BR112016000122B1 - Método e sistema relacionados à autenticação de usuário para acessar redes de dados - Google Patents
Método e sistema relacionados à autenticação de usuário para acessar redes de dados Download PDFInfo
- Publication number
- BR112016000122B1 BR112016000122B1 BR112016000122-2A BR112016000122A BR112016000122B1 BR 112016000122 B1 BR112016000122 B1 BR 112016000122B1 BR 112016000122 A BR112016000122 A BR 112016000122A BR 112016000122 B1 BR112016000122 B1 BR 112016000122B1
- Authority
- BR
- Brazil
- Prior art keywords
- access
- user
- computer network
- access database
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 claims abstract description 47
- 230000006870 function Effects 0.000 description 20
- 230000000903 blocking effect Effects 0.000 description 7
- 238000013507 mapping Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010422 painting Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/128—Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1453—Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
- H04L12/1467—Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network involving prepayment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/82—Criteria or parameters used for performing billing operations
- H04M15/8214—Data or packet based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
- H04L12/1407—Policy-and-charging control [PCC] architecture
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Power Engineering (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
MÉTODO E SISTEMA RELACIONADOS À AUTENTICAÇÃO DE USUÁRIO PARA ACESSAR REDES DE DADOS A presente invenção refere-se a um sistema e a um método para autenticar um usuário que solicita acesso a serviços de uma rede de computadores, compreendendo usar um endereço de comunicação exclusivo para autenticação e identificação.
Description
[0001] A presente invenção refere-se, de modo geral, ao acesso de dados por um usuário de um dispositivo de computador, à autenticação do usuário, e à cobrança do acesso aos dados concedido a um usuário. Os dados, neste contexto, não incluem os dados que estão publicamente disponíveis, mas apenas os dados aos quais o acesso é restrito de acordo com certas restrições. Mais particularmente, a presente invenção refere-se a um método e a um sistema de autenticação de usuário. A invenção também se refere a um método de comunicação entre uma rede principal e inúmeras unidades externas e bancos de dados de acesso restrito. A invenção adicionalmente se refere a uma plataforma para estabelecer e garantir os direitos e os preços bem como comunicar estes às partes necessárias da rede principal.
[0002] O amplo acesso que as pessoas têm às redes de computadores globais desencadeou uma série de problemas relacionados à autenticação e à autorização das pessoas. Há diversos problemas associados à autenticação, tanto relacionados à segurança quanto práticos, para usuários que estão para autenticar a si mesmos. A existência de diversos métodos de autenticação diferentes causa problemas práticos para os usuários bem como problemas técnicos relacionados à comunicação entre diferentes áreas de acesso restrito, clientes, etc. Existe uma necessidade de um sistema universal de identificação e de autenticação.
[0003] Há uma variedade de princípios de autenticação, tal como autenticação de fator único, de dois fatores e de três fatores, para mencionar os três mais comuns. Na autenticação de fator único, um usuário se autenticará usando apenas uma "credencial", tal como um telefone móvel com um cartão SIM, por exemplo, com o cartão SIM ou telefone móvel transmitindo um código de hardware exclusivo, o código de hardware sendo associado a um usuário específico. Este tipo de autenticação não é aceitável em casos para os quais é exigida uma alta segurança, tal como em transações ou download de material protegido por direitos, visto que é essencial que seja o atual proprietário registrado do cartão SIM ou telefone móvel que se autentica. A fim de aperfeiçoar a segurança de autenticação, é comum introduzir um elemento adicional a ser usado na autenticação de modo que os dois fatores sejam usados. Tipicamente, o segundo elemento será algo que um usuário se lembra, isto é, um fator representando algo que um usuário possui e um fator representando algo que um usuário se lembra. O fator relacionado a algo que um usuário se lembra poderia ser um código PIN, e, no caso de autenticação manual por telefone, é tipicamente uma resposta a uma pergunta conhecida.
[0004] Um problema com os fatores usados para autenticação é sua natureza volátil; o fator "posse" e o fator "lembrança" podem ambos mudar e o fator lembrança pode ser também esquecido. Infelizmente, não existe nenhum sistema no qual alguém possa se identificar universal e independentemente das ferramentas de identificação.
[0005] Um objetivo da presente invenção é o de prover um sistema e um método que solucionam o problema acima usando fatores voláteis para autenticar usuários de serviços sujeitos à segurança.
[0006] O objetivo da presente invenção é atingido pelos métodos e sistemas definidos nas reivindicações anexas.
[0007] A invenção usa o endereço de comunicação necessário pa ra comunicação em uma rede de computadores como um identificador opcional com qualquer tipo de técnica de autenticação (de fator único, de dois fatores ou de três fatores) que autentica que o usuário é, de fato, o usuário apropriado. Se mais de um fator fosse exigido, um có- digo/identidade de hardware de um dispositivo de acesso, por exemplo, poderia ser usado como um fator adicional. Isto é confirmado via uma função de login que cria/envia uma chave para/ao usuário e permite que o usuário seja autenticado em um banco de dados de login configurado para comunicação. Este banco de dados de login pode comunicar a chave com o usuário e/ou diferentes bancos de dados de acesso e/ou prestadores de acesso da efetiva rede.
[0008] A invenção permite que usuários usem um endereço de comunicação (IP) para identificar-se, provendo um sistema de identifi- cação/autenticação universal, global e de assinatura única utilizável para qualquer acesso, pagamento e semelhante.
[0009] O uso de endereços IP garante que o usuário apropriado esteja por trás de um determinado endereço de comunicação. Um objetivo é o de que o usuário não seja capaz de acessar uma rede principal e através desta rede obter acesso a dados de acesso restrito sem que o usuário tenha sido seguramente autorizado através de uso de uma identidade de usuário exclusiva, tal como um endereço IP atribuído, por exemplo. De acordo com uma concretização da invenção, o usuário poderá ser rejeitado da rede principal, se a autenticação não for executada usando uma identidade exclusiva, conforme indicado acima. Desta maneira, a identidade de um usuário pode estar associada diretamente aos direitos do usuário, e o usuário é impedido de obter acesso a dados de acesso restrito, a menos que ele se autentique.
[00010] Através do uso da invenção, um usuário é impedido de se comunicar a partir de um IP de um operador que não tem as mesmas restrições que o operador que conferiu acesso ao usuário. A tentativa de tornar anônimo/não identificar (por exemplo, proxy, IP oculto, usando outro IP) a fim de acessar, por exemplo, conteúdo ilícito ou driblar restrições em uma rede principal não será possível, quando do uso da invenção, visto que a invenção impede o acesso via a rede para um usuário. A invenção impede que usuários acessem redes globais via a infraestrutura de outros operadores além do operador de acesso.
