BR112016016273B1 - Sistema e método de autenticação e meio de armazenamento legível por computador - Google Patents

Sistema e método de autenticação e meio de armazenamento legível por computador Download PDF

Info

Publication number
BR112016016273B1
BR112016016273B1 BR112016016273-0A BR112016016273A BR112016016273B1 BR 112016016273 B1 BR112016016273 B1 BR 112016016273B1 BR 112016016273 A BR112016016273 A BR 112016016273A BR 112016016273 B1 BR112016016273 B1 BR 112016016273B1
Authority
BR
Brazil
Prior art keywords
user
receiving system
authentication
electronic device
personal information
Prior art date
Application number
BR112016016273-0A
Other languages
English (en)
Other versions
BR112016016273A2 (pt
Inventor
Bjoern PIRRWITZ
Daniele Vantaggiato
Original Assignee
Bjoern Pirrwitz
Daniele Vantaggiato
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/155,257 external-priority patent/US9148284B2/en
Application filed by Bjoern Pirrwitz, Daniele Vantaggiato filed Critical Bjoern Pirrwitz
Publication of BR112016016273A2 publication Critical patent/BR112016016273A2/pt
Publication of BR112016016273B1 publication Critical patent/BR112016016273B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • H04W12/0608

Abstract

SISTEMA E MÉTODO DE IDENTIFICAÇÃO E/OU AUTENTICAÇÃO. A presente invenção refere-se a um método de autenticação que permite que um usuário que tem um dispositivo eletrônico pessoal (PED) faça login em um sistema receptor. O usuário estabelece uma conta em um servidor de autenticação, provê informações pessoais para o PED, e unicamente identifica o PED do usuário. O método de autenticação estabelece um ID de token para o usuário. Quando interagindo com o sistema receptor, o usuário é avisado para seu ID de token. O sistema receptor comunica com o servidor de autenticação para solicitar as informações do usuário. O servidor de autenticação envia uma solicitação de autenticação para o PED do usuário, o qual avisa o usuário para uma decisão para prosseguir ou não. O usuário, se decidindo prosseguir com a autenticação, seleciona um subconjunto das informações pessoais do usuário, que são, então, enviadas para o sistema receptor pelo PED, o sistema receptor autenticando o usuário por meio disto.

Description

[001] A presente invenção refere-se a um sistema e método para executar autenticação utilizando um dispositivo eletrônico pessoal.
ANTECEDENTES DA TÉCNICA
[002] Maioria dos websites e quiosques de compra requerem que um usuário registre e faça login, de modo a utilizar os websites para conduzir transações, mudar informações de conta, ou similares. Muitos websites tentam perfilar os visitantes tanto para identificação quanto para sua demografia, por meio disto, sendo capazes de modelar uma mensagem exibida consequentemente.
[003] Diversos métodos para identificar usuários são conhecidos, tais métodos caindo geralmente em métodos ou indiretos ou diretos. Os métodos indiretos incluem, por exemplo, escrever e ler cookies, rastrear endereço de Protocolo de Internet (IP), e similares. Tais métodos indiretos são relativamente não invasivos, mas são muito menos precisos que os métodos diretos.
[004] Os métodos diretos para identificar um usuário requerem um reconhecimento ativo específico do usuário que envolve duas etapas: identificação e autenticação. A identificação é uma etapa de reconhecimento que essencialmente responde à questão, "Quem é você?" O usuário que deseja acessar um sistema online tal como um site de e-comércio, por exemplo, deve ser capaz de ou registrar como um novo usuário ou login como um usuário existente, tipicamente submetendo um identificador pessoal único tal como um endereço de email, ID de usuário, número associado, ou similares.
[005] Autenticação é uma etapa de verificação que essencialmente responde à questão, "Como você pode demonstrar que você é realmente quem você diz ser?" Tipicamente os websites solicitam uma senha, um código PIN, ou similares, ostensivamente somente conhecido pelo usuário e o website. Métodos de autenticação avançados utilizam dados biométricos tais como impressões digitais, características de íris, ou similares.
[006] Tais sistemas, tradicionalmente, baseiam-se nas informa ções de autenticação sendo mantidas como um segredo e sendo difíceis de adivinhar. Muitas jurisdições requerem que as senhas não tenham nenhuma referência direta ao usuário de modo a serem menos prováveis de serem derivadas de informações conhecidas sobre o usuário. Ainda, os usuários são frequentemente ditos não utilizar a mesma senha em múltiplos websites. No entanto, tais requisitos são difíceis de impor, e com isto muitas pessoas por preguiça usarão a mesma senha fácil de adivinhar em múltiplos sites, torando suas informações menos seguras em todos tais sites.
[007] Algumas das desvantagens de tais sistemas de identificação e autorização típicos incluem o seguinte:
[008] 1) Tais websites (websites alvo para o usuário), tal como websites de e-comércio por exemplo, aqui referidos como sistemas receptores, devem proteger as informações pessoais do usuário com medidas de segurança adequadas. Os depósitos de tais informações são frequentemente alvos de ataques de hacking para o propósito de fraudulentamente obter grandes conjuntos de informações pessoais tais como nomes, endereços, números de cartão de crédito, e similares.
