Un método de operación segura de un dispositivo informático.
Un metodo de operar un dispositivo informatico, el metodo comprendiendo:
autentificar una identidad; habilitar la solicitud de multiples operaciones utilizando el disposiivo informatico, cada operaci6n teniendo un periodo de tiempo de nivel de seguridad asociado diferente respectivo; y determinar Si, o no, la autentificaci6n es valida para cada una de las miiltiples operaciones solicitadas, en base a si el tiempo entre la autentificaciOn y la operacion que se esta solicitando esta dentro del period° de tiempo del nivel de seguridad asociado diferente respectivo.
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/GB2004/005275.
Solicitante: Core Wireless Licensing S.a.r.l.
Inventor/es: HEATH,CRAIG, CLARKE,LEON.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G06F1/00 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › Detalles no cubiertos en los grupos G06F 3/00 - G06F 13/00 y G06F 21/00 (arquitecturas de computadores con programas almacenados de propósito general G06F 15/76).
- H04L29/00 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00.
PDF original: ES-2390155_T3.pdf
Fragmento de la descripción:
UN MÉTODO DE OPERACiÓN SEGURA DE UN DISPOSTIVO INFORMÁTICO
La presente invención se refiere a un método para operar un dispositivo informático, y en particular, a un método para el funcionamiento seguro de un dispositivo informático en el que un usuario necesita ser autentificado, tal como introducuendo una frase de paso, antes de que el usuario sea capaz de llevar a cabo una operación solicitada en el dispositivo. La presente invención también se refiere a un dispositivo informático dispuesto para operar de acuerdo con el método anterior y también al programa informático para causar que un dispositivo informático funcione de acuerdo con el método anterior. [0002] El término dispositivo informático como aquí se usa tiene que interpretarse ampliamente para cubrir cualquier forma de dispositivo eléctrico e incluye dispositivos de grabación de datos, tal como cámaras digitales y de video de cualquier factor de forma, ordenadores de cualquier tipo o forma, incluyendo ordenadores portátiles y personales, y dispositivos de comunicación de cualquier factor de forma, incluyendo teléfonos móviles, télefonos inteligentes, comunicadores que combinan comunicaciones, grabación y/o reproducción de imágenes, y funcionalidad informática dentro de un único dispositivo, y otras formas de dispositivos de información inalámbricos y por cable. [0003] Cada vez más, los sistemas informáticos distribuidos se están convirtiendo en un aspecto prevalente de la vida diaria. Los dispositivos informáticos distribuidos están ahora conectados por redes de área local, redes de área amplia, y redes de redes, tal como las redes de zonas, tal como Internet. Muchas de tales redes se aseguran por una variedad de técnicas, incluyendo programa cortafuegos, limitaciones de enrutado, codificación, redes virtuales privadas, y/o otros medios. Los ordenadores dentro de un perímetro de seguridad pueden acceder fácilmente a datos almacenados en la red segura, normalmente sujetos a permisos al usuario y al grupo, listas de control de acceso, y similares, mientras a las máquinas fuera del perímetro se les niega el acceso sustancialmente o por completo. [0004] Con el crecimiento de tales redes seguras y su contenido de información, existe una necesidad en aumento para soportar el acceso seguro por usuarios autorizados. Existe también una necesidad en aumento de autentificar a los usuarios porque incluso aunque un usuario pueda ser autorizado para acceder a una red existen ciertas comunicaciones en una red que se considera que son más sensibles que otros. El uso de técnicas de codificación y descodificación están siendo consideradas cada vez más como esenciales para llevar a cabo cualquier clase de transacción sensible, tal como una compra con tarjeta de cédito por Internet, o la discusión de información empresarial confidencial entre departamentos alejados en una organización.
