Método y sistema para autenticar a un usuario.

Un método para autenticar un usuario con respecto a un servidor de la red (30) en el contexto de una sesión de búsqueda en la red

(40), el usuario opera una computadora personal (10) conectada a la internet (20) y se comunica con el servidor de la red (30) por medio de un buscador de la red (11) capaz de administrar y almacenar cookies, que comprende:

el almacenamiento (505) de una cookie (14) en la computadora personal (10), la (14) cookie incluye una primera clave, la primera clave almacenada en la cookie (14) en una forma codificada, que es codificada bajo una contraseña dependiente de la información conocida únicamente por el usuario, la primera clave también conocida por el servidor de la red (30) y asociada en el servidor de la red (30) con el usuario,

el buscador (11) recibe (602) del servidor de la red una página web que contiene un applet (12) incrustado, en respuesta a una petición de acceso (601) dirigida a la página web, el applet (12) incrustado en la página web requiere (603) que el usuario introduzca la contraseña,

el applet (12) que descodifica (607) la clave codificada almacenada en la cookie (14), utilizando la contraseña, para generar (608) la primera clave, y

el empleo (609) de la primera clave para autenticar (610) el usuario al servidor (30) y/o firmar los datos transmitidos al servidor (30).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2006/008439.

Solicitante: VASCO DATA SECURITY INTERNATIONAL GMBH.

Nacionalidad solicitante: Suiza.

Dirección: WORLDWIDE BUSINESS CENTRE, BALZ-ZIMMERMANNSTRASSE 7 8152 GLATTBRUGG SUIZA.

Inventor/es: FORT,NICOLAS, GRANGE,BENOIT.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones para las comunicaciones secretas o... > H04L9/32 (comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > H04L9/00 (Disposiciones para las comunicaciones secretas o protegidas)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > COMUNICACIONES SECRETAS; PERTURBACION DE LAS COMUNICACIONES > H04K1/00 (Comunicaciones secretas)

PDF original: ES-2530715_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Método y sistema para autenticar a un usuario Campo de la invención

La invención se refiere a los mejoramientos en la seguridad en la red de computadoras.

Antecedentes

Se ha vuelto común, y conforme transcurre el tiempo se hace más común, que las aplicaciones sean accedidas y las transacciones conducidas remotamente sobre redes públicas tales como la internet. La popularidad de estas aplicaciones ha atraído la atención de los piratas o hackers, y las organizaciones criminales. Para proteger las aplicaciones contra el acceso no autorizado, muchos proveedores de aplicaciones confían en que sus usuarios tengan que enviar, durante el registro, la combinación de la identificación de usuario (ID de usuario) y una contraseña (password). En la mayoría de los casos la contraseña es estática, por ejemplo, el mismo valor de contraseña sigue siendo válido en un periodo relativamente prolongado de tiempo.

Para que los hackers tengan acceso a una aplicación remota para comprometerse en transacciones fraudulentas, es suficiente con obtener una combinación válida de ID de usuario-contraseña. Por ejemplo, un método popular es enviar un correo electrónico falso que pide que el usuario (con algún pretexto más o menos creíble) envíe su ID de usuario-contraseña en respuesta. Esto es a menudo denominado cómo anzuelo o estafa electrónica. Otro método popular es crear un sitio de red impostor que parece convenientemente como un sitio de red real. Por supuesto, cuando un usuario intenta registrarse, su ID de usuario-contraseña son capturados para un mal uso posterior.

Debido a la facilidad de éxito que los hackers han logrado en la obtención de una combinación válida de ID de usuario-contraseña, es ahora ampliamente aceptado que una contraseña estática sola ofrece un nivel de seguridad demasiado bajo para ser aceptable para aplicaciones que involucran transacciones financieramente valiosas y similares. En consecuencia, existe una necesidad para un método de autenticación de usuario, alternativo que ofrezca un más alto nivel de seguridad.