[00011] De acordo com um aspecto da invenção, é provido um método de autenticar um usuário que solicita acesso a serviços de uma rede de computadores, que compreende usar um endereço de comunicação exclusivo para autenticação e identificação. O método pode também compreender uma alocação global de endereços de comunicação exclusivos a usuários e dispositivos. O método pode adicionalmente compreender usar uma função de login via um aparelho ou dispositivo ao qual pode ser associado um endereço de comunicação exclusivo, tal como um endereço IPv6 via uma identidade de hardware, tal como MAC, IMEI, IMSI e semelhante, configurado para enviar e receber informação sobre uma rede. O método da invenção pode compreender usar a identidade de hardware, isto é, um identificador que é pelo menos um endereço de comunicação, MAC, IMEI, um código, um identificador bancário, ou outro meio de identificação que possa ser usado para autenticar um usuário.
[00012] O método pode adicionalmente compreender enviar, se um dos identificadores for perdido ou o usuário encerrar uma sessão, um sinal para o banco de dados que mantém um registro dos usuários e se eles estão autorizados, o dito banco de dados sendo configurado para assegurar que o usuário em questão obtenha acesso à rede de computadores ou que o usuário seja removido da rede de computadores, quando da falta de um identificador. De acordo com o método, o banco de dados pode ser configurado para registrar que o usuário não está mais em posse de todos os identificadores, e para comunicar informação no mesmo durante a solicitação subsequente de bancos de dados de acesso ou outras unidades externas com base na solicitação do usuário para acesso ao mesmo. De acordo com uma concretização da invenção, o banco de dados pode ser parte de um sistema de assinatura que administra usuários em uma companhia telefônica.
[00013] A invenção também compreende um sistema para autenticar um usuário que solicita acesso a serviços em uma rede de computadores, que compreende o uso de endereços de comunicação exclusivos para autenticação e identificação. De acordo com este sistema, o sistema pode compreender uma alocação global de endereços de comunicação exclusivos para usuários e dispositivos.
[00014] O sistema pode adicionalmente compreender um sistema de login e um sistema de assinatura capazes de se comunicar com pelo menos (a) vários bancos de dados de acesso, ou (b) prestador de acesso, ou (c) chave de usuário, ou (d) quaisquer outras solicitações eletrônicas, tais como autenticação para compra, assinatura, reconciliação, e outras unidades externas, etc.
[00015] De acordo com um aspecto adicional da invenção, é provido um método de comunicação entre uma rede principal e inúmeras unidades externas bem como bancos de dados de acesso (ADB's) que protegem dados, serviços, informação, sistemas, aplicativos de acesso restrito, etc., que compreende: comunicar identificação de usuários que têm acesso e qual acesso eles têm, e determinar e comunicar, pela rede principal, sob solicitação, se ou não o usuário pagou/será autorizado crédito para o suposto uso (sistema de assinatu- ra/cobrança). O método pode compreender registrar o tráfego com a rede principal e/ou com o ADB que informa a rede principal.
[00016] De acordo com um aspecto adicional da invenção, é provido um sistema para comunicação entre uma rede principal e inúmeras unidades externas bem como bancos de dados de acesso que protegem dados, serviços, informação, sistemas, aplicativos de acesso restrito, etc., que compreende: que a identificação de usuários que têm acesso e qual acesso eles têm seja comunicada, e que a rede principal, sob solicitação, determine e comunique se ou não o usuário pa- gou/será autorizado crédito para um suposto uso (sistema de assinatu- ra/cobrança). O sistema pode compreender registrar o tráfego com a rede principal e/ou com o ADB que informa a rede principal.
[00017] De acordo com ainda um aspecto adicional da invenção, é provido um método de comunicação entre uma rede principal e uma plataforma digital, que provê informação sobre conteúdo, forma de pagamento, termos de uso, preço, distribuição do preço/receitas para as entidades apropriadas, e as funções da rede principal (assinatura, cobrança, bloqueio, outra comunicação externa, pagamento a outras partes).
[00018] De acordo ainda um aspecto adicional da invenção, é provido um sistema para comunicação entre uma rede principal e uma plataforma digital, que provê informação sobre conteúdo, forma de pagamento, termos de uso, preço, distribuição de preço/receitas para as entidades adequadas, e as funções da rede principal (assinatura, cobrança, bloqueio, outra comunicação externa, pagamento a outras partes).
[00019] Características e vantagens adicionais da presente invenção ficarão evidentes a partir das reivindicações dependentes anexas.
[00020] A seguir, é provida uma breve descrição dos desenhos para facilitar o entendimento da invenção. A descrição detalhada apresentada, a seguir, faz referência aos desenhos anexos, nos quais:
[00021] a Figura 1 mostra um cabeçalho de pacote IPv6,
[00022] a Figura 2 mostra uma rede incluindo bancos de dados compreendendo conteúdo que requer autenticação para acesso,
[00023] a Figura 3 mostra um diagrama de uma rotina de autenticação de assinatura/login de acordo com uma concretização da presente invenção,
[00024] a Figura 4 mostra um diagrama de uma rotina de autentica- ção de assinatura/login de acordo com uma variante da concretização mostrada na Figura 3,
[00025] a Figura 5 mostra um diagrama de fluxo que descreve um método de autenticação,
[00026] a Figura 6 mostra um diagrama de fluxo que descreve um método alternativo de autenticação com relação àquele mostrado na Figura 5,
[00027] a Figura 7 mostra uma comunicação exemplificativa entre uma rede principal e inúmeras unidades externas e bancos de dados de acesso que protegem dados de acesso restrito,
[00028] a Figura 8 mostra um exemplo alternativo para a comunicação da Figura 7, e
[00029] a Figura 9 mostra uma plataforma exemplificativa para interação entre a rede principal e sistemas de cobrança.
[00030] A seguir, são descritas as primeiras concretizações gerais de acordo com a presente invenção, sendo então descritas concretizações exemplificativas específicas. Quando possível, será feita referência aos desenhos anexos, e, caso possível, usando os numerais de referência dos desenhos. Será notado, contudo, que os desenhos mostram apenas concretizações exemplificativas e outros detalhes e concretizações poderão também ser abrangidos pelo âmbito da invenção, conforme descrito.
