BR0318596B1 - “método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados” - Google Patents

“método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados”

Info

Publication number
BR0318596B1
BR0318596B1 BRPI0318596A BR0318596A BR0318596B1 BR 0318596 B1 BR0318596 B1 BR 0318596B1 BR PI0318596 A BRPI0318596 A BR PI0318596A BR 0318596 A BR0318596 A BR 0318596A BR 0318596 B1 BR0318596 B1 BR 0318596B1
Authority
BR
Brazil
Prior art keywords
data processing
authentication
user
mobile communication
subscriber identity
Prior art date
Application number
BRPI0318596A
Other languages
English (en)
Other versions
BR0318596A (pt
Inventor
Sentinelli Mauro
Original Assignee
Telecom Italia Spa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia Spa filed Critical Telecom Italia Spa
Publication of BR0318596A publication Critical patent/BR0318596A/pt
Publication of BR0318596B1 publication Critical patent/BR0318596B1/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

"método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, método pelo qual um servidor de processamento de dados de autenticação autentica um terminal de processamento de dados do usuário, programa de computador, produto de programa de computador e conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados". um método de autenticar o terminal de processamento de dados de um usuário (usera; userb) (140; 115a) para conceder o acesso de terminal de processamento de dados a serviços selecionados providos por um sistema de processamento de dados (100, 105). o método inclui executar uma primeira autenticação baseada em sim do terminal de processamento de dados do usuário em um servidor de processamento de dados de autenticação no sistema de processamento de dados, associando operativamente com o terminal de processamento de dados do usuário um primeiro módulo de identidade de assinante (sima) emitido ao usuário de terminal de processamento de dados, por exemplo de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis. a autenticação do terminal de processamento de dados do usuário no sistema de processamento de dados é condicionada a uma segunda autenticação, baseada em informação de identificação provida ao usuário em um terminal de comunicação móvel (150) por uma rede de comunicação móvel (155) à qual o terminal de comunicação móvel está conectado, por exemplo na forma de uma mensagem de sms.

