Procedimiento para autorizar una conexión entre un terminal informático y un servidor de origen.

Procedimiento para autorizar una conexión entre un terminal informático (T) y un servidor de origen (SS),

y en el que:

- el terminal (T) transmite una palabra clave (PWD) al servidor de origen (SS),

- el servidor de origen (SS) verifica la palabra clave (PWD) para autorizar la conexión con el terminal (T), caracterizado por el hecho de que en una fase de inicialización:

- el terminal (T) se conecta a un servidor de pasarela (SP) dispuesto entre dicho terminal y el servidor de origen (SS),

- el servidor de pasarela (SP) transmite al terminal (T) una clave secreta (PPH),

- el terminal (T) guarda temporalmente la palabra clave (PWD) en un archivo de datos (MS) aplicando un algoritmo de cifrado (ASPPH) iniciado por la clave secreta (PPH), posteriormente elimina dicha clave secreta y dicha palabra clave con el fin de no conservar más que dicho fichero que contiene dicha palabra clave,

y por el hecho de que en una fase de conexión:

- el terminal (T) transmite al servidor de pasarela (SP) el fichero de datos (MS) que contiene la palabra clave (PWD), siendo guardada dicha palabra clave (PWD) en el fichero de datos (MS) aplicando un algoritmo de esteganografía (ASPWD);

- el servidor de pasarela (SP) extrae la palabra clave (PWD) del fichero (MS) ejecutando un algoritmo de cifrado inverso (AS-1PPH) iniciado por la clave secreta (PPH), y transmite al servidor de origen (SS) dicha palabra clave sin guardarla,

- el servidor de origen (SS) analiza la palabra clave (PWD) recibida y autoriza la conexión con el terminal (T) si dicha palabra clave se autentifica.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10159724.

Solicitante: Synchronoss Technologies France.

Nacionalidad solicitante: Francia.

Dirección: Hôtel de Direction lot 101 102, 10 Place de la Joliette, Les Docks 13002 Marseille FRANCIA.

Inventor/es: COLON,FRANCOIS.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G06T1/00 FISICA.G06 CALCULO; CONTEO.G06T TRATAMIENTO O GENERACIÓN DE DATOS DE IMAGEN, EN GENERAL.Tratamiento de datos de imagen, de aplicación general.
  • H04L29/06 ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
  • H04L9/32 H04L […] › H04L 9/00 Disposiciones para las comunicaciones secretas o protegidas. › comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema.

PDF original: ES-2469871_T3.pdf

 

Procedimiento para autorizar una conexión entre un terminal informático y un servidor de origen.

Fragmento de la descripción:

Procedimiento para autorizar una conexiïn entre un terminal informïtico y un servidor de origen.

La presente invenciïn tiene por objetivo un procedimiento y un sistema que permita autorizar una conexiïn entre un terminal informïtico y un servidor de origen.

Campo tïcnico de la invenciïn La invenciïn se refiere al campo tïcnico general de los protocolos que permiten proteger la autentificaciïn del terminal informïtico frente de un servidor de origen.

La invenciïn se aplica de manera preferida, pero no limitativa, a la autentificaciïn de un usuario para: la apertura de una sesiïn de mensajerïa instantïnea en el telïfono mïvil, la activaciïn de funcionalidades en un terminal mïvil o fijo, la transmisiïn de datos en una red de comunicaciïn segura (haciendo intervenir en particular unas tarjetas de chips) , etc.

Estado de la tïcnica anterior

Los terminales informïticos (tales como los telïfonos mïviles, ordenadores PC portïtiles o fijos, PDA, BlackBerr y ï, …) estïn equipados generalmente con un cierto nïmero de funcionalidades que permiten, por ejemplo, consultar unos correos electrïnicos, abrir una sesiïn de mensajerïa instantïnea, comunicar sobre un blog, transferir unos datos de seguridad, etc. Cada una de estas funcionalidades se implementa mediante una aplicaciïn informïtica especïfica (o software) integrado en el terminal informïtico.

Cuando un usuario desea por ejemplo conectarse a un servicio de mensajerïa instantïnea, la aplicaciïn informïtica de su terminal emite una solicitud pidiendo al servidor establecer una conexiïn.

Es conocida una tïcnica de autentificaciïn trivial en la que, para autorizar una conexiïn y activar una funcionalidad, el terminal informïtico debe transmitir inicialmente una palabra clave directamente al servidor de origen o a un servidor de pasarela (mïs conocido por el experto en la tïcnica con el tïrmino inglïs “Gateway”) dispuesto entre dicho terminal y dicho servidor distante.

Por “palabra clave”, se entiende en el sentido de la presente invenciïn, un cïdigo secreto asociado eventualmente al identificador del usuario.

