Procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad.

Procedimiento, que comprende:

- generar un paquete (210) de datos que comprende al menos un programa

(214) de acceso a red protegido y al menos una característica (212) de autenticación personalizada en un primer equipo (200) de procesamiento de datos, en el que el paquete de datos comprende la al menos una característica de autenticación personalizada junto al al menos un programa de acceso a red, y en el que el paquete (210) de datos es un paquete de datos formado por un gran número de paquetes de datos adaptados individualmente a respectivos usuarios (260, 262), que comprenden en cada caso el programa (214) de acceso a red y una característica de autenticación personalizada asignada al respectivo usuario,

- generar una clave (218) personalizada,

- cifrar el paquete (210) de datos para asociar la característica (212) de autenticación personalizada con el programa (214) de acceso a red, y

- proporcionar el paquete (210) de datos para una transmisión a un equipo (240) de procesamiento de datos adicional, en el que el paquete (210) de datos transmitido puede descifrarse con la clave (218) personalizada introducida por un usuario en el equipo (240) de procesamiento de datos adicional, de tal manera que el programa (214) de acceso a red puede ejecutarse, con ello el programa (214) de acceso a red tiene acceso a la característica (212) de autenticación personalizada y puede autenticarse mediante la característica (212) de autenticación personalizada.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E11182188.

Solicitante: KOBIL SYSTEMS GMBH.

Nacionalidad solicitante: Alemania.

Dirección: PFORTENRING 11 67547 WORMS ALEMANIA.

Inventor/es: Tak,Markus, KOYUN,ISMET.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones para las comunicaciones secretas o... > H04L9/32 (comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > G06F21/00 (Disposiciones de seguridad para la protección de computadores sus componentes, programas o datos contra actividades no autorizadas)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/31 (autenticación del usuario)

PDF original: ES-2500947_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad Sector de la técnica

La invención se refiere a un procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad. La invención se refiere además a un programa informático correspondiente, a un dispositivo de soporte de datos correspondiente, a un equipo de procesamiento de datos correspondiente, a un sistema correspondiente y a un paquete de datos correspondiente.

Estado de la técnica

Hoy en día se realizan un gran número de servicios relevantes con respecto a la seguridad a través de Internet. Así, por ejemplo, se conoce realizar operaciones bancarias o pagos a través de Internet. Sin embargo, las aplicaciones en línea, como la banca en línea o el pago en línea constituyen un blanco para los piratas informáticos, que pretenden averiguar los datos relevantes con respecto a la seguridad de un usuario y realizar en su nombre con estos datos transacciones en línea. Por ejemplo se sustraen los datos de autenticación del usuario por medio de diferentes técnicas, como las técnicas de suplantación de identidad (phishing) o troyanos, y a continuación se utilizan para el pago.

Según el estado de la técnica los servicios relevantes con respecto a la seguridad, como la banca en línea y similares, se realizan a través de programas de acceso a red, como por ejemplo los navegadores de Internet habituales y similares. A través de un programa de navegación de este tipo un usuario abre por ejemplo una página de Internet de un proveedor de servicios, por ejemplo de un banco. Sin embargo, antes de que el usuario pueda realizar una transacción relevante con respecto a la seguridad o un servicio como una transferencia, el usuario se autentica ante el banco. Para ello el usuario debe introducir por ejemplo el nombre de usuario y una contraseña. Por tanto, el usuario transmite desde su equipo de procesamiento de datos, como un ordenador, al menos una característica de autenticación al banco, en particular a su equipo de procesamiento de datos, como un servidor. Los datos transmitidos se comparan con datos almacenados por el banco y en caso de un resultado de comparación positivo se permite al usuario la realización del servicio correspondiente. Una autenticación también puede realizarse mediante otras operaciones criptográficas, como por ejemplo una verificación de firma.

Sin embargo, mediante las técnicas mencionadas anteriormente de los piratas informáticos, en particular mediante un ataque denominado "Man In The Browser", es posible manipular un programa de acceso a red, como por ejemplo un navegador de Internet. Así, por ejemplo, en el caso de una manipulación de un navegador de Internet es posible que un usuario introduzca sus datos de autenticación, como por ejemplo un número PIN, una contraseña o similares de la manera habitual para activar el correspondiente servicio o la transacción, como una transferencia. Sin embargo, mediante la manipulación del navegador de Internet el dinero no se transfiere al destinatario deseado, sino a una cuenta indicada por el pirata informático.

