BR102015027719A2 - security method for user authentication via public telephony using dtmf signal - Google Patents

security method for user authentication via public telephony using dtmf signal Download PDF

Info

Publication number
BR102015027719A2
BR102015027719A2 BR102015027719A BR102015027719A BR102015027719A2 BR 102015027719 A2 BR102015027719 A2 BR 102015027719A2 BR 102015027719 A BR102015027719 A BR 102015027719A BR 102015027719 A BR102015027719 A BR 102015027719A BR 102015027719 A2 BR102015027719 A2 BR 102015027719A2
Authority
BR
Brazil
Prior art keywords
user
token
otp
transparent
authentication
Prior art date
Application number
BR102015027719A
Other languages
Portuguese (pt)
Inventor
Almeida Osti André
Tissato Nakamura Emilio
Bhatt Parth
Original Assignee
Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes filed Critical Fund Cpqd - Centro De Pesquisa E Desenvolvimento Em Telecomunicacoes
Priority to BR102015027719A priority Critical patent/BR102015027719A2/en
Publication of BR102015027719A2 publication Critical patent/BR102015027719A2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q5/00Selecting arrangements wherein two or more subscriber stations are connected by the same line to the exchange
    • H04Q5/02Selecting arrangements wherein two or more subscriber stations are connected by the same line to the exchange with direct connection for all subscribers, i.e. party-line systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q5/00Selecting arrangements wherein two or more subscriber stations are connected by the same line to the exchange
    • H04Q5/02Selecting arrangements wherein two or more subscriber stations are connected by the same line to the exchange with direct connection for all subscribers, i.e. party-line systems
    • H04Q5/08Signalling by continuous ac
    • H04Q5/10Signalling by continuous ac using single frequencies for different subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

metodo de segurança para autenticação de usuários via telefonia pública com uso de sinal dtmf. um token transparente é gerado no dispositivo móvel do usuário (smartphone) a partir de um cálculo de segurança que utiliza token otp gerado a partir de semente otp e informações do id dispositivo móvel (device id), sendo enviado na rede pública de telefonia via sinais dtmf. no prestador de serviços há um servidor de autenticação que valida o token transparente recebido do usuário. o método é proposto para ser utilizado através de ligações telefônicas originadas de telefone celular. com o seu uso, não há necessidade de uma interação direta entre o usuário e o dispositivo, bem como não há necessidade do usuário carregar dispositivos adicionais como um token chaveiro ou um cartão de segurança. o token transparente, calculado a partir de um token otp e um device id, provê maior nível de segurança quando comparado com um token otp tradicional.security method for user authentication via public telephony using dtmf signal. A transparent token is generated on the user's mobile device (smartphone) from a security calculation that uses otp token generated from otp seed and device id information, and is sent to the public telephone network via signals. dtmf. In the service provider there is an authentication server that validates the transparent token received from the user. The method is proposed to be used through phone calls originating from cell phone. With its use, there is no need for direct user-device interaction, as well as no need for the user to carry additional devices such as a keychain token or a security card. The transparent token, calculated from an otp token and a device id, provides a higher level of security compared to a traditional otp token.

Description

“MÉTODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” APRESENTAÇÃO E CAMPO DA INVENÇÃO“SECURITY METHOD FOR USER AUTHENTICATION BY PUBLIC TELEPHONY USING DTMF SIGNAL” PRESENTATION AND FIELD OF THE INVENTION

[0001 ]A presente invenção se aplica ao desenvolvimento de um método de segurança para autenticação transparente com o objetivo de melhorar a segurança e a usabilidade do usuário no acesso a serviços via canais de voz e telefonia pública. Um loken transparente é gerado no dispositivo do usuário (smartphone) a partir de um cálculo de segurança que utiliza semente OTP e informações do ID do dispositivo móvel (Device ID), sendo enviado na rede pública de telefonia via sinais DTMF. No prestador de serviços, há um servidor de autenticação que valida o token transparente recebido do usuário. O método é proposto para ser utilizado através de ligações telefônicas originadas de telefone celular.[0001] The present invention applies to the development of a security method for transparent authentication in order to improve user security and usability in accessing services via voice and public telephony channels. A transparent loken is generated on the user's device (smartphone) from a security calculation that uses OTP seed and mobile device ID (Device ID) information and is sent to the public telephone network via DTMF signals. At the service provider, there is an authentication server that validates the transparent token received from the user. The method is proposed to be used through telephone calls originating from cell phones.

[0002] O uso do token transparente reduz os riscos de fraudes, além de facilitar o acesso do usuário aos serviços via canal de voz, se comparado com métodos tradicionais de autenticação, tais como perguntas de verificação ou códigos de segurança. Com o seu uso, não há necessidade de uma interação direta entre o usuário e o dispositivo, bem como não há necessidade do usuário carregar dispositivos adicionais como um token do tipo chaveiro ou um cartão de segurança.Using the transparent token reduces the risk of fraud and facilitates user access to voice channel services compared to traditional authentication methods such as verification questions or security codes. Using it, there is no need for direct user-device interaction, and no need for the user to carry additional devices such as a keychain token or security card.

[0003] 0 token transparente, calculado a partir de um token OTP e um DD do dispositivo móvel {Device ID), provê maior nível de segurança quando comparado com um token OTP tradicional.The transparent token, calculated from an OTP token and a Mobile Device DD (Device ID), provides a higher level of security compared to a traditional OTP token.

TERMINOLOGIASTERMINOLOGIES

[0004] Para melhor entendimento deste pedido de patente se faz premente definir algumas siglas, expressões e termos utilizados ao longo deste descritivo: CALLER ID SPOOFING - Fraude com alteração do número de telefone que origina a chamada. DEVICE ID - Elemento que identifica unicamente o dispositivo móvel. DTMF - Dual Tone Multi Frequency - Frequência utilizada na telefonia fixa para transmissão de informações. HASH - Algoritmo de Criptografia - Algoritmo Hash. HTTP - HyperText Transport Protocol - Protocolo de transferência entre sistemas de informação que permite a transferência de dados entre rede de computadores. KBA - Knowledge Based Authentication - Método de autenticação em que o usuário autenticado deve conhecer as respostas de perguntas específicas. OOB - Out Of Band - Fora da Banda - Troca de informações em um canal dedicado separado. OTP - One Time Password - Senha de uso único. PHISHING - Técnica de fraude on-line para roubo de senhas e dados pessoais. PHARMING - Evolução da técnica de fraude on-line para roubo de senhas e dados pessoais. PIN - Número de identificação pessoal. PROXY - Servidor intermediário entre usuários e outros servidores. SIM - Subscriber Identity Module - Módulo de Identificação do Assinante. SMS - Short Message Service - Serviço de mensagens via dispositivo móvel. SNIFFING -Ferramenta utilizada para interceptar e dados em uma rede de computadores. URA - Unidade de Resposta Audível - Utilizado em centros de atendimento telefônico. VoIP - Voice over IP - Voz sobre protocolo de Internet.For better understanding of this patent application it is urgent to define some acronyms, expressions and terms used throughout this description: CALLER ID SPOOFING - Fraud with alteration of the telephone number that originates the call. DEVICE ID - Element that uniquely identifies the mobile device. DTMF - Dual Tone Multi Frequency - Frequency used in fixed telephony for information transmission. HASH - Cryptography Algorithm - Hash Algorithm. HTTP - HyperText Transport Protocol - A transfer protocol between information systems that allows data transfer between computer networks. KBA - Knowledge Based Authentication - Authentication method in which the authenticated user must know the answers to specific questions. OOB - Out Of Band - Exchange information on a separate dedicated channel. OTP - One Time Password - One Time Password. PHISHING - Online fraud technique for stealing passwords and personal data. PHARMING - Evolution of online fraud technique for theft of passwords and personal data. PIN - Personal Identification Number. PROXY - Intermediate server between users and other servers. YES - Subscriber Identity Module - Subscriber Identification Module. SMS - Short Message Service - Message service via mobile device. SNIFFING - Tool used to intercept and data on a computer network. IVR - Audible Response Unit - Used in call centers. VoIP - Voice over IP - Voice over Internet Protocol.

CONVENCIMENTO TEÓRICOTHEORETICAL CONVENTION

[0005] Em geral, uma rede de comunicação é um conjunto geograficamente distribuído de sub-redes interligadas para o transporte de dados, por exemplo, sinais de voz, entre os nós, tais como nós intermediários e os nós finais. Como exemplo de nós finais temos telefones, servidores, dispositivos móveis e computadores pessoais. Os nós se comunicam normalmente através do intercâmbio de dados de acordo com protocolos pré-definidos. Neste contexto, um protocolo consiste num conjunto de regras que determinam como os nós interagem uns com os outros.In general, a communication network is a geographically distributed set of interconnected subnets for transporting data, for example, voice signals, between nodes, such as intermediate nodes and end nodes. As an example of us end we have phones, servers, mobile devices and personal computers. Nodes communicate normally through data exchange according to predefined protocols. In this context, a protocol consists of a set of rules that determine how nodes interact with each other.

[0006] A autenticação é necessária, a fim de fornecer acesso seguro ao usuário para um serviço remoto, tal como um sistema on-line ou por telefone, ou para um serviço local. No entanto, os processos comuns de autenticação podem ser desgastantes para o usuário quando solicita um serviço através do telefone, em que é obrigado a responder a numerosos pedidos de senhas e/ ou dados pessoais, além do que tais pedidos podem ter que ser repetidos quando este usuário é passado para um outro atendente durante a mesma chamada. O usuário pode necessitar de senhas difíceis de lembrar e também acontecer destas senhas serem interceptadas, além do que os dados pessoais do usuário podem ser ilegalmente obtidos a partir de outros meios.Authentication is required in order to provide secure user access to a remote service, such as an online or telephone system, or to a local service. However, common authentication processes can be stressful for the user when requesting a service over the telephone, where they are required to respond to numerous requests for passwords and / or personal data, and such requests may have to be repeated when This user is passed to another attendant during the same call. The user may need passwords that are difficult to remember, and these passwords may also be intercepted, and the user's personal data may be illegally obtained through other means.

[0007] A autenticação visa validar determinada identidade, podendo ser o usuário, o dispositivo ou a transação. A autenticação pode ser baseada fatores: em algo que o usuário sabe, em algo que o usuário possui ou em algo que o usuário é. Cada método de autenticação possui uma função contra uma variedade de ataques diferentes contra sistemas de autenticação. Os ataques contra sistemas de autenticação tem por objetivo o acesso a determinado serviço de uma forma ilícita, com falsificação de identidade (usuário ou dispositivo).[0007] Authentication is intended to validate a particular identity, which may be the user, device or transaction. Authentication can be based on factors: something the user knows, something the user has, or something the user is. Each authentication method has a function against a variety of different attacks against authentication systems. Attacks against authentication systems are intended to gain access to a particular service in an unlawful manner, with impersonation (user or device).

[0008] Um dos ataques, conhecido como ataque de replay, reutiliza uma credencial de acesso em um acesso posterior.[0008] One of the attacks, known as a replay attack, reuses an access credential on subsequent access.

[0009] Outro problema é o uso de senhas como credencial de acesso. Senhas podem ser furtadas, descobertas, adivinhadas ou quebradas.Another problem is the use of passwords as an access credential. Passwords can be stolen, discovered, guessed or broken.

[0010] O uso de autenticação multifator faz com que ataques sejam mais difíceis de serem efetivados.The use of multifactor authentication makes attacks more difficult to carry out.

[0011] As utilizações de recursos técnicos promovem autenticação do usuário de forma mais segura, com uma série de ataques contra a autenticação sendo evitados, como o uso de token OTP, que é uma senha de uso único.Use of technical resources promotes user authentication more securely, with a number of attacks against authentication being avoided, such as using an OTP token, which is a one-time password.

[0012] O token OTP é normalmente inserido pelo próprio usuário, o que torna o token transparente, que é utilizado automaticamente no processo de autenticação, mais seguro nesta comparação direta.[0012] The OTP token is normally inserted by the user himself, which makes the transparent token, which is automatically used in the authentication process, more secure in this direct comparison.

[0013] Existem alguns cenários de ataques que analisam as abordagens do token transparente com o de token tradicional OTP, entre eles: [0014] Força bruta: o atacante possui um tempo limitado para realizar o ataque, já que tanto o token transparente quanto o token OTP possuem validade baseado no tempo, tradicionalmente 30 segundos. Considerando o seu uso em canal telefônico de voz, o espaço para o sucesso deste ataque é baixo, já que um determinado número de token transparente ou token OTP poderá ser testado somente uma vez a cada ligação telefônica.[0013] There are some attack scenarios that analyze transparent token approaches with traditional OTP token approaches, including: [0014] Brute force: The attacker has limited time to perform the attack, as both the transparent and the token OTP token have a time-based validity, traditionally 30 seconds. Given its use in a voice phone channel, the scope for the success of this attack is low, as a certain number of transparent token or OTP token can be tested only once for each telephone call.

[0015] Ligações telefônicas simultâneas: o atacante pode obter um conjunto de dispositivos móveis para realizar ligações simultâneas que inserem valores diferentes de tokens transparentes ou tokens OTP. De forma similar ao ataque de força bruta, há o limitante do tempo de validade do token. Porém, o atacante possui neste caso a possibilidade de tornar o ataque mais rápido com a paralelização. No entanto, com o uso do token de 08 dígitos, seria necessário que o atacante utilizasse 100.000.000 de dispositivos móveis simultâneos para que conseguisse autenticar um acesso no espaço de tempo disponível de validade do token transparente ou token OTP (tradicionalmente 30 segundos). Além disso, o atacante teria que falsificar o número do telefone (Caller ID Spoofing) caso o prestador de serviços realize esta verificação de origem da chamada telefônica.Simultaneous telephone calls: The attacker can obtain a set of mobile devices to make simultaneous calls that enter different values of transparent tokens or OTP tokens. Similar to brute force attack, there is a limit on the token's validity time. However, the attacker in this case has the possibility of making the attack faster with parallelization. However, using the 08-digit token would require the attacker to use 100,000,000 simultaneous mobile devices to authenticate an access within the transparent token or OTP token available time-frame (traditionally 30 seconds). In addition, the attacker would have to falsify the Caller ID Spoofing if the service provider performs this verification of the origin of the telephone call.

[0016] Furto da semente OTP e do ID do dispositivo móvel (Device ID) durante a transmissão: o atacante, para realizar um acesso ilícito, poderia utilizar a semente OTP da vítima. No caso do token OTP tradicional, o atacante deve obter a semente OTP no momento da sua transmissão para o usuário. Já no caso do token transparente, é preciso que o atacante tenha acesso também ao ID do dispositivo móvel (Device ID) no momento em que ele é enviado ao servidor.Theft of the OTP seed and Mobile Device ID during transmission: The attacker could use the victim's OTP seed to perform an illicit access. In the case of the traditional OTP token, the attacker must obtain the OTP seed at the moment of its transmission to the user. In the case of the transparent token, the attacker must also have access to the Device ID at the moment it is sent to the server.

[0017] Furto da semente OTP e do ID do dispositivo móvel (Device ID) diretamente no dispositivo do usuário: o atacante pode contaminar o dispositivo do usuário com malware e obter, de forma ilícita, tanto a semente OTP quanto o ID do dispositivo móvel (Device ID). Há técnicas como a ofuscação de dados para dificultar este ataque.[0017] OTP seed and mobile device ID theft directly on the user's device: The attacker could infect the user's device with malware and illegally obtain both the OTP seed and the mobile device ID. (Device ID). There are techniques like data obfuscation to make this attack difficult.

[0018] Para superar o problema de acesso fraudulento aos sistemas de telefone de negócios e conferências inclui exigir que os usuários autorizados a entrar com um número de identificação pessoal (PIN). Mecanismos para validar o identificador de chamadas também são amplamente utilizados. Ferramentas comumente usadas por hackers para comprometer senhas de usuários e segurança de rede incluem sniffing (no qual os hackers roubam senhas transmitidas através de redes sem fio). Além disso, um identificador de chamadas pode ser inteiramente falsificado sem muita dificuldade em uma rede de telefonia pública.[0018] To overcome the problem of fraudulent access to business and conference phone systems includes requiring authorized users to sign in with a personal identification number (PIN). Mechanisms for validating caller ID are also widely used. Tools commonly used by hackers to compromise user passwords and network security include sniffing (in which hackers steal passwords transmitted over wireless networks). In addition, a caller ID can be entirely spoofed without much difficulty on a public telephone network.

[0019] Uma variedade de protocolos e algoritmos de segurança foram desenvolvidos para atender à necessidade de autenticar os usuários que tentam acessar serviços.A variety of security protocols and algorithms have been developed to address the need to authenticate users attempting to access services.

[0020] Para amenizar esse problema e minimizar o risco dessa ameaça, algumas instituições têm se deslocado para a implementação de token único, soluções de autenticação multifator e usando multifator de tokens criptográficos ou dispositivos de senhas multifator de uso único. Tais soluções, os quais são bem conhecidos na técnica, até agora têm onerosas despesas e complexos sistemas de distribuição de um cartão ou de um sinal para os usuários finais. No token criptográfico multifator e multifator de soluções de senha única, essas implantações enfrentam desafios adicionais, pois a correta aplicação exige uma liberação de chave criptográfica do dispositivo que de baseia no uso de uma senha associada a esse dispositivo. Tais dispositivos são caros, e implementações são demoradas e logisticamente complicada de implementar e gerenciar especialmente para bases heterogêneas de usuários em grande escala.To alleviate this problem and minimize the risk of this threat, some institutions have shifted to deploying single token, multifactor authentication solutions and using cryptographic token multifactor or single-use multifactor password devices. Such solutions, which are well known in the art, have so far costly and complex card or signal distribution systems to end users. In the multifactor and multifactor cryptographic token of single-password solutions, these deployments face additional challenges as proper application requires a device cryptographic key release based on the use of a password associated with that device. Such devices are expensive, and implementations are time consuming and logistically complicated to implement and manage especially for heterogeneous large-scale user bases.

[0021] A presente invenção refere-se a um método e sistema de autenticação segurança através da afirmação de identidade eletrônica, com uma confiança muito alta com foco em telefonia, com a autenticação ocorrendo de uma forma transparente via sinal telefônico DTMF.[0021] The present invention relates to a method and system of security authentication by asserting electronic identity with very high telephony-focused reliability, with authentication occurring transparently via DTMF telephone signal.

DESCRIÇÃO DO ESTADO DA TÉCNICADESCRIPTION OF TECHNICAL STATE

[0022] Em métodos tradicionais de autenticação de usuários que utilizam serviços via telefonia pública (canal de voz), há interação do usuário com seu dispositivo ou com o atendente para o envio de informações que validem a sua identidade.[0022] In traditional methods of authenticating users who use services via public telephony (voice channel), there is user interaction with their device or attendant to send information that validates their identity.

[0023] Alguns métodos tradicionais de autenticação realizados quando um canal de voz é utilizado são: [0024] Senhas: o usuário disca uma senha no seu dispositivo (telefone fixo ou móvel), que é enviada ao provedor de serviços via sinal DTMF (Dual TONE Multi Frequency). Uma unidade de resposta audível (URA) traduz este sinal DTMF para valores que são comparados no servidor de autenticação.Some traditional authentication methods performed when a voice channel is used are: Passwords: The user dials a password on their device (landline or mobile), which is sent to the service provider via DTMF (Dual Signal) signal. TONE Multi Frequency). An audible response unit (IVR) translates this DTMF signal to values that are compared on the authentication server.

[0025] Token: também conhecido como OTP (One Time Password), possui valores válidos para uso único. Uma das formas é o usuário possuir cartão de segurança que corresponde a uma tabela com valores em uma série de posições que o usuário deve discar em seu dispositivo, de acordo com a posição solicitada. O OTP pode também existir em um dispositivo físico (tal como um chaveiro), ou em um software no dispositivo móvel (como um smartphone). Neste caso, o usuário olha o número gerado no dispositivo ou no software e disca durante a ligação telefônica. Estes números são diferentes a cada acesso.[0025] Token: Also known as OTP (One Time Password), has valid values for single use only. One way is for the user to have a security card that corresponds to a table with values in a series of positions that the user must dial on their device, according to the requested position. OTP can also exist on a physical device (such as a keychain), or software on the mobile device (such as a smartphone). In this case, the user looks at the number generated on the device or software and dials during the phone call. These numbers are different with each access.

[0026] Perguntas de verificação: também conhecido como KBA (Knowledge-Based-Authentication), em que o usuário deve responder a perguntas específicas realizadas por um atendente. A atendente, por sua vez, realiza manualmente as verificações, de acordo com o cadastro daquele usuário.Verification Questions: Also known as Knowledge-Based Authentication (KBA), where the user must answer specific questions asked by an attendant. The attendant, in turn, performs the checks manually, according to the registration of that user.

[0027] Os métodos tradicionais possuem dois pontos elementos negativos fundamentais: (i) fraquezas que resultam em níveis de segurança menores, e (ii) diminuição de usabilidade do usuário, que passa a sofrer dificuldades de uso.Traditional methods have two fundamental negative elements: (i) weaknesses that result in lower security levels, and (ii) decreased usability of the user, which becomes difficult to use.

[0028] No caso do nível de segurança, as empresas adotam as três formas de autenticação em conjunto (senhas, tokens e perguntas de verificação), justamente por não confiar somente em um método de autenticação.In the case of the security level, companies adopt the three forms of joint authentication (passwords, tokens and verification questions), precisely because they do not rely solely on one authentication method.

[0029] No caso da usabilidade, o usuário tem que memorizar uma série de informações (tais como senhas, datas, nomes, últimas transações), tem que carregar dispositivos (tais como cartões ou dispositivos como tokens chaveiros), e perdem tempo tendo que discar números (senhas, tokens) ou respondendo a perguntas de verificação.In the case of usability, the user has to memorize a lot of information (such as passwords, dates, names, last transactions), have to load devices (such as cards or devices like keychains tokens), and waste time having to dialing numbers (passwords, tokens) or answering verification questions.

[0030] São apresentados a seguir alguns dos problemas de segurança que existem em cada um dos métodos de autenticação supracitados.The following are some of the security issues that exist with each of the above authentication methods.

[0031] Senha: o atacante pode adivinhar, tentar diferentes combinações até conseguir o acesso ou obter a senha do usuário via engenharia social, phising ou pharming. Uma vez descoberta, a senha pode ser utilizada para fraudes, até que ela seja substituída pelo usuário ou bloqueada pela empresa. Além disso, uma senha pode ser capturada durante a comunicação, ou durante a sua inserção pelo usuário no dispositivo ou no próprio sistema da empresa. Uma vez descoberta, a senha pode dar acesso ao sistema ou levar ao ataque de replay.[0031] Password: The attacker can guess, try different combinations until they gain access or obtain the user's password via social engineering, phising or pharming. Once discovered, the password can be used for fraud until it is overwritten by the user or locked out by the company. In addition, a password can be captured during communication, or when entered by the user on the device or the company's own system. Once discovered, the password can give access to the system or lead to the replay attack.

[0032] Token: possui maiores problemas de usabilidade, já que o usuário tem que carregar um cartão ou dispositivo para o acesso ao número válido atual. Uma vez obtido o número válido atual, o usuário deve discar o número no dispositivo. Há possibilidade de ataques, porém pelo tempo limitado de validade daquele OTP. Mas, ataques podem ser realizados caso o atacante obtenha a semente que é utilizada para o cálculo do número OTP. No caso do cartão de segurança, além do número limitado, que facilita ataques de replay, há ataques em que os usuários são enganados e levados a digitar todos os números do cartão em sites falsificados.[0032] Token: It has major usability issues as the user has to carry a card or device to access the current valid number. Once the current valid number is obtained, the user must dial the number on the device. There is a possibility of attacks, but for the limited period of validity of that OTP. But attacks can be performed if the attacker obtains the seed that is used to calculate the OTP number. In the case of the security card, in addition to the limited number that facilitates replay attacks, there are attacks where users are tricked into entering all card numbers on fake websites.

[0033] Perguntas de verificação: geralmente as perguntas são comuns e fáceis de serem descobertas por fraudadores, o que torna a sua efetividade baixa.[0033] Verification questions: Generally, questions are common and easy for fraudsters to find out, which makes their effectiveness low.

[0034] Existem também métodos em dispositivos de telefonia móvel que autenticam o acesso a partir da própria chamada telefónica para um serviço remoto, com o uso de identificador de chamadas DTMF.There are also methods in mobile telephone devices that authenticate access from the telephone call itself to a remote service using DTMF caller ID.

[0035] Estes meios técnicos são conhecidos por fornecer autenticação de forma mais segura, como a geração de uma senha de uso único (OTP). No entanto, estes são normalmente fornecidos como sistemas autônomos que não estão estreitamente integrados com o serviço para o qual o usuário está sendo autenticado.These technical means are known to provide more secure authentication, such as the generation of a one-time password (OTP). However, these are typically provided as standalone systems that are not closely integrated with the service to which the user is being authenticated.

[0036] O atual estado da técnica antecipa alguns documentos de patentes que versam sobre a matéria em questão, no que tange o uso de OTP para validar o dispositivo móvel o US 8296562 intitulado “Out of Band System and Method for Authentication” - valida o dispositivo móvel do usuário.A validação é realizada com o envio de um token OTP para o dispositivo do usuário via um canal OOB (Out-Of-Band). O uso deste mecanismo evita ataques de Caller ID Spoofing, no qual o atacante finge ser o usuário legitimo, manipulando o número telefônico de origem como se fosse o da vítima. A mensagem SMS contendo o token OTP é enviada ao número telefônico do usuário. O software instalado no dispositivo do usuário identifica o SMS recebido do servidor SMS do prestador de serviços e extrai as informações do token OTP. Em seguida, o SMS pode ser apagado e o mesmo token OTP é enviado pelo canal de dados para o servidor de autenticação, que por sua vez valida este token OTP, completando assim o ciclo de autenticação OOB, com o uso de dois canais diferentes de comunicação: dados e telefonia móvel (SMS).[0036] The current state of the art anticipates some patent documents dealing with the subject matter regarding the use of OTP to validate the mobile device US 8296562 entitled "Out of Band System and Method for Authentication" - validates the user's mobile device. Validation is performed by sending an OTP token to the user's device via an OOB (Out-Of-Band) channel. Using this mechanism avoids Caller ID Spoofing attacks, in which the attacker pretends to be the legitimate user by manipulating the originating telephone number as if it were the victim's. The SMS message containing the OTP token is sent to the user's phone number. Software installed on the user's device identifies the SMS received from the service provider's SMS server and extracts the information from the OTP token. Then the SMS can be deleted and the same OTP token is sent over the data channel to the authentication server, which in turn validates this OTP token, thus completing the OOB authentication cycle by using two different channels. communication: data and mobile telephony (SMS).

[0037] No invento proposto utiliza-se o método de autenticação por OOB do documento anterior apenas como ferramenta para validação do dispositivo. Uma vez isso feito, é enviada a semente de OTP que é utilizada para gerar o token transparente. O invento proposto busca, mais do que validar o dispositivo, alcançar um nível de segurança e usabilidade muito maior através do método de segurança para a autenticação transparente de usuários via telefônica publica com uso do sinal DTMF.In the proposed invention the OOB authentication method of the previous document is used only as a tool for device validation. Once this is done, the OTP seed that is used to generate the transparent token is sent. The proposed invention seeks, rather than validating the device, to achieve a much higher level of security and usability through the security method for transparent user authentication via public telephone using the DTMF signal.

[0038] O documento KR20070081391A intitulado “Acoustic One Time Password System For Tele Banking Only” utiliza a abordagem com foco principal em sinais sonoros gerados por um dispositivo específico, que deve ser manipulado pelo usuário com a aproximação do dispositivo junto ao microfone do telefone para a emissão dos sons. Nesta anterioridade o usuário deve escolher entre botões para a criação de um token sonoro legítmo ou um token falso, para evitar alguns ataques (phising epharming).Document KR20070081391A entitled “Acoustic One Time Password System for Tele Banking Only” uses the main focus approach on beeps generated by a specific device, which should be manipulated by the user as the device approaches the telephone microphone to the emission of sounds. In this case, the user must choose between buttons for creating a legitimate sound token or a fake token, to avoid phishing epharming.

[0039] Neste invento proposto, diferente do método do documento anterior que utiliza dispositivo específico, a autenticação transparente de usuários é feita via telefonia pública com uso de sinal DTMF para o envio de números que representem o OTP, sem que o usuário tenha que realizar qualquer ação ou tenha que utilizar um dispositivo especializado. Assim, há melhor usabilidade e maior segurança no uso do token transparente, que é gerado a cada acesso a partir de uma semente OTP e um Device ID.In this proposed invention, unlike the previous document method that uses specific device, transparent authentication of users is done via public telephony using DTMF signal for sending numbers representing OTP, without the user having to perform any action or have to use a specialized device. Thus, there is better usability and greater security in the use of the transparent token, which is generated at each access from an OTP seed and a Device ID.

[0040] O Documento US2012066749A1 intitulado “Method and Computer Program For Generation And Verification Of OTP Between Server And Mobile Device Using Multiple Channels” - requer que o usuário se autentique via dois canais distintos em cada comunicação.Document US2012066749A1 entitled “Method and Computer Program for Generation and Verification of OTP Between Server and Mobile Device Using Multiple Channels” - requires the user to authenticate via two distinct channels in each communication.

[0041] No invento proposto, dois canais são utilizados apenas durante a etapa de inicialização da aplicação, instalação e configuração do cliente, de forma transparente para o usuário, que não precisa realizar nenhuma ação. Todos os usos posteriores requerem apenas um único canal, o que permite melhor usabilidade e maior segurança para o usuário.[0041] In the proposed invention, two channels are used only during the client application startup, installation and configuration step, in a transparent manner to the user who does not need to take any action. All subsequent uses require only a single channel, which allows for better usability and greater user safety.

[0042] O Documento GB2495474A intitulado “Mobile Device User Authenntication Within a Telephone Call, Messaging Session Or At A Physical Location” - o usuário precisa fornecer uma senha antes do uso do token OTP, de modo que exige ação do usuário.[0042] Document GB2495474A entitled “Mobile Device User Authentication Within a Telephone Call, Messaging Session Or At A Physical Location” - the user must provide a password before using the OTP token, so it requires user action.

[0043] Neste invento proposto há uma série de verificações para que haja troca de parâmetros de segurança, como a semente OTP, que são realizadas de forma transparente, assim como seu uso. O token transparente objeto deste método realiza ainda um cálculo entre o token OTP gerado a partir da semente OTP e do ID do dispositivo Móvel (Device ID), que é enviado via canal telefônico para o servidor de autenticação via sinais DTMF. No invento proposto todas as interações do usuário com o sistema de autenticação são feitas de forma transparente.In this proposed invention there are a number of checks for changing safety parameters, such as the OTP seed, which are performed transparently as well as their use. The transparent token object of this method also performs a calculation between the OTP token generated from the OTP seed and the Mobile Device ID, which is sent via telephone channel to the authentication server via DTMF signals. In the proposed invention all user interactions with the authentication system are done transparently.

[0044] O documento US2007083918A1 intitulado “Validation Of Call-out Services Transmitted Over a Public Switched telephone Network” - são fornecidos mecanismos baseados em criptografia para proteger a infraestrutura de redes telefônicas, que por sua vez é utilizada para os métodos tradicionais de autenticação, como as senhas ou tokens OTP, no qual os usuários continuariam a interagir de uma forma tradicional com a unidade de resposta audível (URA). Nesta anterioridade a mensagem é transmitida a partir de métodos criptográficos e HTTP digest e possui uma longa sequência de números, tornando mais difícil o seu uso em canais telefônicos via DTMF.[0044] Document US2007083918A1 entitled "Validation of Call-out Services Transmitted Over a Public Switched Telephone Network" - encryption-based mechanisms are provided to protect the telephone network infrastructure, which in turn is used for traditional authentication methods, like passwords or OTP tokens, where users would continue to interact in a traditional way with the audible response unit (IVR). In this case, the message is transmitted using cryptographic methods and HTTP digest and has a long sequence of numbers, making it more difficult to use on telephone channels via DTMF.

[0045] Neste invento proposto não há a necessidade de interação do usuário, que não precisa digitar nada em seu acesso, uma vez que o token transparente realiza esta função. Neste invento, a sequência de números é de 4 a 8 dígitos facilitando o seu uso em canais telefônicos.[0045] In this proposed invention there is no need for user interaction, which need not type anything in their access, since the transparent token performs this function. In this invention, the sequence of numbers is from 4 to 8 digits facilitating their use on telephone channels.

OBJETIVOS DA INVENÇÃOOBJECTIVES OF THE INVENTION

[0046] É objetivo deste método de segurança para autenticação de usuários via telefonia pública com o uso de sinal DTMF melhorar a segurança e a usabilidade do usuário no acesso a serviços via canais de voz e telefonia pública.It is the purpose of this security method for user authentication via public telephony using DTMF signal to improve user security and usability when accessing services via voice and public telephony channels.

[0047] É objetivo deste método de segurança para autenticação de usuários via telefonia pública, propor um uso onde não seja necessária uma interação direta ente o usuário e o dispositivo.The purpose of this security method for user authentication via public telephony is to propose a use where no direct interaction between the user and the device is required.

[0048] É objetivo deste método de segurança para autenticação de usuários via telefonia pública, não obrigar o usuário a carregar dispositivos adicionais como um token (chaveiro) ou um cartão de segurança.[0048] It is the purpose of this security method for user authentication via public telephony not to force the user to carry additional devices such as a token (keychain) or a security card.

[0049] É objetivo deste método de segurança para autenticação de usuários via telefonia, prover um nível de segurança maior quando comparado com um token OTP tradicional.It is the objective of this security method for telephony user authentication to provide a higher level of security when compared to a traditional OTP token.

DESCRIÇÃO GERAL DA INVENÇÃOGENERAL DESCRIPTION OF THE INVENTION

[0050] O método de segurança para a autenticação transparente de usuários via telefonia publica com uso de sinal público possui dois lados, sendo de um lado o cliente implementado em dispositivo celular móvel, e de outro lado o servidor integrado à unidade de resposta audível (URA). O usuário, ao invés de discar o número do telefone do prestador de serviços, utiliza um aplicativo (software) instalado no dispositivo móvel do usuário para esta finalidade. Este software faz a ligação telefônica para o número do prestador de serviços, inserindo nesta ligação o numero do token transparente gerado no celular. O usuário não precisa mais conhecer o número do prestador de serviços para discar, e o token transparente é enviado automaticamente à unidade de resposta audível (URA) via telefonia pública, sem a necessidade de nenhuma ação por parte do usuário e sem a necessidade de internet. O token transparente é baseado no tempo, e sincronizado com o servidor. A unidade de resposta audível (URA) traduz o sinal DTMF referente ao token recebido pelo cliente e compara com o equivalente calculado no servidor, que está sincronizado. Caso os números sejam os mesmos, a URA confirma o token e envia esta informação ao prestador de serviços. Este método pode ser utilizado em sistemas antifraude para avaliar o risco daquele acesso, pode eliminar perguntas de verificação pelo atendente de Call Center, ou mesmo autenticar o acesso do usuário pela chamada telefônica. A autenticação do acesso então é feita de forma segura e sem a necessidade de nenhuma ação por parte do usuário, e a empresa pode assim validar aquele acesso utilizando o token transparente. O token transparente pode ainda ser utilizado em conjunto com outros métodos de autenticação apropriados para o canal de voz, como a biometria de voz.[0050] The security method for transparent authentication of users via public-tone public telephony has two sides, one side being the client deployed on a mobile cellular device, and the other side the server integrated with the audible response unit ( URA). Instead of dialing the service provider's telephone number, the user uses an application (software) installed on the user's mobile device for this purpose. This software dials the service provider's number by entering the number of the transparent token generated on the phone. The user no longer needs to know the service provider's number to dial, and the transparent token is automatically sent to the audible response unit (IVR) via public telephony, without the need for any action by the user and without the internet. . The transparent token is time-based and synchronized with the server. The Audible Response Unit (IVR) translates the DTMF signal for the token received by the client and compares it to the calculated server equivalent that is synchronized. If the numbers are the same, the IVR confirms the token and sends this information to the service provider. This method can be used in anti-fraud systems to assess the risk of such access, can eliminate verification questions by the Call Center attendant, or even authenticate user access by telephone call. Authentication of access is then done securely and without any action on the part of the user, and the company can validate that access using the transparent token. The transparent token can also be used in conjunction with other authentication methods appropriate for the voice channel, such as voice biometrics.

DESCRIÇÃO DOS DESENHOSDESCRIPTION OF DRAWINGS

[0051]A presente invenção será melhor compreendida a partir da descrição detalhada que segue e das figuras anexas que a ela se referem, em que: Figura 1: Diagrama de blocos mostrando os principais componentes do sistema de autenticação com o usuário acessando o serviço da empresa pelo canal de voz.[0051] The present invention will be better understood from the following detailed description and the accompanying accompanying figures, in which: Figure 1: Block diagram showing the main components of the authentication system with the user accessing the service of the company by voice channel.

Figura 2: Diagrama de blocos mostrando os principais componentes do sistema de autenticação transparente calculado a partir do token OTP e Device ID do usuário.Figure 2: Block diagram showing key components of transparent authentication system calculated from OTP token and User Device ID.

Figura 3: Diagrama de blocos mostrando os principais componentes do sistema de autenticação utilizando o token transparente.Figure 3: Block diagram showing the main components of the authentication system using the transparent token.

Figura 4: Diagrama de blocos mostrando os principais componentes da instalação e configuração inicial do token transparente.Figure 4: Block diagram showing key components of the installation and initial configuration of the transparent token.

Figura 5: Diagrama de blocos com os principais componentes do envio de semente OTP usando OOB (Out-Of-Band).Figure 5: Block diagram with the main components of OTP seed sending using OOB (Out-Of-Band).

DESCRIÇÃO DETALHADA DA REALIZAÇÃO DA INVENÇÃODETAILED DESCRIPTION OF THE INVENTION

[0052] O método de segurança de autenticação de usuários via telefonia pública com o uso de sinal DTMF proposto possui dois lados, sendo de um lado o cliente (implementado em dispositivo móvel) e de outro lado o servidor (integrado à unidade de resposta audível -URA). O usuário, ao invés de discar o número de telefone do prestador de serviços, utiliza um software, aplicativo este instalado no dispositivo móvel. Este software faz a ligação telefônica para o número do prestador de serviços, inserindo neste mesmo o número do token transparente gerado no celular. O usuário não precisa mais conhecer o número do prestador de serviços para discar, e o token transparente é enviado automaticamente à URA via telefonia pública, sem a necessidade de nenhuma ação por parte do usuário (Figura 1), sem a necessidade de internet. O token transparente é baseado no tempo e sincronizado com o servidor. A unidade de resposta audível (URA) traduz o sinal DTMF referente ao token recebido pelo cliente e o compara com o equivalente calculado no servidor, que está sincronizado. Caso os números sejam os mesmos, a unidade de resposta audível confirma o token e envia esta informação, que pode ser utilizado em sistemas antifraude, ou pode eliminar perguntas de verificação pelo atendente de Call Center, ou mesmo autenticar a chamada telefônica. Na Figura 1 é apresentado um diagrama de blocos onde em (101) o usuário em seu dispositivo móvel abre o software do prestador de serviço, o software possui um algoritmo de token transparente que realiza um cálculo de segurança para gerar um número único a partir do token OTP (102) e informação específica do dispositivo móvel, sincronizado com o servidor. Este número é enviado, via sinal DTMF (103), para o servidor no momento de discagem. O software é o responsável, então, pela geração do número OTP, cálculo de segurança, utilizando token OTP e informações específicas do dispositivo móvel (Device ID), a incorporação deste número token transparente no número do telefone da empresa, e (104) a discagem para o número da empresa juntamente com o token transparente gerado. O acesso então é feito de forma segura e sem a necessidade de nenhuma ação por parte do usuário, e a empresa pode assim validar aquele acesso utilizando o token transparente. O token transparente pode ser visto na Figura 2.The security method of user authentication via public telephony using the proposed DTMF signal has two sides, on one side being the client (implemented on a mobile device) and on the other side the server (integrated with the audible response unit). -URA). Instead of dialing the service provider's phone number, the user uses a software application installed on the mobile device. This software makes the telephone call to the service provider's number by entering the transparent token number generated on the mobile phone. The user no longer needs to know the service provider's number to dial, and the transparent token is automatically sent to the IVR via public telephony, without any action on the part of the user (Figure 1), without the need for the internet. The transparent token is time-based and synchronized with the server. The audible response unit (URA) translates the DTMF signal for the token received by the client and compares it to the calculated server equivalent that is synchronized. If the numbers are the same, the audible response unit confirms the token and sends this information, which can be used in anti-fraud systems, or can eliminate verification questions by the Call Center attendant, or even authenticate the telephone call. Figure 1 shows a block diagram where in (101) the user on his mobile device opens the service provider software, the software has a transparent token algorithm that performs a security calculation to generate a unique number from the OTP token (102) and mobile device-specific information synchronized with the server. This number is sent via DTMF signal (103) to the server at the time of dialing. The software is then responsible for the generation of the OTP number, security calculation using OTP token and mobile device specific information (Device ID), the incorporation of this transparent token number into the company's telephone number, and (104) the dial the company number along with the generated transparent token. The access is then made securely and without any action on the part of the user, and the company can validate that access using the transparent token. The transparent token can be seen in Figure 2.

[0053] O token transparente é gerado conforme (Figura 2), inicialmente em (201) obtém-se o ID do dispositivo móvel (Device ID) a seguir é obtida a semente OTP a partir de seu armazenamento seguro no dispositivo móvel (202), que por sua vez gera um token OTP (203) que a seguir realiza operação criptográfica (204) entre o ID do dispositivo móvel (Device ID) e o token OTP e assim obtém-se o algoritmo criptográfico hash desta operação (205) sendo que o algoritmo criptográfico hash obtido a partir do token OTP e o dispositivo móvel (Device ID) é o token transparente (206). O cálculo do token transparente é realizado no dispositivo móvel do usuário e também no servidor de autenticação.The transparent token is generated according to (Figure 2), initially at (201) the mobile device ID is obtained then the OTP seed is obtained from its secure storage on the mobile device (202) , which in turn generates an OTP token (203) which then performs cryptographic operation (204) between the Device ID and the OTP token and thus hash the cryptographic algorithm of this operation (205). that the hash cryptographic algorithm obtained from the OTP token and the mobile device (Device ID) is the transparent token (206). The transparent token calculation is performed on the user's mobile device as well as on the authentication server.

[0054] O fluxo de autenticação utilizando-se um token transparente é visto na (Figura 3) inicialmente em (301) obtém-se o ID dispositivo móvel (Device ID) onde é obtida a semente OTP armazenada no dispositivo (302) a seguir é realizado o cálculo de segurança do token transparente (303) seguido pela incorporação do token transparente na ligação telefônica (304) a seguir uma ligação telefônica é realizada para o atendimento do prestador de serviços (305) a unidade de resposta audível (URA) do prestador de serviços decodifica o token transparente recebido via DTMF (306) e a unidade de resposta audível (URA) envia o token transparente para o servidor de autenticação (307) o servidor de autenticação realiza o cálculo de segurança do token transparente (308), a seguir o servidor compara os valores recebidos com os valores calculados (309) e a seguir o servidor valida aquele acesso (310).The authentication flow using a transparent token is seen in (Figure 3) initially at (301) obtaining the mobile device ID (Device ID) where the OTP seed stored in device (302) below is obtained. The transparent token security calculation is performed (303) followed by the incorporation of the transparent token in the telephone call (304). Then a telephone call is made to service the service provider (305). service provider decodes the transparent token received via DTMF (306) and the audible response unit (IVR) sends the transparent token to the authentication server (307) the authentication server performs the security calculation of the transparent token (308), then the server compares the received values with the calculated values (309) and then the server validates that access (310).