[009] 2) O usuário deve gerar, cuidadosamente armazenar e periodicamente atualizar senhas para quaisquer tais sistemas receptores, de preferência sempre tendo senhas únicas para cada site que ele deseja acessar. Isto requer ou um excelente sistema de arquivo ou uma memória extraordinária.
[0010] 3) O usuário, de modo a inicialmente registrar em tais websites e sistemas receptores, deve transmitir o bastante de suas informações pessoais para conduzir o seu negócio desejado no website. Por exemplo, um usuário de site de e-comércio que deseja adquirir um item e tê-lo entregue no seu endereço residencial, deve comunicar todas as suas informações genéricas, tais como nome, endereço, número de telefone, endereço de email, informações de cartão de crédito, e similares. Tais dados devem ser reinseridos para cada site, o que é demorado e tendente a erros de digitação.
[0011] 4) No evento em que as informações do usuário mudam, tal como seu endereço ou endereço de email, o usuário deve atualizar tais informações em cada website com o qual ele deseja conduzir futuros negócios. Isto é demorado, e frequentemente o usuário não lembrará se ele atualizou as informações em um website específico, tal como seu endereço de entrega, por exemplo. Isto pode resultar na entrega do usuário sendo erradamente fornecida para um endereço antigo.
[0012] 5) Os sistemas receptores que têm armazenadas informa ções pessoais de muitos usuários frequentemente têm o desafio que as suas informações sobre muitos de seus usuários são obsoletas, tornando malas diretas em massa ou campanhas de email menos eficientes e efetivas.
[0013] Uma solução parcial para algumas destas desvantagens é um assim denominado método de "identificação única", o qual está baseado em uma única conta de usuário em um sistema principal, por exemplo, uma plataforma de rede social tal como Facebook, Linked-ln, Twitter, ou similares. Em tal sistema de identificação única, para fazer login em um sistema receptor para transacionar algum tipo de negócio, por exemplo, o usuário deve primeiro fazer login no sistema principal através do sistema receptor. Uma vez que o usuário foi identificado e autenticado pelo sistema principal, o sistema principal compartilha certos dados com o sistema receptor e o sistema receptor estabelece uma seção de usuário com o usuário.
[0014] No entanto, tal sistemas de identificação única também têm certas desvantagens, tal como:
[0015] 1) o sistema principal deve ser informado das informações pessoais do usuário, e o usuário pode não desejar que tal sistema principal tenha tais informações pessoais;
[0016] 2) o sistema principal aprende sobre todos os sistemas receptores que o usuário visita e com os quais transaciona negócios;
[0017] 3) o sistema receptor deve ter uma relação de confiança com o sistema principal;
[0018] 4) o usuário deve confiar tanto no sistema principal quanto no sistema receptor que um compartilhamento apropriado dos dados pessoais do usuário está acontecendo;
[0019] 5) o sistema principal, tipicamente sendo uma plataforma de rede social, aprende sobre os sistemas receptores que os amigos ou contatos dos usuários frequentam também, o que cria problemas de privacidade e confiança adicionais entre todos os usuários do sistema principal; e
[0020] 6) o ID de login e senhas de usuários nos sistemas receptores tornam-se mais valiosos, e com isto um alvo de hacking mais atrativo, com cada sistema receptor que o usuário acessa através do sistema principal, requerendo segurança aumentada e resultando em maior risco se tais credenciais de login forem comprometidas.
[0021] Portanto, existe uma necessidade para um sistema que reduza a carga de proteger informações de usuário em sites receptores, por meio disto diminuindo e seus custos de overhead para tais sistemas receptores.
SUMÁRIO DA INVENÇÃO
[0022] Assim, baseado nas desvantagens acima, o objetivo da presente invenção é prover um sistema o qual permitiria uma autenticação confiável sem requerer que informações de autenticação separadas sejam providas pelo usuário para os respectivos sistemas receptores.
[0023] Isto é conseguido pelas características das reivindicações independentes.
[0024] Ainda modalidades especificamente vantajosas da presente invenção estão providas pelas características das reivindicações dependentes.
[0025] A presente invenção pode reduzir a carga sobre o usuário de ter que lembrar senhas múltiplas, únicas, e complexas, uma para cada sistema receptor que ele deseja utilizar. Pode ainda eliminar a necessidade para o usuário inserir as suas informações pessoais em cada site, e atualizar as suas informações através de todos os sites que ele utiliza seria também aperfeiçoada. Ainda, tal pode resultar nas informações pessoais de cada usuário sendo mais correntes para qualquer dado sistema receptor.