Si existen técnicas alternativas. Estas incluyen:

1. Certificados (por ejemplo, software (dotación lógica informática), tarjetas inteligentes o memorias o memorias USB).

2. Memorias de autenticación fuerte de hardware (equipo físico).

3. Memorias blandas (por ejemplo, software que emulan memorias de autenticación fuertes de hardware).

4. Tarjetas inteligentes,

5. Memorias USB.

En la mayoría de los casos los usuarios tienen que estar ya sea equipados con un dispositivo de hardware personalizado (memorias USB, memorias de autenticación fuerte, tarjetas inteligentes, etc.) o deben instalar alguna pieza personalizada de software (certificados de software, memorias blandas, etc.). La desventaja principal de estas soluciones, cuando es comparada al método ordinario de ID de usuario-contraseña es que:

(a) éstos son más costosos (debido que al hardware específico que es requerido para implementarlos equipo físico es aquel), o

(b) éstos limitan la movilidad del usuario a una computadora específica (en particular la computadora en la cual ha sido instalado el hardware o el software personalizado), o

(c) éstos no son fáciles de utilizar (el usuario necesita seguir un procedimiento de instalación complicado que puede fallar), o

(d) una combinación de las desventajas anteriores.

El artículo "Enhancing the Security of Cookies" por Vorapranee Khu-Smith y Chñs Mitchell (publicado en "Information Security and Cryptology - ICISC 21", Springer Berlgin Heidelberg, ISBN 978-3-54-43319-4, p. 132-145) desvela el almacenamiento de una clave de encriptación dentro de una cookie. También sugiere, por separado, el uso de palabras clave para usuarios que desean encriptar sus cookies. D1 no desvela la encriptación de la cookie con la contraseña, ni el uso de una applet embebida para solicitar al usuario por una contraseña. Por lo tanto, esta publicación no proporciona a un usuario web con un mecanismo de autenticación conveniente para diversos servicios en línea.

En consecuencia, lo que se necesita es una solución que proporcione mayor seguridad que la ID de usuario- contraseña pero que conserve todavía las ventajas principales de la ID de usuario-contraseña, es decir, el bajo costo, facilidad de uso y facilidad para migrar de una computadora a otra.

Normalmente los usuarios utilizan una computadora, tal como una computadora principal (pe) para acceder a las aplicaciones en un servidor remoto. No obstante, dispositivos diferentes de las pcs son también utilizados, por ejemplo, dispositivos móviles tales como un asistente de datos personales (pda, por sus siglas en inglés), teléfonos celulares habilitados en la red y similares. Para los propósitos de esta aplicación el término computadora personal o pe incluirá todos los dispositivos tales, así como otros dispositivos similares que puedan acceder a través de la internet a un dispositivo de internet remoto, tal como un servidor, intercambiar información y mensajes por medio de un software buscador (browser) que el acceso sea una vía terrestre o incluye un componente inalámbrico.

Sumario de la invención

La solución de pase digital (digipass) para la red está basado en los siguientes principios:

a. Para cada usuario, un servidor asocia al usuario con una clave de autenticación.

b. La clave de autenticación asociada con un usuario específico es también almacenada localmente en una computadora personal en la forma de a cookie.

c. La clave de autenticación de usuario almacenada en el trozo de información es protegido por una contraseña conocida únicamente por el usuario.

d. La página web de registro del servidor contiene un applet (componente de una aplicación que se ejecuta en el contexto de otro programa) de autenticación incrustado (por ejemplo, un componente de software que puede ser referido y llamado en una página web y es automáticamente descargado por el buscador si éste no está ya presente en la computadora personal de acceso). El applet es preferentemente un Applet Java pero alternativamente éste podría ser por ejemplo un componente ActiveX.

e. El applet de autenticación es capaz de pedirle a un usuario que introduzca la contraseña.

f. El applet de autenticación es capaz de acceder al trozo de información que almacena la clave de autenticación protegida por contraseña. El applet es capaz de obtener acceso a la clave de autenticación con la contraseña que el usuario ha introducido.

g. El uso de la clave de autenticación accesible (asociado en el servidor con el usuario específico, el applet de autenticación puede autenticar ya sea al usuario, o los datos de transacción de firma para garantizar la autenticidad y la integridad de la transacción.