Description

(54) Título: MÉTODO E SISTEMA PARA AUTENTICAR UM TERMINAL DE PROCESSAMENTO DE DADOS DE UM USUÁRIO, MÉTODO PELO QUAL UM TERMINAL DE PROCESSAMENTO DE DADOS EM UM SISTEMA DE PROCESSAMENTO DE DADOS É AUTENTICADO, E, CONJUNTO DE AUTENTICAÇÃO PARA AUTENTICAR O TERMINAL DE PROCESSAMENTO DE DADOS DE UM USUÁRIO EM UM SISTEMA DE PROCESSAMENTO DE DADOS (51) lnt.CI.: H04L 29/06; G06F 21/34; G06F 21/43 (52) CPC: H04L 63/0853,H04L 63/18,G06F 21/34,G06F 21/43 (73) Titular(es): TELECOM ITALIA S.P.A.
(72) Inventor(es): MAURO SENTINELLI
1/30 “MÉTODO E SISTEMA PARA AUTENTICAR UM TERMINAL DE PROCESSAMENTO DE DADOS DE UM USUÁRIO, MÉTODO PELO QUAL UM TERMINAL DE PROCESSAMENTO DE DADOS EM UM SISTEMA DE PROCESSAMENTO DE DADOS É AUTENTICADO, E, CONJUNTO DE AUTENTICAÇÃO PARA AUTENTICAR O TERMINAL DE PROCESSAMENTO DE DADOS DE UM USUÁRIO EM UM SISTEMA DE PROCESSAMENTO DE DADOS” [0001] A presente invenção relaciona-se geralmente ao campo de sistemas de processamento de dados, e, mais especificamente, a métodos de autenticar usuários de sistemas de processamento de dados.
[0002] Hoje em dia, autenticar (isto é, verificar a identidade) usuários de sistemas de processamento de dados para o propósito de conceder-lhes o direito de acessar serviços predeterminados, é um problema particularmente sentido.
[0003] Para os propósitos da presente descrição, o termo serviço é para ser interpretado amplamente, assim para incluir qualquer serviço possível que um sistema de processamento de dados possa oferecer a um usuário, incluindo registro simples para um computador e/ou para uma rede de computadores, conexão à intranet de uma companhia, uma administração pública, uma agência governamental e/ou à Internet, acesso a um serviço de transmissão de mensagem eletrônica, acesso a um site da web oferecendo por exemplo serviços bancários remotos (inspeção de conta e/ou colocação de disposições), acesso a bancos de dados e assim por diante (isto é meramente uma lista limitada e não exaustiva do que é significado por serviço no contexto da presente descrição).
[0004] Em particular, uma autenticação segura dos usuários que pedem acesso a serviços específicos oferecidos por um sistema de processamento de dados é importante sempre que estes serviços envolvem fazer disponível aos usuários informação confidencial, tal como por exemplo o conteúdo de caixas
2/30 postais de mensagem eletrônica, ou informação pessoal relativa por exemplo à saúde de indivíduos, ou projetos de pesquisa de uma companhia, apenas para citar alguns exemplos.
[0005] O problema de autenticar usuários não é só encontrado em um tal sistema de processamento de dados de larga escala como a Internet (que, apesar de seu sucesso impressionante, é conhecida ser extremamente insegura), mas também em uma escala menor, tal como em infra-estruturas de processamento de dados de companhias de médio ou até mesmo pequeno tamanho, onde acesso a serviços particulares tais como bancos de dados de folha de pagamento de empregados, registros de contabilidade e similares, é para ser concedido aos usuários em uma base seletiva.
[0006] Vários métodos de autenticação foram propostos. Provavelmente, a solução de autenticação mais amplamente adotada se confia em condicionar o acesso a serviços predeterminados à provisão pelo usuário de um código de identificação pessoal, tipicamente um par de nome de usuário e senha.
[0007] Esta técnica, também conhecida como autenticação baseada em senha estática, é extremamente insegura, por exemplo porque os usuários preocupados em esquecer o nome de usuário e senha designados a eles podem escrevê-las, por exemplo, em papel, fazendo estes códigos de identificação pessoais, que deveriam ao invés serem mantidos estritamente secretos, potencialmente accessíveis a outras pessoas; adicionalmente, o nome de usuário e senha normalmente viajam pelo sistema de processamento de dados sem qualquer criptografia, e podem assim ser capturados fraudulentamente por outras pessoas, escutando no tráfego de dados.
[0008] Um método de autenticação melhorado é descrito na Patente US
6.230.002 Bl, relativa à autenticação de hospedeiros sem fios associados com terminais de GSM móveis (Sistema Global para comunicações Móveis).
Neste método, uma senha é gerada por um Módulo de Identificação de
3/30
Assinante (SIM) de um terminal de GSM móvel acoplado ao hospedeiro sem fios, e a senha gerada é comunicada (pela rede de GSM)a um servidor de autenticação de uma rede privada para ganhar acesso a um site protegido dela. [0009] Alguns dos métodos de autenticação propostos mais recentemente são derivados do domínio de sistemas de comunicação de telefone móvel, especialmente o GSM.
[00010] Em todos os métodos desta classe, uso é feito para a autenticação do SIM que todo telefone móvel inclui e que armazena informação sobre o assinante do serviço de comunicação de telefone móvel, particularmente dados usados para permitir ao telefone móvel ganhar acesso à rede de GSM. [00011] Este é por exemplo o caso do método e sistema de autenticação descritos no Pedido de Patente Internacional N° WO 00/02406, em que um usuário de uma rede de comunicação de Protocolo de Internet (IP) (tal como a Internet), desejando ficar conectado à rede de IP por seu terminal de rede de IP (por exemplo, um Assistente Digital Pessoal - PDA), usa o mesmo SIM (ou essencialmente semelhante) como usado em seu telefone móvel de GSM para autenticação na rede de IP, por esse meio o método de autenticação de uma rede de GSM existente é utilizado para autenticação na rede de IP. [00012] Outros métodos de autenticação conhecidos fazem uso de um canal de comunicação autenticado por SIM seguro, formado por uma rede de telefone de GSM para distribuir senhas a usuários, que então usam as senhas recebidas em, por exemplo, seu telefone móvel pessoal para acessar serviços providos por um canal não seguro tal como a Internet.
[00013] Um exemplo deste tipo de método é provido na Publicação de Pedido de Patente US 2003/0061503 Al, descrevendo um método de autenticação de acordo com o qual, quando um dispositivo não autenticável correspondendo a um usuário pede um serviço por uma ligação insegura tal como a Internet, ou uma Rede de Área Local (uma LAN) ou uma LAN sem fios, durante o registro de entrada ao serviço, o usuário identifica uma ligação
4/30 segura associada com ele, dando o número de telefone móvel pessoal. O telefone móvel do usuário é então contatado, e uma senha (preferivelmente utilizável só uma vez) é comunicada a ele; entrando com a senha pelo dispositivo não autenticável, o usuário é autorizado a acessar o serviço. [00014] O Requerente observa que os métodos de autenticação conhecidos na arte, embora satisfatórios sob muitos aspectos, porém não garantem um nível suficiente de segurança de autenticação.
[00015] Em particular, em sistemas tais como aqueles de acordo com os primeiros dois exemplos descritos acima, o SIM que é usado para autenticar o usuário pretendido dos serviços de sistema de processamento de dados pode se perder ou ser subtraído fraudulentamente do dono legítimo, e pessoas não autorizadas podem assim ter acesso concedido aos serviços de exploração restrita.
[00016] Algo semelhante pode acontecer em sistemas se confiando na distribuição de senhas pela rede de GSM: também neste caso, o terminal de GSM, ou até mesmo só o SIM usado para autenticar o terminal de GSM do usuário na rede de GSM pode se perder ou ser subtraído fraudulentamente, por esse meio pessoas não autorizadas podem ter acesso concedido aos serviços de uso restrito.
[00017] O Requerente sente que um grau mais alto de segurança do que aquele alcançável explorando as técnicas de autenticação conhecidas é desejável. Portanto tem sido um objetivo da presente invenção melhorar a segurança dos métodos de autenticação conhecidos.
[00018] O Requerente achou que um método de autenticação envolvendo a exploração de dois módulos de identificação de assinante permite alcançar um nível muito alto de segurança.
[00019] Em particular, o requerente achou que o nível de segurança é aumentado altamente se um método de autenticação for provido que inclui duas fases de autenticação, a saber uma autenticação baseada em SIM do
5/30 terminal de processamento de dados de um usuário que pede acesso a serviços restritos, e uma segunda fase de verificação da identidade de usuário, executada explorando uma rede de comunicação segura, tal como uma rede de comunicação móvel.
100020J Para o propósito da presente invenção, por autenticação baseada em SIM é pretendida qualquer autenticação envolvendo uma troca de dados de identificação armazenados em um Módulo de Identidade de Assinante. [0002 lj De acordo com um primeiro aspecto da presente invenção, é proposto um método como publicado na reivindicação 1 anexa para autenticar nm terminal de processamento de dados de um usuário a fim de conceder ao terminal de processamento de dados acesso a serviços selecionados providos por um sistema de processamento de dados, o usuário sendo provido com um terminal de comunicação móvel autenticável adaptado para ser usado em uma rede de comunicação móvel [00022j Resumindo, o método incluí executar uma primeira autenticação baseada em SIM do terminal de processamento de dados do usuário no sistema de processamento de dados em um servidor de processamento de dados de autenticação; esta etapa incluí associar operativamente com o terminal de processamento de dados do usuário um primeiro Módulo de Identidade de Assinante, emitido ao usuário de terminal de processamento de dados.
[00023J O método adicionalmente inclui, depois de ter o terminal de comunicação móvel do usuário se autenticado na rede de comunicação móvel, condicionar a autenticação do terminal de processamento de dados do usuário no sistema de processamento dc dados a uma segunda autenticação, baseada em informação de identificação provida ao usuário no terminal de comunicação móvel pela rede de comunicação móvel.
[00024] Em uma concretização da presente invenção, dita segunda autenticação inclui: gerar uma primeira senha no servidor de processamento
6/30 de dados de autenticação;
enviar a primeira senha ao terminal de comunicação móvel através da rede de comunicação móvel; e verificar uma correspondência entre a primeira senha e uma segunda senha, dependendo da primeira senha, entrada no terminal de processamento de dados e provida ao servidor de processamento de dados de autenticação pelo sistema de processamento de dados. A segunda senha pode ser entrada pelo terminal de processamento de dados pelo usuário, ou automaticamente no recebimento da primeira senha no terminal de comunicação móvel.
[00025] Preferivelmente, a primeira senha é utilizável um número limitado de vezes, particularmente só uma vez.
[00026] Em uma concretização da presente invenção, um segundo Módulo de identidade de assinante é emitido ao usuário, adaptado para ser usado no terminal de comunicação móvel do usuário para autenticação dele na rede de comunicação móvel. O segundo Módulo de Identidade de Assinante pode ter uma relação de um para um fixa com o primeiro Módulo de Identidade de Assinante, ou o primeiro Módulo de Identidade de Assinante pode estar associado com um identificador do segundo Módulo de Identidade de Assinante, particularmente um número de terminal de comunicação móvel. [00027] Em uma concretização da presente invenção, dita informação de identificação é enviada ao terminal de comunicação móvel do usuário por meio de uma mensagem de Serviço de Mensagem Curta (SMS).
[00028] Em particular, o primeiro Módulo de Identidade de Assinante é de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis. A primeira autenticação baseada em SIM do terminal de processamento de dados pode assim incluir ter o primeiro Módulo de Identidade de Assinante autenticado por um servidor de autenticação do sistema de processamento de dados, o servidor de
7/30 autenticação atuando substancialmente como um centro de autenticação de uma operadora de rede de comunicação móvel.
[00029] De acordo com outro aspecto da presente invenção, é provido um método como publicado na reivindicação 12, por qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado a fim de ser concedido acesso a serviços selecionados providos pelo sistema de processamento de dados.
[00030] Em particular, o método inclui:
interagir com o Módulo de Identidade de Assinante de um primeiro usuário associado operativamente com o terminal de processamento de dados e com um servidor de processamento de dados de autenticação no sistema de processamento de dados, para executar uma autenticação baseada em SIM do terminal de processamento de dados do usuário;
adquirir informação de identificação pessoal provida ao usuário no terminal de comunicação móvel de um usuário autenticado por uma rede de comunicação móvel; e enviar dita informação de identificação pessoal ao servidor de processamento de dados de autenticação para completar a autenticação do terminal de processamento de dados.
[00031] O primeiro Módulo de Identidade de Assinante pode ser do tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
[00032] O método pode adicionalmente incluir:
recuperar dados de identificação de SIM do primeiro Módulo de Identidade de Assinante;
comunicar os dados de identificação de SIM recuperados ao servidor de autenticação, o servidor de autenticação atuando substancialmente como um centro de autenticação de um operadora de rede de comunicação móvel;
8/30 receber do servidor de autenticação dados de autenticação de SIM correspondendo aos dados de identificação de SIM, e passar os dados de identificação de SIM ao primeiro Módulo de Identidade de Assinante;
comunicar ao servidor de autenticação uma resposta gerada pelo primeiro Módulo de Identidade de Assinante.
[00033] Também, um método como publicado na reivindicação 16, por qual um servidor de processamento de dados de autenticação autentica o terminal de processamento de dados de um usuário a fim de conceder ao terminal de processamento de dados do usuário acesso a serviços selecionados providos pelo sistema de processamento de dados.
[00034] O método inclui:
receber um pedido de autenticação do terminal de processamento de dados, o terminal de processamento de dados tendo associado operativamente com ele um primeiro Módulo de Identidade de Assinante;
