pueden almacenar en el dispositivo móvil. En la patente WO 2007/036024 se describe un método para proporcionar autenticación de un usuario de una unidad receptora cuando la unidad receptora está fuera de línea. Cada uno de los conjuntos de pregunta-respuesta incluye al menos un par de preguntas-respuestas para usar en la autenticación fuera de línea del usuario para un recurso específico disponible a través de la unidad receptora. La patente JP2001352323 presenta un método para proporcionar una autenticación de terminal fuera de línea, en la que un escritor lee un ID de terminal del terminal, extrae una pregunta correspondiente de una memoria, transmite la pregunta al terminal y compara la respuesta enviada del terminal con la respuesta generada por un centro. La patente

WO02/095689 menciona un sistema de control de acceso que incluye un dispositivo de control de acceso, un dispositivo de comunicación inalámbrico y un equipo de control central. Para habilitar o activar una función protegida, la parte autorizada utiliza el dispositivo de comunicación inalámbrico para transmitir una petición de acceso al dispositivo de control de acceso, que responde transmitiendo una pregunta de autenticación al dispositivo de comunicación inalámbrico. Si se recibe una respuesta de autenticación válida, el dispositivo de control de acceso habilita o activa la función protegida.

Se conocen dispositivos que realizan preguntas que comprenden pares de preguntas-respuestas para realizar procesos de preguntas-respuestas con los dispositivos que proporcionan las respuestas con los que han realizado procesos de preguntas-respuestas anteriormente. Un ejemplo puede ser una red de telefonía móvil, en la que un dispositivo intermedio contiene pares de preguntas-respuestas para teléfonos móviles que han sido autentificados anteriormente. Sin embargo, cuando un dispositivo que proporciona la respuesta establecido recientemente envía Información, por ejemplo su identificación digital o ID, a un dispositivo que efectúa la pregunta para iniciar un proceso de pregunta- respuesta con ese dispositivo que efectúa la pregunta, un dispositivo que efectúa la pregunta tradicional nótenla pares de preguntas-respuestas calculados previamente disponibles que fueran asignados a ese dispositivo que proporciona la respuesta establecido recientemente, de modo que el dispositivo que efectúa la pregunta tenia que solicitar la carga de CRP desde un dispositivo... [Seguir leyendo]

 


Reivindicaciones:

1. Método para realizar un proceso de pregunta-respuesta para autentificar un dispositivo que proporciona la respuesta, comprendiendo el método, en esta secuencia, las etapas de:

a) proporcionar un primer par (50, 50) de preguntas-respuestas en un dispositivo fuente (10), en el que el primer par (50, 50) de preguntas-respuestas se asigna a uno o más dispositivos (30) que proporcionan la respuesta;

b) cargar el primer par (50, 50) de preguntas-respuestas del dispositivo fuente (10) a un dispositivo (20) que efectúa la pregunta, mientras el dispositivo fuente (10) está conectado operativamente al dispositivo (20) que efectúa la pregunta;

c) realizar, mientras el dispositivo (20) que efectúa la pregunta no está conectado operativamente al dispositivo fuente (10), un proceso de pregunta-respuesta entre el dispositivo (20) que efectúa la pregunta y uno del uno o más dispositivos (30) que proporcionan la respuesta al que se asigna el primer par (50, 50) de preguntas- respuestas, utilizando el primer par (50, 50) de preguntas-respuestas, que se asigna al dispositivo (30) que proporciona la respuesta;

d) cargar uno o más segundos pares (50, 50) de preguntas-respuestas de un dispositivo fuente (10) al dispositivo (20) que efectúa la pregunta, mientras que el dispositivo fuente (10) está conectado operativamente al dispositivo (20) que efectúa la pregunta, en el que la etapa de cargar el primer par (50, 50) de preguntas-respuestas del dispositivo fuente (10) a un dispositivo (20) que efectúa la pregunta se realiza antes de que el dispositivo (20) que efectúa la pregunta haya recibido alguna información de uno de los dispositivos (30) que proporcionan la respuesta, al que se asigna el primer par (50, 50) de preguntas- respuestas, y en el que el dispositivo (20) que efectúa la pregunta comprende un par (50, 50) de preguntas- respuestas e información (460) de validez, asociada con el par (50, 50) de preguntas-respuestas, cuya información (460) de validez especifica uno o más períodos de tiempo durante los cuales el dispositivo (20) que efectúa la pregunta puede utilizar válidamente el par (50, 50) de preguntas-respuestas asociado para realizar un proceso de pregunta-respuesta,

y en el que el dispositivo (20) que efectúa la pregunta se adapta para utilizar el par (50, 50) de preguntas- respuestas asociado sólo durante esos períodos de tiempo para realizar un proceso de pregunta-respuesta.

2. Método según una cualquiera de las reivindicaciones anteriores, que comprende, después de la etapa de realizar un proceso de pregunta-respuesta, la etapa adicional de que el dispositivo (20) que efectúa la pregunta genere una señal de permiso de acceso mediante la que se concede el acceso.

3. Método según cualquiera de las reivindicaciones anteriores, en el que el proceso de pregunta-respuesta es un proceso criptográfico.

4. Método según cualquiera de las reivindicaciones anteriores, en el que la comunicación entre el dispositivo (20) que efectúa la pregunta y un dispositivo (30) que proporciona la respuesta se realiza de forma inalámbrica.

5. Producto de programa informático que comprende instrucciones ejecutables por ordenador que, cuando son llevadas a cabo por uno o más procesadores, hacen que el procesador o los procesadores realicen el método de una cualquiera de las reivindicaciones anteriores.

6. Sistema que comprende un dispositivo fuente (10), un dispositivo (20) que efectúa la pregunta, y un dispositivo (30) que proporciona la respuesta, caracterizado por que el sistema se puede operar para llevar a cabo un método para realizar un proceso de pregunta-respuesta según una cualquiera de las reivindicaciones 1 a 4.

7. Sistema según la reivindicación 6, en el que el dispositivo (30) que proporciona la respuesta es un dispositivo móvil.

8. Sistema según una cualquiera de las reivindicaciones 6 o 7, en el que el dispositivo fuente (10) se puede conectar operativamente al dispositivo (20) que efectúa la pregunta sobre una conexión de protocolo de Internet (IP) o sobre una conexión de protocolo de control de la transmisión/protocolo de Internet (TCP/IP).

9. Combinación de un armario de telecomunicaciones y un sistema según una cualquiera de las reivindicaciones 6 a 8, en el que el sistema puede realizar un proceso de pregunta-respuesta para controlar el acceso al interior del armario de telecomunicaciones.

10. Combinación de un armario de telecomunicaciones y un sistema según la reivindicación 9, en el que el dispositivo (20) que efectúa la pregunta está alojado en el armario de telecomunicaciones.