En virtud de estos principios la solución de pase digital para la red, logra más alta seguridad que solo una contraseña estática: para la autenticación exitosa, son necesarios dos factores, por ejemplo el trozo de información (que contiene la clave de autenticación) y la contraseña de usuario (con el fin de descodificar la clave de autenticación que está almacenada en el trozo de información). La solución de pase digital para la red proporciona una solución a bajo costo ya que no existe hardware para distribuir y únicamente el software que es necesario (el applet de autenticación) es automáticamente descargado cuando se requiera. La solución de pase digital para la red también proporciona conveniencia para el usuario ya que el usuario no tiene que ir a través de cualquier proceso de instalación particular que puede fallar, y que el usuario opera la solución exactamente de la misma manera que con una contraseña... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para autenticar un usuario con respecto a un servidor de la red (3) en el contexto de una sesión de búsqueda en la red (4), el usuario opera una computadora personal (1) conectada a la internet (2) y se comunica con el servidor de la red (3) por medio de un buscador de la red (11) capaz de administrar y almacenar cookies, que comprende:

el almacenamiento (55) de una cookie (14) en la computadora personal (1), la (14) cookie incluye una primera clave, la primera clave almacenada en la cookie (14) en una forma codificada, que es codificada bajo una contraseña dependiente de la información conocida únicamente por el usuario, la primera clave también conocida por el servidor de la red (3) y asociada en el servidor de la red (3) con el usuario, el buscador (11) recibe (62) del servidor de la red una página web que contiene un applet (12) incrustado, en respuesta a una petición de acceso (61) dirigida a la página web, el applet (12) incrustado en la página web requiere (63) que el usuario introduzca la contraseña,

el applet (12) que descodifica (67) la clave codificada almacenada en la cookie (14), utilizando la contraseña, para generar (68) la primera clave, y

el empleo (69) de la primera clave para autenticar (61) el usuario al servidor (3) y/o firmar los datos transmitidos al servidor (3).

2. El método de conformidad con la reivindicación 1, en el que la primera clave codificada que es almacenada en la cookie (14) es codificada con una combinación de una contraseña conocida para el usuario y la información que representa al menos una característica del dispositivo de cómputo personal (1).

3. Un método implementado por el servidor para proporcionar la autenticación de un usuario a un servidor de la red (3), en el contexto de una sesión de búsqueda en la red (4) que opera con una computadora personal (1) conectada a la internet (2), y que se comunica con el servidor de la red (3) por medio de un buscador de red (11) capaz de administrar y almacenar cookies, que comprende:

mantener un archivo que asocia cada uno de una pluralidad de usuarios con una primera clave diferente, en respuesta a un acceso (61) por un usuario particular que utiliza una computadora personal (1), la transmisión (62), hacia la computadora personal (1), de un applet (12) incrustado en una página web requerida por el acceso de la computadora personal (1) del usuario, dicho applet (12), cuando es ejecutado en la computadora personal;

pide (63) que el usuario introduzca una contraseña,

el acceso (65) de una cookie (14), si está presente, en la computadora personal del usuario y la descodificación (67) de una primera clave codificada, almacenada en la cookie (14) con la contraseña para recuperar la primera clave relacionada al usuario, y

el uso (61) de la primera clave para autenticar al usuario hacia el servidor (3) y/o los datos de firma transmitidos al servidor (3).

4. El método de conformidad con la reivindicación 3, en el que el usuario puede acceder al servidor de la red (3) con una computadora personal (1) particular que ya mantiene una cookie (14) en almacenamiento que incluye una primera clave codificada bajo dicha contraseña, y en el cual el usuario puede acceder al servidor de la red (3) con otra computadora personal (1) que todavía no mantiene la cookie (14) en almacenamiento, o en el cual el usuario puede acceder al servidor de la red (3) con una computadora personal (1) particular que ya mantiene una cookie (14) en almacenamiento, que incluye una primera clave codificada bajo la contraseña, pero estando la cookie (14) de algún modo perdida o dañada,

el archivo mantenido por el servidor también incluye un secreto de migración, o una comprobación de clave de un secreto de migración,

el servidor (3) autentica al usuario después de la recepción de la información que compara favorablemente al secreto de migración o la comprobación de clave del secreto de migración almacenado en el servidor, o por medio de un protocolo de autenticación que demuestra que el usuario conoce el valor correcto del secreto de migración, el servidor (3) después de esto transmite una indicación que significa que el usuario será autenticado después de la presentación de la contraseña.

5. El método de conformidad con la reivindicación 4, en el que la información incluye la primera clave codificada bajo la contraseña.

6. El método de conformidad con la reivindicación 4, en el que la información contiene una segunda clave, diferente de la primera clave, codificada bajo la contraseña, en donde la segunda clave puede ser utilizada en vez de la primera clave por el applet (12) para autenticar el usuario al servidor (3).

7. El método de conformidad con la reivindicación 4, en el que el applet (12) transmitido a la computadora personal (1) es transmitido en uno o más segmentos.

