Dispositivo portátil de autenticación.

Sistema que comprende un servidor y un dispositivo portátil de autenticación de un usuario,

que comprende una carcasa (101) única en la cual están alojados:

- medios (16) de activación del dispositivo, tal como una tecla que debe ser pulsada por el usuario,

- un microprocesador (32) que efectúa un cálculo durante la activación del dispositivo (10), empleando el cálculo un algoritmo basado en una clave secreta almacenada en una memoria (37), y que tiene como resultado una contraseña dinámica;

- siendo el dispositivo (10) tal que la memoria (37) en la cual queda almacenada la clave secreta está dispuesta en el interior de la carcasa (101) y conectada al dispositivo de manera desmontable,

- comprendiendo el dispositivo (10) además en combinación un módulo de emisión sonora (34) para facilitar la contraseña dinámica en forma de señales acústicas y un visualizador (14) para una visualización de la contraseña dinámica efectuada simultáneamente con la emisión de la contraseña en forma acústica,

en el cual el cálculo de la contraseña dinámica toma como argumento el valor de un contador incrementado en cada nuevo cálculo, y depende del tiempo.

en el cual, cuando la contraseña dinámica así calculada es facilitada al servidor encargado de la autenticación, ésta va acompañada de un identificador propio del citado dispositivo (10),

en el cual, no conociendo el servidor el valor del contador incremental utilizado para el cálculo de la contraseña dinámica, éste busca entonces el último valor conocido de este contador, es decir el utilizado durante la última autenticación, estando almacenado este valor en el servidor, y en el cual el citado servidor reproduce sucesivamente el mismo cálculo que el puesto en práctica en el citado dispositivo (10), partiendo del último valor conocido del contador incremental aumentado en una unidad e incrementando éste en cada nuevo cálculo, hasta que el cálculo dé un resultado idéntico a la contraseña dinámica que ha sido facilitada por el usuario.

Dispositivo portátil de autenticación.

La presente invención concierne a un sistema que comprende un servidor y un dispositivo portátil y polivalente de autenticación, que permite a un usuario autenticarse, de manera segura y rápida, a través de todos los canales de comunicación existentes (teléfono, Internet…) o directamente en un aparato (autómata, ordenador personal …) , para acceder a cualesquiera tipos de servicios y/o de máquinas asegurados.

Para autenticar a un usuario de un servicio o de una máquina, tal como un ordenador personal, es conocido utilizar un dispositivo portátil que facilita una contraseña dinámica o « one time password » (OTP) , es decir una contraseña diferente en cada cálculo. Esta contraseña es generada a través de un algoritmo por un procesador, estando basado el algoritmo en una clave secreta única y propia del dispositivo. En tal dispositivo, la clave secreta queda implementada en una memoria durante la fabricación a través del algoritmo de cálculo, lo que, para hacerle funcional, impone la personalización del dispositivo desde la fabricación, de la misma manera que las tarjetas bancarias. Tal limitación plantea especialmente problemas de seguridad (especialmente debido al transporte de dispositivos activos desde su lugar de fabricación) , y no permite efectuar actualizaciones de mejora y/o de personalización complementaria del dispositivo, quedando inmovilizadas las informaciones contenidas en fábrica.

Por el documento US 2001/0054148 se conoce transformar un terminal de lectura de tarjeta inteligente por inserción de una tarjeta asegurada en dispositivo de generación de contraseñas de uso único. En este dispositivo conocido, las contraseñas son generadas sobre la base de una clave secreta embarcada en la tarjeta insertada.

Por el documento WO 03/096287 se conoce generar contraseñas de uso único utilizando un registro incrementado de manera monótona y una variable dinámica a fin de obtener una mayor seguridad. El servidor de autenticación divulgado por este documento está en condiciones de generar la misma contraseña de uso único que su cliente, incluso cuando este último ha generado una contraseña que no ha llegado al servidor. Para hacer esto, éste envía una parte del registro utilizado para permitir al servidor detectar esta situación.

El objeto de la invención es mejorar estos sistemas existentes.

La invención parte de la constatación de que es ventajoso poder implementar la clave secreta, entre otras informaciones, lo más tarde posible, y en cualquier caso después de la fabricación (por ejemplo en el momento de la venta) , de manera simple y reversible.

Así, la invención concierne a un sistema de acuerdo con la reivindicación 1.