executar uma autenticação baseada em SIM do terminal de processamento de dados baseado em dados associados com o primeiro Módulo de Identidade de Assinante;
prover o usuário com primeira informação de identificação pessoal explorando o terminal de comunicação móvel autenticável de um usuário autenticado em uma rede de comunicação móvel, e condicionar a autenticação do terminal de processamento de dados do usuário a uma correspondência prescrita entre a primeira informação de identificação pessoal provida ao usuário e segunda informação de identificação pessoal recebida do terminal de processamento de dados do usuário em resposta à provisão da primeira informação de identificação pessoal.
[00035] Em particular, o primeiro Módulo de Identidade de Assinante é de um tipo adotado em redes de comunicação móveis para autenticar
9/30 terminais de comunicação móveis, e o servidor de processamento de dados de autenticação atua substancialmente como um centro de autenticação de uma operadora de rede de comunicação móvel.
[00036] O método pode adicionalmente incluir:
gerar no servidor de processamento de dados de autenticação uma primeira senha e enviar a primeira senha através da rede de comunicação móvel ao terminal de comunicação móvel do usuário; e condicionar a autenticação do terminal de processamento de dados no sistema de processamento de dados a uma correspondência prescrita entre a primeira senha e uma segunda senha, dependendo da primeira senha, entrada no terminal de processamento de dados e provida ao servidor de processamento de dados de autenticação pelo sistema de processamento de dados.
[00037] Adicionalmente, a invenção abrange programas de computação carregáveis diretamente em uma memória de trabalho do terminal de processamento de dados do usuário e do servidor de processamento de dados de autenticação, para realizar, quando executado, os métodos acima, como também produtos de programa de computação incluindo meios de armazenamento legíveis por computador armazenando os programas de computação.
[00038] De acordo com ainda outro aspecto da presente invenção, é provido um sistema para autenticar um terminal de processamento de dados de um usuário assim para conceder ao terminal de processamento de dados acesso a serviços selecionados providos por um sistema de processamento de dados. O usuário tem um terminal de comunicação móvel adaptado para ser usado, depois de autenticação, em uma rede de comunicação móvel (por exemplo, uma entre uma rede de GSM, GPRS, UMTS).
[00039] O sistema inclui:
um primeiro Módulo de Identidade de Assinante, associável
10/30 operativamente com o terminal de processamento de dados; e um servidor de processamento de dados de autenticação adaptado para executar uma primeira etapa de autenticação baseada no primeiro Módulo de Identidade de Assinante.
[00040] O servidor de processamento de dados de autenticação é adicionalmente adaptado para executar um segundo processo de autenticação baseado em informação de identificação provida ao usuário no terminal de comunicação móvel pela rede de comunicação móvel.
[00041] Em particular, o primeiro Módulo de Identidade de Assinante é de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
[00042] Em uma concretização da invenção, um segundo Módulo de Identidade de Assinante é emitido ao usuário, para ser usado no terminal de comunicação móvel para autenticar o terminal de comunicação móvel em uma rede de comunicação móvel.
[00043] O segundo Módulo de Identidade de Assinante pode estar em uma relação de um para um fixa com o primeiro Módulo de Identidade de Assinante, ou pode estar associado com um identificador do segundo Módulo de Identidade de Assinante, particularmente um número digitado de terminal de comunicação móvel.
[00044] O primeiro Módulo de Identidade de Assinante é preferivelmente associado com um dispositivo periférico de computador conectável ao computador por uma porta de conexão periférica de computador.
[00045] De acordo com ainda outro aspecto da presente invenção, é provido um conjunto de autenticação segura como publicado na reivindicação 23 anexa, para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados a fim de conceder ao terminal de processamento de dados acesso a serviços selecionados providos pelo sistema de processamento de dados.
11/30 [00046] O conjunto inclui um primeiro Módulo de Identidade de Assinante, particularmente de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis; um dispositivo periférico de computador tendo associado com ele o primeiro Módulo de Identidade de Assinante e associável operativamente com o terminal de processamento de dados do usuário; e um segundo Módulo de Identidade de Assinante associável operativamente ao terminal de comunicação móvel de um usuário para permitir conexão dele a uma rede de comunicação móvel. [00047] O conjunto também pode incluir um dos produtos de programa de computação acima citados.
[00048] As características e vantagens da presente invenção serão feitas aparentes pela descrição detalhada seguinte de algumas concretizações dela, provida somente por meio de exemplos não limitativos, descrição que será conduzida fazendo referência aos desenhos anexos, em que:
Figura 1 mostra ilustrativamente um sistema de processamento de dados exemplar no qual um método de autenticação de usuário segura de acordo com uma concretização da presente invenção é atuado vantajosamente;
Figura 2 mostra esquematicamente, em termos de blocos funcionais pertinentes à compreensão da concretização de invenção citada, um servidor de autenticação e uma operadora de rede de GSM;
Figura 3 mostra esquematicamente, em termos de blocos funcionais, um conteúdo de uma memória de trabalho de um computador de usuário durante uma fase de autenticação executada atuando o método de autenticação segura de acordo com a concretização de invenção citada; e
Figura 4 mostra esquematicamente, em termos de fluxogramas simplificados, a operação dos elementos diferentes que cooperam para implementar o método de autenticação segura de acordo com a concretização citada da invenção.
12/30 [00049] Com referência aos desenhos, um cenário puramente exemplar e de maneira alguma limitativa, no qual um método de autenticação de usuário segura de acordo com uma concretização da presente invenção pode ser atuado é mostrado ilustrativamente na Figura 1. Um sistema de processamento de dados distribuído, identificado globalmente por numeral de referência 100, inclui uma rede de computadores de local privado 105, por exemplo uma Rede de Área Local (LAN), particularmente, mas não limitadamente, uma rede de Ethernet, uma Rede de Área Metropolitana (MAN) ou uma Rede de Área Extensa (WAN), constituindo a infra-estrutura de computação de uma entidade, por exemplo, um empreendimento ou uma agência de administração pública; o tipo específico de rede de computadores local 105 é totalmente irrelevante para os propósitos da presente invenção. [00050] Em termos extremamente gerais, a rede de computadores local privada 105 inclui um ou mais computadores de servidor, tal como o computador de servidor 110 mostrado no desenho, provendo serviços específicos a uma pluralidade de computadores de cliente, tais como os computadores de cliente 115ae 115b mostrados no desenho, os computadores diferentes estando conectados a uma infra-estrutura de comunicação de dados 120, por meio de que os computadores diferentes podem se intercomunicar. A potência de processamento dos computadores diferentes da rede local privada 105 pode variar substancialmente: os computadores de cliente de rede 115a, 115b são por exemplo computadores pessoais, particularmente computadores móveis tais como laptops, ou estações de trabalho, exploradas pelo pessoal da entidade, por exemplo, os empregados para executar os deveres respectivos; o computador de servidor 110 pode ser um computador pessoal adequadamente configurado, uma estação de trabalho, ou até mesmo um computador de grande porte. Os serviços providos pelo computador de servidor 110 aos computadores de cliente 115a, 115b podem incluir armazenamento de arquivos eletrônicos (servidor de arquivos), serviços de aplicativo de software
13/30 (servidor de aplicativo), serviços de administração de banco de dados (servidor de banco de dados), serviços de transmissão de mensagem eletrônica (correio eletrônico ou e-mail) (servidor de correio), e qualquer outro serviço possível; embora o tipo específico de serviço provido pelos computadores de servidor da rede local privada 105 não seja pertinente à presente invenção, no seguinte, apenas por meio de exemplo, será assumido que o computador de servidor 110 atua pelo menos como um servidor de correio para a rede local privada 105.
[00051] A rede local privada 105 também inclui um portal 125, por exemplo um modem/roteador de ISDN (Rede Digital de Serviços Integrados) ou uma XDSL (Linha de Assinante Digital), conectando a rede local privada 105 a um ponto de acesso 130a para uma rede de computadores externa 135; no seguinte, será assumido que a rede de computadores externa 135 é uma rede aberta, particularmente a Internet (e assim uma rede intrinsecamente insegura), embora isto não seja para ser interpretado como limitativo à presente invenção; o ponto de acesso 130a é assim por exemplo um Provedor de Serviço (ISP) de conectividade de Internet.
[00052] Um computador de usuário remoto 140, por exemplo um computador portátil, também está conectado (conectável) à Internet 135 por um ponto de acesso 130b, que pode coincidir com o ponto de acesso (ISP) 130a ou, mais geralmente, pode ser um ponto de acesso diferente, localizado em uma área geográfica diferente, ou os dois pontos de acesso 103a e 103b podem ser Pontos de Presença diferentes (POPs) de um mesmo ISP. Para este propósito, o computador 140 explora por exemplo um modem (por exemplo, um modem de ISDN) e uma conexão discada, ou um modem de XDSL e uma conexão de XDSL ao ponto de acesso 130b, ou uma conexão de LAN sem fios (WLAN) ao ponto de acesso 130b (tal como uma conexão de WI-FI Fidelidade Sem Fios, um tipo de acesso à Internet que está se tomando popular em áreas tais como hotéis e aeroportos).
14/30 [00053] Um usuário remoto USERa do computador 140 é por exemplo um empregado do dono de empreendimento da rede local privada 105, que deseja acessar a rede local privada 105 de seu empregador e explorar os serviços providos pelo computadores de servidor 110 dele de um local remoto, isto é, sem estar conectado diretamente à rede local 105, mas pela rede externa (aberta) 135; isto pode ser por exemplo o caso de um empregado que está fora do escritório para negócios ou até mesmo em feriados, e que deseja acessar o servidor de correio do empreendimento 110 para verificar a caixa postal de e-mail pessoal por possíveis novas mensagens urgentes. [00054] É assumido que a fim de acessar a rede local privada 105, particularmente o servidor de correio 110, o usuário remoto precisa fazer ele mesmo autenticado, assim para evitar acessos fraudulentos às caixas postais de e-mail privadas. A rede local privada 105 pode assim ser vista como um local de acesso protegido dentro da Internet. É mostrado que isto é meramente um exemplo, o método de autenticação que vai ser descrito tendo uma aplicabilidade muito geral; neste respeito, o usuário remoto USERa poderia ser qualquer usuário autorizado dos serviços providos pela rede local privada 105, tal como um cliente do dono da rede local privada 105 desejando, por exemplo, inspecionar um estado de pedidos de compra colocados.
[00055] De acordo com uma concretização da presente invenção, para propósitos de autenticação, o usuário remoto USERa é provido com um par de módulos de identificação de assinante, particularmente (embora não limitadamente) Módulos de Identidade de Assinante (SIMs) do tipo usado para propósitos de autenticação em Sistemas de telefone Celulares Digitais (DCSs) ou Redes Móveis Terrestres Públicas (PLMNs), tais como as redes de telefone celulares de Sistema Global para comunicações Móveis (GSM) difundidas, ou extensões conhecidas delas tais como as redes de Serviço de Rádio de Pacote Geral (GPRS) (que de fato é uma sub-rede da rede de GSM), ou redes de Sistema de Telecomunicação Móvel Universal (UMTS) (um
15/30 sistema de comunicação celular de terceira geração de banda larga), ou uma rede de comunicação móvel baseada em satélite.
[00056] Como conhecido na arte, um SIM normalmente toma a forma de um cartão (tamanho de cartão de crédito ou menor, dependendo da escala de miniaturízação de terminal de usuário), com componentes de circuito integrados embutidos, particularmente armazenando dados personalizados que suportam a autenticação do SIM, como também criptografia e decifração. Pelo menos até agora, o uso de um SIM (e do procedimento de autenticação baseado em SIM) para identificar um terminal de comunicação móvel acoplado a ele provou ser um modo robusto para tomar impossível para outros dispositivos personificarem esse terminal, assim provendo acesso autenticado seguro a, por exemplo, uma conta correspondendo àquele usuário particular.
[00057] Um primeiro SIM, SIMa do par de SIM do usuário está acoplado operativamente (de forma removível) ao computador de usuário remoto 140; por exemplo, o primeiro SIM, SIMa está embutido em um dispositivo periférico de computador que pode ser acoplado operativamente, assim para ser acessível funcionalmente pelo computador 140, por exemplo, uma chave de hardware 145 conectável a uma porta (não explicitamente mostrada na Figura 1) do computador 140, por exemplo, uma porta de Barramento Serial Universal (USB), ou uma porta de PCMCIA dele, ou por meio de um periférico do tipo de leitor de cartão inteligente e adaptado para interagir com um SIM, ou o primeiro SIM, SIMa pode ser embutido em um cartão de memória que pode então ser acoplado operativamente ao computador 140 por meio de um leitor de cartão de memória. É mostrado que o modo específico no qual o primeiro SIM, SIMa é acoplado operativamente ao computador 140 não é limitativo à presente invenção, sendo em geral suficiente que o primeiro SIM, SIMa esteja acoplado operativamente ao computador 140 (de um modo adequado para habilitar comunicação entre o computador 140 e o SIM, SIMa)
16/30 por meio de qualquer tipo de dispositivo de adaptador/leitor conectado ao computador 140 por qualquer tipo de porta periférica.