[00031] O termo "dados de acesso restrito" indica qualquer material, sistemas, serviços, aplicativos, programas, vídeo, áudio e semelhantes que são protegidos pelas leis de direitos autorais e outras leis, o termo também incluindo dados que são protegidos através de acordos de direito privado, tais como acordos de licença, acordos de distribuição, acordos de agência e semelhantes, bem como dados para os quais um proprietário escolhe aplicar restrições de acesso, não obstante os direitos e o enquadramento legal. Visto que a invenção é dirigida ao controle de acesso de dados de acesso restrito sobre redes de computadores, o termo "dados de acesso restrito" não abrangerá material de natureza tangível. Contudo, o termo abrange qualquer interpretação digital ou provisão de material tangível protegido por direitos autorais. Tal material tangível pode compreender, mas não é limitado a fotografias, pinturas, mas também esculturas e outro material tridimensional do qual a interpretação digital pode ser usada para a produção e a exploração de material tridimensional, por exemplo.
[00032] O termo "companhia telefônica", no contexto da invenção, irá incluir qualquer provedor de acesso de rede com o direito de mediar o tráfego de dados para e de um usuário e que, ao mesmo tempo, seja capaz de comunicar dados de acesso restrito direta ou indiretamente a um ou mais usuários.
[00033] O termo "titulares dos direitos" indica uma ou mais entidades licitamente em posse do direito a dados e serviços de acesso restrito. Para os casos em que uma companhia telefônica oferece seus próprios dados, material e serviços de acesso restritos, a companhia telefônica pode também ser um titular dos direitos. Tal material pode ser, por exemplo, plataformas ou aplicativos de software de computador, onde computadores serão interpretados de acordo com a definição provida nos mesmos.
[00034] O termo "provedores de direitos" indica uma ou mais entidades que podem licitamente mediar os dados de acesso restrito. Uma companhia telefônica pode ser um provedor de direitos.
[00035] O termo "computadores" será entendido como sendo qualquer dispositivo que possa ser conectado a uma rede de computadores e que, ao mesmo tempo, possa ser identificado por uma identidade exclusiva. A identidade exclusiva pode ser associada ao dispositivo como uma identidade de hardware, tais como um endereço MAC, identidades IMSI ou IMEI, por exemplo. Em uma concretização da invenção, um computador é diretamente mapeado para a identidade de um usuário, com a identidade do usuário sendo exclusiva e atribuída por uma companhia telefônica ou um organismo de certificação.
[00036] O termo "rede principal 1" será entendido como sendo a rede de uma companhia telefônica ou provedor de serviços que é o portador de tráfego para usuários fora do próprio operador; em alguns domínios, isto é também referido como rede de base.
[00037] IP é Protocolo de Internet, que é um protocolo de internet na camada de rede. Diversos protocolos de internet existem na camada de rede, com o mais comum sendo IPv4. IPv4 foi usado por um longo período de tempo e um dos problemas fundamentais com o mesmo é a limitação sobre o número de endereços disponíveis. O aumento no número de dispositivos que requerem endereços IP separados foi expressivo e IPv4 está ficando desprovido de endereços dentro de algumas faixas de endereços. Outra falha que pode também ser atribuída ao fato de o IPv4 estar prestes a se tornar obsoleto é a de que este protocolo não é dimensionado muito bem com relação a maiores demandas de autenticação, integridade de dados e segurança de dados, com maiores demandas sendo causadas grandemente pelo enorme número de transações que estão atualmente disponíveis sobre a rede, tanto transações monetárias quanto, não menos importantes, transações de material protegido por direitos, tais como jogos, música, filmes, e livros. A fim de superar as deficiências de IPv4, já em 1994, foi sugerida a transição para um protocolo apresentando uma maior faixa de endereços e maior flexibilidade em geral, cujo protocolo foi referido como IPv6. IPv6 apresenta um espaço de endereço de 128 bits, ao passo que IPv4 apresenta apenas 32 bits.
[00038] Em muitos contextos, endereços IPv6 são divididos em duas partes, um prefixo de rede de 64 bits e uma parte de 64 bits ende- reçando o hóspede. A última parte, que é o identificador de interface, será frequentemente gerada automaticamente do endereço MAC do adaptador de rede. Um endereço MAC inclui 48 bits, e a transformação de 48 bits em 64 bits para uso como um identificador de interface é descrita em 2.5.1 de RFC 4291. Os endereços IPv6 são tipicamente especificados hexadecimalmente como oito grupos de quatro dígitos hexadecimais separados por dois pontos.
[00039] Um pacote IPv6 é compreendido de duas partes, um cabeçalho, conforme mostrado na Figura 1, e a carga útil. O cabeçalho compreende os 40 primeiros caracteres de um pacote e contém vários campos. No contexto da presente invenção, ele é principalmente o campo de endereço de Origem do cabeçalho que é de interesse, que contém os endereços de origem.
[00040] Como IPv4, IPv6 suporta endereços IP globalmente exclusivos, de modo que a atividade de rede de qualquer dispositivo possa ser rastreada (pelo menos teoricamente).
[00041] Uma finalidade de IPv6 é a de atribuir endereços exclusivos a cada dispositivo existente na "rede". Consequentemente, cada dispositivo na Internet terá um endereço global exclusivo diretamente en- dereçável de qualquer outro endereço na Internet. A necessidade de salvar endereços em IPv4 levou à introdução de uma tradução de endereço de rede (NAT) que mascarou dispositivos apresentando endereços IP situados por trás de uma interface de rede, de modo que tais dispositivos não foram diretamente reconhecíveis de fora da interface de rede. Em IPv6, não é necessário usar NAT ou autoconfiguração de endereço, embora a autoconfiguração com base no endereço MAC seja possível. Mesmo quando um endereço não se basear em um endereço MAC, o endereço de interface será globalmente exclusivo, como em oposição ao que é visto nas redes IPv4 mascaradas NAT. Mesmo que o regime IPv6 possa ser criticado por comprometer a "pri- vacidade", suas características na forma do grande espaço de endereço e rastreabilidade exclusiva o tornam um candidato interessante para autenticação.
[00042] De acordo com a presente invenção, um objetivo é o de prover sistemas de autenticação e métodos de autenticação onde um fator se baseia no endereço de comunicação (tal como IPv6). Conforme indicado acima, é comum usar um endereço MAC, identidade IMSI ou IMEI como um dos fatores que gera um código de autenticação. Também, conforme indicado, há, contudo, diversas desvantagens associadas a esta abordagem. Por exemplo, uma unidade de hardware (o fator de posse) pode ser usada por diversos usuários. Se aos usuários fosse atribuído um endereço globalmente exclusivo que seja invariável da mesma maneira que um número de seguro social/número de telefone, então, tal endereço poderia ser usado como um fator em um algoritmo de autenticação, seja um "algoritmo de um fator, de dois fatores ou de três fatores". Tal endereço exclusivo pode ser um endereço IPv6.