De esta manera, gracias al sistema de acuerdo con la invención, el usuario puede autenticarse de manera segura y rápida facilitando a un prestatario de servicios y/o a un aparato una contraseña dinámica, es decir diferente en cada nueva autenticación. El almacenamiento de la clave secreta que sirve para el cálculo de la contraseña dinámica en una memoria llevada por un circuito electrónico desmontable permite que el dispositivo funcione solamente si la citada memoria está correctamente conectada al dispositivo. La utilización de una memoria desmontable proporciona numerosas ventajas: la personalidad del sistema resulta simplificada porque éste es fabricado en gran serie y personalizado en el último momento, por ejemplo durante la venta, por adición de la memoria que contiene la clave secreta. Además, tal sistema ofrece posibilidades de personalización muy amplias, especialmente la elección de activar o no ciertas funciones. Igualmente, pueden implementarse informaciones complementarias en la memoria y efectuar su actualización. Se puede así hacer evolucionar las capacidades y las funcionalidades del sistema sin tener que reemplazarle.

La seguridad se encuentra igualmente reforzada porque se puede facilitar al usuario los dos elementos por dos canales distintos, efectuando este último a su vez la inserción de la memoria que contiene la clave secreta.

En una realización, la memoria es llevada por un circuito electrónico, de tipo tarjeta SIM o UICC, comprendiendo el dispositivo un conector para acoger al circuito electrónico.

En una realización, el microprocesador es llevado por el mismo circuito electrónico que la memoria en la cual queda almacenada la clave secreta.

En una realización, el dispositivo comprende un módulo de emisión de radiofrecuencias para emitir una señal de radiofrecuencias representativa de la contraseña dinámica.

En una realización, el dispositivo comprende una conexión de tipo USB y puede ser conectado a un aparato equipado con un puerto de tipo USB.

En una realización, el dispositivo comprende una batería recargable, siendo recargada la batería cuando el dispositivo esté conectado a través del puerto USB.

En una realización, la memoria en la cual queda almacenada la clave secreta permite almacenar informaciones complementarias.

En una realización, la contraseña dinámica es facilitada simultáneamente por el dispositivo a través de al menos dos de los medios de comunicación disponibles.

Se describe de maneara no limitativa un ejemplo de realización de la invención en relación con las figuras, en las cuales:

-la figura 1 es un esquema en tres dimensiones de un dispositivo de acuerdo con la invención,

-la figura 2 muestra el dispositivo de la figura 1, visto bajo un ángulo diferente,

-la figura 3 muestra componentes de un dispositivo de acuerdo con la invención,

-la figura 4 muestra los componentes de una variante del dispositivo de la figura 3.

La figura 1 muestra un dispositivo 10 de acuerdo con la invención. Tal dispositivo 10 es un objeto portátil de dimensiones reducidas, formado por una carcasa única y compacta 101, en el ejemplo de forma sensiblemente paralelepipédica. En una cara 12 de la carcasa 101, denominada cara delantera, está dispuesto un visualizador 14, que permite la visualización de una secuencia de caracteres o de cifras, en el ejemplo una secuencia comprendida entre seis y ocho caracteres. En esta cara delantera 12 del objeto portátil 10 está dispuesta igualmente una tecla 16 que constituye un medio de activación del objeto portátil 10. En variante, la tecla 16 es reemplazada por un sensor biométrico, o por cualquier otro sensor apto para constituir un medio de activación. El contorno de la cara delantera 12 del objeto portátil es sensiblemente rectangular, y el objeto 10 presenta por tanto cuatro caras laterales opuestas dos a dos, dos caras laterales pequeñas 181 y 182, y dos caras laterales grandes 201 y 202. Un elemento 22 en saliente sobre una de las caras laterales pequeñas del dispositivo 181 comprende un agujero 24 que permite fijar el dispositivo 10, por ejemplo a un portallaves.

La figura 2 muestra el dispositivo 10 visto bajo otro ángulo. En la cara lateral pequeña 182, opuesta a la cara lateral pequeña 181 que comprende el elemento 21, puede verse una abertura, o ranura 26 que permite la inserción en el interior del dispositivo 10 de un circuito electrónico, o chip, por ejemplo de tipo « tarjeta SIM ».