Pretty Good Privacy (PGP) es un programa de ordenador usado para codificar y descodificar comunicaciones por grandes redes tal como internet. Puede también usarse para enviar una firma digital codificada que permita a un destinatario de una comunicación verificar la identidad de un remitente y saber que el mensaje no se cambió en ruta. PGP es uno de los programas aseguradores de privacidad más ampliamente utilizados. PGP utiliza una variación del sistema de clave pública. En tales sistemas, cada usuario tiene una clave de codificación públicamente conocida y una clave privada conocida unicamente por ese usuario. Un mensaje enviado a una tercera parte se encripta utilizando la clave pública para esa parte. Cuando el mensaje codificado se recibe por la tercera parte, se desencripta utlizando la clave privada para esa parte. Puesto que el codificar todo un mensaje puede llevar tiempo, PGP utiliza un algoritmo más rápido de codificación para codificar el mensaje y luego utiliza la clave pública para codificar la clave más corta que se utilizó para codificar todo el mensaje. Tanto el mensaje codificado como la clave corta se envian al destinatario que primero utiliza la clave privada del destinatario para descodificar la clave corta y luego utiliza esa clave para descodificar el mensaje. La utilización de técnicas de codificación/descodificaión se considera especialmente importante en comunicaciones inalámbricas porque los circuitos inalámbricos son a menudos más fáciles de "pinchar" que sus homólogos por cable. [0006] Sin embargo, es imprescindible autentificar a las personas que envían o acceden a datos codificados. La autentificación es el proceso para determinar si alguien o algo es, de hecho, quien
o que declara ser. En las redes informáticas privadas y públicas, incluyendo internet, la autentificación se hace normalmente a través del uso de contraseñas de comienzo de sesión. El conocimiento de la contraseña se asume que garantiza que el usuario es auténtico. Cada usuario • puede registrarse inicialmente utilizando una contraseña asignada o autodeclarada. En cada uso • posterior, el usuario debe conocer y utilizar la contraseña previamente declarada. La debilidad de ., este sistema para transacciones que son importantes, como el intercambio de dinero, es que las contraseñas a menudo pueden robarse, revelarse accidentalmente, u olvidarse. [0007] Para programas de codificación y descodificación tales como PGP, se utiliza una palabra de paso, en esencia, como una firma digital para autentificar a una persona. La palabra de paso tiene, de hecho, dos fines-permite al programa gestor de claves determinar que el usuario autorizado del programa está presente en realidad (ya que solamente el usuario conoce el PIN o palabra de paso) y confirma que el usuario desea que la clave se use. Por lo tanto, la palabra de paso se usa para probar que la persona que reivindica haber enviado un mensaje, o que trata de conseguir acceso a un mensaje codificado, o que intenta llevar a cabo una transacción segura tal como una compra comercial, es de hecho esa persona. A causa de que se requiere un nivel mejorado de seguridad en comparación con el provisto por una contraseña normal de acceso, la palabra de paso es normalmente de unos 16 caracteres de longitud, y frecuentemente pueden ser de hasta unos 100 caracteres de longitud. [0008] Si software malintencionado intentara invocar al administrador de claves en un intento de firmar una transacción que el usuario no ha solicitado, entonces la apariencia de la interfaz de usuario que solicita al usuario autentificarse alertaria al usuario de que un tercero está intentando utilizar su clave, y el usuario rehusaría autentificarse. [0009] Como se ha descrito antes, la palabra de paso es normalmente una secuencia relativamente larga de caracteres numéricos y la entrada repetida de la palabra de paso cada vez que la autentificación se requiere no se considera conveniente. Si la palabra de paso es una secuencia alfanumérica relativamente larga, o si la reentrada de la palabra de paso se solicita demasiado a menudo, la autentificación repetida con demasiada frecuencia puede incluso desanimar el uso del proceso de codificación por un usuario en ocasiones donde su uso se consideraría de otro modo particularmente beneficioso. Por ello, para mejorar la experiencia del usuario del uso de tales sistemas, se conoce no requerir al usuario que se autentifique de nuevo si la clave se utiliza en un corto período despues de un uso previo de la clave. Se hace referencia a esto como "cache de palabra de paso". El cache de palabra de paso es un modo de implementar la experiencia del usuario de un modo tal que la clave se "desbloquee" durante un período predeterminado de tiempo. Es solamente tras la caducidad de este período de tiempo cuando el uso adicional de la clave requerirá que se repita el proceso de autentificación. [0010] Con esquemas conocidos de autentificación, la palabra de paso se cachea durante un período predeterminado de tiempo; por ejemplo 30 minutos. Por ello, como un ejemplo, puede requerirse de un usuario la siguiente secuencia de sucesos con el fin de llevar a cabo una serie deOperaciones seguras
1. Un usuario necesita descodificar un correo electrónico-Operación A
2. El usuario introduce su palabra de paso (se autentifica) para descodificar y leer el correo.
3. Cinco minutos más tarde, el usuario descodifica otro correo electrónico -Operación A.
4. No se pide al usuario que reintroduzca la palabra de paso porque la palabra de paso está todavía memorizada.
5. Un minuto más tarde, el usuario firma otro correo electrónico-Operación B.
6.
Reivindicaciones:
1. Un método de operar un dispositivo informático, el método comprendiendo: autentificar una identidad; habilitar la solicitud de múltiples operaciones utilizando el disposiivo informático, cada operación teniendo un período de tiempo de nivel de seguridad asociado diferente respectivo; y determinar si, o no, la autentificación es valida para cada una de las múltiples operaciones solicitadas, en base a si el tiempo entre la autentificación y la operación que se está solicitando está dentro del período de tiempo del nivel de seguridad asociado diferente respectivo.
2. Un método según la reivindicación 1 en el que la identidad es autentificada utilizando una palabra de paso.
3. Un método según la reivindicación 1 en el que la identidad es autentificada utilizando información biométrica.
4. Un método según cualquiera de las reivindicaciones 1 a 3 que comprende determinar que el tiempo entre la última autentificación y la operación que se está solicitando está dentro del período de tiempo del respectivo nivel de seguridad asociado.