[00058] Um segundo SIM, SIMb é inserido (de forma removível) no terminal de telefone móvel/comunicação de um usuário 150, tal como um telefone móvel adaptado para o uso em uma rede de comunicação móvel (por exemplo, uma PLMN) 155, tal como uma rede de telefone celular de GSM, uma rede de GPRS ou uma rede de UMTS, operadas por uma operadora de rede de GSM (ou GPRS, ou UMTS) 160.
[00059] De acordo com uma concretização da presente invenção, uma relação de um para um existe entre o primeiro e o segundo SIMs, SIMa e SIMb, e entre os dois SIMs, SIMa, SIMb e o usuário USERa, no sentido que a autoridade emitindo os dois SIMs normalmente, mas não estritamente necessariamente a operadora de rede de GSM, não só considera cada um dos dois SIMs como associados àquele assinante particular USERa, mas adicionalmente os dois SIMs, SIMa e SIMb do par de SIM são considerados como associados um ao outro. É mostrado que embora na concretização exemplar da invenção discutida aqui uma única operadora de rede de GSM 160 seja considerada, isto não é para ser interpretado como uma limitação da presente invenção: operadoras de rede de GSM diferentes (ou GPRS, ou UMTS) podem cooperar em prover o serviço de autenticação de usuário segura, contanto que a associação acima citada entre os dois SIMs, e entre o par de SIM e o usuário, seja garantida.
[00060] Mais geralmente, é suficiente que uma relação seja mantida (em algum tipo de banco de dados, administrado por exemplo pela operadora de rede de GSM) entre os primeiros dados de SIM, SIMa e uma identificação (tipicamente, o número de telefone) permitindo alcançar o terminal de comunicação móvel de um usuário que está acoplado ao segundo SIM, SIMb. [00061] Também mostrado no desenho é um computador de servidor de autenticação 165 (mais geralmente, um sistema de processamento de dados de
17/30 autenticação, incluindo por exemplo uma rede de computadores) administrando (pelo menos parcialmente) um procedimento de autenticação de usuário de duas etapas baseado nos dois SIMs, SIMa e SIMb, qual procedimento será descrito em detalhes no seguinte. Em termos extremamente gerais, o computador de servidor de autenticação 165 está conectado à Internet 135, e, no exemplo mostrado, faz parte da operadora de rede de GSM 160 (em qual caso o serviço de autenticação é um dos serviços providos pelo operadora de rede de GSM), embora em geral o computador de servidor de autenticação 165 não faça necessariamente parte, mas meramente se comunica (através de uma ligação de comunicação segura, tal como, por exemplo, uma Rede Privada Virtual) com a operadora de rede de GSM 160. [00062] Figura 2 descreve esquematicamente, em termos dos blocos funcionais pertinentes à compreensão do procedimento de autenticação de acordo com a concretização de invenção aqui descrita, a operadora de rede de GSM 160 e o computador de servidor de autenticação 165.
[00063] O computador de servidor de autenticação 165 é adaptado para executar uma autenticação baseada em SIM do computador remoto 140. Como discutido na parte introdutória da presente descrição, o mecanismo de autenticação baseado em SIM de um terminal de processamento de dados de usuário tal como o computador remoto 140 é conhecido per se, e um exemplo de uma estrutura permitindo implementar um tal mecanismo é provido no Pedido de Patente Internacional já citado WO 00/02406. Sem entrar em detalhes específicos, o computador de servidor de autenticação 165 inclui um servidor de autenticação 200, que está conectado ambos à Internet 135 e (por uma conexão segura 205) a um servidor de procuração 210, tendo acesso a um centro de autenticação 215 da operadora de rede de GSM 160, qual centro de autenticação 215 por sua vez está conectado a um Registrador de Local Doméstico (HLR) da operadora de rede de GSM 160. A conexão segura 205 é por exemplo assegurada pelo fato que o servidor de autenticação 200 está
18/30 colocado fisicamente próximo ao servidor de procuração 210. O centro de autenticação 215 é o centro de autenticação de rede de GSM normalmente confiado para executar procedimentos de autenticação padrão dos terminais de comunicação móveis equipados com SIM dos usuários (telefones móveis), tal como o telefone móvel 150, que desejam ser conectados à rede de GSM 155. O servidor de procuração 210 habilita uma conexão entre o servidor de autenticação 200 e a rede de GSM, e em particular roteia tráfego entre o servidor de autenticação 200 e o centro de autenticação de GSM 215; o servidor de procuração 210 atua como um Registrador Local de Visitante (VLR) Virtual, aparecendo ao HLR da operadora de rede de GSM como qualquer outro VLR da rede de GSM. As comunicações 220 entre o servidor de procuração 210 e o centro de autenticação de GSM 215 podem acontecer através da rede de sinalização de SS7 padronizada utilizada pela operadora de rede de GSM. Associado com o servidor de autenticação 200 está um banco de dados 225, usado para armazenar dados de autenticação de usuário durante o procedimento de autenticação.
[00064] O computador de servidor de autenticação 165 também inclui um servidor de associador de SIM 230, que, com relação a um banco de dados de par de SIM 235 armazenando informação sobre os pares de SIMs, tal como o par de SIM, SIMa e SIMb (ou, mais simplesmente, a identificação, por exemplo, o número de telefone móvel correspondendo ao segundo SIM, SIMb que está associado com o primeiro SIM, SIMa), é capaz de identificar um SIM de um dado par de SIM, por exemplo, o segundo SIM, SIMb (ou o número de telefone móvel correspondendo a ele), baseado em informação identificando o outro SIM, neste exemplo o primeiro SIM, SIMa, provido pelo servidor de autenticação 200. O servidor de associador de SIM 230 se comunica com um agente de gerador de senha 235, gerando senhas (preferivelmente, utilizáveis uma vez) a serem enviadas através da rede de GSM 155 ao telefone móvel do usuário 150, por exemplo na forma de uma
19/30 mensagem de Serviço de Mensagem Curta (SMS), preparada por um agente de compilador de SMS 245. A mensagem é entregue ao recebedor pretendido por um centro de serviço de transmissão de mensagem 250 da operadora de rede de GSM 160» por exemplo um centro de SMS, ou um centro de Serviço de Transmissão de Mensagem de Multimídia (MMS), para distribuir texto ou mensagens de multimídia a terminais dos assinantes da rede de GSM 155, Altemativamente, as senhas podem ser enviadas na forma de MMS, ou elas podem ser comunicadas ao usuário por chamadas telefônicas» por exemplo explorando um sintetizador de voz. Um agente de comparador de senha 255 é provido para comparar as senhas geradas pelo agente de gerador de senha 240 para senhas de resposta correspondentes, entradas pelo usuário e recebidas através da Internet 135, por exemplo por meio do servidor de autenticação 200.
[00065] É mostrado que pelo menos alguns dos blocos funcionais do computador de servidor de autenticação 165 descritos no antecedente podem ser e, normalmente, seriam implementados como uma mistura de hardware e software» ou até mesmo total mente como software» [00066] Figura 3 é uma vista pictórica esquemática simplificada do conteúdo de uma memória de trabalho 300 (por exemplo, uma RAM) do computador remoto 140 durante o processo de autenticação. Um módulo de software de Interface Gráfica de Usuário (GUI) 305 permite uma interação fácil do usuário USERa com o computador 140, por periféricos de entrada/saída de computador convencionais, esquematizado como um bloco 310 e incluindo um monitor, um teclado, um dispositivo apontador, Um módulo de software de acionador de USB 315 habilita a interação com periféricos de USB» neste exemplo a chave de USB 145 com embutido nela o primeiro SIM, SIMa. Um módulo de software de acionador de modem 320 habilita se comunicar com um modem 325 (por exemplo, ISDN ou XDSL), usado para a conexão ao ponto de acesso 130b; o módulo de acionador de
20/30 modem administra os detalhes de baixo nível da comunicação. Um módulo de software de comunicação de Internet 330 administra ao invés os detalhes de nível mais alto da comunicação através da Internet, por exemplo detalhes relativos ao Protocolo de Internet (IP). Bloco 335 esquematiza um aplicativo de software correndo no computador 140 e que é suposto ter serviços pedidos a um site protegido provendo acesso seletivo aos serviços, condicionados em uma autenticação preliminar do usuário; por exemplo, o aplicativo 335 é um software de cliente de e-mail (por exemplo, Outlook ou Outlook Express por Microsoft, Eudora, LotusNotes) que o usuário USERa do computador 140 lançou para acessar a caixa postal de e-mail pessoal contida pelo servidor de correio 110. Bloco 340 esquematiza ao invés um aplicativo de software de cliente de autenticação que é invocado no computador 140, por exemplo em resposta a um pedido de autenticação do servidor de correio 110, assim para administrar aquelas partes do procedimento de autenticação locais ao computador 140, como descrito em detalhes no seguinte. Esquematicamente, o cliente de autenticação 340 inclui um agente de diálogo de SIM 345, para dialogar com o SIM, SIMa na chave de USB 145, e um módulo de busca e rota de senha 350, para buscar, por exemplo, uma senha introduzida por usuário, introduzida, por exemplo, pelo teclado e rotear a senha introduzida ao módulo de comunicação 330, assim para fazer a senha ser enviada ao computador de servidor de autenticação 165 através da Internet 135.
[00067] É observado que todos os módulos de software são instalados preliminarmente no computador 140, e, quando invocados, operam no topo de um sistema operacional de computador, não esquematizado explicitamente no desenho. Em particular, o software de cliente de autenticação 340, que pode ser instalado tanto de um suporte físico, tal como um disquete, um CD-ROM ou DVD-ROM, ou carregando-o de um servidor de arquivo adequado (por exemplo, por meio de uma sessão de FTP), pode em alguns casos tomar a forma de um anexo para um aplicativo de pedido de serviço 335 já existente,
21/30 por exemplo um anexo para um cliente de correio tal como Microsoft Outlook, Microsoft Outlook Express, Eudora, Lotus Notes, ou para um navegador tal como Microsoft Internet Explorer ou Netscape Communicator. [00068] Aqui abaixo, um procedimento de autenticação exemplar de acordo com uma concretização da presente invenção será descrito com a ajuda dos fluxogramas da Figura 4, considerando o cenário esboçado até agora.
[00069] Deixe ser assumido que o usuário USERa, em um local remoto da rede local privada 105 do empregador, deseja se conectar ao servidor de correio 110 para verificar a caixa de correio eletrônica pessoal. O usuário USERa estabelece uma conexão à Internet 135 (pelo ponto de acesso 130b), então lança o cliente de e-mail 335, que tenta acessar o servidor de correio 110 na rede local privada 105 (o bloco de local protegido 401 na Figura 4). O servidor de correio 110 recebe o pedido de acesso (bloco 403), e, antes de conceder acesso ao computador remoto 140 (cliente de e-mail 335 correndo no), começa o procedimento de autenticação emitindo um pedido de autenticação ao computador 140. Então, o servidor de correio 110 espera por uma confirmação de autenticação (bloco 405), a ser recebida do computador de servidor de autenticação 165.
[00070] O procedimento de autenticação é incluído de duas fases de autenticação: uma primeira fase de autenticação provê uma autenticação baseada em SIM do computador 140, executada se confiando no método de autenticação explorado na rede de GSM 155 para autenticar telefones móveis dos usuários. Uma vez que o computador 140 tenha sido autenticado, uma segunda fase de autenticação provê autenticação (identificação ou reconhecimento pessoal) do usuário USERa do computador 140.
[00071] A fim de entender os detalhes do procedimento de autenticação baseada em SIM do computador 140, é útil revisar brevemente como telefones móveis são normalmente autenticados em uma rede de GSM.
22/30 [00072] Quando o telefone móvel de um usuário, por exemplo o telefone móvel 150 do usuário USERa, tenta se conectar a uma rede de GSM, tal como a rede de GSM 155, o centro de autenticação 215 da operadora de rede de GSM 160 pede para o telefone móvel 150 prover a Identidade de Assinante Móvel Internacional (IMSI) respectiva, que é um código de identificador de nove bytes armazenado SIM de telefone móvel, SIMb. Em resposta, o telefone móvel 150 provê ao operador de rede de GSM 160 o código de identificador de IMSI pedido. O centro de autenticação 215 usa o código de IMSI recebido para gerar uma denominada trinca de autenticação, composta de uma intimação, uma resposta assinada e uma chave de criptografia; a intimação é um valor aleatório de dezesseis bytes, a chave de criptografia é a chave de criptografia específica de conexão usada na rede de GSM 155, e a resposta assinada (em seguida, simplesmente resposta) é um valor de quatro bytes que é derivado da intimação usando a chave de criptografia específica. O centro de autenticação 215 então envia a intimação ao telefone móvel 150; baseado na intimação recebida do centro de autenticação 215, o SIM do telefone, SIMb gera uma resposta e uma chave de criptografia: a chave é armazenada no SIM, SIMb, enquanto a resposta é transmitida de volta ao centro de autenticação 215. O centro de autenticação 215 compara a resposta recebida à localmente gerada (a resposta assinada gerada no processo de geração de trinca), e se as duas respostas coincidirem, a autenticação do SIM, SIMb é completada com êxito.
[00073] Retomando à Figura 4, o computador remoto 140 recebe o pedido de autenticação do servidor de correio 110 (bloco 409); isto faz o cliente de autenticação 340 ser invocado, por exemplo por meio de um texto incluído em uma página da web carregada ao computador remoto 140 quando o ultimo contata o servidor de correio 110, e a conexão do computador remoto 140 ao servidor de correio 110 a ser redirecionada ao servidor de autenticação 200 no computador de servidor de autenticação 165; o computador remoto
23/30