[00043] Os endereços IPv6 podem ser atribuídos de ISPs, operadores, ou partes certificadas intituladas para dispensar certificados, como é conhecido dos sistemas atuais nos quais atores individuais tais como Symantec, entre outros, podem verificar a autenticidade, dispensar PKIs na qualidade de Autoridades de Certificação (CAs). A atribuição do endereço IPv6 é assumida como sendo executada de maneira segura.
[00044] Depois que os indivíduos receberam um endereço IPv6 pessoal e globalmente exclusivo, de acordo com um aspecto da invenção, o usuário poderá autenticar o uso deste endereço IPv6 exclusivo em um sistema de autenticação de um fator.
[00045] De acordo com outro aspecto da invenção, o endereço IPv6 exclusivo pode constituir um dos fatores em uma autenticação de dois fatores, onde o outro fator pode ser um endereço MAC, código IMSI ou IMEI. O código de hardware e endereço IPv6, de acordo com um aspecto da invenção, pode ser a entrada a um algoritmo que gera um código de identificação exclusivo.
[00046] Similarmente, de acordo com um terceiro aspecto da invenção, poderão ser usados três fatores.
[00047] Se um usuário estiver para executar transações ou executar outras ações para as quais é exigida a segurança da identidade de uma pessoa, então, a autenticação será necessária.
[00048] ID+IP= IP verificado/ativado/identificado - especificado através de uma função de login - aviso e desativação automática, se a identificação for perdida/a chave for "destruída". Cancelamen- to/desativação do acesso à rede e/ou a um recurso protegido. (se você não se identificar sempre, você será desconectado).
[00049] De acordo com uma concretização da invenção (Figura 4), a invenção compreende uma função de assinatura/login para acessar a Internet/outra rede.
[00050] A função de assinatura, quando do emprego de uma solução de dois fatores, se comunicará com um banco de dados que mantém um registro dos endereços e das identidades de comunicação por trás dos diferentes endereços de comunicação e como as identidades podem ser autenticadas (DB1). Pode ser usado um dispositivo eletrônico incluindo um transmissor e um receptor apresentado uma interface de comunicação que permite que o mesmo tenha um endereço de comunicação com o qual ele pode ser comunicar na rede (IMEI, IMSI, MAC).
[00051] O endereço de comunicação pode ser listado em vários bancos de dados de acesso (DBx) conectados a uma rede de computadores e protegendo um URL, uma ligação ou um volume de dados específico, um serviço ou outro material de acesso restrito. O acesso a DBx é decidido por se o endereço de comunicação é encontrado no banco de dados de acesso, e que uma solicitação é repassada para DB1 considerando se ele descobre que o endereço está ativa- do/autorizado pelo usuário correto, em cujo caso é conferido o acesso a DBx. No caso oposto, uma mensagem de erro é enviada e o acesso é negado. Se o usuário encerrar a sessão ou a "chave" for violada, isto poderá ser relatado ao DB1, que envia uma mensagem para os bancos de dados de acesso relevantes (DBx) e outras unidades externas informando que o usuário não mais terá acesso e que uma mensagem de erro é enviada. Neste caso, pode ser distinguido entre um logout pretendido e uma interrupção o fato de a chave ser violada; com a dis-tinção entre a violação da chave e logout, a quantidade de tráfego de dados pode ser reduzida, visto que logout pretendido não necessariamente precisa ser relatado a DB1, uma vez que, então, em qualquer caso, apenas o usuário correto é capaz de fazer logon novamente. No caso de violação da chave, um relatório será sempre enviado para DB1. DB1 registra isto e pode enviar uma mensagem para um DBx e outras unidades externas informando que o usuário não é identificado. Quaisquer tentativas de acesso subsequentes por parte do usuá- rio/endereço de comunicação serão então negadas e uma mensagem de erro será fornecida no ADB (Figura 4).
[00052] A restrição de acesso pode ser conectada diretamente ao uso de acesso no qual é conferido acesso a um usuário enquanto ele ativa/autentica, ao mesmo tempo, seu usuário no DB1. A ativação ocorrerá quando ID correto e IP correto forem providos juntamente com um MAC, IMEI ou semelhantes. Uma chave é criada no usuário. Esta chave notificará DB1, se ela for violada, em que o IP é altera- do/oculto/tornado anônimo ou o usuário encerra a sessão. DB1 notifica o prestador de acesso, que dispensa uma mensagem de erro para o usuário.
[00053] A seguir, é provido um uso exemplificativo de autenticação no caso de comunicação entre uma rede principal e inúmeras unidades externas e bancos de dados de acesso restrito. O exemplo inclui cinco etapas:
[00054] 1. Um assinante de uma companhia telefônica tem um endereço de comunicação exclusivo e usa uma função de login para introduzir o endereço de comunicação e uma ferramenta de autenticação que prova que ele, de fato, é o usuário apropriado do endereço de comunicação. Também é provido o código com o qual os dispositivos de computação (computador, tablet e telefone móvel) do usuário são rotulados. Quando tudo estiver verificado, será registrado no sistema de assinatura do operador que o usuário foi identificado, sendo atribuída uma chave ao usuário.
[00055] O usuário tenta acessar um banco de dados apresentando um serviço ou conteúdo. Se o firewall não reconhecer o endereço de comunicação, então, o acesso não será concedido. Se o firewall reconhecer o endereço de comunicação, então, o acesso será concedido.
[00056] 2. Se logout/violação da chave forem registrados pelo sistema de assinatura (DB1), então, ele poderá notificar o ADB e as unidades externas.
[00057] 3. Se um usuário que está conectado e é identificado encerrar a sessão ou alterar IP através de um servidor proxy, ocultar o IP por meio de outro software, usar múltiplos IPs e semelhantes, uma mensagem será passada da chave para a função de assinatura que registra uma violação da chave.
[00058] 4. Se um usuário atuar de maneira que leve a uma violação de chave ou logout, então, esta informação poderá ser comunicada aos bancos de dados de acesso. Ao usuário não será mais permitido então o acesso aos bancos de dados em questão.
[00059] 5. Informação sobre logout/violação da chave pode ser comunicada diretamente à função de acesso associada a uma rede principal e terminar o acesso do usuário em questão.
[00060] 6. Um servidor/banco de dados que lida com uma compra,uma função de assinatura, uma função de finança, ou semelhante pode receber uma mensagem que informa que o usuário não é identificado.
