Procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad.
Procedimiento, que comprende:
- generar un paquete (210) de datos que comprende al menos un programa (214) de acceso a red protegido y al menos una característica (212) de autenticación personalizada en un primer equipo (200) de procesamiento de datos,
en el que el paquete de datos comprende la al menos una característica de autenticación personalizada junto al al menos un programa de acceso a red, y en el que el paquete (210) de datos es un paquete de datos formado por un gran número de paquetes de datos adaptados individualmente a respectivos usuarios (260, 262), que comprenden en cada caso el programa (214) de acceso a red y una característica de autenticación personalizada asignada al respectivo usuario,
- generar una clave (218) personalizada,
- cifrar el paquete (210) de datos para asociar la característica (212) de autenticación personalizada con el programa (214) de acceso a red, y
- proporcionar el paquete (210) de datos para una transmisión a un equipo (240) de procesamiento de datos adicional, en el que el paquete (210) de datos transmitido puede descifrarse con la clave (218) personalizada introducida por un usuario en el equipo (240) de procesamiento de datos adicional, de tal manera que el programa (214) de acceso a red puede ejecutarse, con ello el programa (214) de acceso a red tiene acceso a la característica (212) de autenticación personalizada y puede autenticarse mediante la característica (212) de autenticación personalizada.
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E11182188.
Solicitante: KOBIL SYSTEMS GMBH.
Nacionalidad solicitante: Alemania.
Dirección: PFORTENRING 11 67547 WORMS ALEMANIA.
Inventor/es: Tak,Markus, KOYUN,ISMET.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G06F21/00 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas.
- G06F21/31 G06F […] › G06F 21/00 Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas. › autenticación del usuario.
- H04L9/32 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 9/00 Disposiciones para las comunicaciones secretas o protegidas. › comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema.
PDF original: ES-2500947_T3.pdf
Fragmento de la descripción:
Procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad Sector de la técnica
La invención se refiere a un procedimiento para aumentar la seguridad de servicios en línea relevantes con respecto a la seguridad. La invención se refiere además a un programa informático correspondiente, a un dispositivo de soporte de datos correspondiente, a un equipo de procesamiento de datos correspondiente, a un sistema correspondiente y a un paquete de datos correspondiente.
Estado de la técnica
Hoy en día se realizan un gran número de servicios relevantes con respecto a la seguridad a través de Internet. Así, por ejemplo, se conoce realizar operaciones bancarias o pagos a través de Internet. Sin embargo, las aplicaciones en línea, como la banca en línea o el pago en línea constituyen un blanco para los piratas informáticos, que pretenden averiguar los datos relevantes con respecto a la seguridad de un usuario y realizar en su nombre con estos datos transacciones en línea. Por ejemplo se sustraen los datos de autenticación del usuario por medio de diferentes técnicas, como las técnicas de suplantación de identidad (phishing) o troyanos, y a continuación se utilizan para el pago.
Según el estado de la técnica los servicios relevantes con respecto a la seguridad, como la banca en línea y similares, se realizan a través de programas de acceso a red, como por ejemplo los navegadores de Internet habituales y similares. A través de un programa de navegación de este tipo un usuario abre por ejemplo una página de Internet de un proveedor de servicios, por ejemplo de un banco. Sin embargo, antes de que el usuario pueda realizar una transacción relevante con respecto a la seguridad o un servicio como una transferencia, el usuario se autentica ante el banco. Para ello el usuario debe introducir por ejemplo el nombre de usuario y una contraseña. Por tanto, el usuario transmite desde su equipo de procesamiento de datos, como un ordenador, al menos una característica de autenticación al banco, en particular a su equipo de procesamiento de datos, como un servidor. Los datos transmitidos se comparan con datos almacenados por el banco y en caso de un resultado de comparación positivo se permite al usuario la realización del servicio correspondiente. Una autenticación también puede realizarse mediante otras operaciones criptográficas, como por ejemplo una verificación de firma.