[0026] Um sistema de autenticação está provido para permitir um usuário ter um dispositivo eletrônico pessoal para registrar e/ou fazer login em um sistema receptor através de uma rede, o sistema compreendendo: um servidor de autenticação em comunicação através da rede com tanto o dispositivo eletrônico pessoal quanto o sistema receptor, o servidor de autenticação está adaptado para estabelecer uma conta para o usuário unicamente identificando o dispositivo eletrônico pessoal do usuário e atribuindo um ID de token para i usuário, e adaptado para enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário para uma decisão do usuário de prosseguir com a autenticação no sistema receptor ou não; o dispositivo eletrônico pessoal configurado por uma aplicação de software residente no dispositivo eletrônico pessoal para armazenar informações pessoais doe usuário em uma memória acessível a este e para subsequentemente recuperar as informações pessoais e enviar as informações pessoais para o sistema receptor quando autorizado pelo usuário em resposta a receber a solicitação de autenticação; o sistema receptor configurado por uma aplicação de software residente no sistema receptor para solicitar ao usuário o ID de token, comunicando o ID de token para o servidor de autenticação, e para receber as informações pessoais diretamente do dispositivo eletrônico pessoal para identificar o usuário por meio disto; por meio de que em resposta a uma solicitação de transação pelo usuário, o sistema receptor está ainda configurado para solicitar ao usuário seu ID de token único e enviar o ID de token para o servidor de autenticação, a servidor de aplicação está ainda configurado para enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário o qual está ainda configurado para solicitar ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não, após o que o dispositivo eletrônico pessoal se autorizado pelo usuário está configurado para recuperar as informações pessoais da memória e enviar as informações pessoais para o sistema receptor para identificar o usuário por meio disto, e o sistema receptor está ainda configurado para registrar e fazer login o usuário subsequentemente no sistema receptor.
[0027] Mais ainda, um método de autenticação está provido para permitir um usuário que tem um dispositivo eletrônico pessoal registrar e/ou fazer login em um sistema receptor, o método compreendendo as etapas: a) prover um servidor de autenticação em comunicação em uma rede com o dispositivo eletrônico pessoal e o sistema receptor; b) estabelecer uma conta para o usuário no servidor de autenticação unicamente identificando o dispositivo eletrônico pessoal do usuário no sistema de autenticação e atribuindo um ID de token para o usuário; c) armazenar informações pessoais do usuário em uma memória do dispositivo eletrônico pessoal; d) o sistema receptor solicitando ao usuário o seu ID de token único; e) o sistema receptor quando recebendo o ID de token do usuário comunicando com o servidor de autenticação o ID de token inserido pelo usuário; f) o servidor de autenticação enviando uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário o qual solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não; g) o usuário se decidindo prosseguir com a autenticação autorizando o dispositivo eletrônico pessoal enviar as informações pessoais para o sistema receptor; h) o dispositivo eletrônico pessoal recuperando as informações pessoais e enviando as informações pessoais para o sistema receptor; e i) o sistema receptor recebendo as informações pessoais e identificando o usuário por meio disto, o usuário subsequentemente sendo registrado e feito login no sistema receptor.
[0028] Um meio de armazenamento legível por computador arma zenando um conjunto de instruções que, quando executadas por pelo menos um processador, fazem com que pelo menos um processador execute operações, compreendendo as etapas de método acima descritas. É notado que o meio de armazenamento legível por computador pode também ser distribuído, isto é, incluir armazenamentos no sistema receptor, PED de usuário assim como no servidor de autenticação.
[0029] Os acima e outros objetos e características da presente invenção ficarão mais aparentes da descrição seguinte e modalidades preferidas dadas em conjunto com os desenhos acompanhantes nos quais:
[0030] Figura 1 é um diagrama de rede que ilustra um usuário e seu dispositivo eletrônico pessoal (PED), um sistema receptor, um servidor de autenticação, todos mutualmente rede tal como através da Internet;
[0031] Figura 2 é uma tela de interface de amostra de uma aplicação móvel que executa no PED do usuário;
[0032] Figura 3 é uma tela de interface de amostra do sistema receptor solicitando ao usuário um ID de token único do usuário;
[0033] Figura 4 é uma tela de interface de amostra de uma aplicação móvel que mostra quaisquer solicitações de autenticação recebidas pelo PED do servidor de autenticação em resposta a submeter um ID de token na tela de interface da Figura 3;
[0034] Figura 5 é uma tela de interface de amostra da aplicação móvel solicitando ao usuário tomar uma ação em resposta à solicitação de autenticação do sistema receptor;
[0035] Figura 6 é uma tela de interface de amostra do sistema receptor que mostra que o sistema receptor está aguardando pela autenticação do usuário;
[0036] Figura 7 é uma tela de interface de amostra do sistema receptor que mostra que o usuário foi autorizado e feito login no sistema receptor;
[0037] Figura 8 é uma tela de interface de amostra da aplicação móvel que mostra um histórico de solicitações de autenticação;
[0038] Figura 9 é uma tela de interface de amostra da aplicação móvel que mostra de um subconjunto anônimo da informações pessoais do usuário;
[0039] Figura 10 é uma tela de interface de amostra da aplicação móvel que mostra um subconjunto pessoal das informações pessoais do usuário;
[0040] Figura 11 é uma tela de interface de amostra da aplicação móvel que mostra um subconjunto econômico das informações pessoais do usuário; e
[0041] Figura 12 é uma tela de interface de amostra da aplicação móvel que mostra um ID de PED único do PED de usuário.