En el caso en que la palabra clave se transmite previamente al servidor de pasarela, este ïltimo analiza dicha palabra clave y, en caso de autentificaciïn, autoriza la conexiïn. Una vez que se ha establecido la conexiïn entre el terminal informïtico y el servidor de pasarela, este ïltimo se conecta al servidor de origen de manera que las informaciones con destino en, o emitidas por, dicho terminal transitan por dicho servidor de pasarela.

En el caso en que la palabra clave se transmite directamente al servidor de origen, este ïltimo verifica la palabra clave recibida y autoriza la conexiïn con el terminal si dicha palabra clave se autentifica.

Hasta el momento, las palabras clave se registran generalmente en los terminales informïticos y en los servidores distantes o de los servidores de pasarela.

El principal inconveniente ligado a este estado de las cosas es que un defraudador podrïa introducirse fïcilmente en un terminal informïtico y robar la palabra clave de un usuario con el fin de hacerse pasar ilegalmente por ïl. Si los servidores distantes pueden ser en general difïcilmente pirateados, no ocurre lo mismo con los servidores de pasarela. Estos ïltimos estïn en efecto sensiblemente menos protegidos que los servidores distantes y en caso de ataque, un defraudador podrïa sustraer el conjunto de las palabras clave de los usuarios con el fin de hacerse pasar ilegalmente por uno de entre ellos.

El documento JP 2005/293156, del 20 de octubre de 2005 (2005-10-20) describe un procedimiento de autentificaciïn entre un terminal y un servidor distante. Este procedimiento comprende una etapa de intercambio del identificador y de la palabra clave entre el terminal y el servidor distante.

El problema tïcnico principal que viene a resolver la invenciïn es mejorar la seguridad de los procedimientos de autorizaciïn de conexiïn entre un terminal informïtico y un servidor de origen.

Exposiciïn de la invenciïn La invenciïn viene a remediar los problemas ligados a las dificultades tïcnicas encontradas en los mecanismos de autentificaciïn y de identificaciïn entre un terminal informïtico y un servidor de origen.

Mïs precisamente, la invenciïn tiene por objetivo un procedimiento para autorizar una conexiïn entre un terminal informïtico y un servidor de origen, siendo dicho procedimiento del tipo conocido en la tïcnica anterior, es decir en el que:

- el terminal transmite una palabra clave al servidor de origen,

- el servidor de origen verifica la palabra clave para autorizar la conexiïn con el terminal.

En un primer caso en el que la palabra clave se transmite previamente al servidor de pasarela dispuesto entre el terminal informïtico y el servidor de origen, el procedimiento objetivo de la invenciïn se distingue por el hecho de que en una fase de inicializaciïn:

- el terminal se conecta al servidor de pasarela dispuesto entre dicho terminal y el servidor de origen,

- el servidor de pasarela transmite al terminal una clave secreta,

- el terminal guarda temporalmente la palabra clave en un archivo de datos aplicando un algoritmo de cifrado iniciado por la clave secreta, posteriormente elimina dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero que contiene dicha palabra clave, y por el hecho de que en una fase de conexiïn:

- el terminal transmite el fichero de datos que contiene la palabra clave al servidor de pasarela,

- el servidor de pasarela extrae la palabra clave del fichero ejecutando un algoritmo de cifrado inverso iniciado por la clave secreta, y transmite al servidor de origen dicha palabra clave sin guardarla,

- el servidor de origen analiza la palabra clave recibida y autoriza la conexiïn con el terminal si dicha palabra clave se autentifica.

En un segundo caso en el que la palabra clave se transmite directamente al servidor de origen, el procedimiento objetivo de la invenciïn es notable por el hecho de que en una fase de inicializaciïn:

- el terminal se conecta al servidor de origen,

- el servidor de origen transmite al terminal una clave secreta,

- el terminal guarda temporalmente la palabra clave en un fichero de datos aplicando un algoritmo de cifrado iniciado por la clave secreta, posteriormente elimina dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero que contiene dicha palabra clave, y por el hecho de que en una fase de conexiïn:

- el terminal transmite el fichero de datos que contiene la palabra clave al servidor de origen,

- el servidor de origen extrae la palabra clave del fichero ejecutando un algoritmo de cifrado inverso iniciado por la clave secreta, analiza dicha palabra clave y autoriza la conexiïn con el terminal si dicha palabra clave se autentifica.

Tanto en el primer como en el segundo caso, la palabra clave ya no se almacena en el terminal informïtico, sino que se mantiene almacenada temporalmente en un fichero. Una vez borradas la clave secreta y la palabra clave, el terminal posee solamente una palabra clave cifrada. El objetivo por tanto se ha alcanzado: la palabra clave ya no estï escrita en el terminal. Si un defraudador se introduce en el terminal informïtico, le serï ahora muy difïcil conocer el fichero en el que estï guardada temporalmente la palabra clave e incluso si descubre este fichero, le serï casi imposible encontrar dicha palabra clave puesto que no conocerï la clave secreta.