Sin embargo, mediante las técnicas mencionadas anteriormente de los piratas informáticos, en particular mediante un ataque denominado "Man In The Browser", es posible manipular un programa de acceso a red, como por ejemplo un navegador de Internet. Así, por ejemplo, en el caso de una manipulación de un navegador de Internet es posible que un usuario introduzca sus datos de autenticación, como por ejemplo un número PIN, una contraseña o similares de la manera habitual para activar el correspondiente servicio o la transacción, como una transferencia. Sin embargo, mediante la manipulación del navegador de Internet el dinero no se transfiere al destinatario deseado, sino a una cuenta indicada por el pirata informático.
Por el estado de la técnica, para mejorar la seguridad se conocen procedimientos en los que se utilizan componentes de hardware. Por ejemplo se utilizan procedimientos con contraseñas de un solo uso y tarjetas inteligentes. Estos procedimientos se denominan también procedimientos de autenticación de 2 factores (tenencia y conocimiento). Por un lado, un usuario "conoce" algo, por ejemplo, la contraseña, y por otro el usuario Tiene" algo, por ejemplo la tarjeta inteligente, un dispositivo de almacenamiento masivo USB, etc. Si bien esta autenticación de 2 factores aumenta la seguridad, sin embargo en este procedimiento también aumentan los costes. En particular en el caso de una gran difusión, que en el caso de la banca en línea puede ser del orden de millones, los costes son elevados.
Por la solicitud de patente WO 2008/034900 A1 se conoce un procedimiento para la protección de un programa informático frente a una manipulación y para proteger su comunicación con otros programas frente a interceptación. El procedimiento comprende generar copias de programa individualizadas para diferentes grupos de usuarios, la inserción o derivación de claves criptográficas individuales a partir del código de programa, la ocultación del código de programa y la autoautenticación del programa frente a otros programas. El procedimiento puede aplicarse para la protección de banca en línea, inversión en línea, entretenimiento en línea, gestión de derechos digitales y otras aplicaciones de comercio electrónico.
Por la solicitud de patente US 2001/051928 A1 se conoce una disposición, un procedimiento y un sistema para la personalización de software publicado según un usuario autorizado específico. A este respecto se posibilita una protección frente a una copia y distribución no autorizadas desalentando al usuario autorizado para que no cree y distribuya sin orden ni concierto copias no autorizadas. La personalización está insertada en los software y se suministra al usuario autorizado con información personalizada incrustada ya existente sin que el usuario tenga que introducir esta información durante una configuración o una instalación. Como la información ya está incrustada en el software publicado que puede entregarse cuando el usuario lo recibe, y no es necesaria una introducción manual por parte del usuario, puede aplicarse una criptografía considerable con claves complejas para la autenticación y con
fines de protección. Como cada entrega a un usuario autorizado se basa en una construcción de software individual, personalizada, los módulos ejecutables de cada una de las copias autorizadas distribuidas del software tienen una forma binaria unívoca que puede variar de manera significativa, incluyendo variaciones en el tamaño de los módulos ejecutables, mientras que la funcionalidad de usuario es completamente idéntica. Estas variaciones llevan a una protección adicional del software al eliminar direcciones de programa constantes, que pueden analizarse y atacarse fácilmente con programas automatizados que anulan la protección.
Por la solicitud de patente US 2008/0034210 A1 se conoce un sistema de comunicación de datos seguro y un procedimiento para su utilización junto con un ordenador principal posiblemente no seguro. El sistema presenta un medio de almacenamiento, que puede unirse con el ordenador posiblemente no seguro. El sistema presenta también un navegador protegido autónomo que está almacenado en el medio de almacenamiento. El sistema también puede presentar datos de autenticación de cliente y/o datos de programa adicionales. El navegador puede utilizar los datos de autenticación de cliente para posibilitar una comunicación segura. Los datos de autenticación de cliente pueden estar almacenados en el medio de almacenamiento. Una forma de realización de la solicitud de patente US 2008/0034210 A1 se refiere a un soporte de datos extraíble que posibilitará una autenticación de 2 factores.