140 assim contata o servidor de autenticação 200 e provê a ele o endereço de IP dele, solicitando ao servidor de autenticação 200 para autenticar seguramente o usuário USERa (e dar confirmação da autenticação ao servidor de correio 110) (bloco 411). O servidor de autenticação 200 recebe o pedido para autenticação do computador 140, junto com o endereço de IP dele, que será usado para identificar o computador 140 ao servidor de correio 110 (bloco 413).
[00074] A autenticação baseada em SIM do computador 140 (primeira fase do procedimento de autenticação) é semelhante à autenticação previamente explicada do telefone móvel 150 para a conexão à rede de GSM 155, exceto que neste caso, dados viajam parcialmente através da Internet 135 (mais geralmente, uma rede de computadores aberta), e não só através da rede de GSM 155.
[00075] O servidor de autenticação 200 emite (bloco 415) ao computador 140 um pedido para dados de identificação do primeiro SIM, SIMa do par de SIM de autenticação, isto é, o SIM acoplado operativamente ao computador 140. O cliente de autenticação 340 recebe o pedido e então acessa o primeiro SIM, SIMa embutido na chave de USB 145 para ler dele dados de identificação, tal como o IMSI (bloco 417). Se o cliente de autenticação 340 não puder achar qualquer SIM anexado ao computador 140, uma mensagem pode ser gerada ao usuário USERa pedindo para conectar o periférico portador de SIM ao computador 140, ou para inserir o primeiro SIM, SIMa em um leitor adequado. O cliente de autenticação 340 então envia os dados de identificação lidos do primeiro SIM, SIMa ao servidor de autenticação 200 (bloco 419).
[00076] A fim de autenticar o primeiro SIM, SIMa, o servidor de autenticação 200 submete os primeiros dados de identificação de SIM recebidos do computador 140 ao centro de autenticação de GSM 215 nas instalações da operadora de GSM 150 (bloco 421). Para este propósito, o
24/30
VLR virtual 210 é explorado para estabelecer uma conexão entre o servidor de autenticação 200 e o centro de autenticação de GSM 215. O servidor de autenticação 200 envia ao VLR virtual 210 uma mensagem de pedido de autenticação, contendo os dados de identificação (o IMSI) do primeiro SIM, SIMa a ser autenticado, como recebido do computador 140. O VLR virtual 210 envia ao centro de autenticação de GSM 215 uma mensagem de investigação formatada adequadamente (por exemplo, uma mensagem de acordo com o protocolo de MAP- Parte de Aplicação Móvel), para pedir ao centro de autenticação de GSM 215 para emitir uma trinca de autenticação. O centro de autenticação de GSM 215 recebe a mensagem de investigação contendo o IMSI do primeiro SIM, SIMa, e responde gerando (bloco 423) e enviando (bloco 425) ao VLR virtual 210 no computador de servidor de autenticação 165 uma trinca de autenticação, totalmente semelhante àquelas usadas para registrar telefones móveis à rede de GSM 155 e compostas de uma intimação, uma resposta e uma chave de criptografia. O trinca de autenticação é enviada pelo VLR virtual 210 ao servidor de autenticação 200, que armazena a trinca de autenticação (bloco 427) e, de agora em diante, atua em relação ao primeiro SIM, SIMa da mesma maneira como o centro de autenticação de GSM 215 atuaria em relação a um telefone móvel a ser autenticado. A intimação é enviada através da Internet 135 ao computador 140 (bloco 427), em que o cliente de autenticação 340 roteia a intimação recebida ao primeiro SIM, SIMa (bloco 429).
[00077] Quando o primeiro SIM, SIMa recebe a intimação, ele gera uma chave de criptografia e uma resposta (bloco 431); a chave de criptografia é armazenada no primeiro SIM, SIMa ou no cliente de autenticação 340 (por exemplo, a ser usada para codificar comunicações futuras através da Internet com o site protegido), e a resposta gerada é enviada de volta pelo cliente de autenticação 340 para ao servidor de autenticação 200 (bloco 433).
[00078] Quando o servidor de autenticação 200 recebe do cliente de
25/30 autenticação 340 a resposta gerada pelo primeiro SIM, SIMa (bloco 435), a resposta recebida é comparada à resposta embutida na trinca de autenticação (bloco 437). Se as duas respostas não coincidirem (ramal de saída N de bloco de decisão 439), o servidor de autenticação 200 informa o site protegido 110 (explorando o endereço de IP do computador remoto 140) que a autenticação de primeiro nível falhou (bloco 441); se o servidor de rede privada 110 receber tal mensagem (bloco 443, ramal de saída Y), ele nega acesso do computador de usuário 140 (identificado pelo endereço de IP respectivo) aos serviços (bloco 445). Se em vez disso as duas respostas coincidirem (ramal de saída Y de bloco de decisão 439), o servidor de associador de SIM 230 no computador de servidor de autenticação 165 recupera do banco de dados de par de SIM 235 informação de identificação do segundo SIM, SIMb do usuário que está associado com o primeiro SIM, SIMa do usuário (bloco 447); por exemplo, o número de telefone móvel correspondendo ao segundo SIM, SIMb é identificado, assim para habilitar contatar o usuário pelo telefone móvel do usuário 150. O agente de gerador de senha 240 então gera a senha a ser enviada ao usuário remoto USERa pelo telefone móvel pessoal 150 (bloco 449). O compilador de mensagem de SMS 245 então compila uma mensagem de SMS a ser enviada ao telefone móvel 150 do usuário USERa, contendo a senha gerada, e envia a mensagem ao telefone móvel do usuário 150 (bloco 451); o centro de SMS 240 da operadora de GSM 160 entrega a mensagem de SMS ao telefone móvel do usuário 150 (bloco 453).
[00079] Em paralelo, o cliente de autenticação 340 faz uma mensagem de convite a ser exibida ao usuário USERa do computador 140 para convidá-lo a entrar com a senha recebida através do telefone móvel pessoal 150 (bloco 455). Condicionado ao fato que o telefone móvel do usuário 150 foi registrado preliminarmente à rede de GSM (do modo convencional esboçado no antecedente), a mensagem de SMS do computador de servidor de autenticação 165 com a senha a ser usada para completar o procedimento de
26/30 autenticação é recebida no telefone móvel do usuário 150. Em uma concretização da presente invenção, a mensagem de SMS é codificada, para segurança aumentada.
[00080] Quando o usuário USERa recebe a senha, ele entra com a senha no computador 140, e o cliente de autenticação 340 aceita a senha entrada e a envia ao servidor de autenticação 200, através da Internet (bloco 457). É salientado que não é estritamente necessário que a senha entrada pelo usuário coincida com a senha recebida no telefone móvel: o usuário pode na realidade ser provido com um dispositivo de embaralhamento (por exemplo, uma tabela de transcodificação), por qual para qualquer senha recebida, uma senha embaralhada pode ser derivada.
[00081] A senha é recebida no servidor de autenticação 200 (bloco 459), e é comparada pelo agente de comparador de senha 255 à senha localmente originada (bloco 461). Se as duas senhas não casarem (ramal de saída N de bloco de decisão 463), o servidor de autenticação 200 informa ao servidor de site protegido 110 que a autenticação de segundo nível falhou (bloco 465); se o servidor de rede privada 110 receber uma tal mensagem (bloco 467, ramal de saída Y), ele nega acesso do computador de usuário 140 aos serviços (bloco 469). Se em vez disso as duas respostas coincidirem (ramal de saída Y de bloco de decisão 463), a autenticação do usuário USERa tem êxito, e o servidor de autenticação 200 informa ao servidor de site protegido 110 que o usuário USERa, identificado unicamente com esse endereço de IP específico se autenticou com êxito (bloco 471). A fim de prevenir qualquer fraude, esta confirmação de autenticação ao servidor de autenticação 200 ao site protegido 110 pode ser comunicada por uma conexão segura 170 (representada em traço e ponto), ou ser codificada; por exemplo, uma Rede Privada Virtual (VPN) pode ser estabelecida entre o servidor de site protegido pedindo a autenticação e o servidor de autenticação.
[00082] Quando o servidor de site protegido 110 recebe uma tal
27/30 confirmação, ele concede acesso aos serviços (bloco 473), permitindo por exemplo ao cliente de e-mail 335 acessar a caixa postal pessoal do usuário USERa. De agora em diante, o usuário autenticado USERa pode explorar os serviços oferecidos pelo servidor 110.
[00083] É salientado que em vez de explorar o endereço de IP do computador remoto 140 como um modo para identificar o computador no site protegido e o servidor de autenticação (uma solução que pode em alguns casos por alguns problemas, tal como no caso que o computador 140 se conecta à Internet passando por um servidor de procuração, ou, em geral, sempre que a conexão é feita por um dispositivo filtrando os endereços de IP), soluções diferentes podem ser adotadas, se confiando por exemplo em uma troca de dados de identificação a um nível mais alto com respeito ao nível de IP, por exemplo um nível de aplicação.
[00084] Pode ser apreciado que o procedimento de autenticação descrito no antecedente se confia em um processo de autenticação de duas etapas: um primeiro procedimento de autenticação baseado em SIM para autenticar o computador remoto 140, e um segundo procedimento de autenticação, ainda se confiando em uma autenticação de SIM (a autenticação do telefone móvel do usuário para a conexão à rede de GSM), por qual a identidade do usuário é assegurada (a fim de ter acesso concedido, um usuário fraudulento deveria não só adquirir em posse do primeiro SIM, SIMa, mas também do segundo SIM, SIMb, qual ocorrência é considerada muito improvável). Também, a senha (preferivelmente utilizável uma vez) necessária para completar a autenticação é comunicada ao usuário através de uma ligação autenticada e segura tal como a rede de GSM; para uma segurança até mesmo aumentada, criptografia da senha pode ser provida. Além disso, um código de Número de Identificação Pessoal (PIN) poderia ser pedido ao usuário, a fim de ganhar acesso ao primeiro SIM, SIMa associado ao computador 140, para melhorar ainda mais segurança.
28/30 [00085] Como já mencionado, o centro de autenticação de GSM confiado para autenticar o primeiro SIM, SIMa não precisa necessariamente ser o mesmo centro de autenticação de GSM autenticando o segundo SIM, SIMb, contanto que a relação entre os dois SIMs esteja garantida.
[00086] A fim de aumentar segurança das transações, os dados trocados entre o computador 140 e o servidor de site protegido 110, uma vez que a autenticação tenha sido completada e acesso aos serviços desejados seja concedido, podem ser codificados, por exemplo usando a mesma chave de criptografia gerada pelo primeiro SIM, SIMa.
[00087] O Requerente salienta que o método de autenticação seguro de duas etapas de acordo com a presente invenção tem uma aplicabilidade muito ampla, não sendo limitado ao cenário exemplar considerado aqui. Por exemplo, o método pode ser explorado não só para autenticar um usuário remoto acessando a rede local privada 105 pela Internet, mas até mesmo por uma conexão discada direta à rede local privada.
[00088] O método de autenticação seguro de acordo com a presente invenção pode ser explorado até mesmo no caso que acesso à rede local privada não ocorre por uma rede aberta insegura, tal como a Internet, mas o computador de usuário esta dentro e conectado diretamente à rede 105, para fazer seguro um registro de usuário normal: neste caso, a rede externa pode ser envolvida somente para o propósito de se comunicar com o computador de servidor de autenticação 165. Esta situação é descrita esquematicamente na Figura 1, em que numeral de referência USERb denota um usuário local da rede local privada 105, por exemplo, um empregado do dono de empreendimento da rede local privada 105, que deseja se registrar à rede por um dos computadores dele, por exemplo o computador de cliente 110a, assim para explorar os serviços feitos disponíveis pelo sistema de processamento de dados do empreendimento (entre quais serviços, conectividade à Internet 135 pode ser incluída). Exatamente como o usuário remoto USERa, também o
29/30 usuário USERb é provido com um par de SIMs: um primeiro SIM (embutido por exemplo em uma chave de USB adaptada para ser lida pelo computador 110a) para a autenticação baseada em SIM do computador abrindo a sessão, e um segundo SIM a ser usado em um telefone móvel de usuário convencional, para receber, através da rede de telefone móvel, a senha do computador de servidor de autenticação 165.
[00089] Também é observado que embora no cenário considerado aqui, o computador de servidor de autenticação estava fora do ambiente de processamento de dados pedindo autenticação, e particularmente uma parte da operadora de rede de GSM, isto não é para considerado como limitativo à presente invenção; de fato, o computador de servidor de autenticação ou sistema de computadores pode fazer parte do sistema de processamento de dados, por exemplo, do empreendimento implementando o método de autenticação segura da presente invenção.
[00090] O método de autenticação de acordo com a presente invenção é particularmente adaptado para assegurar um alto grau de segurança nas transações executadas por empregados de um empreendimento ou uma agência governamental. Assim, o método de autenticação de acordo com a presente invenção provê um modo adequado para administrar um empreendimento ou segurança de agência com relação a pessoal dela.
[00091] Porém, esta aplicação do método de autenticação não é limitativa, por exemplo, o método pode ser usado para autenticar clientes de sites da Internet de comércio eletrônico.
[00092] Também é salientado que embora na concretização exemplar descrita no antecedente a senha (uma vez) seja recebida pelo usuário no telefone móvel pessoal, o usuário tem que entrar com a senha pessoalmente no computador 140, isto não é para ser considerado uma limitação da presente invenção; nada impede na realidade de prover que a senha recebida pela rede de GSM seja entrada automaticamente no computador, por exemplo
30/30 conectando operatívamente o telefone móvel do usuário .150 ao computador do usuário 140, por exemplo, por uma conexão de Bluetooth ou semelhante. [000931 Em conclusão, a presente invenção foi exposta e descrita aqui por meio de algumas concretizações, e algumas alternativas foram publicadas, mas é aparente àqueles qualificados na arte que várias modificações às concretizações descritas, como também outras concretizações da presente invenção, são possíveis sem partir da extensão dela como definida nas reivindicações anexas.
/6