DESCRIÇÃO DETALHADA
[0042] Modalidades ilustrativas da invenção estão abaixo descritas. A explicação seguinte provê detalhes específicos para uma compreensão extensa e permitindo uma descrição para estas modalidades. Alguém versado na técnica compreenderá que a invenção pode ser praticada sem tais detalhes. Em outras instâncias, estruturas e funções bem conhecidas não foram mostradas ou descritas em detalhes para evitar desnecessariamente obscurecer a descrição das modalidades.
[0043] A menos que o contexto claramente requeira de outro modo, através de toda a descrição e as reivindicações, as palavras "compreende", "compreendendo", e similares devem ser consideradas em um sentido inclusivo em oposição a um sentido exclusivo ou exaustivo; isto quer dizer, no sentido de "incluindo, mas não limitado a". As palavras que utilizam o número singular ou plural também incluem o número plural ou singular respectivamente. Além disso, as palavras "aqui", "acima", "abaixo" e palavras de importância similar, quando utilizadas nesta aplicação, deverão referir a esta aplicação como um todo e não com quaisquer porções específicas desta aplicação. Quando as reivindicações utilizam a palavra "ou" em referência a uma lista de dois ou mais itens, a palavra cobre todas as interpretações seguintes da palavra: qualquer um dos itens na lista, todos o itens na lista, e qualquer combinação dos itens na lista. Quando a palavra "cada" é utilizada para referir a um elemento que foi previamente introduzido como sendo pelo menos um no número, a palavra "cada" não necessariamente implica uma pluralidade de elementos, mas pode também significar elemento singular.
[0044] A Figura 1 ilustra uma estrutura de rede utilizada por um método de autenticação implementado por computador 10 para permitir um usuário 20 que tem um dispositivo eletrônico pessoal 30, tal como um telefone móvel, laptop, computador tablet, ou similares, para registrar e/ou fazer login em um sistema receptor 40, tal como um website de e-comércio, utilizando ou outro dispositivo tal como um quiosque, ATM, estação de trabalho remota, computador, ou até no mesmo dispositivo eletrônico pessoal 30. O método compreendendo as seguintes etapas, abaixo explicadas em detalhes.
[0045] Primeiro, um servidor de autenticação 50 está provido que é capaz de comunicar com o dispositivo eletrônico pessoal 30 (PED 30) e o sistema receptor 40 através de uma rede 15. Tal servidor de autenticação 50 pode estar conectado na Internet, por exemplo (Figura 1), juntamente com um PED 30 do usuário 20 e o sistema receptor 40. Por exemplo, o usuário 20 pode estar tentando adquirir um cartão de presente de um quiosque de e-comércio 40.
[0046] Antes de ser capaz de utilizar o método de autenticação 10, o usuário 20 precisa estabelecer uma conta do servidor de autenticação 50, e prover informações pessoais 60 do usuário 20 armazenadas somente no PED 30 tal como um primeiro meio de armazenamento legível por computador não transitório 160 do PED 30 ou em outro local, mas não no servidor de autenticação 50. O servidor de autenticação 50 unicamente identifica o dispositivo eletrônico pessoal do usuário 50, tal como através de um ID de PED único 80 (Figura 12) ou alguma sua função, por exemplo. O servidor de autenticação 50 comunica com o PED 30 através uma aplicação móvel 35, por exemplo, que executa no PED 30, tal aplicação móvel 35 sendo feito download para o PED 30 pelo usuário 20 do servidor de autenticação 50 ou em outro local. A aplicação móvel 35 comunica o ID de PED único 80 para o servidor de autenticação 50, de preferência através de uma conexão criptografada. Alternativamente, o PED 30 pode comunicar com o servidor de autenticação 50 através de mensagens de texto SMS, uma aplicação de bate papo, email, ou similares. As informações pessoais 60 do usuário 20 são armazenadas no ou pelo PED 30, de preferência no primeiro meio de armazenamento legível por computador não transitório 160, e somente acessível por meio disto. A aplicação móvel 35 de preferência interage com o servidor de autenticação 50 para estabelecer a conta de usuário, por meio de que o usuário 20 não precisa interagir com o servidor de autenticação 50 diretamente.
[0047] Em uma modalidade, os dados pessoais 60 são criptografados com uma chave de criptografia 130 de modo que estes tornam-se informações pessoais criptografadas 140. As informações pessoais criptografadas 140 são então armazenadas ou no PED 30 ou no meio de armazenamento legível por computador não transitório 160, com a chave de criptografia 130 sendo armazenada no servidor de autenticação 50, de preferência em um segundo meio de armazenamento legível por computador não transitório 170.