5. Un método según cualquiera de las reivindicaciones precedentes en el que la operación solicitada se habilita si el período de tiempo determinado es menor que o igual a un período de tiempo de nível de seguridad fijado por el usuario.
6. Un método según la reivindicación 6 en el que el período de tiempo del nivel de seguridad fijado para un tipo de operación es un múltiplo de un período de tiempo de nivel de seguridad fijado para otro tipo de operación.
7. Un método según la reivindicación 5 en el que el período de tiempo de nivel de seguridad para un tipo de operación se dispone para expirar tras la finalización de la operación del mismo tipo inmediatamente anterior.
8. Un método según cualquiera de las reivindicaciones precedentes, en el que las categorias de operaciones utilizadas para determinar el período de tiempo de nivel de seguridad para una operación solicitada son establecidas por el usuario.
9. El método según cualquiera de las reivindicaciones precedentes, en el que, en respuesta a que la autentificación se determina como no válida para las operaciones solicitadas, el método comprende:
solicitar autentificación de la identidad.
10. El método según cualquiera de las reivindicaciones precedentes, en el que, en respuesta a que la autentificación se determina como válida para las operaciones solicitadas, el método comprende:
realizar la operación solicitada.
11. Un método según cualquiera de las reivindicaciones precedentes, en el que el nivel de seguridad asociado con una operación corresponde al propósito de la operación.
12. Un método según cualquiera de las reivindicaciones precedentes, en el que cada una de las múltiples operaciones se solicita en un momento diferente.
13. Un método según cualquiera de las reivindicaciones precedentes, en el que la identidad es 10 una identidad de usuario asociado con un usuario.
14. Un dispositivo informático dispuesto para operar según un método como se reivindica en cualquiera de las reivindicaciones 1 a 13.
15. Un dispositivo informático según la reivindicación 14 que comprende un teléfono móvil, unos dispositivos de grabación de datos, un cámara digital, una cámara de video, un
ordenador, un ordenador portátil, un ordenador personal, un dispositivo de comunicación, un teléfono movil o un teléfono inteligente.
16. Un programa de ordenador dispuesto para causar que un dispositivo informativo como se reivindica en la reivindicación 14 o 15 opere según un método como se reivindcia en cualquiera de las reivindicaciones 1 a 13.
Patentes similares o relacionadas:
MÉTODO PARA LA ELIMINACIÓN DEL SESGO EN SISTEMAS DE RECONOCIMIENTO BIOMÉTRICO, del 24 de Junio de 2020, de UNIVERSIDAD AUTONOMA DE MADRID: Método para eliminación del sesgo (por edad, etnia o género) en sistemas de reconocimiento biométrico, que comprende definir un conjunto de M muestras de Y personas diferentes […]
Sistema y método para una salida digital pervasiva de dispositivo a dispositivo, del 23 de Octubre de 2019, de Flexiworld Technologies, Inc: Un método de salida de datos para transmitir de forma inalámbrica, en uno o más dispositivos de salida, contenidos digitales a los que se accede mediante un […]
Método y programa de autenticación de usuario, y aparato de formación de imágenes, del 15 de Mayo de 2019, de RICOH COMPANY, LTD.: Un método de autenticación de usuario para un aparato de formación de imágenes que se puede conectar a través de una red a un aparato de […]
Derechos divididos en dominio autorizado, del 27 de Febrero de 2019, de KONINKLIJKE PHILIPS N.V: Un método para controlar el acceso a un elemento de contenido en un sistema que comprende un conjunto de dispositivos, constituyendo el conjunto […]
Método y programa de autenticación de usuario, y aparato de formación de imágenes, del 20 de Febrero de 2019, de RICOH COMPANY, LTD.: Un método de autenticación de usuario para un aparato de formación de imágenes que se puede conectar a través de una red a un aparato […]
Método y sistema para realizar una transacción y para realizar una verificación de acceso legítimo o uso de datos digitales, del 7 de Febrero de 2019, de Ward Participations B.V: Método para realizar una transacción electrónica entre una primera parte de transacción y una segunda parte de transacción usando un dispositivo electrónico operado […]
Método y sistema para realizar una transacción y para realizar una verificación de acceso legítimo o uso de datos digitales, del 16 de Enero de 2019, de Ward Participations B.V: Método para realizar una transacción electrónica entre una primera parte de transacción y una segunda parte de transacción usando un dispositivo […]
Aparato de formación de imágenes, método de borrado y método de gestión de disco duro, del 25 de Octubre de 2018, de RICOH COMPANY, LTD.: Un aparato de formación de imágenes que incluye unos recursos de soporte físico que se van a usar para un proceso de formación de imágenes, al menos un programa para llevar […]