Claims (23)

  1. REIVINDICAÇÕES
    1. Método de autenticar um terminal de processamento de dados (140; 115a) de um usuário (USERa; USERb) para conceder o acesso de terminal de processamento de dados a serviços selecionados providos por um sistema de processamento de dados (100, 105), o usuário sendo provido com um terminal de comunicação móvel autenticável (150) adaptado para ser usado em uma rede de comunicação móvel (155), caracterizado pelo fato de que compreende:
    executar uma primeira autenticação baseada em SIM do terminal de processamento de dados do usuário no sistema de processamento de dados em. um servidor de processamento de dados de autenticação, executando a autenticação baseada em SIM incluindo associar operativamente com o terminal de processamento de dados do usuário uni primeiro módulo de identidade de assinante (SIMa) emitido ao usuário de terminal de processamento de dados;
    tendo o terminal de comunicação móvel do usuário autenticado na rede de comunicação móvel; e condicionar a autenticação do terminal de processamento de dados do usuário no sistema de processamento de dados a uma segunda autenticação, dita segunda autenticação sendo baseada em informação de identificação provida ao usuário no terminal de comunicação móvel pela rede de comunicação móvel.
  2. 2. Método de acordo com a reivindicação 1, caracterizado pelo falo de que dita segunda autenticação inclui:
    gerar uma primeira senha no servidor de processamento de dados de autenticação;
    enviar a primeira senha ao terminal de comunicação móvel através da rede de comunicação móvel; e verificar uma correspondência entre a primeira senha e uma
    2/6 segunda senha, dependendo da primeira senha, entrada no terminal de processamento de dados e provida ao servidor de processamento de dados de autenticação pelo sistema de processamento de dados.
  3. 3. Método de acordo com a reivindicação 2, caracterizado pelo fato de que compreende ter o usuário entrando com a segunda senha pelo terminal de processamento de dados.
  4. 4. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a segunda senha é entrada automaticamente após recebimento da primeira senha no terminal de comunicação móvel do usuário.
  5. 5. Método de acordo com a reivindicação 2, 3 ou 4, caracterizado pelo fato de que dita primeira senha é utilizável um número limitado de vezes, particularmente uma só vez.
  6. 6. Método de acordo com qualquer uma das reivindicações 1 a 5, caracterizado pelo fato de que inclui emitir ao usuário um segundo módulo de identidade de assinante (SIMb), adaptado para ser usado no terminal de comunicação móvel do usuário para autenticação dele na rede de comunicação móvel.
  7. 7. Método de acordo com a reivindicação 6, caracterizado pelo fato de que o segundo módulo de identidade de assinante tem uma relação de um para um fixa com o primeiro módulo de identidade de assinante.
  8. 8. Método de acordo com a reivindicação 6, caracterizado pelo fato de que o primeiro módulo de identidade de assinante está associado com um identificador do segundo módulo de identidade de assinante, particularmente um número de terminal de comunicação móvel.
  9. 9. Método de acordo com qualquer uma das reivindicações 1 a 8, caracterizado pelo fato de que dita informação de identificação é enviada ao terminal de comunicação móvel do usuário por meio de uma mensagem de serviço de mensagem curta (SMS).
  10. 10. Método de acordo com qualquer uma das reivindicações 1
    3/6 a 9, caracterizado pelo fato de que dito primeiro módulo de identidade de assinante é de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
  11. 11. Método de acordo com a reivindicação 10, caracterizado pelo fato de que executar a primeira autenticação baseada em SIM do terminal de processamento de dados inclui ter o primeiro módulo de identidade de assinante autenticado por um servidor de autenticação (200) do sistema de processamento de dados, o servidor de autenticação atuando substancialmente como um centro de autenticação (215) de uma operadora de rede de comunicação móvel (160).
  12. 12. Método pelo qual um terminal de processamento de dados (140) em um sistema de processamento de dados é autenticado a fim de ser concedido acesso a serviços selecionados providos pelo sistema de processamento de dados (100, 105), caracterizado pelo fato de que compreende:
    interagir (417, 419, 429, 431, 433) com um primeiro módulo de identidade de assinante do usuário (SIMa) associado operativamente com o terminal de processamento de dados, e com um servidor de processamento de dados de autenticação no sistema de processamento de dados, para executar uma autenticação baseada em SIM do terminal de processamento de dados do usuário;
    adquirir (455) informação de identificação pessoal provida ao usuário em um terminal de comunicação móvel do usuário autenticado por uma rede de comunicação móvel (155); e enviar (457) dita informação de identificação pessoal ao servidor de processamento de dados de autenticação para completar a autenticação do terminal de processamento de dados.
  13. 13. Método de acordo com a reivindicação 12, caracterizado pelo fato de que o primeiro módulo de identidade de assinante é de um tipo
    4/6 adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
  14. 14. Método de acordo com a reivindicação 13, caracterizado pelo fato de que compreende ainda:
    recuperar (417) dados de identificação de SIM do primeiro módulo de identidade de assinante (SIMa);
    comunicar os dados de identificação de SIM recuperados ao servidor de autenticação, o servidor de autenticação atuando substancialmente como um centro de autenticação (215) de uma operadora de rede de comunicação móvel (160);
    receber do servidor de autenticação dados de autenticação de SIM correspondendo aos dados de identificação de SIM, e passar os dados de identificação de SIM ao primeiro módulo de identidade de assinante; e comunicar ao servidor de autenticação uma resposta gerada pelo primeiro módulo de identidade de assinante.
  15. 15. Sistema para autenticar um terminal de processamento de dados (140; 115a) de um usuário (USERa; USERb) em um sistema de processamento de dados, assim para conceder o acesso de terminal de processamento de dados a serviços selecionados providos pelo sistema de processamento de dados (105), o usuário tendo um terminal de comunicação móvel autenticável (150) adaptado para ser usado em uma rede de comunicação móvel (155), caracterizado pelo fato de que compreende:
    um primeiro módulo de identidade de assinante (SIMa) associável operativamente (145) com o terminal de processamento de dados; e um servidor de processamento de dados de autenticação (165) adaptado (200, 210, 215) para executar uma primeira etapa de autenticação baseada no primeiro módulo de identidade de assinante;
    o servidor de processamento de dados de autenticação sendo adicionalmente adaptado (230-245) para executar um segundo processo de
    5/6 autenticação baseado em informação de identificação provida ao usuário no terminal de comunicação móvel pela rede de comunicação móvel.
  16. 16. Sistema de acordo com a reivindicação 15, caracterizado pelo fato de que o primeiro módulo de identidade de assinante é de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
  17. 17. Sistema de acordo com a reivindicação 16, caracterizado pelo fato de que compreende um segundo módulo de identidade de assinante (SIMb), para ser usado no terminal de comunicação móvel para autenticar o terminal de comunicação móvel em uma rede de comunicação móvel (155).
  18. 18. Sistema de acordo com a reivindicação 17, caracterizado pelo fato de que o segundo módulo de identidade de assinante está em uma relação de um para um fixa com o primeiro módulo de identidade de assinante.
  19. 19. Sistema de acordo com a reivindicação 17, caracterizado pelo fato de que o segundo módulo de identidade de assinante está associado com um identificador do segundo módulo de identidade de assinante, particularmente um número de terminal de comunicação móvel.
  20. 20. Sistema de acordo com qualquer uma das reivindicações 15 a 19, caracterizado pelo fato de que dito primeiro módulo de identidade de assinante está associado com um dispositivo (145) conectável ao computador por uma porta de conexão periférica de computador.
  21. 21. Sistema de acordo com qualquer uma das reivindicações 15 a 20, caracterizado pelo fato de que dita rede de comunicação móvel é uma entre uma rede de GSM, GPRS, UMTS.
  22. 22. Conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário (140, 115a) em um sistema de processamento de dados (100) a fim de conceder o acesso de terminal de processamento de dados a serviços selecionados providos pelo sistema de
    6/6 processamento de dados (100, 105), caracterizado pelo fato de que compreende:
    um primeiro módulo de identidade de assinante (SIMa); um dispositivo periférico de computador (145) tendo associado com ele o primeiro módulo de identidade de assinante e associável operativamente com o terminal de processamento de dados do usuário;
    um segundo módulo de identidade de assinante (SIMb) associável operativamente ao terminal de comunicação móvel de um usuário (150) para permitir conexão dele a uma rede de comunicação móvel (155).
  23. 23. Conjunto de autenticação de acordo com a reivindicação 22, caracterizado pelo fato de que o primeiro módulo de identidade de assinante é de um tipo adotado em redes de comunicação móveis para autenticar terminais de comunicação móveis.
    1/6
    VI ο
    rt
    Ο .'C ο
    2/6
BRPI0318596A 2003-11-07 2003-11-07 “método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados” BR0318596B1 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2003/050807 WO2005045649A1 (en) 2003-11-07 2003-11-07 Method and system for the authentication of a user of a data processing system