La figura 3 muestra los componentes dispuestos en el interior del objeto portátil 10. Éste comprende una batería 30 para alimentar los diferentes componentes. En el objeto portátil está integrado un módulo de emisión sonora 34, o « buzzer ». Se trata de un altavoz de tipo piezoeléctrico. Un microprocesador 32 permite efectuar operaciones variadas, entre las cuales el cálculo de una contraseña dinámica, u OTP. El microprocesador 32 efectúa el cálculo de la OTP gracias a un algoritmo basado en una clave secreta y única. Esta clave secreta queda almacenada en una memoria 37, conectada de manera desmontable al objeto 10, a través de un conector 38. En el ejemplo, la memoria 37 es llevada por un circuito electrónico 36 de tipo tarjeta inteligente, que contiene un microcontrolador y una memoria de almacenamiento, como por ejemplo una tarjeta de tipo tarjeta SIM o UICC (« Universal Integrated Circuit Card », tarjeta universal de circuito integrado) . De acuerdo con la invención, ésta es introducida en la ranura 26 y conectada al conector 38.

Es ventajoso utilizar una tarjeta de este tipo, porque además de una memoria de almacenamiento, las capacidades de cálculo que ésta proporciona permiten considerar implementar en ella todo o parte del algoritmo de cálculo de la contraseña dinámica, así como funciones suplementarias. En una variante, el microprocesador 32 está integrado en esta tarjeta, y todas las operaciones de cálculo efectuadas... [Seguir leyendo]

1. Sistema que comprende un servidor y un dispositivo portátil de autenticación de un usuario, que comprende una carcasa (101) única en la cual están alojados:

- medios (16) de activación del dispositivo, tal como una tecla que debe ser pulsada por el usuario,

- un microprocesador (32) que efectúa un cálculo durante la activación del dispositivo (10) , empleando el cálculo un algoritmo basado en una clave secreta almacenada en una memoria (37) , y que tiene como resultado una contraseña dinámica;

- siendo el dispositivo (10) tal que la memoria (37) en la cual queda almacenada la clave secreta está dispuesta en el interior de la carcasa (101) y conectada al dispositivo de manera desmontable,

- comprendiendo el dispositivo (10) además en combinación un módulo de emisión sonora (34) para facilitar la contraseña dinámica en forma de señales acústicas y un visualizador (14) para una visualización de la contraseña dinámica efectuada simultáneamente con la emisión de la contraseña en forma acústica,

en el cual el cálculo de la contraseña dinámica toma como argumento el valor de un contador incrementado en cada nuevo cálculo, y depende del tiempo.

en el cual, cuando la contraseña dinámica así calculada es facilitada al servidor encargado de la autenticación, ésta va acompañada de un identificador propio del citado dispositivo (10) ,

en el cual, no conociendo el servidor el valor del contador incremental utilizado para el cálculo de la contraseña dinámica, éste busca entonces el último valor conocido de este contador, es decir el utilizado durante la última autenticación, estando almacenado este valor en el servidor, y en el cual el citado servidor reproduce sucesivamente el mismo cálculo que el puesto en práctica en el citado dispositivo (10) , partiendo del último valor conocido del contador incremental aumentado en una unidad e incrementando éste en cada nuevo cálculo, hasta que el cálculo dé un resultado idéntico a la contraseña dinámica que ha sido facilitada por el usuario.

2. Sistema de acuerdo con la reivindicación 1, en el cual la memoria (37) es llevada por una tarjeta, estando situada esta tarjeta íntegramente en el interior de la carcasa (101) .

3. Sistema de acuerdo con las reivindicaciones 1 o 2, en el cual la memoria (37) es llevada por un circuito electrónico

(36) de tipo tarjeta SIM o UICC, comprendiendo el dispositivo un conector (38) para acoger al circuito electrónico (36) .

4. Sistema de acuerdo con las reivindicaciones 1 a 3, en el cual el microprocesador (32) es llevado por el mismo circuito electrónico (36) que la memoria (37) en la cual queda almacenada la clave secreta.

5. Sistema de acuerdo con una de las reivindicaciones 1 a 4, que comprende un módulo de emisión de radiofrecuencias (42) para emitir una señal de radiofrecuencias representativa de la contraseña dinámica.

6. Sistema de acuerdo con una de las reivindicaciones 1 a 5, que comprende una conexión (40) de tipo USB y que puede ser conectado a un aparato equipado con un puerto de tipo USB.

7. Sistema de acuerdo con la reivindicación 6, que comprende una batería (30) recargable, siendo recargada la batería cuando el dispositivo esté conectado a través del puerto USB.

8. Sistema de acuerdo con una de las reivindicaciones 1 a 7, en el cual la memoria (37) en la cual queda almacenada la clave secreta permite almacenar informaciones complementarias.

Figura 1

Figura 2

Figura 3

Figura 4