Por la patente US 6.108.420 se conoce un procedimiento para generar una instancia única, especifica del usuario, de una aplicación de software, distribuirla e instalarla en un ordenador de instalación, en el que la instancia de la aplicación de software puede autenticarse y atribuirse a un usuario determinado. Un agente de distribución seguro que se encuentra en un ordenador de distribución, recoge información de identificación y calcula una firma criptográfica de la aplicación de software y de la información de identificación. La información de identificación y la firma criptográfica se incrustan mediante el agente de distribución seguro en la aplicación de software. La aplicación de software con los datos incrustados puede transmitirse mediante un canal de distribución al ordenador de instalación. Un agente de instalación de usuario, que se encuentra en el ordenador de instalación, controla la instalación de la aplicación de software con los datos incrustados en el ordenador de instalación. Antes de la instalación el agente de instalación de usuario puede utilizar la firma criptográfica para verificar la autenticidad de la aplicación de software y la información de identificación. Una forma de realización de la patente US 6.108.420 se refiere al cifrado de contenidos originales con una clave privada mediante el agente de distribución seguro y la transmisión de la clave pública correspondiente con un archivo de distribución compuesto, que contiene los contenidos originales cifrados, a través del canal de distribución al agente de instalación de usuario. El agente de instalación de usuario descifra a continuación el archivo... [Seguir leyendo]
Reivindicaciones:
1.
2.
3.
4.
5. 45
6.
7.
8.
9.
Procedimiento, que comprende:
- generar un paquete (210) de datos que comprende al menos un programa (214) de acceso a red protegido y al menos una característica (212) de autenticación personalizada en un primer equipo (200) de procesamiento de datos, en el que el paquete de datos comprende la al menos una característica de autenticación personalizada junto al al menos un programa de acceso a red, y en el que el paquete (210) de datos es un paquete de datos formado por un gran número de paquetes de datos adaptados individualmente a respectivos usuarios (260, 262), que comprenden en cada caso el programa (214) de acceso a red y una característica de autenticación personalizada asignada al respectivo usuario,
- generar una clave (218) personalizada,
- cifrar el paquete (210) de datos para asociar la característica (212) de autenticación personalizada con el programa (214) de acceso a red, y
- proporcionar el paquete (210) de datos para una transmisión a un equipo (240) de procesamiento de datos adicional, en el que el paquete (210) de datos transmitido puede descifrarse con la clave (218) personalizada introducida por un usuario en el equipo (240) de procesamiento de datos adicional, de tal manera que el programa (214) de acceso a red puede ejecutarse, con ello el programa (214) de acceso a red tiene acceso a la característica (212) de autenticación personalizada y puede autenticarse mediante la característica (212) de autenticación personalizada.
Procedimiento según la reivindicación 1, en el que el paquete de datos está asignado a un único usuario, y en el que la característica de autenticación personalizada sirve para verificar si el programa de acceso a red o el usuario del programa de acceso a red está autorizado para la realización de un servicio relevante con respecto a la seguridad.
Procedimiento según una de las reivindicaciones anteriores, en el que el programa (214) de acceso a red y la característica (212) de autenticación pueden descifrarse en una zona de una memoria (242) de trabajo de la instalación (240) de procesamiento de datos y pueden ejecutarse desde la memoria (242) de trabajo, de tal manera que el programa de acceso a red descifrado y la característica de autenticación descifrada durante la ejecución del programa (214) de acceso a red sólo están almacenados en la memoria (242) de trabajo y no tiene lugar un almacenamiento del programa (214) de acceso a red descifrado y de la característica (212) de autenticación descifrada en un disco duro del equipo (240) de procesamiento de datos.
Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos comprende al menos un archivo (216) de configuración, y en el que el archivo (216) de configuración establece la configuración del programa (214) de acceso a red al ejecutar el programa (214) de acceso a red.
Procedimiento según una de las reivindicaciones anteriores, en el que el programa de acceso a red protegido está configurado especialmente para un servicio relevante con respecto a la seguridad.
Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos y la clave (218) personalizada correspondiente se transmiten por separado.
Procedimiento según una de las reivindicaciones anteriores, en el que el programa (214) de acceso a red se modifica al menos parcialmente de manera personalizada.
Procedimiento según una de las reivindicaciones anteriores, que comprende además:
- asignar la característica (212) de autenticación personalizada del paquete (210) de datos y de la clave (218) personalizada correspondiente al paquete (210) de datos a un usuario (260, 262), y
- almacenar la asignación en una base (250) de datos del primer equipo (200) de procesamiento de datos.