Por el estado de la técnica, para mejorar la seguridad se conocen procedimientos en los que se utilizan componentes de hardware. Por ejemplo se utilizan procedimientos con contraseñas de un solo uso y tarjetas inteligentes. Estos procedimientos se denominan también procedimientos de autenticación de 2 factores (tenencia y conocimiento). Por un lado, un usuario "conoce" algo, por ejemplo, la contraseña, y por otro el usuario Tiene" algo, por ejemplo la tarjeta inteligente, un dispositivo de almacenamiento masivo USB, etc. Si bien esta autenticación de 2 factores aumenta la seguridad, sin embargo en este procedimiento también aumentan los costes. En particular en el caso de una gran difusión, que en el caso de la banca en línea puede ser del orden de millones, los costes son elevados.

Por la solicitud de patente WO 2008/034900 A1 se conoce un procedimiento para la protección de un programa informático frente a una manipulación y para proteger su comunicación con otros programas frente a interceptación. El procedimiento comprende generar copias de programa individualizadas para diferentes grupos de usuarios, la inserción o derivación de claves criptográficas individuales a partir del código de programa, la ocultación del código de programa y la autoautenticación del programa frente a otros programas. El procedimiento puede aplicarse para la protección de banca en línea, inversión en línea, entretenimiento en línea, gestión de derechos digitales y otras aplicaciones de comercio electrónico.

Por la solicitud de patente US 2001/051928 A1 se conoce una disposición, un procedimiento y un sistema para la personalización de software publicado según un usuario autorizado específico. A este respecto se posibilita una protección frente a una copia y distribución no autorizadas desalentando al usuario autorizado para que no cree y distribuya sin orden ni concierto copias no autorizadas. La personalización está insertada en los software y se suministra al usuario autorizado con información personalizada incrustada ya existente sin que el usuario tenga que introducir esta información durante una configuración o una instalación. Como la información ya está incrustada en el software publicado que puede entregarse cuando el usuario lo recibe, y no es necesaria una introducción manual por parte del usuario, puede aplicarse una criptografía considerable con claves complejas para la autenticación y con

fines de protección. Como cada entrega a un usuario autorizado se basa en una construcción de software individual, personalizada, los módulos ejecutables de cada una de las copias autorizadas distribuidas del software tienen una forma binaria unívoca que puede variar de manera significativa, incluyendo variaciones en el tamaño de los módulos ejecutables, mientras que la funcionalidad de usuario es completamente idéntica. Estas variaciones llevan a una protección adicional del software al eliminar direcciones de programa constantes, que pueden analizarse y atacarse fácilmente con programas automatizados que anulan la protección.

Por la solicitud de patente US 2008/0034210 A1 se conoce un sistema de comunicación de datos seguro y un procedimiento para su utilización junto con un ordenador principal posiblemente no seguro. El sistema presenta un medio de almacenamiento, que puede unirse con el ordenador posiblemente no seguro. El sistema presenta también un navegador protegido autónomo que está almacenado en el medio de almacenamiento. El sistema también puede presentar datos de autenticación de cliente y/o datos de programa adicionales. El navegador puede utilizar los datos de autenticación de cliente para posibilitar una comunicación segura. Los datos de autenticación de cliente pueden estar almacenados en el medio de almacenamiento. Una forma de realización de la solicitud de patente US 2008/0034210 A1 se refiere a un soporte de datos extraíble que posibilitará una autenticación de 2 factores.

Por la patente US 6.108.420 se conoce un procedimiento para generar una instancia única, especifica del usuario, de una aplicación de software, distribuirla e instalarla en un ordenador de instalación, en el que la instancia de la aplicación de software puede autenticarse y atribuirse a un usuario determinado. Un agente de distribución seguro que se encuentra en un ordenador de distribución, recoge información de identificación y calcula una firma criptográfica de la aplicación de software y de la información de identificación. La información de identificación y la firma criptográfica se incrustan mediante el agente de distribución seguro en la aplicación de software.... [Seguir leyendo]

 


Reivindicaciones:

1.

2.

3.

4.

5. 45

6.

7.

8.

9.