[0048] O método de autenticação 10 estabelece um ID de token único 70 para o usuário 20 o qual é de preferência fácil de lembrar e simples de digitar. O ID de token 70 é de preferência estabelecido pelo servidor de autenticação 50 e armazenado no PED 30 pela aplicação móvel 35. O ID de token 70 pode ser baseado no ID de PED único 80, ou alternativamente uma combinação do ID de PED único 80 e uma chave de token randômica 150 gerada pelo servidor de autenticação 50, de modo que o usuário 20 possa reiniciar o ID de token 70 à vontade se ele acreditar que seu ID de token 70 foi fraudulentamente utilizado, por exemplo.
[0049] Quando interagindo com o sistema receptor 40, o usuário 20 é solicitado para seu ID de token 70 (Figura 3). Se o usuário 20 não lembrar o seu ID de token 70, ele pode ativar a aplicação móvel 35 no seu PED 30 o qual exibe o ID de token 70 (Figura 2), referido como um "Smartoken" nas ilustrações como exemplo. A aplicação móvel 35 pode também ser protegida por senha ou protegida com uma técnica biométrica, como é conhecido na técnica, para reduzir a chance de fraude se o PED de usuário 30 for perdido ou roubado, por exemplo.
[0050] O sistema receptor 40, quando recebendo o ID de token 70 do usuário, comunica com o servidor de autenticação 50 para solicitar informações de login ou de registro do PED 30, referenciando o ID de token 70 do usuário (Figura 6). A aplicação de software ou módulo está residente no sistema receptor 40 para prover instruções para o processador do sistema receptor para executar o método 10.
[0051] O servidor de autenticação 50, quando recebendo a solicitação de informações do sistema receptor 40, envia uma solicitação de autenticação 85 para o PED de usuário 30, o qual solicita ao usuário 20 uma decisão de prosseguir com a autenticação no sistema receptor 40 ou não, e se assim, selecionar de preferência um subconjunto 90 das informações pessoais do usuário 60 que o PED 30 está autorizado a submeter ao sistema receptor 40. O servidor de autenticação 50 envia informações de localização ou identificação do sistema receptor 40 para o PED 30, tal como o endereço de IP e porta, ou similares, do sistema receptor 40, de modo que o PED 30 saiba como ou quando enviar o subconjunto 90 das informações pessoais do usuário 60 para o sistema receptor 40.
[0052] Se o usuário 20 decidir não prosseguir com a autenticação, tal como se mudando de ideia sobre continuar a transação ou se, por exemplo, um terceiro malicioso utilizou fraudulentamente o ID de token 70 do usuário no sistema receptor 40, o usuário declina enviar as informações pessoais 60 para o sistema receptor 40. O sistema receptor 40 eventualmente para de aguardar pelas informações pessoais 60 e cancela a seção, retornando para uma tela inicial de espera padrão ou similar.
[0053] O usuário 20, se decidindo prosseguir com a autenticação, seleciona o subconjunto 90 das informações pessoais do usuário 60 para enviar para o sistema receptor 40 e instrui o PED 30 para prosseguir (Figura 5). O PED 30 recupera o subconjunto 90 de informações pessoais 60 do primeiro meio de armazenamento legível por computador não transitório 160 e envia o subconjunto 90 de informações pessoais 60 para o sistema receptor 40, de preferência através de uma conexão criptografada. Em uma modalidade, as informações pessoais do usuário 60 são segregadas em diversos diferentes conjuntos de dados, tal como um subconjunto anônimo 100 (Figura 9), um subconjunto pessoal 110 (Figura 10), e um subconjunto econômico 120 (Figura 11). Como tal, o usuário 20 pode decidir quando solicitado pelo servidor de autenticação 50 qual subconjunto dos dados pessoais 60 enviar para o sistema receptor 40 (Figuras 5 e 9-11). O subconjunto anônimo 100 pode incluir informações não identificadoras do usuário 20, por exemplo. O subconjunto pessoal 110 pode incluir um contato que identifica as informações pessoais 60 do usuário 20, tal como seu nome, endereço, números de telefone, endereços de email, IDs de mídia, ou similares. O subconjunto econômico 120 pode incluir informações pessoais econômicas 60 do usuário 20 tal como nome, endereço de cobrança, informações de cartão de crédito tal como o número de cartão de crédito, dados de expiração, código CSV, e similares, úteis para fazer uma transação financeira.
[0054] O sistema receptor 40 recebe o subconjunto 90 de informações pessoais 60 e identifica e/ou autentica o usuário 20 por meio disto, estabelecendo uma seção de usuário. O usuário 20 é subsequentemente registrado e feito login no sistema receptor 40 (Figura 7). Após o usuário 20 executar uma transação, após um tempo de inatividade pré-ajustado, ou após o usuário 20 abertamente fazendo logoff do sistema receptor 40, a seção termina e o usuário 20 precisaria repetir o processo acima para fazer login de volta no sistema receptor 40.