8. El método de conformidad con la reivindicación 7, en el que un segmento particular del applet (12) es únicamente transmitido a petición.

9. Un sistema para autenticar a un usuario con respecto a un servidor de la red (3) en el contexto de una sesión de búsqueda en la red (4), utilizando el usuario una computadora personal (1) conectada a la internet (2) y que se comunica con el servidor de la red (3) por medio de un buscador de la red (11) capaz de administrar y almacenar cookies, que incluye:

una memoria para almacenar una cookie (14) en la computadora personal (1), la cookie (14) incluye una primera clave, la primera clave almacenada en la cookie (14) está en una forma codificada, que es codificada bajo una contraseña dependiente de la información conocida únicamente por el usuario, la primera clave también es conocida para el servidor de la red (3) y asociada en el servidor de la red (3) al usuario, un buscador (11) que recibe del servidor de la red (3) una página web (42) que contiene un applet (12) incrustado en respuesta a una petición de acceso (41) dirigida a la página de red (42), el applet (12) incrustado en la página web (42) requiere que el usuario introduzca la contraseña,

el applet (12) que descodifica la clave codificada almacenada en la cookie (14), utilizando la contraseña, para generar la primera clave, y

el applet (12) que emplea además la primera clave para autenticar el usuario al servidor y/o los datos de firma transmitidos al servidor.

1. El sistema de conformidad con la reivindicación 9, en el que la primera clave codificada que es almacenada en la cookie (14) es codificada con una combinación de una contraseña conocida por el usuario y la información que representa al menos una de las características del dispositivo (1) de computadora personal.

11. Un sistema para proporcionar autenticación de un usuario a un servidor de la red en el contexto de una sesión de búsqueda en la red (4) con una computadora personal (1) conectada a la internet (2), y que se comunica con el servidor de la red (3) por medio de un buscador de la red (11) capaz de administrar y almacenar cookies, que incluye:

medios para almacenar en el servidor (3) un archivo que asocia cada uno de una pluralidad de usuarios, con una primera clave diferente,

medios, en respuesta a un acceso por un usuario particular que utiliza una computadora personal (1), para la transmisión, hacia la computadora personal (1), de un applet (12) incrustado en una página de red (41) requerida por el acceso de la computadora personal (1) del usuario, dicho applet (12) que incluye medios de código para:

pedir que el usuario introduzca una contraseña,

el acceso de una cookie (14), si está presente, en la computadora personal (1) del usuario y la descodificación de una primera clave codificada, almacenada en la cookie (14) con la contraseña para recuperar la primera clave relacionada al usuario, y

el uso de la primera clave para autenticar al usuario hacia el servidor (3) y/o los datos de firma transmitidos al servidor (3).

12. El sistema de conformidad con la reivindicación 11, en el que el usuario puede acceder al servidor de la red (3) con una computadora personal (1) particular que ya mantiene una cookie (14) en almacenamiento que incluye una primera clave codificada bajo dicha contraseña, y en el cual el usuario puede acceder al servidor de la red (3) con otra computadora personal (1) que todavía no mantiene la cookie (14) en almacenamiento, o en el cual el usuario puede acceder al servidor de la red (3) con una computadora personal (1) particular que ya mantiene una cookie (14) en almacenamiento, que incluye una primera clave codificada bajo la contraseña, pero estando la cookie (14) de algún modo perdida o dañada,

dicho archivo almacenado en el servidor (3) también incluye un secreto de migración, o una comprobación de clave de un secreto de migración,

dicho servidor (3) incluye además los medios para autenticar al usuario después de la recepción de la información que compara favorablemente al secreto de migración o la comprobación de clave del secreto de migración almacenado en el servidor (3) o por medio de un protocolo de autenticación que demuestra que el usuario conoce el valor correcto del secreto de migración,

el servidor (3) transmite una indicación que significa que el usuario será autenticado después de la presentación de la contraseña.

13. El sistema de conformidad con la reivindicación 12, en el que la información incluye la primera clave codificada bajo la contraseña.

14. El sistema de conformidad con la reivindicación 12, en el que la información contiene una segunda clave, diferente de la primera clave, codificada bajo la contraseña, en donde la segunda clave puede ser utilizada en vez de la primera clave por el applet (12) para autenticar el usuario al servidor (3).

15. El sistema de conformidad con la reivindicación 12, en el que el medio para la transmisión del applet (12) transmite el applet en uno o más segmentos.