[00061] A invenção também se refere a uma plataforma para estabelecer e garantir os direitos e os preços bem como comunicar estes às partes necessárias da rede principal, o que é discutido neste exemplo com referência à Figura 5.
[00062] Comunicação entre o banco de dados de acesso/firewall (ADB) que protegem conteúdo/um serviço/dados e conectados a uma rede de computadores e a uma rede principal (CN) incluindo um sistema de cliente e assinatura (CSS) e um sistema de cobrança (BS). A rede principal provê informação sobre a qual os clientes terão acesso e cujo acesso será permitido. Quando um acesso relevante for solicitado por um usuário exclusivo, o ADB será consultado para ver se o acesso será concedido. (É assumido que o uso especificado foi pa- go/será autorizado crédito). O ADB irá também verificar se o cliente pagou ou se será autorizado crédito com a indagação da rede principal. Se o acesso for concedido, tal acesso acontecerá dentro dos limites acordados para o uso. O ADB registra o tráfego e pode apresentar um relatório para a rede principal. 1. O CCS registra quem são os clientes e para o que eles escolhem ter acesso em um diretório por usuário. Aos clientes é conferido acesso aos ADBs relevantes em que sua ID exclusiva com o dire- tório é listada. 2. O BS cobra os clientes de acordo com o que será pago para o acesso especificado. O BS recebe informação sobre preços bem como tráfego suposto e/ou registrado. A CN se comunica com inúmeros ABDs e unidades externas. 3. Internamente na rede principal, o sistema de cobrança e sistema de cliente se comunicam e se reconciliam. A informação sobre o tráfego registrado para um cliente pode ser recuperado dos diferentes ADBs. 4. Quando da tentativa de acesso, o ADB determinará se ao cliente será permitido o acesso, e possivelmente qual acesso (Mapeamento); se ou não o pagamento foi feito é verificado com a rede principal, BS, CCS. 5. O acesso será concedido, se o cliente e o acesso em questão forem listados no ADB, a menos que o ADB tenha registrado na CN que o usuário não pagou ou que não será autorizado crédito. 6. O ABD registra o tráfego e pode então apresentar um relatório para a CN. A CN pode também registrar o uso.
[00063] O cliente especifica o conteúdo e serviços selecionados da CN e o escopo de uso, a CN provê informação para a BS / CN introduzir o usuário em diferentes ADBs juntamente com o escopo de uso (Mapeamento)/ CN emite notificação e o cliente ficará desativado no ADB, se ele não tiver nem pago e nem será autorizado crédito (compra em dinheiro, por exemplo, pode ainda ser autorizada (ativa- da/desativada no ADB para diferentes ações)) ou, alternativamente, o ADB indaga a CN se o cliente pagou ou se foi autorizado crédito para, por exemplo, compras individuais fora do mapeamento (ativa- do/desativado no ABD para diferentes ações)
[00064] O usuário existe no ADB? (O serviço é uma parte da assi- natura do usuário? Isto pode ser também verificado com o CCS)
[00065] Que tipo de uso? Por exemplo, há algum download mais? (mapeamento e registro) A menos que o ADB tenha sido notificado pela CN, é assumido que o cliente pagou ou que será autorizado crédito. (Ou pode pagar em dinheiro) (ativado/desativado na CN)
[00066] O pagamento foi recebido? Ou foi concedido crédito? Ou é feito o pagamento em dinheiro? (ativado/desativado na CN)
[00067] Será apresentado um relatório para CN se houver atividade adicional que será cobrada.
[00068] ADB registra e provê informação para a CN
[00069] A rede principal, que usa informação sobre o usuário e o uso acordado (assinatura, "Mapeamento" predeterminado), cria um perfil de usuário com base em tal informação no ADB e se comunica com o ADB no que se refere aos diferentes serviços a fim de, em qualquer momento, decidir acessar e faturar corretamente com base no uso atual (registro, em atraso, se tiver sido concedido crédito)
[00070] Os clientes selecionam acessar. Suas IDs são registradas nas localizações de acesso relevantes (ADBs). O cliente é cobrado de acordo. Quando o acesso for solicitado, será verificado se o cliente foi introduzido, e se o pagamento foi feito/crédito concedido. Se o acesso for concedido de acordo com as especificações, então, o uso feito pelo cliente é registrado. Esta informação pode ser enviada para a CN.
[00071] A invenção de acordo com este exemplo soluciona os seguintes problemas. - Mensagens para diferentes ADBs informando sobre quem terá acesso a que. - Não existe nenhuma solução de pagamento simples que seja independente de plataforma e que possa ser usada na rede. - Problemas com sinalização excessiva causados pela verificação em tempo real de se o cliente pagou. Como pode ser assumido que um usuário pagou até que o oposto tenha sido notificado pela CN. - Sob solicitação de um usuário, descobrir se usuários individuais pagaram/será autorizado crédito, e para qual uso? - O registro de uso na rede principal ou com o ADB (o ADB pode mais facilmente interpretar o uso) é comunicado à entidade que cobra o cliente/usuário exclusivo.
[00072] Uma implementação prática exemplificativa de acordo com um aspecto de uma segunda concretização exemplificativa da invenção.
[00073] Um usuário exclusivo, através de um sistema de assinante, selecionará acesso a vários serviços de dados e conteúdo.
[00074] Uma rede principal incluindo o sistema de assinatura notifica os diferentes ADBs e unidades externas que a um usuário será permitido o acesso e quais acessos serão mapeados para o cliente.
[00075] O usuário tenta então acessar os serviços de conteúdo que ele solicitou. Estes estão localizados por trás de um firewall de um ADB.
[00076] Se o material solicitado na solicitação for encontrado no suposto uso, então, o acesso será concedido; de outro modo, o acesso não será concedido. Isto pode também se referir ao direito de compra em dinheiro e subsídio de crédito. O ADB pode indagar a rede principal (sistema de cobrança) se ou não o cliente pagou/foi autorizado crédito e o acesso é concedido de acordo com o suposto uso. O uso é registrado no ADB e o uso pode ser relatado à rede principal. A rede principal pode também registrar o uso.
[00077] A invenção, de acordo com o segundo aspecto de uma concretização da invenção, inclui: - Comunicação entre uma rede principal e inúmeras unidades externas e bancos de dados de acesso que protegem os dados, serviços, informação, sistemas, aplicativos de acesso restrito, etc. Uma função de pedido de compra em dinheiro pode também ser protegida. - Decisão de qual uso será permitido e se ou não o usuário pagou/será autorizado crédito para o suposto uso. A CN (função de assinatura, função de cobrança) notificará os ADBs/unidades externas se um usuário nem tiver pagado e nem será autorizado crédito. Isto pode ser registrado no ADB e impedir solicitações de acesso subsequentes do usuário em questão. - Registro do tráfego com a rede principal e/ou com o ADB que relata à rede principal.