[0055] De acordo com uma modalidade da presente invenção, o servidor de autenticação 50 armazena as informações de chave de autenticação, mas não armazena os dados relativos ao usuário. Por exemplo, o servidor de autenticação armazena o ID de token 70 do usuário e/ou chaves para decifrar os dados pessoais, mas não armazena as informações pessoais do usuário 60. As informações pessoais do usuário 60 são somente armazenadas no PED 30, por exemplo, em um meio legível por computador incluindo dentro do PED 30 ou um meio legível por computador externo o qual pode ser lido pelo PED 30 tal como um cartão de memória ou um dispositivo com memória conectável no PED 30 através de Blootooth ou comunicação de campo próximo ou qualquer outro meio. A separação da chave e das informações de dados provê a vantagem de melhor proteger os dados pessoais mantendo-os somente no PED 30 cobre o controle do usuário.
[0056] Vantajosamente, o dispositivo utilizado pelo usuário é adicionalmente identificado com um código randômico (por exemplo, um código randômico de uma vez o qual muda após cada utilização). Consequentemente, o sistema receptor 40 está configurado para gerar o código randômico. Esta configuração pode ser implementada, por exemplo, por meio de um plugin.
[0057] Quando um usuário desejar fazer login no sistema receptor 40 e insere o seu próprio ID de token 70 do usuário, o plugin gera um código randômico único (RC) e envia este código para o servidor de autenticação 50 ao invés de ou além do ID de token 70 do usuário. O servidor de autenticação 50 então transfere o código randômico gerado RC para o PED 30.
[0058] A transferência do RC para o PED correto pode ser assegurada, por exemplo, enviando do sistema receptor 40 para o servidor de autenticação 50 tanto o ID de token 70 do usuário quanto o RC de modo que o servidor de autenticação transferirá o RC para o PED associado com o ID de token correspondente.
[0059] Se o PED for instruído pelo usuário enviar os dados, o PED então envia os dados para o sistema receptor 40 juntamente com o RC. O sistema receptor pode então verificar que o dispositivo que enviou o RC é possuído pela mesma pessoa a qual fez login com o ID de token 70 do usuário, porque ninguém mais poderia conhecer o código randômico criado pelo sistema receptor 40 de outro modo.
[0060] Especificamente, de acordo com uma modalidade da invenção, o presente dispositivo é uma estrutura de rede utilizada por um método de autenticação implementado por computador para permitir um usuário que tem um dispositivo eletrônico pessoal, tal como um telefone móvel, laptop, computador tablet, ou similares, registre e/ou faça login em um sistema receptor, tal como um website de e-comércio, utilizando qualquer outro dispositivo tal como um quiosque, ATM, estação de trabalho remota, computador, ou até o mesmo dispositivo eletrônico pessoal. O método compreendendo as etapas listadas abaixo.
[0061] Primeiro, um servidor de autenticação está provido que é capaz de comunicar com o dispositivo eletrônico pessoal (PED) e o sistema receptor através de uma rede. Tal servidor de autenticação pode estar conectado na Internet, por exemplo, juntamente com um PED do usuário e o sistema receptor.
[0062] Antes de ser capaz de utilizar o método de autenticação, o usuário deve estabelecer uma conta no servidor de autenticação, armazenar informações pessoais do usuário em uma memória do PED, e unicamente identificando o dispositivo eletrônico pessoal do usuário, tal como através de um ID de PED único ou alguma sua função, por exemplo. O servidor de autenticação de preferência comunica com o PED através de uma aplicação móvel que executa no PED, tal aplicação móvel sendo feito download para o PED pelo usuário do servidor de autenticação ou outro local. A aplicação móvel comunica as informações pessoais do usuário e do ID de PED único para o sistema receptor na direção do servidor de autenticação, tudo de preferência através de uma conexão criptografada. De preferência o usuário estabelece sua conta no servidor de autenticação através da aplicação móvel que executa no PED, não precisando interagir com o servidor de autenticação diretamente.
[0063] O método de autenticação estabelece um ID de token único para o usuário o qual é de preferência fácil de lembrar e simples de digitar. Quando interagindo com o sistema receptor, o usuário é solicitado para o seu ID de token. O sistema receptor, quando recebendo o ID de token do usuário, comunica com o servidor de autenticação para solicitar informações de login ou registro do PED diretamente, referenciado o ID de token do usuário. O servidor de autenticação, quando recebendo a solicitação de informações do sistema receptor, envia uma solicitação de autenticação para o PED de usuário, o qual solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não, e se assim, selecionar um subconjunto das informações pessoais do usuário que o PED está autorizado a submeter para o sistema receptor através da rede. O usuário, se decidindo prosseguir com a autenticação, seleciona o subconjunto das informações pessoais do usuário para enviar para o sistema receptor e instrui o PED para prosseguir. O PED recupera o subconjunto de informações pessoais da sua memória e envia o mesmo para o sistema receptor, de preferência através de uma conexão criptografada.
[0064] O sistema receptor O recebe o subconjunto de informações pessoais e ou identifica ou autentica o usuário por meio disto, estabelecendo uma seção de usuário. O usuário é subsequentemente registrado e feito login no sistema receptor. Após o usuário executar uma transação, após um tempo de inatividade pré-ajustado, ou após o usuário abertamente fazendo logoff do sistema receptor, a seção termina e o usuário precisaria repetir o processo acima para fazer login de volta no sistema receptor.