En lo que concierne al primer caso, el servidor de pasarela no guarda las palabras clave de los usuarios y no guarda en memoria mïs que la clave secreta.

Si un defraudador se introduce en el servidor de pasarela, ya no tendrï por tanto la posibilidad de sustraer las palabras clave.

En lo que concierne al segundo caso, si un defraudador intercepta el fichero que contiene la palabra clave antes de que alcance el servidor de origen, no tendrï la posibilidad de encontrar dicha palabra clave puesto que no conocerï la clave secreta.

Con referencia al primer caso, para asegurar el envïo de la clave secreta en el transcurso de la fase de inicializaciïn:

- el servidor de pasarela transmite previamente al terminal una clave secreta secundaria,

- el servidor de pasarela cifra la clave secreta utilizando un algoritmo de cifrado iniciado por la clave secundaria, posteriormente transmite dicha clave secreta cifrada al terminal,

- el terminal extrae la clave secreta ejecutando un algoritmo de cifrado inverso iniciado por la clave... [Seguir leyendo]

 

Reivindicaciones:

1. Procedimiento para autorizar una conexiïn entre un terminal informïtico (T) y un servidor de origen (SS) , y en el que:

- el terminal (T) transmite una palabra clave (PWD) al servidor de origen (SS) ,

- el servidor de origen (SS) verifica la palabra clave (PWD) para autorizar la conexiïn con el terminal (T) ,

caracterizado por el hecho de que en una fase de inicializaciïn:

- el terminal (T) se conecta a un servidor de pasarela (SP) dispuesto entre dicho terminal y el servidor de origen (SS) ,

- el servidor de pasarela (SP) transmite al terminal (T) una clave secreta (PPH) ,

- el terminal (T) guarda temporalmente la palabra clave (PWD) en un archivo de datos (MS) aplicando un algoritmo de cifrado (ASPPH) iniciado por la clave secreta (PPH) , posteriormente elimina dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero que contiene dicha palabra clave,

y por el hecho de que en una fase de conexiïn:

- el terminal (T) transmite al servidor de pasarela (SP) el fichero de datos (MS) que contiene la palabra clave (PWD) , siendo guardada dicha palabra clave (PWD) en el fichero de datos (MS) aplicando un algoritmo de esteganografïa (ASPWD) ;

- el servidor de pasarela (SP) extrae la palabra clave (PWD) del fichero (MS) ejecutando un algoritmo de cifrado inverso (AS-1PPH) iniciado por la clave secreta (PPH) , y transmite al servidor de origen (SS) dicha palabra clave sin guardarla,

- el servidor de origen (SS) analiza la palabra clave (PWD) recibida y autoriza la conexiïn con el terminal (T) si dicha palabra clave se autentifica.

2. Procedimiento segïn la reivindicaciïn 1, en el que en el transcurso de la fase de inicializaciïn:

- el servidor de pasarela (SP) transmite previamente al terminal (T) una clave secreta secundaria (PPHSecundaria) ,

- el servidor de pasarela (SP) cifra la clave secreta (PPH) utilizando un algoritmo de cifrado (ACPPHsecundaria) iniciado por la clave secundaria (PPHSecundaria) , posteriormente transmite dicha clave secreta (PPH) cifrada al terminal (T) ,

- el terminal (T) extrae la clave secreta (PPH) ejecutando un algoritmo de cifrado inverso (AC-1PPHsecundaria) iniciado por la clave secundaria (PPHSecundaria) .

3. Procedimiento para autorizar una conexiïn entre un terminal informïtico (T) y un servidor de origen (SS) , y en el que:

- el terminal (T) transmite una palabra clave (PWD) al servidor de origen (SS) ,

- el servidor de origen (SS) verifica la palabra clave (PWD) para autorizar la conexiïn con el terminal (T) ,

caracterizado por el hecho de que en una fase de inicializaciïn:

- el terminal (T) se conecta al servidor de origen (SS) ,

- el servidor de origen (SS) transmite al terminal (T) una clave secreta (PPH) ,

- el terminal (T) guarda temporalmente la palabra clave (PWD) en un archivo de datos (MS) aplicando un algoritmo de cifrado (ASPPH) iniciado por la clave secreta (PPH) , posteriormente elimina dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero que contiene dicha palabra clave,

y por el hecho de que en una fase de conexiïn:

- el terminal (T) transmite al servidor de origen (SS) el fichero de datos (MS) que contiene la palabra clave (PWD) , siendo guardada dicha palabra clave (PWD) en el fichero de datos (MS) aplicando un algoritmo de esteganografïa (ASPWD) ;

- el servidor de origen (SS) extrae la palabra clave (PWD) del fichero (MS) ejecutando un algoritmo de cifrado inverso (AS-1PPH) iniciado por la clave secreta (PPH) , analiza dicha palabra clave y autoriza la conexiïn con el terminal (T) si dicha palabra clave se autentifica.