Procedimiento, que comprende:

- generar un paquete (210) de datos que comprende al menos un programa (214) de acceso a red protegido y al menos una característica (212) de autenticación personalizada en un primer equipo (200) de procesamiento de datos, en el que el paquete de datos comprende la al menos una característica de autenticación personalizada junto al al menos un programa de acceso a red, y en el que el paquete (210) de datos es un paquete de datos formado por un gran número de paquetes de datos adaptados individualmente a respectivos usuarios (260, 262), que comprenden en cada caso el programa (214) de acceso a red y una característica de autenticación personalizada asignada al respectivo usuario,

- generar una clave (218) personalizada,

- cifrar el paquete (210) de datos para asociar la característica (212) de autenticación personalizada con el programa (214) de acceso a red, y

- proporcionar el paquete (210) de datos para una transmisión a un equipo (240) de procesamiento de datos adicional, en el que el paquete (210) de datos transmitido puede descifrarse con la clave (218) personalizada introducida por un usuario en el equipo (240) de procesamiento de datos adicional, de tal manera que el programa (214) de acceso a red puede ejecutarse, con ello el programa (214) de acceso a red tiene acceso a la característica (212) de autenticación personalizada y puede autenticarse mediante la característica (212) de autenticación personalizada.

Procedimiento según la reivindicación 1, en el que el paquete de datos está asignado a un único usuario, y en el que la característica de autenticación personalizada sirve para verificar si el programa de acceso a red o el usuario del programa de acceso a red está autorizado para la realización de un servicio relevante con respecto a la seguridad.

Procedimiento según una de las reivindicaciones anteriores, en el que el programa (214) de acceso a red y la característica (212) de autenticación pueden descifrarse en una zona de una memoria (242) de trabajo de la instalación (240) de procesamiento de datos y pueden ejecutarse desde la memoria (242) de trabajo, de tal manera que el programa de acceso a red descifrado y la característica de autenticación descifrada durante la ejecución del programa (214) de acceso a red sólo están almacenados en la memoria (242) de trabajo y no tiene lugar un almacenamiento del programa (214) de acceso a red descifrado y de la característica (212) de autenticación descifrada en un disco duro del equipo (240) de procesamiento de datos.

Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos comprende al menos un archivo (216) de configuración, y en el que el archivo (216) de configuración establece la configuración del programa (214) de acceso a red al ejecutar el programa (214) de acceso a red.

Procedimiento según una de las reivindicaciones anteriores, en el que el programa de acceso a red protegido está configurado especialmente para un servicio relevante con respecto a la seguridad.

Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos y la clave (218) personalizada correspondiente se transmiten por separado.

Procedimiento según una de las reivindicaciones anteriores, en el que el programa (214) de acceso a red se modifica al menos parcialmente de manera personalizada.

Procedimiento según una de las reivindicaciones anteriores, que comprende además:

- asignar la característica (212) de autenticación personalizada del paquete (210) de datos y de la clave (218) personalizada correspondiente al paquete (210) de datos a un usuario (260, 262), y

- almacenar la asignación en una base (250) de datos del primer equipo (200) de procesamiento de datos.

Procedimiento según una de las reivindicaciones anteriores, que comprende además autenticar un usuario (260, 262) del equipo (240) de procesamiento de datos adicional con respecto al primer equipo (200) de procesamiento de datos por medio de la característica (212) de autenticación personalizada, de tal manera que el usuario (260, 262) pueda realizar un servicio relevante con respecto a la seguridad exclusivamente en caso de autenticación positiva.

Procedimiento según una de las reivindicaciones anteriores, en el que la característica de autenticación es un certificado de software y/o una contraseña.

11.

Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos es un paquete de datos que puede ejecutarse.

12.

Procedimiento según una de las reivindicaciones anteriores, que comprende además

- descifrar el paquete (210) de datos en una memoria (242) volátil del equipo (240) de procesamiento de datos adicional, y/o

- ejecutar el programa (214) de acceso a red directamente desde la memoria (242) volátil del equipo (240) de procesamiento de datos adicional.

13.

Programa (282) informático, que comprende instrucciones de programa que permiten que un procesador (270) realice el procedimiento según una de las reivindicaciones 1 a 11, cuando el programa (282) informático se ejecuta en el procesador (270).

14.

Equipo (200) de procesamiento de datos, que comprende

- medios para la realización del procedimiento según una de las reivindicaciones 1-11.

Sistema que comprende

- un equipo (200) de procesamiento de datos según la reivindicación 14, y

- al menos el equipo (240) de procesamiento de datos adicional.