Procedimiento según una de las reivindicaciones anteriores, que comprende además autenticar un usuario (260, 262) del equipo (240) de procesamiento de datos adicional con respecto al primer equipo (200) de procesamiento de datos por medio de la característica (212) de autenticación personalizada, de tal manera que el usuario (260, 262) pueda realizar un servicio relevante con respecto a la seguridad exclusivamente en caso de autenticación positiva.
Procedimiento según una de las reivindicaciones anteriores, en el que la característica de autenticación es un certificado de software y/o una contraseña. | |
11. | Procedimiento según una de las reivindicaciones anteriores, en el que el paquete (210) de datos es un paquete de datos que puede ejecutarse. |
12. | Procedimiento según una de las reivindicaciones anteriores, que comprende además |
- descifrar el paquete (210) de datos en una memoria (242) volátil del equipo (240) de procesamiento de datos adicional, y/o - ejecutar el programa (214) de acceso a red directamente desde la memoria (242) volátil del equipo (240) de procesamiento de datos adicional. | |
13. | Programa (282) informático, que comprende instrucciones de programa que permiten que un procesador (270) realice el procedimiento según una de las reivindicaciones 1 a 11, cuando el programa (282) informático se ejecuta en el procesador (270). |
14. | Equipo (200) de procesamiento de datos, que comprende - medios para la realización del procedimiento según una de las reivindicaciones 1-11. |
Sistema que comprende | |
- un equipo (200) de procesamiento de datos según la reivindicación 14, y - al menos el equipo (240) de procesamiento de datos adicional. |
Patentes similares o relacionadas:
Método y dispositivo para la comparación de versiones de datos entre estaciones a través de zonas horarias, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método para la comparación de versiones de datos entre sitios a través de zonas horarias, el método que comprende: cuando los sitios […]
Dispositivo, método y programa para reducir de forma segura una cantidad de registros en una base de datos, del 22 de Julio de 2020, de Ingenico Group: Un método para reducir una cantidad de registros en una base de datos, siendo implementado dicho método por un aparato electrónico que comprende recursos de hardware para reducir […]
Servidor de autenticación de una red de telecomunicación celular y UICC correspondiente, del 22 de Julio de 2020, de Thales Dis France SA: Un servidor de autenticación de una red de telecomunicaciones celular, estando dispuesto dicho servidor de autenticación para generar un token de autenticación para ser […]
Método y aparato de procesamiento de datos en cadena de bloques, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de procesamiento de datos realizado por un nodo de la cadena de bloques que comprende un primer hilo de ejecución y un segundo hilo de ejecución, […]
MÉTODO Y SISTEMA PARA RECUPERACIÓN DE CLAVES CRIPTOGRÁFICAS DE UNA RED DE CADENA DE BLOQUES, del 20 de Julio de 2020, de TELEFONICA DIGITAL ESPAÑA, S.L.U: Método y sistema para recuperación de claves criptográficas de una red de cadena de bloques. Un dispositivo de computación o un elemento asociado al mismo […]
MÉTODO DE CONTRATACIÓN CUALIFICADA CERTIFICADA UNIVERSAL, del 9 de Julio de 2020, de LLEIDANETWORKS SERVEIS TELEMÀTICS S.A: El objeto de la invención permite a un operador de telecomunicaciones o un proveedor de comunicaciones electrónicas o proveedor de e-delivery enviar contratos […]
Método para el establecimiento y el funcionamiento de una red dedicada en una red de telefonía móvil y red de cadena de bloques entre operadores, del 1 de Julio de 2020, de DEUTSCHE TELEKOM AG: Método para el establecimiento y el funcionamiento de una red dedicada en una red de telefonía móvil sobre la base de una Red de Cadena de […]
Métodos y sistemas de autenticación mediante el uso de código de conocimiento cero, del 24 de Junio de 2020, de NAGRAVISION S.A.: Un método para permitir o denegar el acceso operativo a un accesorio confiable desde un dispositivo no confiable , a través del […]