4. Procedimiento segïn la reivindicaciïn 3, en el que en el transcurso de la fase de inicializaciïn:

- el servidor de origen (SS) transmite previamente al terminal (T) una clave secreta secundaria (PPHSecundaria) ,

- el servidor de origen (SS) cifra la clave secreta (PPH) utilizando un algoritmo de cifrado (ACPPHsecundaria) iniciado por la clave secundaria (PPHSecundaria) , posteriormente transmite dicha clave secreta (PPH) cifrada al terminal (T) ,

- el terminal (T) extrae la clave secreta (PPH) ejecutando un algoritmo de cifrado inverso (AC-1PPHsecundaria)

iniciado por la clave secundaria (PPHSecundaria) .

5. Sistema para autorizar una conexiïn entre un terminal informïtico (T) y un servidor de origen (SS) , y en el que:

- el terminal (T) comprende un medio para transmitir una palabra clave (PWD) al servidor de origen (SS) ,

- el servidor de origen (SS) comprende un medio para verificar la palabra clave (PWD) para autorizar la conexiïn con el terminal (T) ,

caracterizado por el hecho de que en una fase de inicializaciïn:

- el terminal (T) comprende un medio para conectarse a un servidor de pasarela (SP) dispuesto entre dicho terminal y el servidor de origen (SS) ,

- el servidor de pasarela (SP) comprende un medio para transmitir al terminal (T) una clave secreta (PPH) ,

- el terminal (T) comprende un medio para guardar temporalmente la palabra clave (PWD) en un archivo de medios (MS) aplicando un algoritmo de cifrado (ASPPH) iniciado por la clave secreta (PPH) , y un medio para eliminar dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero que contiene dicha palabra clave,

y por el hecho de que en una fase de conexiïn:

- el terminal (T) comprende un medio para transmitir el fichero de medios (MS) que contiene la palabra clave (PWD) al servidor de pasarela (SP) ,

- el servidor de pasarela (SP) comprende un medio para extraer la palabra clave (PWD) del fichero de medios (MS) ejecutando un algoritmo de cifrado inverso (AS-1PPH) iniciado por la clave secreta (PPH) , y un medio para transmitir al servidor de origen (SS) dicha palabra clave sin guardarla,

- el servidor de origen (SS) comprende un medio para analizar la palabra clave (PWD) recibida y autorizar la conexiïn con el terminal (T) si dicha palabra clave se autentifica.

6. Sistema para autorizar una conexiïn entre un terminal informïtico (T) y un servidor de origen (SS) , y en el que:

- el terminal (T) comprende un medio para transmitir una palabra clave (PWD) al servidor de origen (SS) ,

- el servidor de origen (SS) comprende un medio para verificar la palabra clave (PWD) para autorizar la conexiïn con el terminal (T) ,

caracterizado por el hecho de que en una fase de inicializaciïn:

- el terminal (T) comprende un medio para conectarse a un servidor de origen (SS) ,

- el servidor de origen (SS) comprende un medio para transmitir al terminal (T) una clave secreta (PPH) ,

- el terminal (T) comprende un medio para guardar temporalmente la palabra clave (PWD) en un archivo de medios (MS) aplicando un algoritmo de cifrado (ASPPH) iniciado por la clave secreta (PPH) , y un medio para eliminar dicha clave secreta y dicha palabra clave con el fin de no conservar mïs que dicho fichero de medios que contiene dicha palabra clave,

y por el hecho de que en una fase de conexiïn:

- el terminal (T) comprende un medio para transmitir el fichero de medios (MS) que contiene la palabra clave (PWD) al servidor de origen (SS) ,

- el servidor de origen (SS) comprende un medio para extraer la palabra clave (PWD) del fichero (MS) ejecutando un algoritmo de cifrado inverso (AS-1PPH) iniciado por la clave secreta (PPH) , un medio para analizar dicha palabra clave y autorizar la conexiïn con el terminal (T) si dicha palabra clave se autentifica.

7. Sistema segïn una de las reivindicaciones 5 o 6, en el que el terminal informïtico (T) es un telïfono mïvil.

8. Sistema segïn una de las reivindicaciones 5 a 7, en el que el servidor de origen (SS) es un servidor de comunidad de mensajerïa instantïnea.


 

Patentes similares o relacionadas:

Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]

Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]

Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]

Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]

Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]

Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]

Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]

Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .