BR102016014638A2 - autenticação de dispositivo - Google Patents

autenticação de dispositivo Download PDF

Info

Publication number
BR102016014638A2
BR102016014638A2 BR102016014638A BR102016014638A BR102016014638A2 BR 102016014638 A2 BR102016014638 A2 BR 102016014638A2 BR 102016014638 A BR102016014638 A BR 102016014638A BR 102016014638 A BR102016014638 A BR 102016014638A BR 102016014638 A2 BR102016014638 A2 BR 102016014638A2
Authority
BR
Brazil
Prior art keywords
token
server
identifier
operable
authentication data
Prior art date
Application number
BR102016014638A
Other languages
English (en)
Inventor
Alessandro Orsano
Emanuele Trevisi
Luca Blasi
Original Assignee
Accenture Global Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Accenture Global Services Ltd filed Critical Accenture Global Services Ltd
Publication of BR102016014638A2 publication Critical patent/BR102016014638A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

a presente invenção se refere a uma rede de computadores que fornece autenticação segura. a rede de computadores compreende um servidor operável para gerar um token compreendendo informação de identificação; um primeiro dispositivo a ser autenticado, o primeiro dispositivo sendo operável para receber o token; um segundo dispositivo associado a um identificador confiável, o segundo dispositivo sendo operável para recuperar o token do primeiro dispositivo e associar o token com o identificador confiável para autenticar o primeiro dispositivo no servidor.

Description

Relatório Descritivo da Patente de Invenção para "AUTENTICAÇÃO DE DISPOSITIVO".
CAMPO TÉCNICO
[001] A descrição seguinte se refere a uma rede, um módulo, um método e um produto para autenticar com segurança um dispositivo. ANTECEDENTES
[002] Dispositivos eletrônicos, tais como computadores, telefones celulares e tablets normalmente exigem uma autenticação de um usuário, a fim de impedir acesso não autorizado ou fornecer recursos personalizados. De modo exemplar, o processo de autenticação é particularmente importante quando transações financeiras online ocorrem no dispositivo.
[003] Tipicamente, a autenticação do usuário consiste na provisão, pelo usuário, de uma combinação de nome do usuário e senha. No entanto, existem muitos inconvenientes na autenticação baseada em senha. As senhas precisam ser manualmente introduzidas cada vez que um novo acesso ao dispositivo é exigido. Este procedimento incômodo frequentemente impede os usuários de garantir acesso ao dispositivo. Além do mais, para assegurar um nível de segurança apropriado, as senhas devem cumprir com algumas restrições de complexidade tais como conter ambos os caracteres especiais e alfanuméricos, e cada dispositivo deve possivelmente ter uma senha diferente. O esforço de lembrar é também percebido como um fardo pelo usuário e, assim, pode afetar o nível de segurança. Adicionalmente, as senhas podem ser hackeadas, phished ou vistas por usuários não autorizados durante a introdução no dispositivo. Na medida em que a identidade do usuário está associada meramente com o conhecimento da senha, um usuário não autorizado de posse da senha pode facilmente falsificar a identidade do usuário real. Portanto, a senha pode fornecer a identificação, mas não necessariamente autenticação, no sentido que nenhuma confirmação confiável de identidade do usuário é fornecida.
SUMÁRIO
[004] De acordo com um aspecto, é fornecida uma rede de computadores que fornece autenticação segura. A rede de computadores pode compreender: [005] um servidor operável para gerar um token compreendendo informação de identificação;
[006] um primeiro dispositivo a ser autenticado, o primeiro dispositivo sendo operável para receber o token;
[007] um segundo dispositivo associado a um identificador confiável, o segundo dispositivo sendo operável para: [008] recuperar o token do primeiro dispositivo;
[009] associar o token com o identificador confiável para autenticar o primeiro dispositivo no servidor.
[0010] O token, particularmente, é um conjunto de dados que pode ser usado para propósitos de identificação na rede de computadores. Os dados que ele contém compreendem informação de identificação que pode em geral estar na forma de cadeias alfanuméricas. O token pode ser gerado como uma concatenação das cadeias alfanuméricas representando a informação de identificação. De modo exemplar, o token pode ser criptografado, tal como na forma de uma cadeia criptografada (por exemplo, particularmente em hash com uma função hash não inversível).
[0011] A informação de identificação, de acordo com um exemplo, pode ser uma combinação de um endereço de IP ou um número de porta. O endereço de IP pode ser fornecido por um número gerado randomicamente ou arbitrário dentro de uma faixa que abrange números correspondendo com os endereços de IP válidos, particularmente com a provisão de evitar qualquer endereço de IP real usado na Inter- net. Um número de porta que corresponde com o endereço de IP pode também ser gerado de modo randômico ou arbitrário. O endereço de IP gerado pode particularmente ser especificado de acordo com a versão de Protocolo de Internet versão 4 (IPv4) como descrito em IETF publicação RFC 791 (Setembro de 1981).
[0012] Um primeiro dispositivo pode exigir autenticação, isto é pode exigir uma determinação segura da identidade de um usuário usando o primeiro dispositivo.
[0013] O primeiro dispositivo a ser autenticado (por exemplo, um dispositivo portátil tal como um tablet) pode receber o token compreendendo a informação de identificação do servidor. A informação de identificação contida no token pode ser usada para identificar de modo inequívoco o primeiro dispositivo dentro da rede. A transmissão do token do servidor para o primeiro dispositivo pode ocorrer de modo exemplar através da Internet. Especificamente, a transmissão pode ocorrer através de um canal seguro (tal como rede privada virtual, vpn), ou usado um protocolo seguro (tal como https).
[0014] Um segundo dispositivo pode estar associado a um identificador confiável pode ser informação ou um conjunto de dados que está ligado de modo confiável em ou corresponde com a identificação de um usuário usando o segundo dispositivo. Em outras palavras, a associação entre o usuário e o identificador foi validada por uma fonte confiável e não pode ser facilmente falsificada. O segundo dispositivo sendo associado com o identificador de confiança podem indicar que o identificador de confiança é um recurso intrínseco do segundo dispositivo e/ou que o segundo dispositivo exige o identificador de confiança para funcionar de modo que o segundo dispositivo e o identificador de confiança são usados em combinação. De modo exemplar, o segundo dispositivo pode ser um telefone celular e o identificador de confiança pode ser ou corresponder com o Mobile Station International Subscri- ber Directory Number (MSISDN), que é um número de identificar exclusivamente uma subscrição em uma rede móvel (por exemplo, uma rede móvel GSM ou UMTS). Alternativa ou adicionalmente, o identificador de confiança pode ser ou corresponder com um International Mobile Subscriver Identity (IMSI) que pode ser usada para identificar o usuário de uma rede celular e particularmente representa uma identificação única associada com todas as redes celulares. Particularmente pode ser armazenado como um campo de 64 bits e/ou pode ser enviado pelo telefone para a rede.
[0015] O segundo dispositivo pode recuperar o token que compreende a informação de identificação do primeiro dispositivo. O segundo dispositivo pode assim adquirir a informação identificação identificando de modo inequívoco o primeiro dispositivo, por exemplo, por meio de uma aplicação de software. Em um exemplo, o primeiro dispositivo pode gerar e exibir um código de Resposta Rápida (QR) incluindo o token. A recuperação do token pelo segundo dispositivo a partir do primeiro dispositivo pode então ocorrer de modo exemplar escaneando o código de QR com uma aplicação de software no segundo dispositivo.
[0016] O segundo dispositivo pode associar subsequentemente o token com o identificador de confiança para autenticar o primeiro dispositivo no servidor. Associar o token com o identificador de confiança pode indicar que é possível localizar um partindo do outro, isto é, que partindo do token o identificador de confiança pode ser obtido e vice-versa. Adicional ou alternativamente pode indicar que o token e o identificador de confiança são sempre processados conjuntamente, por exemplo, lido, escrito, transmitido e/ou armazenado juntos. De acordo com um exemplo, o token e identificador de confiança associados podem ser compreendidos em dados de autenticação enviados de uma aplicação de software no segundo dispositivo para o servidor. Como descrito, a informação de identificação compreendida no token pode identificar de modo inequívoco o primeiro dispositivo. A partir da associação entre o token compreendendo a informação de identificação e o identificador de confiança, segue que o primeiro dispositivo pode estar associado de modo inequívoco com o identificador de confiança, e assim, autenticado por meio do identificador de confiança. Assim, é fornecida a autenticação segura.
[0017] De acordo com um exemplo adicional, o servidor pode compreender pelo menos dois componentes, um primeiro componente sendo operável para gerar o token e um segundo componente sendo operável para escrever os dados de autenticação em um banco de dados e/ou para ler os dados de autenticação a partir do banco de dados. Por exemplo, o segundo componente pode armazenar a informação de identificação contida no token e o identificador de confiança, por exemplo, em uma tabela de um banco de dados. Em outro exemplo, dois componentes diferentes podem ser usados para ler e escrever. De modo exemplar, os componentes do servidor podem ser interfaces de programação de aplicação (APIs).
[0018] De acordo com ainda um exemplo adicional, o segundo dispositivo pode ser operável para enviar os dados de autenticação para o primeiro componente do servidor e/ou o primeiro componente pode ainda ser operável para validar o token como tendo sido gerado pelo primeiro componente e enviar os dados de autenticação para o segundo componente do servidor. O primeiro componente, depois de ter gerado o token, pode receber o token de volta antes dos dados de autenticação serem escritos em um banco de dados. O primeiro componente pode verificar particularmente que não ocorreu nenhuma violação de dados, por exemplo, que a informação de identificação que identifica o primeiro dispositivo não foi substituída por informação de identificação identificando um dispositivo não autorizado. Em outras palavras, o primeiro componente pode assegurar que o identificador de confiança é usado para autenticar o primeiro dispositivo e não outro dispositivo. Assim, a autenticação segura é fornecida. De modo exemplar, um limite temporal pode ser determinado para o intervalo de tempo entre a geração do token e a recepção do mesmo token pelo primeiro componente. Se o token chega dentro do limite de tempo especificado (predeterminado ou predeterminável), o primeiro componente pode validar o token e prosseguir para enviar os dados de autenticação para o segundo componente. Se o token chega depois que o limite de tempo expirou, não é considerado válido.
[0019] Como um exemplo adicional, o token pode ser criptografado usando uma chave privada somente pelo primeiro componente. O primeiro componente pode decriptografar subsequentemente o token com a chave privada e então verificar que a saída combina com o formato esperado. Um token modificado por um terceiro não respeitará o formato esperado depois do processo de decriptação.
[0020] De acordo com ainda outro exemplo, o primeiro dispositivo pode ser autenticado por meio do identificador de confiança em resposta à comunicação da informação de identificação para o servidor. Os dados de autenticação escritos no banco de dados compreendem o token associado e identificador de confiança. Portanto, o primeiro dispositivo particularmente pode, em resposta a comunicar a informação de identificação contida no token, estar ligada ao identificador de confiança associado e consequentemente ser autenticado por meio do identificador de confiança. De modo exemplar, o segundo componente do servidor pode receber a informação de identificação, ler o identificador de confiança associado a partir do banco de dados e autenticar o primeiro dispositivo.
[0021] De acordo com outro exemplo, o primeiro dispositivo pode gerar a informação de autenticação e enviar a informação de autenticação ao servidor. O primeiro dispositivo pode, assim, gerar a informa- ção de identificação que pode identificá-Ιο de modo inequívoco. A informação de identificação pode então ser enviada ao servidor a fim de obter um token adequado para ser recuperado pelo segundo dispositivo. Em um exemplo, como mencionado, o token é crido concatenando as cadeias que constituem a informação de identificação. Além disso, o token pode ser criptografado pelo servidor e incluído em um código de QR pelo primeiro dispositivo.
[0022] De acordo com um exemplo adicional, o primeiro dispositivo pode compreender um software de aplicação operável para gerar a informação de identificação. Por exemplo, o software de aplicação pode ser um navegador de Internet compreendendo Java Script para gerar números (pseudo-) randômicos ou arbitrários usados para a informação de identificação, tal como um endereço de IP ou um número de porta. A identificação pode ainda compreender um identificador do software de aplicação. Como nos exemplos discutidos acima. O token pode então ser uma cadeia concatenada compreendendo cadeias alfanuméricas que constituem o endereço de IP, o número de porta e o identificador de software de aplicação. Adicional ou alternativamente, o software de aplicação pode gerar e exibir um código de QR e/ou símbolo gráfico que inclui o token (ou permitir que ele seja extraído do mesmo), de acordo com um dos exemplos previamente apresentados.
[0023] De acordo com outro aspecto da invenção, é fornecido um módulo de computador que fornece autenticação segura. O módulo pode ser operável para: [0024] recuperar um token compreendendo informação de identificação de um primeiro dispositivo a ser autenticado;
[0025] recuperar automaticamente, a partir de um servidor, um identificador de confiança associado com um segundo dispositivo;
[0026] associar o token com o identificador de confiança;
[0027] enviar dados de autenticação compreendendo o token as- sociado com o identificador de confiança para o servidor.
[0028] De acordo com um exemplo, o segundo dispositivo pode ser um telefone celular e o identificador de confiança pode ser ou corresponder à MSISDN. Alternativa ou adicionalmente, o identificador de confiança pode ser ou corresponder com uma International Mobile Subscriber Identity (IMSI) que pode ser usada para identificar o usuário de uma rede celular e particularmente representa uma identificação única associada com todas as redes de celular. Particularmente, pode ser armazenado como um campo de 64 bits e/ou pode ser enviado pelo telefone para a rede. Um operador de rede móvel fornece serviços de Internet e serviços móveis para o telefone celular. Assim, os dados de conexão de Internet tal como o endereço de IP e o número de porta são ligados inerentemente aos dados de telefone celular, tal como a MSISDN e/ou a IMSI. O módulo de computador pode acessar um servidor do operador de rede móvel com o endereço de IP e o número de porta do telefone celular e recuperar automaticamente a MSISDN correspondente, sem qualquer configuração manual no lado de um usuário. De modo exemplar, o módulo de computador pode ser parte do segundo dispositivo, por exemplo, aplicação de software rodando no segundo dispositivo.
[0029] De acordo com outro exemplo, o token é incluído em um código de QR e o módulo de computador é ainda operável para esca-near o código de QR para recuperar o token.
[0030] De acordo com outro aspecto da invenção, é fornecido um método implementado por computador que fornece autenticação segura. O método pode compreender: [0031] gerar, por um servidor, um token compreendendo informação de identificação;
[0032] receber, por um primeiro dispositivo, o token;
[0033] recuperar, por um segundo dispositivo associado com um identificador de confiança, o token do primeiro dispositivo;
[0034] associar, pelo segundo dispositivo, o token para o identificador de confiança para autenticar o primeiro dispositivo no servidor.
[0035] De acordo com um aspecto adicional da invenção, é fornecido um produto de programa de computador. O produto pode compreender instruções legíveis pode computador que, quando carregadas e executadas em um sistema adequado, realizam as etapas de um método de autenticação segura de acordo com o aspecto prévio. BREVE DESCRIÇÃO DOS DESENHOS
[0036] Detalhes de modalidades exemplares são apresentados abaixo com referência aos desenhos exemplares. Outros aspectos serão evidentes a partir da descrição, desenhos, e a partir das reivindicações. Deve ser entendido, no entanto, que embora as modalidades sejam descritas separadamente, aspectos únicos de modalidades diferentes podem ser combinados com modalidades adicionais.
[0037] A figura 1 mostra um exemplo de uma rede de computador de acordo com uma modalidade que fornece autenticação segura.
[0038] A figura 2 mostra um exemplo das operações de uma rede de computador que fornece autenticação segura.
[0039] A figura 3 mostra um exemplo de um dispositivo de computador e um dispositivo de computação móvel.
DESCRIÇÃO DETALHADA
[0040] A seguir, uma descrição detalhada de exemplos será fornecida com referência aos desenhos. Deve ser entendido que, várias modificações aos exemplos podem ser feitas. A menos que explicitamente indicado de outra maneira, elementos de um exemplo podem ser combinados e usados em outros exemplos para formar novos exemplos.
[0041] A figura 1 mostra um exemplo de uma rede de computador de acordo com uma modalidade que fornece autenticação segura. A rede de computador 100 pode compreender pelo menos um primeiro dispositivo 110 (por exemplo, um dispositivo móvel tal como um tablet) que precisa de autenticação em um servidor 130 com o qual o primeiro dispositivo 110 interage. Um segundo dispositivo 120 pode ser inerentemente autenticado por meio de sua associação com um identificador de confiança 60. Deve ser entendido que, enquanto a modalidade presente é descrita com respeito a um único primeiro dispositivo 110 (tal como um tablet), vários primeiros dispositivos 110 podem ser autenticados em uma maneira segura de acordo com o conceito ou processo presente. De modo exemplar, o segundo dispositivo 120, particularmente, pode ser um telefone celular e o identificador de confiança pode ser ou corresponder com o Mobile Station International Subscriber Directory Number (MSISDN), que é um número identificando unicamente uma subscrição em uma rede móvel (por exemplo, uma rede móvel GSM ou UMTS). Alternativa ou adicionalmente, o identificador de confiança pode ser ou corresponder a uma International Mobile Subscriber Identity (IMSI) que pode ser usada para identificar o usuário de uma rede celular e particularmente representa uma identificação única associada com todas as redes celulares. Particularmente, ela pode ser armazenada como um campo de 64 bits e/ou pode ser enviada pelo telefone celular 120 para a rede. O servidor 130 pode ser conectado à rede móvel e/ou pode ser capaz de recuperar a MSISDN e/ou IMSI do telefone celular 120. Consequentemente, o segundo dispositivo 120 pode ser usado para obter uma autenticação contínua para o primeiro dispositivo 110, isto é, sem qualquer entrada de dados tal como o nome do usuário e senha por um usuário dos primeiro 110 e segundo 120 dispositivos, como descrito depois aqui.
[0042] O servidor 130 pode gerar pelo menos um token 50 compreendendo informação de identificação para o primeiro dispositivo 110 e enviar o token 50 ao primeiro dispositivo 110 particularmente em uma maneira criptografada. O segundo dispositivo 120 pode recuperar o token 50 do primeiro dispositivo 110 e associar o token 50 com seu identificador de confiança 60. Em outras palavras, o segundo dispositivo 120 pode estabelecer uma ligação entre a informação de identificação que identifica o primeiro dispositivo 110 e o identificador de confiança 60, de modo que o primeiro dispositivo 110 possa ser autenticado baseado no identificador de confiança 60. De acordo com um exemplo, o segundo dispositivo 120 pode enviar dados de autenticação 70 compreendendo o token associado 50 (ou informação correspondendo com o mesmo) e o identificador de confiança 60 (ou informação correspondendo com o mesmo) ao servidor 130.
[0043] A rede de computador 100 realiza o processo de autenticação de um primeiro dispositivo 110 em uma maneira eficiente e segura. A autenticação particularmente é eficiente, porque não exige entrada humana sujeita a erros, demorada para verificar a identidade de um usuário utilizando o primeiro dispositivo 110. Além do mais, a falta de entrada humana especificamente torna mais difícil falsificar uma identidade, por exemplo, roubando credenciais. A autenticação é feita particularmente segura dependendo de um identificador de confiança 60, que fornece uma identificação confiável de um usuário do segundo dispositivo 120. De acordo com um exemplo, o segundo dispositivo 120 pode ser um telefone celular e o identificador de confiança 60 pode ser MSISDN e/ou IMSI. O MSISDN corresponde particularmente com o número de telefone armazenado no cartão de módulo de identificação de assinante (SIM) em um telefone celular e identifica inequivocamente o assinante do telefone celular, isto é, o usuário. Por exemplo, o MSISDN fornece acesso ao registro de localização residencial (HLR). O HLR é um banco de dados central que contém detalhes de cada assinante de telefone celular que é autorizado a usar a rede de sistema global para comunicações móveis (GSM). Quando o usuário obtém (por exemplo, compra) um cartão SIM para seu telefone celular de um operador de rede móvel, é exigido que ele forneça um documento de identidade tal como um passaporte. Assim o NSISDN do cartão SIM é um identificador confiável da identidade de um usuário, contrário a, por exemplo, um nome de usuário de Facebook ou Twitter, que pode ser facilmente falsificado. O telefone celular precisa de um cartão SIM para operar porque o cartão SIM e os dados no mesmo tal como o MSISDN atuam como credenciais de login para acessar a rede GSM ou UMTS. O operador de rede móvel assim está em posse da associação entre um cartão SIM e uma identidade provada do usuário e pode atuar particularmente como uma fonte confiável (ou autoridade de confiança) fornecendo o identificador de confiança e/ou validando o identificado no processo de autenticação.
[0044] Portanto, na medida em que o telefone celular 120 contém dados de identificação de uma fonte confiável, uma autenticação segura e fácil (particularmente contínua) pode consequentemente ser realizada deixando o identificador de confiança 60, por exemplo, o MSISDN e/ou IMSI, de ser "enjaulado no dispositivo" 120 para ser "portátil em qualquer dispositivo" tal como o primeiro dispositivo 110 (por exemplo, um tablet). Tal mudança ou transferência pode ser obtida por um módulo de computador tal como uma aplicação de software instalada no telefone celular 120, que é configurado para recuperar o identificador de confiança 60 e o token identificando outro dispositivo (ou o primeiro dispositivo 110) e associar um ao outro. Por meio desta associação, o identificador de confiança 60 não é mais usado somente para autenticar o telefone celular (como um segundo dispositivo particular 120), mas também o outro dispositivo (como um primeiro dispositivo particular 10), tal como um tablet. O identificador de confiança 60 pode, portanto ser alavancado para vários dispositivos 110 diferentes do telefone celular 120. Novamente, deve ser destacado que a aplica- ção de software não exige qualquer entrada de dados manual pelo assinante do telefone celular, isto é, o usuário. De modo exemplar, a primeira vez que a aplicação é aberta depois de ter sido baixada no telefone celular, pode recuperar automaticamente o MSISDN e/ou a IMSI em virtude de sua conexão com a rede móvel, por exemplo, como uma resposta ao endereço de IP e porta atribuída ao telefone móvel 120 pelo operador de rede móvel particularmente atuando como a autoridade confiável. O aprovisionamento automático de rede garante especificamente que a aplicação recupera um identificador de confiança 60, evitando qualquer fraude que possa derivar de configuração manual.
[0045] A figura 2 mostra um exemplo das operações de uma rede de computador que fornece autenticação segura. A rede de computador mostrada na figura 2 pode ser uma modalidade exemplar da rede de computador 100, em que o segundo dispositivo 120 compreende uma aplicação de software (ou aplicação, abreviado) 220. A aplicação 220 pode ser configurada para operar como discutido acima para associar o identificador de confiança 60 para um ou mais outros dispositivos 110. O servidor 130 pode compreender pelo menos dois componentes, exemplarmente duas APIs 230 e 240, com funcionalidades diferentes, como explicado a seguir. O primeiro dispositivo 110 pode compreender uma aplicação tal como um navegador 210 para comunicar com o servidor 130.
[0046] A seguir, um conjunto de operações exemplares 301 a 314 será descrito com referência à figura 2.
[0047] Na etapa 301, um usuário pode abrir o navegador 210 no primeiro dispositivo 110 (por exemplo, um computador ou um tablet) para acessar um portal de página da web por meio do servidor 130. Em outro exemplo, o portal de página da web pode ser acessado por meio de um servidor diferente do servidor 130, em que o servidor 130 pode ser somente dedicado para gerar/validar o token e armazenar informação referente à identidade do usuário. O portal de página da web pode exigir autenticação do usuário a fim de, por exemplo, fornecer acesso aos dados pessoais do usuário.
[0048] Na etapa 302, o navegador 210 pode gerar informação de identificação para identificar o primeiro dispositivo 110. Por exemplo, a informação de identificação pode compreender ou consistir de três cadeias correspondendo a um endereço de IP, um número de portal e um ID de portal, o último identificando o navegador 210. a informação de identificação pode ser gerada randomicamente. O navegador 210 pode apresentar implementações de JavaScript para realizar a geração randômica. O endereço de IP pode estar em um formato IPv4 (isto é o endereço de IP gerado pode particularmente ser especificado de acordo com o Protocolo de Internet versão 4 (IPv4) como descrito na IETF publicação RFC 791, Setembro 1981). Endereços de IPv4 podem ser escritos em qualquer notação expressando um valor inteiro de 32 bit, mas não mais frequentemente escritos na notação ponto-decimal, que consiste de quatro octetos do endereço expressos individualmente em decimal e separados por períodos. O endereço de IP pode, portanto compreender quatro números decimais, um número para cada octeto. Os primeiros dois números podem ser inteiros randômicos ou arbitrários entre 240 e 254 e o terceiro e quarto número podem ser inteiros randômicos ou arbitrários entre 1 e 254. Ao gerar o endereço de IP para a informação de identificação, endereços de IP reais realmente usados pelo operador de rede móvel e fixo devem ser evitados. Restringindo os primeiros dois números a uma faixa entre 240 e 254 atinge este propósito, na medida em que tais endereços não são normalmente alocados ou são reservados para endereços de IP privados. De fato, de acordo com a alocação de endereços de IPv4 como estabelecido pela Internet Assigned Numbers Authority (IANA), a faixa acima é re- servada para uso futuro e portanto não alocado normalmente (ver http://www.iana.org/assiqnments/ipv4-address-space/ipv4-address-space.xhtmn.O endereço de IP pode representar um bom candidato para a informação de identificação, desde que as aplicações existentes podem ser configuradas para funcionar em endereços de IP. Portanto, as operações aqui descritas podem ser integradas suavemente em sistemas existentes.
[0049] Especificamente, o número de porta pode ser um inteiro (pseudo-) randômico ou arbitrário com 4 ou 5 dígitos. A ID de portal pode ser randomicamente gerado como uma cadeia alfanumérica de 32 caracteres, incluindo números e caracteres especiais.
[0050] Na etapa 303, a informação de identificação pode ser enviada do navegador 210 para a primeira API 230, solicitando um token 50.
[0051] Na etapa 304, a primeira API 230 pode gerar um token 50 criando uma cadeia da concatenação do endereço de IP, o número de porta e a ID de portal. Em um exemplo, a primeira API 230 pode crip-tografar a cadeia baseada em criptografia assimétrica e armazenar a chave privada no servidor 130. A primeira API 230 pode enviar uma resposta ao navegador 210 e fornecer o token 50 contendo a cadeia criptografada com o endereço de IP, o número de porta e o ID de portal.
[0052] Na etapa 305, o navegador 210 pode gerar um código de Resposta Rápida (QR) ou código de barras matriz ou código de barras bidimensional (por exemplo, por meio de JavaScript) baseado no token criptografado recebido 50, e/ou exibir o código QR em uma tela do primeiro dispositivo 110. O código QR particularmente pode ser gerado de acordo com o padrão ISO/IEC 18004:2015 que define especificamente as exigências para a simbologia conhecida como Código QR. Ele especifica particularmente as características de simbologia de có- digo QR, métodos de codificação de caractere de dados, formatos de símbolo, características dimensionais, regras de correção de erros, algoritmo de decodificação de referência, exigências de qualidade de produção, e/ou parâmetros de aplicação selecionável pelo usuário. Deve ser entendido que qualquer símbolo e/ou elemento gráfico (tal como um código de barras) diferente de um código de QR pode ser (alternada ou adicionalmente) usado de acordo com a presente modalidade, na medida em que o símbolo e/ou o elemento gráfico pode ser detectado pelo segundo dispositivo 120 e inclui informação que corresponde com o token criptografado 50, de modo que o segundo dispositivo 120 pode recuperar o token 50 compreendendo a informação de identificação do primeiro dispositivo 110 por meio do código QR exibido, símbolo e/ou elemento gráfico.
[0053] Na etapa 306, o usuário pode capturar (por exemplo, esca-near) o código de QR com a aplicação 220 no segundo dispositivo 120, por exemplo, por meio de um dispositivo de imagem (tal como uma câmera) no segundo dispositivo 120, por exemplo, usando uma aplicação de acordo. O código de QR pode ser processado no segundo dispositivo 120, particularmente usando a correção de erro Reed-Solomon até que a imagem possa ser apropriadamente interpretada. Os dados exigidos podem ser particularmente extraídos de padrões presentes em componentes horizontal e vertical da imagem capturada do código QR.
[0054] Em 307, a aplicação 220 pode associar o token 50 recuperado do código QR capturado (escaneado) e o identificador de confiança 60 associados com o segundo dispositivo 120. Em um exemplo, a aplicação 220 pode ainda associar em identificador de app, identificando a aplicação 220. A adição do identificador de app particularmente pode diminuir a possibilidade de falsificação de dados.
[0055] Na etapa 308, a aplicação 220 pode enviar os dados de au- tenticação 70 compreendendo o token associado 50 e o identificador de confiança 60 (e opcionalmente o identificador de app) para a primeira API 230 para validação.
[0056] Na etapa 309, a primeira API 230, tendo gerado o token 50, pode verificar particularmente que nenhuma violação dos dados de autenticação 70 ocorreu. Por exemplo, um hacker pode tentar substituir o token 50 identificando o primeiro dispositivo 110 com outro token para explorar a associação com o identificador de confiança 60 e autenticar um dispositivo (diferente), por exemplo, do hacker com credenciais do usuário. A primeira API 230 pode verificar se o token recebido da aplicação 220 é de fato o token 50. Por exemplo, um limite temporal (ou a janela de tempo de validade) pode ser determinado para o intervalo de tempo entre a geração do token 50 e a recepção do mesmo token pela primeira API 230. Se o token 50 chega dentro do limite de tempo, a primeira API 230 valida o token 50. Se o token chega depois que o limite de tempo expirou, não é considerado válido. Se o token 50 foi validado, a primeira API 230 pode transmitir os dados de autenticação 70 para a segunda API 240. Como um exemplo adicional, o token 50 pode descriptografar subsequentemente o token 50 com a chave privada e então verificar que a saída corresponde com o formato esperado. Um token 50 modificado por um terceiro não respeitará o formato esperado depois do processo de descriptografia.
[0057] Na etapa 310, a segunda API 240 pode escrever ou comunicar os dados de autenticação 70 para um banco de dados do servidor 130. Embora não mostrado na figura 2, a segunda API 240 pode enviar uma confirmação da operação de armazenamento para a primeira API 230, que por sua vez pode comunicar o resultado bem-sucedido da autenticação para a aplicação 220. A aplicação 220 pode então exibir (mostra, por exemplo, uma janela de popup) no segundo dispositivo 120 para informar o usuário que a autenticação do primeiro dispositivo 110 foi obtida.
[0058] A seguir, na etapa 311, o usuário pode tentar acessar sua área pessoal no portal de pagina da web. Consequentemente, na etapa 312, a informação de identificação do primeiro dispositivo 110 pode ser enviada para a segunda API 240.
[0059] A segunda API 240 pode ler os dados de autenticação 70 do banco de dados e, baseado na associação entre o token 50 compreendendo a informação de identificação do primeiro tipo 110 e o identificador de confiança 60, a segunda API pode na etapa 313 autenticar o primeiro dispositivo 110 no portal de página da web.
[0060] Em outro exemplo, duas APIs podem ser usadas para escrever os dados de autenticação e a ler os dados de autenticação. Consequentemente, a segunda API 240 pode somente ser envolvida nas etapas 309 e 310. Uma terceira API pode receber a informação de identificação do primeiro dispositivo 110 na etapa 312, ler os dados de autenticação 70 e autenticar o primeiro dispositivo 110 na etapa 313.
[0061] Na etapa 314, o portal de página da web pode mostrar ao usuário sua área pessoal no navegador 210 no primeiro dispositivo 110, que foi autenticada.
[0062] Um conjunto de operações como ilustrado dentro da rede de computador 100 permite que um usuário seja autenticado com segurança no primeiro dispositivo 110 sem ter que fornecer credenciais manualmente. A rede de computador 100 alavanca a existência de um identificador de confiança 60 associado com o segundo dispositivo 120 e cria uma segunda associação segura entre o identificador de confiança 60 e o primeiro dispositivo 110. A rede de computado 100 opera com entrada mínima do usuário, reduzindo o risco de identificação fraudulenta, e fornece adicionalmente medidas interna para evitar o mau uso do identificador de confiança por terceiros não autorizados.
[0063] A figura 3 mostra um exemplo de um dispositivo de compu- tação 600 e um dispositivo de computação móvel 650 que podem ser usados para implementar as técnicas descritas nesta invenção. De modo exemplar, um ou mais do primeiro dispositivo 110, o segundo dispositivo 120 e o servidor 130 podem ser implementados como dispositivo de computação 600 e/ou dispositivo de computação móvel 650. O dispositivo de computação 600 é destinado a representar várias formas de computadores digitais, tais como laptops, desktops, estações de trabalho, assistentes digitais pessoais, servidores, servidores blade, mainframes, e outros computadores apropriados. O dispositivo de computação móvel 650 é destinado a representar várias formas de dispositivos móveis, tais como assistentes digitais pessoais, telefones celulares, smartphones, e outros dispositivos de computação similares. Os componentes mostrados aqui, suas conexões e relações, e suas funções, devem ser exemplos somente, e não devem ser limitan-tes.
[0064] O dispositivo de computação 600 inclui um processador 602, uma memória 604, um dispositivo de armazenamento 606, uma interface de alta velocidade 608 conectando a memória 604 e múltiplas portas de expansão de alta velocidade 610, e uma interface de baixa velocidade 612 conectando a uma porta de expansão de baixa velocidade 614 e o dispositivo de armazenamento 606. Cada um do processador 602, a memória 604, o dispositivo de armazenamento 606, a interface de alta velocidade 608, as portas de expansão de alta velocidade 610, e a interface de baixa velocidade 612, são interconectadas usando vários barramentos, e podem ser montadas em uma placa-mãe comum ou em outras maneiras como apropriado. O processador 602 processa instruções para execução dentro do dispositivo de computação 600, incluindo instruções armazenadas na memória 604 ou no dispositivo de armazenamento 606 para exibir informação gráfica para uma GUI em um dispositivo de entrada/saída externo, tal como um display 616 acoplado com a interface de alta velocidade 608. Em outras implementações, múltiplos processadores e/ou múltiplos barra-mentos podem ser usados, como apropriado, com múltiplas memórias e tipos de memória. Também, múltiplos dispositivos de computação podem ser conectados, com cada dispositivo fornecendo partes das operações necessárias (por exemplo, como um servidor de banco, um grupo de servidores blade, ou um sistema de múltiplos processadores).
[0065] A memória 604 armazena informação dentro do dispositivo de computação 600. Em algumas implementações, a memória 604 é uma unidade de memória volátil ou unidades. Em algumas implementações, a memória 604 é uma unidade de memória não volátil ou unidades. A memória 604 pode também ser outra forma de meio legível por computador, tal como um disco magnético ou ótico.
[0066] O dispositivo de armazenamento 606 é capaz de fornecer armazenamento em massa para o dispositivo de computação 600. Em algumas implementações, o dispositivo de armazenamento 606 pode ser ou conter um meio legível por computador, tal como um dispositivo de disquete, um dispositivo de disco rígido, um dispositivo de disco ótico, ou um dispositivo de fita, uma memória flash ou outro dispositivo de memória de estado sólido, ou um conjunto de dispositivos, incluindo dispositivos em uma rede de área de armazenamento ou outras configurações. Instruções podem ser armazenadas em um portador de informação. As instruções, quando executadas por um ou mais dispositivos de processamento (por exemplo, o processador 602), realizam um ou mais métodos, tais como aqueles descritos acima. As instruções podem também ser armazenadas por um ou mais dispositivos de armazenamento tais como meios legíveis por computador ou máquina (por exemplo, a memória 604, o dispositivo de armazenamento 606, ou memória no processador 602).
[0067] A interface de alta velocidade 608 gerencia operações intensivas de largura de banda para o dispositivo de computação 600, enquanto a interface de baixa velocidade 612 gerencia operações intensivas de largura de banda menor. Tal alocação de funções é um exemplo somente. Em algumas implementações, a interface de alta velocidade 608 é acoplada na memória 604, o display 616 (por exemplo, através de um processador gráfico ou acelerador), e nas portas de expansão de alta velocidade 610, que podem aceitar vários cartões de expansão (não mostrados). Na implementação, a interface de baixa velocidade 612 é acoplada ao dispositivo de armazenamento 606 e a porta de expansão de baixa velocidade 614. A porta de expansão de baixa velocidade 614, que pode incluir várias portas de comunicação 614. A porta de expansão de baixa velocidade 614, que pode incluir várias portas de comunicação (por exemplo, USB, Bluetooth, Ethernet, Ethernet sem fio) pode ser acoplada em um ou mais dispositivos de entrada/saída, tal como um teclado, um dispositivo indicador, um scanner, ou um dispositivo de rede tal como um comutador ou roteador, por exemplo, através de um adaptador de rede.
[0068] O dispositivo de computação 600 pode ser implementado em um número de formas diferentes, como mostrado na figura. Por exemplo, pode ser implementado como um servidor-padrão 620, ou múltiplas vezes em um grupo de tais servidores. Em adição, pode ser implementado em um computador pessoal tal como um computador laptop 622. Pode também ser implementado como parte de um sistema de servidor em rack 624. Alternativamente, os componentes do dispositivo de computação 600 podem ser combinados com outros componentes em um dispositivo móvel (não mostrado), tal como um dispositivo de computação móvel 650. Cada um de tais dispositivos pode conter um ou mais do dispositivo de computação 600 e o serviço de computação móvel 650, e um sistema inteiro pode ser feito de múl- tiplos dispositivos de computação comunicando um com o outro.
[0069] O dispositivo de computação móvel 650 inclui um processador 652, uma memória 664, um dispositivo de entrada/saída tal como um display 654, uma interface de comunicação 666, e um trans-ceptor 668, entre outros componentes. O dispositivo de computação móvel 650 pode também ser fornecido com um dispositivo de armazenamento, tal como uma microunidade ou outro dispositivo, para fornecer armazenamento adicional. Cada um do processador 652, a memória 664, o display 654, a interface de comunicação 666, e o transceptor 668 são interconectados usando vários barramentos, e vários dos componentes podem ser montados em uma placa-mãe comum ou em outras maneiras como apropriado.
[0070] O processador 652 pode executar instruções dentro do dispositivo de computação móvel 650, incluindo instruções armazenadas na memória 664. O processador 652 pode ser implementado como um chipset de chips que incluem múltiplos processados analógicos e digitais e separados. O processador 652 pode fornecer, por exemplo, para coordenação dos outros componentes do dispositivo de computação móvel 650, tal como controle de interfaces de usuário, aplicações rodam pelo dispositivo e computação móvel 650, e comunicação sem fio pelo dispositivo de computação móvel 650.
[0071] O processador 652 pode se comunicar com um usuário através de uma interface de controle 658 e uma interface de exibição 656 acoplada ao display 654. O display 654 pode ser, por exemplo, um display TFT (Display de Cristal Líquido de Transistor de Película Fina) ou um display OLED (Diodo de Emissão de Luz Orgânica), ou outra tecnologia de display apropriada. A interface de exibição 656 pode compreender circuito apropriado para acionar o display 654 para apresentar informação gráfica e outra informação para um usuário. A interface de controle 658 pode receber comandos de um usuário e conver- tê-los para submissão para o processador 652. Em adição, uma interface externa 662 pode fornecer comunicação com o processador 652, de modo a permitir área de comunicação perto do dispositivo de computação móvel 650 com outros dispositivos. A interface externa 662 pode fornecer, por exemplo, para comunicação com fio em algumas implementações, ou para comunicação sem fio em outras implementações, e múltiplas interfaces podem também ser usadas.
[0072] A memória 664 armazena informação dentro do dispositivo de computação móvel 650. A memória 664 pode ser implementada como um ou mais de um meio legível por computador ou meios, uma unidade de memória volátil ou unidades, ou uma unidade e memória não volátil ou unidades. Uma memória de expansão 674 pode também ser fornecida e conectada ao dispositivo de computação móvel 650 através de uma interface de expansão 672, que pode incluir, por exemplo, uma interface de cartão SIMM (Módulo de Memória Em Linha Único). A memória de expansão 674 pode fornecer espaço de armazenamento extra para o dispositivo de computação móvel 650, ou pode também armazenar aplicações ou outra informação para o dispositivo de computação móvel 650. Especificamente, a memória de expansão 674 pode incluir instruções para realizar ou suplementar os processos descritos acima, e pode incluir informação segura também. Assim, por exemplo, a memória de expansão 674 pode ser fornecida como um módulo de segurança para o dispositivo de computação móvel 650, e pode ser programado com instruções que permitem o uso seguro do dispositivo de computação móvel 650. Em adição, aplicações seguras podem ser fornecidas por meio dos cartões SIMM, com informação adicional, tal como colocando informação de identificação no cartão SIMM em uma maneira não hackeável.
[0073] A memória pode incluir, por exemplo, memória flash e/ou memória NVRAM (memória de acesso randômico não volátil), como discutido abaixo. Em algumas implementações, instruções são armazenadas em um portador de informação. As instruções, quando executada por um ou mais dispositivos de processamento (por exemplo, processador 652), realizam um ou mais métodos, tais como aqueles descritos acima. As instruções podem também ser armazenadas por um ou mais dispositivos de armazenamento, tais como um ou mais meios legíveis por computador ou máquina (por exemplo, a memória 664, a memória de expansão 674, ou memória no processador 652). Em algumas implementações, as instruções podem ser recebidas em um sinal propagado, por exemplo, sobre o transceptor 668 ou a interface externa 662.
[0074] O dispositivo de computação móvel 650 pode se comunicar de modo sem fio através da interface de comunicação 666, que pode incluir circuito de processamento de sinal digital onde necessário. A interface de comunicação 666 pode fornecer comunicações sob vários modos ou protocolos, tais como chamadas de voz GSM (Sistema Global para comunicações Móveis), SMS (Serviço de Mensagens curtas), EMS (Serviço de Mensagens Melhorado), ou mensagem MMS (Sérvio de Mensagens de Multimídia), CDMA (Acesso Múltiplo por Divisão de Código), TDMA (Acesso Múltiplo por Divisão de Tempo), PDC (Celular Digital Pessoal), WCDMA (Acesso Múltiplo por Divisão de Código de Banda Larga), CDMA2000, ou GPRS (Serviço de Radio de Pacote Geral) dentre outros. Tal comunicação pode ocorrer, por exemplo, através do transceptor 668 usando uma radiofrequência. Em adição, comunicação de alcance curto pode ocorrer, tal como usando Bluetooth, WiFi ou outro tal transceptor (não mostrado). Em adição, um módulo receptor de GPS (Sistema de Posicionamento Global) 670 pode fornecer dados sem fio, relacionados à navegação e localização para o dispositivo de computação móvel 650, que pode ser usado como apropriado por aplicações rodando no dispositivo de computação móvel 650.
[0075] O serviço de computação móvel 650 pode também se comunicar de modo audível usando um codec de áudio 660, que pode receber informação falada de um usuário e converte-la em informação digital utilizável. O codec de áudio 660 pode igualmente gerar som audível para um usuário, tal como através de um alto-falante, por exemplo, em um fone do dispositivo e computação móvel 650, tal som pode incluir som de chamadas de telefone de voz, podem incluir som gravado (por exemplo, mensagens de voz, arquivos de música, etc.) e podem também incluir som gerado por aplicações operando no dispositivo de computação móvel 650.
[0076] O dispositivo de computação móvel 650 pode ser implementado em um número de formas diferentes, como mostrado na figura. Por exemplo, pode ser implementado como telefone celular 680. Também pode ser implementado como parte de um smartphone 682, assistente pessoal digital, ou outro dispositivo móvel similar.
[0077] Várias implementações dos sistemas e técnicas descritas aqui podem ser realizadas em circuito eletrônico digital, circuito integrado, ASICs (circuitos integrados de aplicação específica) especialmente desenhados, hardware de computador, firmware, software, e/ou combinações dos mesmos. Estas várias implementações podem incluir implementação em um ou mais programas de computador que são executáveis e/ou interpretáveis em um sistema programável incluindo pelo menos um processador programável, que podem ser especiais ou propósito geral, acoplado para receber dados e instruções a partir de, e transmitir dados e instruções para, um sistema de armazenamento, pelo menos um dispositivo de entrada, e pelo menos um dispositivo de saída.
[0078] Estes programas de computador (também conhecido como programas, software, aplicações de software ou código) incluem instruções de máquina para um processador programável, e podem ser implementados em um procedimento de alto nível e/ou linguagem de programação orientada ao objeto, e/ou uma linguagem de monta-gem/máquina. Como usado aqui, os termos meio legível por máquina e meio legível por computador se referem a qualquer produto de programa de computador, aparelho e/ou dispositivo (por exemplo, discos magnéticos, discos óticos, memória, Dispositivos Lógicos Programá-veis (PLDs)) usados para fornecer instrução de máquina e/ou dados para um processador programável, incluindo um meio legível por máquina que recebe instruções de máquina como um sinal legível por máquina. O termo sinal legível por máquina se refere para qualquer sinal usado para fornecer instruções de máquina e/ou dados para um processador programável.
[0079] Para fornecer interação com um usuário, os sistemas e técnicas descritas aqui podem ser implementados em um computador tendo um dispositivo de exibição (por exemplo, um monitor de CRT (tubo de raio catodo) ou LCD (visor de cristal líquido)) para mostrar informação ao usuário de um teclado e um dispositivo indicador (por exemplo, um mouse ou um TrackBall) pelo qual o usuário pode fornecer entrada para o computador. Outros tipos de dispositivos podem ser usados para fornecer interação com o usuário também; por exemplo, o retorno fornecido ao usuário pode ser qualquer forma de retomo sen-sorial (por exemplo, retorno visual, retorno auditivo, ou retomo tátil); e entrada do usuário pode ser recebida em qualquer forma, incluindo entrada acústica, de fala ou tátil.
[0080] Os sistemas e técnicas descritas aqui podem ser implementados em um sistema de computação que inclui um componente de extremidade traseira (por exemplo, como um servidor de dados), ou que inclui um componente middleware (por exemplo, um servidor de aplicação), ou que inclui um componente de extremidade dianteira (por exemplo, um computador de cliente tendo uma interface gráfica de usuário ou um navegador da Web através do qual um usuário pode interagir com uma implementação dos sistemas e técnicas descritas aqui), ou qualquer combinação de tais componentes de extremidade traseira, middleware, ou extremidade dianteira. Os componentes do sistema podem ser interconectados por qualquer forma ou meio de comunicação de dados digitais (por exemplo, uma rede de comunicação). Exemplos de redes de comunicação incluem uma rede local (LAN), uma rede de grande extensão (WAN), e a Internet.
[0081] O sistema de computação pode incluir clientes e servidores. Um cliente e servidor são em geral afastados um do outro e interagem tipicamente através de uma rede de comunicação, a relação de cliente e servidor surge em virtude de programas de computador que rodam nos computadores respectivos e tendo uma relação de cliente-servidor um com o outro.
[0082] Embora umas poucas implementações tenham sido descritas em detalhe acima, outras modificações são possíveis. Por exemplo, enquanto uma aplicação de cliente é descrita como acessando o(s) delegado(s), em outras implementações o(s) delegado(s) podem ser empregado(s) por outras aplicações implementadas por um ou mais processadores, tal como uma aplicação executando em um ou mais servidores. Em adição, os fluxos lógicos representados nas figuras não exigem a ordem particular mostrada, ou ordem sequencial, para obter resultados desejáveis. Em adição, outras ações podem ser fornecidas, ou ações podem ser eliminadas, a partir dos fluxos descritos, e outros componentes podem ser adicionados a, ou removidos de, os sistemas descritos.
REIVINDICAÇÕES

Claims (13)

1. Rede de computadores (100) que fornece autenticação segura, a rede de computadores (100) que compreende: um servidor (130) operável para gerar um token (50) compreendendo informação de identificação; um primeiro dispositivo (110) a ser autenticado, o primeiro dispositivo (110) sendo operável para receber o token (50); um segundo dispositivo (120) associado a um identificador confiável (60), o segundo dispositivo (120) sendo operável para : recuperar o token (50) do primeiro dispositivo (110); associar o token (50) com o identificador confiável (60) para autenticar o primeiro dispositivo (110) no servidor (130); em que o segundo dispositivo (120) é ainda operável para enviar dados de autenticação (70) compreendendo o token associado (50) e o identificador de confiança (60) ao servidor (130), em que os dados de autenticação (70) permitem que o primeiro dispositivo (110) seja autenticado por meio do identificador de confiança (60) baseado na informação de identificação compreendida no token (50), e o servidor (130) compreende pelo menos dois componentes (230, 240), um primeiro componente (230) sendo operável para gerar o token (50) e caracterizada em que um segundo componente (240) sendo operável para escrever os dados de autenticação (70) em um banco de dados e/ou para ler os dados de autenticação (70) a partir do banco de dados.
2. Rede de computadores (100), de acordo com a reivindicação 1, caracterizada pelo fato de que o primeiro dispositivo (110) é ainda operável para gerar a informação de identificação, e enviar a informação de identificação ao servidor (130), em que a informação de identificação de preferência compreende um endereço de IP válido gerado randomicamente e um número de porta gerado randomicamente.
3. Rede de computadores (100), de acordo com a reivindicação 1, caracterizada pelo fato de que o segundo dispositivo (120) é operável para enviar os dados de autenticação (70) para o primeiro componente (230), e o primeiro componente (230) é ainda operável para validar o token (50) como tendo sido gerado pelo primeiro componente (230) e enviar os dados de autenticação (70) para o segundo componente (240).
4. Rede de computadores (100), de acordo com qualquer uma das reivindicações 1 a 3, caracterizada pelo fato de que o primeiro dispositivo (110) é ainda operável para ser autenticado por meio do identificador de confiança (60) em resposta a comunicar a informação de identificação ao servidor (130).
5. Rede de computadores (100), de acordo com qualquer uma das reivindicações 1 a 4, caracterizada pelo fato de que o segundo dispositivo (120) é um telefone celular e o identificador de confiança (60) é o MSISDN.
6. Rede de computadores (100), de acordo com qualquer uma das reivindicações 1 a 5, caracterizada pelo fato de que o primeiro dispositivo (120) é ainda operável para gerar e exibir um código de QR incluindo o token (50).
7. Rede de computadores (100), de acordo com qualquer uma das reivindicações 1 a 6, caracterizada pelo fato de que o token (50) é um token criptografado.
8. Rede de computadores (100), de acordo com a reivindicação 2, caracterizada pelo fato de que o primeiro dispositivo (110) pode compreender um software de aplicação (210) operável para gerar a informação de identificação, em que a informação de identificação ainda compreende um identificador do software de aplicação (210).
9. Módulo de computador (220) que fornece autenticação segura, o módulo (220) sendo operável para: recuperar um token (50) compreendendo informação de identificação de um primeiro dispositivo (110) a ser autenticado; recuperar automaticamente, a partir de um servidor (130), um identificador de confiança (60) associado com um segundo dispositivo (120); associar o token (50) com o identificador de confiança (60); enviar dados de autenticação (70) compreendendo o token associado (50) com o identificador de confiança (60) para o servidor (130), em que os dados de autenticação (70) permitem que o primeiro dispositivo (110) seja autenticado por meio do identificador de confiança (60) baseado na informação de identificação compreendido no token (50), e os dados de autenticação (70) sejam configurados para serem escritos para um banco de dados e lido do banco de dados.
10. Módulo de computador (220), de acordo com a reivindicação 9, caracterizado pelo fato de que o segundo dispositivo (120) é um telefone celular e o identificador de confiança (60) é o MSISDN.
11. Módulo de computador (220), de acordo com a reivindicação 9 ou 10, caracterizado pelo fato de que o token (50) é incluído em um código de QR e o módulo de computador (220) é ainda operável para escanear o código de QR para recuperar o token (50).
12. Método implementado por computador que fornece autenticação segura, o método caracterizado pelo fato de que compreende: gerar, por um servidor (130), um token (50) compreendendo informação de identificação; receber, por um primeiro dispositivo (110), o token (50); recuperar, por um segundo dispositivo (120) associado com um identificador de confiança (60), o token (50) do primeiro dispositivo (110); associar, pelo segundo dispositivo (120), o token (50) para o identificador de confiança (60) para autenticar o primeiro dispositivo (110) no servidor (130), em que os dados de autenticação (70) permitem que o primeiro dispositivo (110) seja autenticado por meio do identificador de confiança (60) baseado na informação de identificação compreendida no token (50), e caracterizado por escrever, pelo servidor (130), os dados de autenticação (70) em um banco de dados e ler os dados de autenticação (70) a partir do banco de dados.
13. Produto de programa de computador caracterizado por compreender instruções legíveis por computador que, quando carregadas e executadas em um sistema adequado, realizam as etapas de um método de autenticação segura como definido na reivindicação 12.
BR102016014638A 2015-06-24 2016-06-21 autenticação de dispositivo BR102016014638A2 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP15173623.8A EP3110099B1 (en) 2015-06-24 2015-06-24 Device authentication

Publications (1)

Publication Number Publication Date
BR102016014638A2 true BR102016014638A2 (pt) 2017-01-24

Family

ID=53496474

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102016014638A BR102016014638A2 (pt) 2015-06-24 2016-06-21 autenticação de dispositivo

Country Status (4)

Country Link
US (1) US10623394B2 (pt)
EP (2) EP3110099B1 (pt)
CN (1) CN106302381B (pt)
BR (1) BR102016014638A2 (pt)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209730B (zh) * 2015-04-30 2020-03-10 华为技术有限公司 一种管理应用标识的方法及装置
US11494727B2 (en) * 2016-08-11 2022-11-08 TruckPay Inc. Job verification method and system based on code scanning
US10951467B2 (en) * 2017-06-02 2021-03-16 Arris Enterprises Llc Secure enabling and disabling points of entry on a device remotely or locally
US10951599B2 (en) 2017-06-02 2021-03-16 Arris Enterprises Llc Secure shell (SSH) server public key validation by a SSH client in a high volume device deployment
US11153303B2 (en) 2017-11-15 2021-10-19 Citrix Systems, Inc. Secure authentication of a device through attestation by another device
CN109257695B (zh) * 2018-09-26 2021-02-19 中国联合网络通信集团有限公司 行李监控方法、监控装置、监控器、监控服务器和系统
US10277586B1 (en) * 2018-10-29 2019-04-30 Syniverse Technologies, Llc Mobile authentication with URL-redirect
EP3925189A4 (en) * 2019-03-18 2022-04-13 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR AUTHENTICATION IN NETWORK-BASED MEDIA PROCESSING (NBMP ) SYSTEMS
EP3942443A4 (en) * 2019-03-19 2022-12-21 NIKE Innovate C.V. ACCESS CONTROL TO SECURE COMPUTER RESOURCES
US10681044B1 (en) * 2019-06-20 2020-06-09 Alibaba Group Holding Limited Authentication by transmitting information through magnetic fields
CN112148921B (zh) * 2019-06-27 2023-11-14 腾讯美国有限责任公司 Nbmp功能图像检索的方法、计算机系统及可读存储介质
CN110768972B (zh) * 2019-10-17 2022-02-18 中国联合网络通信集团有限公司 一种安全验证方法和路由器
US11451537B2 (en) * 2020-04-15 2022-09-20 Sap Se Securing identity token forwarding
WO2021221215A1 (ko) * 2020-04-29 2021-11-04 엘지전자 주식회사 영상표시장치, 시스템 및 그의 동작방법
US11276258B2 (en) * 2020-06-15 2022-03-15 Delphian Systems, LLC Enhanced security for contactless access card system
US20220138283A1 (en) * 2020-10-30 2022-05-05 Comcast Cable Communications, Llc Secure Content Access
US11223957B1 (en) * 2021-06-23 2022-01-11 Syniverse Technologies, Llc Method of privatizing mobile communications using dynamic IMSI and MSISDN

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
US8862872B2 (en) * 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US8548467B2 (en) * 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US20100306085A1 (en) 2009-06-02 2010-12-02 Accenture Global Services Gmbh Rapid item authentication via conventional communication channels
GB2489332C2 (en) * 2010-11-25 2021-08-11 Ensygnia Ltd Handling encoded information
US9154953B2 (en) * 2010-12-10 2015-10-06 At&T Intellectual Property I, L.P. Network access via telephony services
FR2969437A1 (fr) * 2010-12-16 2012-06-22 France Telecom Procede d'authentification d'un utilisateur d'un terminal aupres d'un fournisseur de services
US10333711B2 (en) * 2011-06-17 2019-06-25 Microsoft Technology Licensing, Llc Controlling access to protected objects
SG10201706477YA (en) * 2011-07-15 2017-09-28 Mastercard International Inc Methods and systems for payments assurance
US8627438B1 (en) * 2011-09-08 2014-01-07 Amazon Technologies, Inc. Passwordless strong authentication using trusted devices
WO2013126783A1 (en) 2012-02-24 2013-08-29 Wyse Technology Inc. Information sharing using token received using visual tag
WO2013180719A1 (en) * 2012-05-31 2013-12-05 Hewlett-Packard Development Company, L.P. Establishing trust between processor and server
ES2680152T3 (es) 2012-08-03 2018-09-04 OneSpan International GmbH Método y aparato de autenticación conveniente para el usuario usando una aplicación de autenticación móvil
US9178962B2 (en) * 2012-11-28 2015-11-03 Qualcomm Incorporated System and method for authenticating multiple devices with a same credential
CN103269328A (zh) 2013-03-08 2013-08-28 陈景辉 一种基于图形信息交换的认证系统和方法
WO2014142779A1 (en) * 2013-03-09 2014-09-18 Intel Corporation Secure user authentication with improved one-time-passcode verification
US9130929B2 (en) * 2013-03-15 2015-09-08 Aol Inc. Systems and methods for using imaging to authenticate online users
US9378345B2 (en) * 2014-04-29 2016-06-28 Bank Of America Corporation Authentication using device ID
US20150350208A1 (en) * 2014-05-27 2015-12-03 Turgut BAYRAMKUL Token server-based system and methodology providing user authentication and verification for online secured systems
US9654972B2 (en) * 2014-08-18 2017-05-16 Qualcomm Incorporated Secure provisioning of an authentication credential
US9819665B1 (en) * 2015-06-26 2017-11-14 EMC IP Holding Company LLC Synchronization of access tokens for session continuity across multiple devices

Also Published As

Publication number Publication date
US20160380997A1 (en) 2016-12-29
EP3407565A1 (en) 2018-11-28
EP3110099B1 (en) 2018-10-31
EP3110099A1 (en) 2016-12-28
US10623394B2 (en) 2020-04-14
CN106302381B (zh) 2020-03-03
EP3407565B1 (en) 2019-12-18
CN106302381A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
BR102016014638A2 (pt) autenticação de dispositivo
US11178148B2 (en) Out-of-band authentication to access web-service with indication of physical access to client device
ES2820554T3 (es) Método y aparato para autentificar un usuario, método y aparato para registrar un dispositivo ponible
ES2701926T3 (es) Método y sistema para verificar una operación de cuenta
US9118662B2 (en) Method and system for distributed off-line logon using one-time passwords
US20180285555A1 (en) Authentication method, device and system
US20210399895A1 (en) Systems and Methods for Single-Step Out-of-Band Authentication
US9935925B2 (en) Method for establishing a cryptographically protected communication channel
US9749131B2 (en) System and method for implementing a one-time-password using asymmetric cryptography
US9124433B2 (en) Remote authentication and transaction signatures
US20180183777A1 (en) Methods and systems for user authentication
WO2017067201A1 (zh) 一种连接Wi-Fi的方法、终端和系统
WO2023009969A1 (en) Non-fungible token authentication
WO2015180689A1 (zh) 验证信息的获取方法及装置
US11032275B2 (en) System for improved identification and authentication
JP2017538353A (ja) モバイル端末上のデータを暗号化/復号化するための方法及び装置
US8321671B2 (en) Method and apparatus for client-driven profile update in an enterprise wireless network
US20210377051A1 (en) Method of establishing a future 2-way authentication between a client application and an application server
US20210211876A1 (en) Method and system for generating a secure one-time passcode using strong authentication
US20230171110A1 (en) Systems and Methods for Using Signed Device Information to Authenticate a User
CA2904646A1 (en) Secure authentication using dynamic passcode
US20240056821A1 (en) A cloud computing environment and a method for providing remote secure element services
US20230254306A1 (en) Systems and methods for authenticating access to a service by a mobile device
Noor FIDO: Fast IDentity Online.
JP2018056928A (ja) 認証サーバ、端末装置、システム、認証方法、及びプログラム

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B07A Application suspended after technical examination (opinion) [chapter 7.1 patent gazette]
B09B Patent application refused [chapter 9.2 patent gazette]
B12B Appeal against refusal [chapter 12.2 patent gazette]