[00078] Uma concretização exemplificativa de um terceiro aspecto pela invenção será discutida com referência à Figura 6.
[00079] A invenção refere-se a uma plataforma para estabelecer e garantir os direitos e os critérios de acesso, tais como preços, por exemplo, bem como comunicar estes para as partes necessárias da rede principal (QUAL É O PREÇO? O QUE É PROTEGIDO POR DIREITOS E SERÁ BLOQUEADO? QUAL A PORCENTAGEM DE ACORDO COM A QUAL AS RECEITAS SERÃO DISTRIBUÍDAS?), comentários com relação à cobrança, à assinatura, ao bloqueio, ao registro, à comunicação externa.
[00080] Uma plataforma eletrônica com função de login. A plataforma permite a possibilidade de especificar termos associados aos direitos para conteúdo digital/serviços e dados que pelo proprietário dos direitos foram designados como de acesso restrito. Tais termos podem ser, por exemplo, preço, país, e geografia, operador, uma distribuição específica dos pagamentos dos usuários, etc. Isto pode ser aceito por outra parte e os termos e o preço bem como a distribuição das receitas do conteúdo/serviços especificados determinam como a CN controla a cobrança dos clientes, o bloqueio do acesso do usuário a dados similares ilícitos, e a distribuição das receitas. A plataforma/banco de dados se comunica com uma rede principal e pode prover informação necessária pela CN. Preços sobre diferentes serviços/conteúdo, como o pagamento será feito, e que chave de distribuição se aplicará são implementados no sistema de cobrança e de cliente, bem como em relação à funcionalidade de bloqueio de material ilícito. O pagamento é distribuído de acordo com a porcentagem de distribuição da plataforma para o serviço/conteúdo em questão.
[00081] Login, termos, informação da contraparte, preço especificado, distribuição percentual do preço/receitas, funções para bloquear dados ilícitos. A informação é dirigida à função de assinatura, sistema de cobrança, função de bloqueio, e a gestão do fluxo de caixa.
[00082] A invenção provê uma plataforma para iniciar, administrar e implementar acordos de direitos digitais que relata à rede principal a informação necessária para a funcionalidade necessária. Isto não é provido pela técnica anterior. UM EXEMPLO PRÁTICO DE UMA IMPLEMENTAÇÃO DE ACORDO COM O TERCEIRO ASPECTO EXEMPLIFICATIVO DE UMA CONCRETIZAÇÃO DA INVENÇÃO 1. Uma plataforma digital. Uma parte do acordo se conecta e aceita os termos. Quando a confirmação for fornecida por um "con- traparte", a informação será enviada para a rede principal. Quais con- teúdo/serviços podem ser selecionados pelo usuário, o país ou região aplicável, qual é o preço e, portanto, que usuário é cobrado, como o pagamento será distribuído, o que é conteúdo similar que é ilícito e será bloqueado. 2. Um operador e um proprietário dos direitos fazem um acordo que é duplicado na plataforma. O proprietário dos direitos, com base no tráfego que ele registra dos clientes do operador, irá coletar o pagamento consequentemente do operador em conformidade com o acordo. O operador se certificará então que ele será pago pelo cliente final, cobrirá o pagamento com o qual ele se comprometeu para o proprietário dos direitos.
[00083] Consequentemente, a invenção de acordo com o terceiro aspecto provê:
[00084] A comunicação entre uma rede principal e uma plataforma digital que provê informação sobre conteúdo, preço, distribuição do preço para as entidades corretas, e as funções da rede principal (assinatura, cobrança, bloqueio, pagamento)
[00085] A Figura 6 mostra uma plataforma compreendendo acordos com vários termos de distribuição e uso do cliente final, por exemplo, referente ao preço para o cliente final e à distribuição de receitas entre o proprietário dos direitos e os distribuidores, a interação da plataforma com a rede principal, e interações entre a rede principal e sistemas de cobrança, sistemas de pagamento, e versões legais. O acesso a cópias ilícitas dos dados protegidos é impedido.LISTA DE DEFINIÇÕES
Claims (10)
1. Método de autenticar usuários que solicitam acesso a dados de acesso restrito ou serviços em uma rede de computadores através de um banco de dados de acesso, a rede de computadores compreendendo pelo menos uma rede núcleo (1), em que a rede de núcleo (1) compreende uma rede de um provedor de acesso (6) que pode comunicar com uma pluralidade de bancos de dados de acesso conectados à rede de computadores, caracterizado pelo fato de compreender: a. globalmente atribuir uma pluralidade endereços de co-municação exclusivos a uma pluralidade de dispositivos (10, 11, 12, 13, 14) na rede de computadores, cada dispositivo sendo exclusivamente associado com um respectivo usuário, b. usar um endereço designado de comunicação exclusivo associado um usuário de um dispositivo como pelo menos um identificador do usuário, c. usar uma função de login através do dispositivo do usuário para autenticar o usuário em um primeiro banco de dados de acesso (DB1) (3) na rede de computadores usando o pelo menos um identificador do usuário e gerando uma chave que compreende um código de autenticação única de usuário para registrar o primeiro banco de dados de acesso (DB1) (3), o usuário sendo autenticado para acessar a rede de computadores, d. receber, em um segundo banco de dados de acesso (DBx) (2) na rede de computadores, uma solicitação pelo usuário para acessar o segundo banco de dados de acesso (DBx) (2), tendo dados ou serviços de acesso restritos; se o endereço de comunicação do usuário for listado no segundo banco de dados de acesso (DBx) (2) e o usuário é registrado como autenticado para acessar a rede de computadores no primeiro banco de dados de acesso (DB1) (3), concedendo acesso ao usuário para o segundo banco de dados de acesso (DBx) (2); e se o primeiro banco de dados de acesso (DB1) (3) registra que a chave for violada, terminar o acesso ao usuário para o segundo banco de dados de acesso (DBx) (2).
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de os dispositivos serem atribuídos a um endereço de comunicação único usando uma identidade de hardware, o que permite que um dispositivo envie e receba informações sobre a rede.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de compreender adicionalmente o uso da identidade de hardware como um identificador adicional do usuário para autenticação.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de, no caso de um dos pelo menos um identificador do usuário não estar presente ou de o usuário encerrar a sessão através de seu dispositivo, o método compreendendo adicionalmente: enviar, a partir do usuário, uma mensagem automática para o primeiro banco de dados de acesso (DB1) (3), o primeiro banco de dados de acesso (DB1) (3) sendo configurado para remover o usuário da rede de computadores.