[0065] A presente invenção é uma sistema que reduz a carga de proteger informações de usuário em sites receptores, por meio disto diminuindo os custos de overhead para tais sistemas receptores. A presente invenção reduz a carga sobre o usuário de precisar lembrar senhas múltiplas, únicas, e complexas, uma para cada sistema receptor que ele deseja utilizar, e ainda elimina a necessidade para o usuário inserir as suas informações pessoais em cada site. O presente sistema elimina a necessidade para o usuário precisar lembrar atualizar suas informações se estas mudam através de todos os sites que ele utiliza. Ainda, a presente invenção resulta nas informações pessoais de cada usuário sendo mais correntes para qualquer dado sistema receptor, e retém as informações pessoais com o usuário ao invés de uma localização de armazenamento de dados remota na rede, por exemplo. Outras características e vantagens da presente invenção ficarão mais aparentes da descrição mais detalhada seguinte, tomada em conjunto com os desenhos acompanhantes os quais ilustram, como exemplo, os princípios da invenção.
[0066] De acordo com ainda outro aspecto da presente invenção, um meio legível por computador que armazena instruções que, quando executadas pelo processador, executam qualquer um dos métodos acima descritos. O meio pode ser distribuído na estrutura de rede, por exemplo, suas partes são armazenadas no PED, no servidor de autenticação e no dispositivo receptor.
[0067] Um servidor de autenticação para permitir um usuário com um dispositivo eletrônico pessoal registrar e/ou fazer login em um sistema receptor através a rede pode incluir: um meio de gerenciamento de conta para estabelecer uma conta para o usuário unicamente identificando o dispositivo eletrônico pessoal do usuário e atribuindo um ID de token para o usuário, um meio de geração de token para automaticamente gerar o ID de token, um meio de comunicação para comunicar através da rede com tanto o dispositivo eletrônico pessoal quanto o sistema receptor, configurado para: receber do sistema receptor um ID de token de um usuário com um código randômico, e quando do recebimento do ID de token e o código randômico do sistema receptor, enviar uma solicitação de autenticação para o PED de usuário incluindo o código randômico.
[0068] Correspondentemente, o sistema receptor pode incluir um meio de geração de código randômico para gerar um código randômico; um meio de comunicação para solicitar ao usuário o ID de token e solicitar o servidor de autenticação para autenticação do usuário com o ID de token; também um meio de verificação de autenticidade para verificar se um código randômico recebido do usuário coincide com o código randômico provido para o mesmo usuário para o servidor de autenticação.
[0069] O dispositivo eletrônico pessoal pode incluir um armaze namento para armazenar os dados de usuário em forma criptografada, um meio de comunicação para comunicar com o sistema receptor e servidor de autenticação como acima descrita, e um meio de criptografia / decifração para executar a criptografia e decifração dos dados do usuário.
[0070] O método de autenticação implementado por computador, provido por uma modalidade da presente invenção, é para permitir que um usuário que tem um dispositivo eletrônico pessoal registre e/ou faça login para um sistema receptor, o método compreendendo as etapas: a) prover um servidor de autenticação em comunicação em uma rede com o dispositivo eletrônico pessoal e o sistema receptor; b) estabelecer uma conta para o usuário no servidor de autenticação unicamente identificando o dispositivo eletrônico pessoal do usuário no sistema de autenticação e atribuindo um ID de token para o usuário; c) armazenar informações pessoais do usuário em uma memória do dispositivo eletrônico pessoal; d) o sistema receptor solicitando ao usuário seu ID de token único; e) o sistema receptor quando recebendo o ID de token do usuário comunicando com o servidor de autenticação o ID de token inserido pelo usuário; f) o servidor de autenticação enviando uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário o qual solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não; g) o usuário se decidindo prosseguir com a autenticação autorizando o dispositivo eletrônico pessoal enviar as informações pessoais para o sistema receptor; h) o dispositivo eletrônico pessoal recuperando as informações pessoais e enviando as informações pessoais para o sistema receptor; e i) o sistema receptor recebendo as informações pessoais e identificando o usuário por meio disto, o usuário subsequentemente sendo registrado e feito login no sistema receptor.