[0055] O cálculo do token transparente é realizado tanto no dispositivo móvel do usuário quanto no servidor de autenticação. A instalação do software, ou seja, o aplicativo no dispositivo móvel pelo usuário faz com que vários parâmetros de segurança sejam inicialmente configurados. O principal deles é a semente OTP, que é utilizada para a geração do token OTP, que é único e possui validade determinada por tempo, ou seja, cada token OTP gerado possui validade por tempo determinado. O token OTP, por sua vez, é utilizado para o cálculo do token transparente. Toda autenticação é realizada verificando o token transparente. Além da semente OTP, que é gerada no servidor de autenticação e deve ser enviada ao software, o ID do dispositivo móvel (Device ID) é enviado ao servidor. O fluxo que mostra as operações realizadas durante a instalação e configuração inicial do token transparente é visto na Figura 4.Transparent token calculation is performed on both the user's mobile device and the authentication server. Software installation, that is, the application on the mobile device by the user causes several security parameters to be initially set. The main one is the OTP seed, which is used for the generation of the OTP token, which is unique and has a validity determined by time, that is, each generated OTP token has validity for a determined time. The OTP token, in turn, is used for transparent token calculation. All authentication is performed by checking the transparent token. In addition to the OTP seed, which is generated on the authentication server and must be sent to the software, the Device ID is sent to the server. The flow that shows the operations performed during the initial installation and configuration of the transparent token is seen in Figure 4.

[0056] A instalação e configuração inicial do token transparente pode ser verificada no diagrama de blocos da (Figura 4), inicialmente obtém-se o ID do dispositivo móvel (Device ID) (401) o servidor no prestador de serviços recebe a requisição de geração de um token transparente (402) a seguir o servidor recebe do usuário o ID do dispositivo móvel (Device ID) (403) a seguir o servidor gera a semente de OTP (404) e então o servidor valida o dispositivo do usuário via canal OOB (Out-Of-Band) e envia a semente OTP (405). [0052]Ainda no processo de instalação e configuração inicial do token transparente, há a necessidade do usuário receber a semente OTP, que é utilizada para a geração do token OTP, que por sua vez é utilizada para o cálculo do token transparente. Este fluxo pode ser visto na (Figura 5).The initial installation and configuration of the transparent token can be verified in the block diagram of (Figure 4), initially we get the Device ID (401) the server at the service provider receives the request for generating a transparent token (402) then the server receives from the user the mobile device ID (403) then the server generates the OTP seed (404) and then the server validates the user's device via channel OOB (Out-Of-Band) and sends the OTP seed (405). [0052] Still in the process of installing and initially configuring the transparent token, there is a need for the user to receive the OTP seed, which is used for OTP token generation, which in turn is used for transparent token calculation. This flow can be seen in (Figure 5).

[0057] O envio de semente OTP usando OOB (Out-Of-Band) pode ser visto no diagrama de blocos da (Figura 5), onde o servidor de autenticação recebe o ID do dispositivo móvel do usuário (Device ID), via canal de dados (501) o servidor de autenticação gera a semente OTP (502), o servidor de autenticação gera o token OTP usando a semente (503) e o servidor de autenticação envia o token OTP em uma mensagem SMS (canal celular) (504), e o usuário recebe um SMS com token OTP (505) e o software abre de forma transparente o SMS com token OTP enviado por um número cadastrado (provedor de serviços) (506), o usuário envia, via canal de dados o token OTP para o servidor de autenticação (507), e o servidor de autenticação compara o token OTP recebido com o gerado anteriormente, validando assim o número do telefone de origem (508) e após a validação do número telefônico e do token OTP, o servidor de autenticação envia, via canal de dados a semente OTP para o usuário (509).Sending OTP seed using OOB (Out-Of-Band) can be seen in the block diagram of (Figure 5), where the authentication server receives the user's Mobile Device ID via the channel. (501) the authentication server generates the OTP seed (502), the authentication server generates the OTP token using the seed (503) and the authentication server sends the OTP token in an SMS (cell channel) message (504) ), and the user receives an OTP token SMS (505) and the software transparently opens the OTP token SMS sent by a registered number (service provider) (506), the user sends the token via the data channel OTP to the authentication server (507), and the authentication server compares the received OTP token with the one previously generated, thus validating the source telephone number (508) and after validating the telephone number and OTP token, the server authentication channel sends the OTP seed to the user via data channel (509).

[0058] O envio é realizado utilizando-se o sistema e método de OOB (Out-Of-Band) que valida o dispositivo móvel do usuário antes do envio da semente OTP. A validação é realizada com o envio de um token OTP para o dispositivo do usuário via um canal OOB (Out-of-Band), como o SMS. O uso deste mecanismo evita ataques de Caller ID Spoofing, no qual o atacante finge ser o usuário legítimo, manipulando o número telefônico como se fosse o da vítima. A mensagem SMS contendo o token OTP é enviado ao número telefônico do usuário. O software instalado no dispositivo móvel do usuário identifica o SMS recebido do número do servidor SMS do prestador de serviços e extrai as informações do token OTP. Em seguida, o SMS pode ser apagado e o mesmo token OTP é enviado pelo canal de dados para o servidor de autenticação, que por sua vez valida este token OTP, completando assim o ciclo de autenticação OOB (Out-Of-Band).Submission is performed using the Out-Of-Band (OOB) system and method that validates the user's mobile device prior to sending the OTP seed. Validation is performed by sending an OTP token to the user's device via an out-of-band (OOB) channel, such as SMS. Using this mechanism avoids Caller ID Spoofing attacks, where the attacker pretends to be the legitimate user by manipulating the phone number as if it were the victim's. The SMS message containing the OTP token is sent to the user's phone number. Software installed on the user's mobile device identifies the SMS received from the service provider's SMS server number and extracts the information from the OTP token. Then the SMS can be deleted and the same OTP token is sent over the data channel to the authentication server, which in turn validates this OTP token, thus completing the OOB (Out-Of-Band) authentication cycle.

[0059] Desta forma, o dispositivo móvel do usuário legitimo pode ser autenticado e está pronto para receber a semente personalizada para gerar OTP para fazer transações na telefonia pública.In this way, the legitimate user's mobile device can be authenticated and is ready to receive the custom seed to generate OTP to make transactions on public telephony.

[0060] O método de segurança para autenticação transparente de usuários via telefonia pública com uso de sinal DTMF pode ser implementado também para outros canais como internet ou móvel. No caso de uso do token transparente no canal móvel, o acesso a um serviço pode ser iniciado com o uso do token transparente, o que garante uma maior segurança se comparado com os métodos tradicionais. Além disso, o método proposto pode ser utilizado em conjunto com métodos já conhecidos, tal como a biometria.The security method for transparent authentication of users via public telephony using DTMF signal can also be implemented for other channels such as internet or mobile. If the transparent token is used on the mobile channel, access to a service can be initiated using the transparent token, which ensures greater security compared to traditional methods. In addition, the proposed method can be used in conjunction with known methods such as biometrics.

[0061] No caso de implementação do método proposto, o token transparente foi implementado para que uma ligação telefônica de um usuário para o acesso a um serviço como central de atendimento seja validada antes do uso da biometria.In the case of implementing the proposed method, the transparent token has been implemented so that a user's telephone call for access to a service as a call center is validated prior to the use of biometrics.