5. Método, de acordo com a reivindicação 4, caracterizado pelo fato de o primeiro banco de dados de acesso (DB1) (3) ser configurado para registrar que o usuário não está mais em posse de um dentre pelo menos um identificador do usuário, e para comunicar informação no mesmo automaticamente para acessar bancos de dados (DBx) (2) ou durante solicitações subsequentes de outros bancos de dados de acesso ou outras unidades externas na rede com base na solicitação do usuário para acesso e comunicação ao mesmo.
6. Método, de acordo com a reivindicação de 1, caracteri- zado pelo fato de o primeiro banco de dados de acesso (DB1) (3) ser parte de um sistema de assinatura que administra usuários de uma companhia telefônica.
7. Método, de acordo com a reivindicação 2, caracterizado pelo fato de a identidade de hardware compreender um dentre: endereço de Controle de Acesso de Mídia (MAC), Identidade de Equipamento de Estação Móvel Internacional (IMEI) ou Identidade de Assinante Móvel Internacional (IMSI).
8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de compreender adicionalmente um meio de identificação de usuário único como um identificador adicional do usuário para autenticação.
9. Método, de acordo com a reivindicação 8, caracterizado pelo fato de o meio de identificação de usuário único compreender um código ou um ID Bancário.
10. Sistema para autenticar usuários que solicitam acesso a dados ou serviços restritos em uma rede de computadores através de um banco de dados de acesso, a rede de computadores compreendendo pelo menos uma rede núcleo (1), em que a rede núcleo (1) compreende uma rede de um provedor de acesso que pode comunicar com uma pluralidade de bancos de dados de acesso conectados à rede de computadores, caracterizado pelo fato de que o sistema realiza um método que compreende: atribuir globalmente endereços de comunicação exclusivos a uma pluralidade de dispositivos (10, 11, 12, 13, 14) na rede de computadores, cada dispositivo sendo associado unicamente com um usuário particular; usar um endereço de comunicação exclusivo atribuído associado com um usuário de um dispositivo como pelo menos um identificador do usuário; usar uma função de login através do dispositivo do usuário para autenticar o usuário em um primeiro banco de dados de acesso (DB1) (3) na rede de computadores usando o pelo menos um identificador do usuário e gerar uma chave que compreende um código de autenticação de usuário único para registrar, no primeiro banco de dados de acesso (DB1) (3), o usuário como estando autenticado para acessar a rede de computadores; receber, em um segundo banco de dados de acesso (DBx) (2) na rede de computadores, uma solicitação pelo usuário para acessar o segundo banco de dados de acesso (DBx) (2), tendo dados ou serviços restritos; se o endereço de comunicação do usuário for listado no segundo banco de dados de acesso (DBx) (2) e o usuário é registrado como autenticado para acessar a rede de computadores no primeiro banco de dados de acesso (DB1) (3), conceder acesso ao usuário para o segundo banco de dados de acesso (DBx) (2); e se o primeiro banco de dados de acesso (DB1) (3) registra que a chave for violada, terminar o acesso ao usuário para o segundo banco de dados de acesso (DBx) (2).
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20130947 | 2013-07-05 | ||
| NO20130947 | 2013-07-05 | ||
| PCT/NO2014/050123 WO2015002545A1 (en) | 2013-07-05 | 2014-07-07 | Method and system related to authentication of users for accessing data networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BR112016000122A2 BR112016000122A2 (pt) | 2017-07-25 |
| BR112016000122B1 true BR112016000122B1 (pt) | 2022-11-01 |
Family
ID=52144026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR112016000122-2A BR112016000122B1 (pt) | 2013-07-05 | 2014-07-07 | Método e sistema relacionados à autenticação de usuário para acessar redes de dados |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US10862890B2 (pt) |
| EP (1) | EP3017390B1 (pt) |
| KR (1) | KR102299865B1 (pt) |
| CN (1) | CN105518689B (pt) |
| AU (2) | AU2014284786A1 (pt) |
| BR (1) | BR112016000122B1 (pt) |
| CA (1) | CA2917453C (pt) |
| ES (1) | ES2875963T3 (pt) |
| IL (1) | IL243458B (pt) |
| RU (2) | RU2676896C2 (pt) |
| WO (1) | WO2015002545A1 (pt) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230144169A1 (en) * | 2006-05-05 | 2023-05-11 | Cfph, Llc | Game access device with time varying signal |
| WO2017039320A1 (ko) | 2015-08-31 | 2017-03-09 | 삼성전자 주식회사 | 통신 시스템에서 프로파일 다운로드 방법 및 장치 |
| CN105323253B (zh) * | 2015-11-17 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种身份验证方法及装置 |
| US10133868B2 (en) * | 2016-01-10 | 2018-11-20 | Apple Inc. | Switching users and sync bubble for EDU mode |
| WO2017153990A1 (en) * | 2016-03-08 | 2017-09-14 | Protectivx Ltd. | System and method for device authentication using hardware and software identifiers |
| KR102571829B1 (ko) * | 2017-03-09 | 2023-08-28 | 마그누스 스크라스태드 굴브란센 | 코어 네트워크 액세스 제공자 |
| CN108304207A (zh) * | 2018-03-01 | 2018-07-20 | 上海找钢网信息科技股份有限公司 | 混合app应用程序的资源更新方法及系统 |
| US11861582B2 (en) | 2020-01-02 | 2024-01-02 | Visa International Service Association | Security protection of association between a user device and a user |
| CN114338522B (zh) * | 2020-11-27 | 2024-04-05 | 成都市伏羲科技有限公司 | 基于标识管理的IPv6编址与组网方法 |
| US11824937B2 (en) * | 2021-04-04 | 2023-11-21 | Rissana, LLC | System and method for handling the connection of user accounts to other entities |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100412510B1 (ko) * | 2002-03-30 | 2004-01-07 | 한민규 | 이종 통신망을 이용한 인스턴트 로그인 사용자 인증 및결제 방법과 그 시스템 |
| SE0202450D0 (sv) * | 2002-08-15 | 2002-08-15 | Ericsson Telefon Ab L M | Non-repudiation of digital content |
| US7124197B2 (en) * | 2002-09-11 | 2006-10-17 | Mirage Networks, Inc. | Security apparatus and method for local area networks |
| US7636941B2 (en) * | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| US7957726B2 (en) * | 2004-11-24 | 2011-06-07 | Research In Motion Limited | System and method for porting a personalized indicium assigned to a mobile communications device |