Publications (2)

Publication Number Publication Date
BR0318596A BR0318596A (pt) 2006-10-17
BR0318596B1 true BR0318596B1 (pt) 2018-01-09

Family

ID=34560135

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0318596A BR0318596B1 (pt) 2003-11-07 2003-11-07 “método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados”

Country Status (14)

Country Link
US (1) US8166524B2 (pt)
EP (1) EP1680720B1 (pt)
JP (1) JP4384117B2 (pt)
KR (1) KR101116806B1 (pt)
CN (1) CN1879071B (pt)
AR (1) AR046367A1 (pt)
AT (1) ATE540372T1 (pt)
AU (1) AU2003285357B2 (pt)
BR (1) BR0318596B1 (pt)
CA (1) CA2546700C (pt)
DK (1) DK1680720T3 (pt)
ES (1) ES2380320T3 (pt)
PE (1) PE20050911A1 (pt)
WO (1) WO2005045649A1 (pt)

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US8156548B2 (en) 2004-05-20 2012-04-10 Future Internet Security Ip Pty Ltd. Identification and authentication system and method
EP1757110A4 (en) * 2004-05-20 2012-02-01 Future Internet Security Ip Pty Ltd SYSTEM AND METHOD FOR IDENTIFICATION
KR100629499B1 (ko) * 2004-05-22 2006-09-28 삼성전자주식회사 인쇄시스템의 인쇄요금 과금방법
DE112005001833B4 (de) * 2004-07-30 2012-06-28 Meshnetworks, Inc. System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken
WO2006045402A1 (en) * 2004-10-26 2006-05-04 Telecom Italia S.P.A. Method and system for transparently authenticating a mobile user to access web services
FR2878109B1 (fr) * 2004-11-17 2007-02-02 Gemplus Sa Procede d'evaluation de la comptabilite entre des applications et des dispositifs de traitement
GB2422218B (en) * 2005-01-14 2009-12-23 Hewlett Packard Development Co Provision of services over a common delivery platform such as a mobile telephony network
EP1752900A1 (en) * 2005-07-18 2007-02-14 Capricorp Limited Website content access control system
GB0516616D0 (en) * 2005-08-12 2005-09-21 Vodafone Plc Mobile account management
US7613739B2 (en) 2005-11-17 2009-11-03 Research In Motion Limited Method and apparatus for synchronizing databases connected by wireless interface
EP1952656B1 (en) * 2005-11-17 2017-06-07 BlackBerry Limited System and method for communication record logging
US20150269550A1 (en) * 2006-01-24 2015-09-24 Verody, Llc Apparatus for Improving Security for User Input and/or Access to Secure Resources and/or for Point of Sale
WO2007095995A2 (de) * 2006-02-23 2007-08-30 Togewa Holding Ag Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
US7787864B2 (en) * 2006-03-27 2010-08-31 Teamon Systems, Inc. Wireless email communications system providing device capability set update features and related methods
US8522341B2 (en) * 2006-03-31 2013-08-27 Sap Ag Active intervention in service-to-device mapping for smart items
US8131838B2 (en) 2006-05-31 2012-03-06 Sap Ag Modular monitor service for smart item monitoring
KR101088618B1 (ko) * 2006-06-19 2011-11-30 인터디지탈 테크날러지 코포레이션 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치
US8353048B1 (en) * 2006-07-31 2013-01-08 Sprint Communications Company L.P. Application digital rights management (DRM) and portability using a mobile device for authentication
US8457594B2 (en) * 2006-08-25 2013-06-04 Qwest Communications International Inc. Protection against unauthorized wireless access points
US8782745B2 (en) * 2006-08-25 2014-07-15 Qwest Communications International Inc. Detection of unauthorized wireless access points
US8238882B2 (en) 2006-10-19 2012-08-07 Research In Motion Limited System and method for storage of electronic mail
US8375360B2 (en) * 2006-11-22 2013-02-12 Hewlett-Packard Development Company, L.P. Provision of services over a common delivery platform such as a mobile telephony network
US20080126258A1 (en) * 2006-11-27 2008-05-29 Qualcomm Incorporated Authentication of e-commerce transactions using a wireless telecommunications device
US8269599B2 (en) * 2007-02-07 2012-09-18 Roger Goza Computer workstation and method
KR100858146B1 (ko) 2007-02-21 2008-09-10 주식회사 케이티프리텔 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
US20080261654A1 (en) * 2007-04-18 2008-10-23 Anwar Abdullah Sakeen Information processing system
JP5138359B2 (ja) * 2007-12-27 2013-02-06 エヌ・ティ・ティ アイティ株式会社 リモートアクセス方法
EP2158784A2 (en) * 2007-06-06 2010-03-03 Boldstreet Inc. Remote service access system and method
US20140355592A1 (en) 2012-11-01 2014-12-04 Datavalet Technologies System and method for wireless device detection, recognition and visit profiling
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US20200162890A1 (en) 2007-06-06 2020-05-21 Datavalet Technologies System and method for wireless device detection, recognition and visit profiling
US8312154B1 (en) * 2007-06-18 2012-11-13 Amazon Technologies, Inc. Providing enhanced access to remote services
US9455969B1 (en) 2007-06-18 2016-09-27 Amazon Technologies, Inc. Providing enhanced access to remote services
GB0719233D0 (en) * 2007-10-02 2007-11-14 Skype Ltd Method of transmitting data in a communication system
US20140067675A1 (en) * 2012-09-06 2014-03-06 American Express Travel Related Services Company, Inc. Authentication using dynamic codes
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
EP2245770A1 (en) 2008-01-23 2010-11-03 LiveU Ltd. Live uplink transmissions and broadcasting management system and method
WO2009125919A1 (en) * 2008-04-10 2009-10-15 Lg Electronics Inc. Terminal and method for managing secure devices
TW200945865A (en) * 2008-04-23 2009-11-01 Mediatek Inc Method for handling the equipment identity requests and communication apparatus utilizing the same
CN101730092B (zh) * 2008-10-20 2013-07-03 深圳富泰宏精密工业有限公司 利用gsm手机产生一次性密码的系统及方法
RU2388053C1 (ru) * 2008-11-06 2010-04-27 Александр Геннадьевич Рожков Способ проверки транзакций, автоматическая система для проверки транзакций и узел для проверки транзакций (варианты)
US20100122327A1 (en) 2008-11-10 2010-05-13 Apple Inc. Secure authentication for accessing remote resources
US8782391B2 (en) 2009-06-10 2014-07-15 Visa International Service Association Service activation using algorithmically defined key
GB0910897D0 (en) * 2009-06-24 2009-08-05 Vierfire Software Ltd Authentication method and system
AU2009350015A1 (en) 2009-07-17 2012-03-08 Boldstreet Inc. Hotspot network access system and method
CN101990202B (zh) * 2009-07-29 2013-06-12 中兴通讯股份有限公司 更新用户策略的方法及应用服务器
CN102484776B (zh) * 2009-08-24 2016-03-02 英特尔公司 系统控制信令中的短用户消息
CN101800987B (zh) * 2010-02-10 2014-04-09 中兴通讯股份有限公司 一种智能卡鉴权装置及方法
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
KR101703347B1 (ko) * 2010-08-12 2017-02-22 삼성전자 주식회사 컴퓨터 시스템과, 컴퓨터의 제어방법
CN102377759B (zh) * 2010-08-25 2014-10-08 中国移动通信有限公司 业务处理系统、用户身份识别方法以及相关装置
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) * 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
WO2012152454A1 (en) * 2011-05-12 2012-11-15 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for monitoring and theft prevention
US8887258B2 (en) * 2011-08-09 2014-11-11 Qualcomm Incorporated Apparatus and method of binding a removable module to an access terminal
CN103139265B (zh) * 2011-12-01 2016-06-08 国际商业机器公司 大规模并行计算系统中的网络传输自适应优化方法及系统
CN103246833A (zh) * 2012-02-01 2013-08-14 精品科技股份有限公司 低权限模式下执行高权限软件的方法
JP5687239B2 (ja) * 2012-05-15 2015-03-18 株式会社オプティム オペレータ認証機能を備えたオペレータ認証サーバ、オペレータシステム、オペレータ認証方法、及び、プログラム
US8787966B2 (en) * 2012-05-17 2014-07-22 Liveu Ltd. Multi-modem communication using virtual identity modules
US9379756B2 (en) 2012-05-17 2016-06-28 Liveu Ltd. Multi-modem communication using virtual identity modules
CN103516677A (zh) * 2012-06-26 2014-01-15 广州晨扬通信技术有限公司 一种数据网与电话网协同认证鉴权的方法
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US9106634B2 (en) 2013-01-02 2015-08-11 Microsoft Technology Licensing, Llc Resource protection on un-trusted devices
US9338650B2 (en) 2013-03-14 2016-05-10 Liveu Ltd. Apparatus for cooperating with a mobile device
US9980171B2 (en) 2013-03-14 2018-05-22 Liveu Ltd. Apparatus for cooperating with a mobile device
US9369921B2 (en) 2013-05-31 2016-06-14 Liveu Ltd. Network assisted bonding
US9306943B1 (en) * 2013-03-29 2016-04-05 Emc Corporation Access point—authentication server combination
WO2014166095A1 (zh) * 2013-04-11 2014-10-16 华为技术有限公司 接入网络的选择方法及设备
GB2517732A (en) * 2013-08-29 2015-03-04 Sim & Pin Ltd System for accessing data from multiple devices
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9805208B2 (en) 2013-09-30 2017-10-31 Elwha Llc Mobile device sharing facilitation methods and systems with recipient-dependent inclusion of a data selection
US9813891B2 (en) 2013-09-30 2017-11-07 Elwha Llc Mobile device sharing facilitation methods and systems featuring a subset-specific source identification
US9838536B2 (en) 2013-09-30 2017-12-05 Elwha, Llc Mobile device sharing facilitation methods and systems
US9740875B2 (en) 2013-09-30 2017-08-22 Elwha Llc Mobile device sharing facilitation methods and systems featuring exclusive data presentation
US9774728B2 (en) 2013-09-30 2017-09-26 Elwha Llc Mobile device sharing facilitation methods and systems in a context of plural communication records
US9826439B2 (en) 2013-09-30 2017-11-21 Elwha Llc Mobile device sharing facilitation methods and systems operable in network equipment
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9628482B2 (en) 2013-10-31 2017-04-18 Cellco Partnership Mobile based login via wireless credential transfer
US10181122B2 (en) 2013-10-31 2019-01-15 Cellco Partnership Mobile authentication for web payments using single sign on credentials
US10135805B2 (en) * 2013-10-31 2018-11-20 Cellco Partnership Connected authentication device using mobile single sign on credentials
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
CN104717720A (zh) * 2013-12-13 2015-06-17 香港优克网络技术有限公司 一种多通道通信终端
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
FR3023039A1 (fr) * 2014-06-30 2016-01-01 Orange Authentification d'un utilisateur
US10382961B2 (en) * 2014-12-05 2019-08-13 Ademco Inc. System and method of preventing unauthorized SIM card usage
US9385983B1 (en) 2014-12-19 2016-07-05 Snapchat, Inc. Gallery of messages from individuals with a shared interest
KR102035405B1 (ko) 2015-03-18 2019-10-22 스냅 인코포레이티드 지오-펜스 인가 프로비저닝
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
CN106919827B (zh) * 2015-12-24 2020-04-17 北京奇虎科技有限公司 无线解锁的方法、计算机设备和网络服务器
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
SG10201608532PA (en) * 2016-10-12 2018-05-30 Mastercard International Inc Methods, apparatus and devices for authenticating a call session
EP3410665B1 (en) * 2017-05-30 2020-01-01 Mastercard International Incorporated System and method to route data in networks
AU2017417132B2 (en) 2017-05-30 2020-12-03 Belgian Mobile Id Sa/Nv Mobile device authentication using different channels
US11949677B2 (en) * 2019-04-23 2024-04-02 Microsoft Technology Licensing, Llc Resource access based on audio signal
US11637850B2 (en) 2019-05-31 2023-04-25 Microsoft Technology Licensing, Llc Mitigating security risks associated with unsecured websites and networks
CN110572395B (zh) * 2019-09-09 2021-12-07 车智互联(北京)科技有限公司 一种身份验证方法和系统
SE545872C2 (en) * 2019-09-27 2024-02-27 No Common Payment Ab Generation and verification of a temporary authentication value for use in a secure transmission
FR3113753B1 (fr) * 2020-08-25 2023-05-12 Idemia France Procédé de vérification d’une carte à microcircuit, procédé de personnalisation d’une carte à microcircuit, carte à microcircuit et dispositif électronique associé
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2718310B1 (fr) * 1994-03-29 1996-04-26 Alcatel Mobile Comm France Dispositif d'auto-invalidation d'un terminal portatif du type radiotéléphone mobile.
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
JP2954086B2 (ja) * 1997-05-16 1999-09-27 埼玉日本電気株式会社 移動通信システム
US6230002B1 (en) 1997-11-19 2001-05-08 Telefonaktiebolaget L M Ericsson (Publ) Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
FR2795264B1 (fr) 1999-06-16 2004-04-02 Olivier Lenoir Systeme et procedes d'acces securise a un serveur informatique utilisant ledit systeme
FR2809555B1 (fr) * 2000-05-26 2002-07-12 Gemplus Card Int Securisation d'echanges de donnees entre des controleurs
GB2364619A (en) * 2000-07-10 2002-01-30 Ubinetics Ltd Operation of two SIM cards simultaneously
JP2002140302A (ja) 2000-10-30 2002-05-17 Naoki Hori 認証方法及び認証装置並びに端末装置
GB2370383A (en) 2000-12-22 2002-06-26 Hewlett Packard Co Access to personal computer using password stored in mobile phone
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US20060269061A1 (en) * 2001-01-11 2006-11-30 Cardinalcommerce Corporation Mobile device and method for dispensing authentication codes
FR2821225B1 (fr) * 2001-02-20 2005-02-04 Mobileway Systeme de paiement electronique a distance
US20030055738A1 (en) * 2001-04-04 2003-03-20 Microcell I5 Inc. Method and system for effecting an electronic transaction
US20030061503A1 (en) 2001-09-27 2003-03-27 Eyal Katz Authentication for remote connections
FI114180B (fi) * 2001-06-12 2004-08-31 Nokia Corp Parannettu menetelmä ja laitejärjestely tietojen siirron salaamiseksi radioverkon päätelaitteen sisältämässä rajapinnassa sekä radioverkon päätelaite
WO2003017125A1 (en) * 2001-08-07 2003-02-27 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
GB2380356B (en) 2001-09-26 2006-05-31 Sendo Int Ltd Disabling of mobile communication apparatus
KR100655017B1 (ko) * 2001-10-24 2006-12-06 지멘스 악티엔게젤샤프트 인증된 액세스 방법, 데이터 네트워크, 및 액세스 포인트
ATE254773T1 (de) * 2002-03-18 2003-12-15 Ubs Ag Sichere benutzerauthenifizierung über ein kommunikationsnetzwerk
US20030187808A1 (en) * 2002-03-29 2003-10-02 Alfred Walter K. Electronic cost estimator for processing of paper products
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
DE10230617B4 (de) * 2002-07-03 2004-12-23 Siemens Ag Automatisches Umschalten zwischen Mobilfunkgeräten
US20040019564A1 (en) * 2002-07-26 2004-01-29 Scott Goldthwaite System and method for payment transaction authentication
GB2392590B (en) * 2002-08-30 2005-02-23 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
JP4511459B2 (ja) * 2002-10-17 2010-07-28 ヴォウダフォン・グループ・ピーエルシー トランザクションの容易化および認証
US20060155653A1 (en) * 2002-11-25 2006-07-13 Conax As Gms sms based authentication system for digital tv
US7562218B2 (en) * 2004-08-17 2009-07-14 Research In Motion Limited Method, system and device for authenticating a user
US20080108322A1 (en) * 2006-11-03 2008-05-08 Motorola, Inc. Device and / or user authentication for network access
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment

Also Published As

Publication number Publication date
JP4384117B2 (ja) 2009-12-16
US20080295159A1 (en) 2008-11-27
KR101116806B1 (ko) 2012-02-28
DK1680720T3 (da) 2012-05-07
CN1879071B (zh) 2010-06-09
ES2380320T3 (es) 2012-05-10
CA2546700A1 (en) 2005-05-19
CA2546700C (en) 2013-03-05
EP1680720A1 (en) 2006-07-19
JP2007524259A (ja) 2007-08-23
EP1680720B1 (en) 2012-01-04
US8166524B2 (en) 2012-04-24
KR20060135630A (ko) 2006-12-29
AU2003285357B2 (en) 2010-12-02
CN1879071A (zh) 2006-12-13
AU2003285357A1 (en) 2005-05-26
ATE540372T1 (de) 2012-01-15
PE20050911A1 (es) 2005-12-05
BR0318596A (pt) 2006-10-17
WO2005045649A1 (en) 2005-05-19
AR046367A1 (es) 2005-12-07

Similar Documents

Publication Publication Date Title
BR0318596B1 (pt) “método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados”
US7487357B2 (en) Virtual smart card system and method
US7275260B2 (en) Enhanced privacy protection in identification in a data communications network
KR101281217B1 (ko) 토큰 공유 시스템 및 방법
US7085840B2 (en) Enhanced quality of identification in a data communications network
US7496751B2 (en) Privacy and identification in a data communications network
US20050289085A1 (en) Secure domain network
US20030084302A1 (en) Portability and privacy with data communications network browsing
EP1102157A1 (en) Method and arrangement for secure login in a telecommunications system
ES2875963T3 (es) Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos
US20040260946A1 (en) User not present
Aboba et al. Criteria for evaluating roaming protocols
CN109150547A (zh) 一种基于区块链的数字资产实名登记的系统和方法
WO2010123385A1 (en) Identifying and tracking users in network communications
US20110213981A1 (en) Revocation of a biometric reference template
US6795920B1 (en) Vault controller secure depositor for managing secure communication
RU2354066C2 (ru) Способ и система для аутентификации пользователя системы обработки данных
US7010810B2 (en) Method and apparatus for providing a software agent at a destination host
KR20030042789A (ko) 로밍 사용자 인증을 위한 트러스트 모델
JP2001337918A (ja) 情報管理システムおよび情報通信システム
JP2002041523A (ja) 電子メール検索型データベースシステム及び電子メールを用いたデータベース検索方法
Aboba et al. RFC2477: Criteria for Evaluating Roaming Protocols
Zhu Two factor authentication and authorization in ubiquitous mobile computing
NZ576526A (en) Identifying and tracking users in network communications
ITRM20010039A1 (it) Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.

Legal Events

Date Code Title Description
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: G06F 1/00 , H04L 29/06 , H04L 12/56 , H04Q 7/22

Ipc: H04L 29/06 (2006.01), G06F 21/34 (2013.01), G06F 2

Ipc: H04L 29/06 (2006.01), G06F 21/34 (2013.01), G06F 2

B07A Application suspended after technical examination (opinion) [chapter 7.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]
B21F Lapse acc. art. 78, item iv - on non-payment of the annual fees in time

Free format text: REFERENTE A 19A ANUIDADE.

B24J Lapse because of non-payment of annual fees (definitively: art 78 iv lpi, resolution 113/2013 art. 12)

Free format text: EM VIRTUDE DA EXTINCAO PUBLICADA NA RPI 2695 DE 30-08-2022 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDA A EXTINCAO DA PATENTE E SEUS CERTIFICADOS, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.