[0062] O uso em conjunto faz com que os sistemas sejam mais seguros, de uma forma transparente ao usuário, sem que o usuário tenha que tomar ações adicionais ou tenha que escolher uma senha adicional ou tenha que carregar um dispositivo adicional. Na implementação deste invento proposto, o usuário realiza a ligação telefônica e a autenticação biométrica. Caso a ligação telefônica não passe pela verificação do token transparente e os resultados da biometria levem à dúvida, há a necessidade de métodos tradicionais já utilizados, como as perguntas de verificação. Assim, o uso do token transparente ajuda na autenticação do usuário, com o benefício adicional do ganho de tempo de atendimento com a eliminação de perguntas de verificação, nesta implementação da invenção. As fraudes adicionais em serviços disponibilizados pelo telefone, como a clonagem de SIM ou clonagem de número telefônico, também podem ser minimizadas com o uso do token transparente.[0062] Using them together makes systems more secure, transparent to the user, without the user having to take additional actions or having to choose an additional password or having to carry an additional device. In implementing this proposed invention, the user performs telephone dialing and biometric authentication. If the phone call does not go through the transparent token check and the biometrics results lead to doubt, then traditional methods such as verification questions are needed. Thus, the use of the transparent token assists in user authentication, with the added benefit of saving attendance time by eliminating verification questions in this implementation of the invention. Additional fraud in telephone services such as SIM cloning or telephone number cloning can also be minimized by using the transparent token.

REIVINDICAÇÕES

Claims (6)

1) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF”, constituído pelo usuário com um dispositivo celular móvel, e um servidor integrado à unidade de resposta audível (URA) caracterizado por possibilitar ao usuário utilizar um aplicativo no seu dispositivo celular móvel que gera e envia um token transparente automaticamente a uma unidade de resposta audível via telefonia pública com o uso de sinal DTMF, baseado no tempo e sincronizado com o servidor para a autenticação segura entre as partes.1) “USER AUTHENTICATION SECURITY METHOD FOR DTMF SIGNAL PUBLIC TELEPHONY”, consisting of the user with a mobile cellular device, and a server integrated with the audible response unit (IVR) characterized by enabling the user to use an application on the Your mobile cellular device that automatically generates and sends a transparent token to a publicly-telephony-audible response unit using DTMF signal, time-based and synchronized with the server for secure authentication between parties. 2) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” de acordo com a reivindicação 1 caracterizado por token transparente ser gerado no dispositivo móvel do usuário a partir de um cálculo de segurança que utiliza semente OTP e informações do ID do seu dispositivo móvel; a URA traduz o sinal DTMF referente ao token transparente recebido e compara com equivalente calculado no servidor que está sincronizado.2) “SECURITY METHOD FOR AUTHENTICATING USERS BY DTMF SIGNAL PUBLIC TELEPHONY” according to claim 1 characterized in that a transparent token is generated on the user's mobile device from a security calculation using OTP seed and user information. ID of your mobile device; the IVR translates the DTMF signal for the received transparent token and compares it to the calculated equivalent on the server that is synchronized 3) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” de acordo com a reivindicação 1 caracterizado por aplicativo instalado no dispositivo celular móvel do usuário ser responsável por gerar uma semente OTP de número único; pelo cálculo de segurança, utilizando token OTP e informações específicas do dispositivo móvel (Device ID); pela incorporação deste número token transparente no número do telefone da empresa, e pela a discagem pelo aplicativo para o número da empresa juntamente com o token transparente gerado.3) “SECURITY METHOD FOR AUTHENTICATING USERS BY DTMF SIGNAL PUBLIC TELEPHONY” according to claim 1 characterized in that an application installed on the user's mobile cellular device is responsible for generating a single number OTP seed; by calculating security using OTP token and mobile device specific information (Device ID); by incorporating this transparent token number into the company phone number, and by dialing the app to the company number along with the generated transparent token. 4) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” de acordo com a reivindicação 1 caracterizado por cálculo do token transparente ser realizado no dispositivo móvel do usuário e no servidor, e enviado para validação e autenticação no servidor de autenticação.4) "SECURITY METHOD FOR USER AUTHENTICATION BY DTMF SIGNAL PUBLIC TELEPHONY" according to claim 1 characterized in that transparent token calculation is performed on the user's mobile device and server, and sent for validation and authentication on the server Authentication 5) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” de acordo com as reivindicações 1 e 4 caracterizado por na instalação do aplicativo móvel a semente OTP ter tempo de validade determinado.5) “SECURITY METHOD FOR AUTHENTICATING USERS BY PUBLIC TELEPHONY USING DTMF SIGNAL” according to claims 1 and 4 characterized in that in the installation of the mobile application the OTP seed has a determined expiration time. 6) “METODO DE SEGURANÇA PARA AUTENTICAÇÃO DE USUÁRIOS VIA TELEFONIA PÚBLICA COM USO DE SINAL DTMF” de acordo com a reivindicação 5 e caracterizado por processo de instalação e configuração inicial do token transparente há a necessidade do usuário receber de forma segura a semente OTP, que é utilizada para a geração do token OTP, que por sua vez é utilizada para o cálculo do token transparente.6) “SECURITY METHOD FOR AUTHENTICATING USERS THROUGH DTMF SIGNAL PUBLIC TELEPHONY” according to claim 5 and characterized by the process of installation and initial configuration of the transparent token there is a need for the user to securely receive the OTP seed, which is used for OTP token generation, which in turn is used for transparent token calculation.
BR102015027719A 2015-11-03 2015-11-03 security method for user authentication via public telephony using dtmf signal BR102015027719A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
BR102015027719A BR102015027719A2 (en) 2015-11-03 2015-11-03 security method for user authentication via public telephony using dtmf signal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BR102015027719A BR102015027719A2 (en) 2015-11-03 2015-11-03 security method for user authentication via public telephony using dtmf signal

Publications (1)

Publication Number Publication Date
BR102015027719A2 true BR102015027719A2 (en) 2017-05-09

Family

ID=58743541

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102015027719A BR102015027719A2 (en) 2015-11-03 2015-11-03 security method for user authentication via public telephony using dtmf signal

Country Status (1)

Country Link
BR (1) BR102015027719A2 (en)

Similar Documents

Publication Publication Date Title
JP6181303B2 (en) ENCRYPTED COMMUNICATION METHOD AND ENCRYPTED COMMUNICATION SYSTEM
US20110219427A1 (en) Smart Device User Authentication
US9722984B2 (en) Proximity-based authentication
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US8528076B2 (en) Method and apparatus for authenticating online transactions using a browser and a secure channel with an authentication server
US20120066749A1 (en) Method and computer program for generation and verification of otp between server and mobile device using multiple channels
CN105357186B (en) A kind of secondary authentication method based on out-of-band authentication and enhancing OTP mechanism
US10425407B2 (en) Secure transaction and access using insecure device
US11792024B2 (en) System and method for efficient challenge-response authentication
Chandrakar et al. Cryptanalysis and improvement of a biometric‐based remote user authentication protocol usable in a multiserver environment
KR20100038990A (en) Apparatus and method of secrity authenticate in network authenticate system
US8635454B2 (en) Authentication systems and methods using a packet telephony device
Sharma et al. Advanced multi-factor user authentication scheme for E-governance applications in smart cities
Di Pietro et al. A two-factor mobile authentication scheme for secure financial transactions
Khan et al. Offline OTP based solution for secure internet banking access
Peeters et al. SMS OTP security (SOS) hardening SMS-based two factor authentication
KR101243101B1 (en) Voice one-time password based user authentication method and system on smart phone
US9686270B2 (en) Authentication systems and methods using a packet telephony device
Pampori et al. Securely eradicating cellular dependency for e-banking applications
Zhou et al. A privacy preserving two-factor authentication protocol for the Bitcoin SPV nodes
Cui et al. An improved user authentication protocol for IoT
Kaur et al. A comparative analysis of various multistep login authentication mechanisms
KR101310043B1 (en) Voice one-time password based user authentication method on smart phone
Yasin et al. Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT).
BR102015027719A2 (en) security method for user authentication via public telephony using dtmf signal

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B07A Application suspended after technical examination (opinion) [chapter 7.1 patent gazette]
B07A Application suspended after technical examination (opinion) [chapter 7.1 patent gazette]