| US20070209054A1 (en) * | 2005-09-30 | 2007-09-06 | Bellsouth Intellectual Property Corporation | Methods, systems, and computer program products for providing communications services |
| US20090030757A1 (en) * | 2005-12-19 | 2009-01-29 | Uri Admon | Content Distribution for Mobile Phones |
| US7647041B2 (en) * | 2006-03-30 | 2010-01-12 | Sbc Knowledge Ventures, L.P. | Systems, methods, and apparatus to enable backup wireless devices |
| US20090168735A1 (en) * | 2006-07-07 | 2009-07-02 | Yasuhiro Mizukoshi | Station, setting information managing device, wireless communication system, setting information obtaining method, computer-readable medium |
| WO2008031054A2 (en) * | 2006-09-07 | 2008-03-13 | Black Lab Security Systems, Inc. | Creating and using a specific user unique id for security login authentication |
| US20080120707A1 (en) * | 2006-11-22 | 2008-05-22 | Alexander Ramia | Systems and methods for authenticating a device by a centralized data server |
| US9692602B2 (en) * | 2007-12-18 | 2017-06-27 | The Directv Group, Inc. | Method and apparatus for mutually authenticating a user device of a primary service provider |
| US8508336B2 (en) * | 2008-02-14 | 2013-08-13 | Proxense, Llc | Proximity-based healthcare management system with automatic access to private information |
| US7979899B2 (en) * | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
| US8839387B2 (en) * | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| US8371501B1 (en) * | 2008-10-27 | 2013-02-12 | United Services Automobile Association (Usaa) | Systems and methods for a wearable user authentication factor |
| US8893009B2 (en) * | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US8898759B2 (en) * | 2010-08-24 | 2014-11-25 | Verizon Patent And Licensing Inc. | Application registration, authorization, and verification |
| US20120066107A1 (en) * | 2010-08-27 | 2012-03-15 | Sven Grajetzki | Method and System for Securing Accounts |
| US8984605B2 (en) * | 2011-08-23 | 2015-03-17 | Zixcorp Systems, Inc. | Multi-factor authentication |
| US10185814B2 (en) * | 2011-09-07 | 2019-01-22 | Elwha Llc | Computational systems and methods for verifying personal information during transactions |
| WO2013135898A1 (en) * | 2012-03-15 | 2013-09-19 | Moqom Limited | Mobile phone takeover protection system and method |
| US9083703B2 (en) * | 2012-03-29 | 2015-07-14 | Lockheed Martin Corporation | Mobile enterprise smartcard authentication |
| US20120203594A1 (en) * | 2012-04-20 | 2012-08-09 | Groer Sean A | Monitoring migration behavior of users of electronic devices and related service providers |
-
2014
- 2014-07-07 ES ES14820216T patent/ES2875963T3/es active Active
- 2014-07-07 KR KR1020167003411A patent/KR102299865B1/ko active IP Right Grant
- 2014-07-07 WO PCT/NO2014/050123 patent/WO2015002545A1/en active Application Filing
- 2014-07-07 AU AU2014284786A patent/AU2014284786A1/en not_active Abandoned
- 2014-07-07 US US14/902,811 patent/US10862890B2/en active Active
- 2014-07-07 EP EP14820216.1A patent/EP3017390B1/en active Active
- 2014-07-07 RU RU2016101134A patent/RU2676896C2/ru active
- 2014-07-07 BR BR112016000122-2A patent/BR112016000122B1/pt active IP Right Grant
- 2014-07-07 CN CN201480049287.5A patent/CN105518689B/zh active Active
- 2014-07-07 RU RU2018146361A patent/RU2018146361A/ru unknown
- 2014-07-07 CA CA2917453A patent/CA2917453C/en active Active
-
2016
- 2016-01-04 IL IL243458A patent/IL243458B/en unknown
-
2020
- 2020-03-26 AU AU2020202168A patent/AU2020202168B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN105518689B (zh) | 2020-03-17 |
| CA2917453A1 (en) | 2015-01-08 |
| RU2018146361A (ru) | 2019-01-24 |
| RU2676896C2 (ru) | 2019-01-11 |
| RU2016101134A3 (pt) | 2018-06-07 |
| CN105518689A (zh) | 2016-04-20 |
| WO2015002545A1 (en) | 2015-01-08 |
| KR102299865B1 (ko) | 2021-09-07 |
| IL243458B (en) | 2022-01-01 |
| BR112016000122A2 (pt) | 2017-07-25 |
| AU2014284786A1 (en) | 2016-02-18 |
| IL243458A0 (en) | 2016-02-29 |
| CA2917453C (en) | 2023-08-08 |
| US10862890B2 (en) | 2020-12-08 |
| AU2020202168B2 (en) | 2020-11-05 |
| US20160182519A1 (en) | 2016-06-23 |
| KR20160055130A (ko) | 2016-05-17 |
| EP3017390A4 (en) | 2017-05-10 |
| AU2020202168A1 (en) | 2020-04-16 |
| EP3017390B1 (en) | 2021-03-03 |
| EP3017390A1 (en) | 2016-05-11 |
| RU2016101134A (ru) | 2017-08-10 |
| ES2875963T3 (es) | 2021-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BR112016000122B1 (pt) | Método e sistema relacionados à autenticação de usuário para acessar redes de dados | |
| US11582040B2 (en) | Permissions from entities to access information | |
| CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| US6668322B1 (en) | Access management system and method employing secure credentials | |
| US8584218B2 (en) | Disconnected credential validation using pre-fetched service tickets | |
| US9648008B2 (en) | Terminal identification method, and method, system and apparatus of registering machine identification code | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN107122674A (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
| CN108123930A (zh) | 访问计算机网络中的主机 | |
| US9875371B2 (en) | System and method related to DRM | |
| CN114666168A (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
| KR20060056319A (ko) | 전자 인증서의 보안 및 확인 방법 | |
| WO2024011863A1 (zh) | 通信方法、装置、sim卡、电子设备和终端设备 | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| CN109802927A (zh) | 一种安全服务提供方法及装置 | |
| US20110283108A1 (en) | Method & apparatus for establishing a trusted and secure relationship between two parties connected to a network | |
| CN116757857B (zh) | 基于区块链的商保数据管理方法、系统、终端及存储介质 | |
| US11539533B1 (en) | Access control using a circle of trust | |
| TWI670990B (zh) | 自動連線安全無線網路的方法與系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
| B350 | Update of information on the portal [chapter 15.35 patent gazette] | ||
| B06A | Patent application procedure suspended [chapter 6.1 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 07/07/2014, OBSERVADAS AS CONDICOES LEGAIS |