[0071] No método de autenticação, as informações pessoais, na etapa c), podem ser diferenciadas no dispositivo eletrônico pessoal entre pelo menos um subconjunto anônimo, um subconjunto pessoal, e um subconjunto econômico; e em que o sistema receptor na etapa d) solicita ao usuário seu ID de token único e informa o usuário de um tipo de subconjunto das informações pessoais requerido para registrar e/ou fazer login; e em que as informações pessoais nas etapas f), g) e i) correspondem a ou o subconjunto anônimo, o subconjunto pessoal, ou o subconjunto econômico das informações pessoais do usuário. A memória do dispositivo eletrônico pessoal na etapa c) pode ser um primeiro meio de armazenamento legível por computador não transitório acessível pelo dispositivo eletrônico pessoal. As informações pessoais do usuário na etapa c) podem ser criptografas e armazenadas no primeiro meio de armazenamento legível por computador não transitório, a criptografia baseada em uma chave de criptografia gerada pelo servidor de autenticação e armazenada em um segundo meio de armazenamento legível por computador não transitório; e em que na etapa h) o dispositivo eletrônico pessoal recupera a chave de criptografia do servidor de autenticação, decifra as informações pessoais, e envia as informações pessoais decifradas do usuário para o sistema receptor. O ID de token atribuído pelo servidor de autenticação na etapa b) pode ser baseado em um identificador único do dispositivo eletrônico pessoal do usuário e/ou uma chave de token randômica estabelecida pelo servidor de autenticação, e ainda incluindo a etapa j) o usuário capaz de gerar um novo ID de token com base no identificador único do dispositivo eletrônico pessoal do usuário e a chave de token randômica do servidor de autenticação a qualquer momento.
[0072] De acordo com um aspecto da presente invenção, um meio de armazenamento legível por computador não transitório está provido para armazenar um conjunto de instruções que, quando executadas por pelo menos um processador, fazem com que pelo menos um processador execute operações, compreendendo: b) estabelecer uma conta para um usuário em um servidor de autenticação que está em comunicação com uma rede com um dispositivo eletrônico pessoal e um sistema receptor, unicamente identificando o dispositivo eletrônico pessoal do usuário no sistema de autenticação e atribuindo um ID de token para o usuário; c) armazenar informações pessoais do usuário em uma memória acessível para o dispositivo eletrônico pessoal; d) o sistema receptor solicitando ao usuário seu ID de token único; e) o sistema receptor quando recebendo o ID de token do usuário comunicando com o servidor de autenticação o ID de token inserido pelo usuário; f) o servidor de autenticação enviando uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário o qual solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não; g) o dispositivo eletrônico pessoal enviando as informações pessoais para o sistema receptor se autorizado a fazê-lo pelo usuário; h) o dispositivo eletrônico pessoal recuperando as informações pessoais e enviando as informações pessoais para o sistema receptor; e i) o sistema receptor recebendo as informações pessoais e identificando o usuário por meio disto, o usuário subsequentemente sendo registrado e/ou feito login no sistema receptor.
[0073] Mais ainda, um sistema de autenticação está provido para permitir um usuário que tem um dispositivo eletrônico pessoal registrar e/ou fazer login para um sistema receptor, o sistema compreendendo: um servidor de autenticação em comunicação através de uma rede com tanto o dispositivo eletrônico pessoal quanto o sistema receptor, o servidor de autenticação adaptado para estabelecer uma conta para usuário unicamente identificando o dispositivo eletrônico pessoal do usuário e atribuindo um ID de token para o usuário, e adaptado para enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário para uma decisão do usuário prosseguir com a autenticação no sistema receptor ou não; uma aplicação de software residente no dispositivo eletrônico pessoal adaptada para armazenar informações pessoais do usuário em uma memória acessível a esta e subsequentemente recuperar as informações pessoais e enviar as informações pessoais para o sistema receptor quando autorizado pelo usuário em resposta a receber a solicitação de autenticação; uma aplicação de software residente no sistema receptor e adaptada para solicitar ao usuário o ID de token, comunicando o ID de token para o servidor de autenticação, e recebendo as informações pessoais diretamente do dispositivo eletrônico pessoal para identificar o usuário por meio disto; por meio de que em resposta a uma solicitação de transação pelo usuário, o sistema receptor solicita ao usuário seu ID de token único e envia o ID de token para o servidor de autenticação, o qual envia uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário o qual solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não, após o que o dispositivo eletrônico pessoal se autorizado pelo usuário recupera as informações pessoais da memória e envia as informações pessoais para o sistema receptor para identificar o usuário por meio disto, o usuário subsequentemente sendo registrado e feito login no sistema receptor.
[0074] Apesar de uma forma específica da invenção ter sido ilustrada e descrita, será aparente que várias modificações podem ser feitas sem afastar do espírito e escopo da invenção. Consequentemente, não é pretendido que a invenção seja limitada, exceto pelas reivindicações anexas.
[0075] Terminologia específica utilizada quando descrevendo certas características ou aspectos da invenção não deve ser tomada para implicar que a terminologia está sendo aqui redefinida para ser restrita a quaisquer características, atributos, ou aspectos específicos da invenção com a qual esta terminologia está associada. Em geral, os termos utilizados nas reivindicações seguintes não devem ser considerados limitando a invenção às modalidades específicas discutidas na especificação, a menos que a seção Descrição Detalhada acima explicitamente defina tais termos.
[0076] Consequentemente, o escopo real invenção abrange não somente as modalidades descritas, mas também todos os modos equivalentes para praticar ou implementar a invenção.
[0077] A descrição detalhada acima das modalidades da invenção não pretendem ser exaustivas ou limitar a invenção à forma precisa acima descrita ou ao campo de utilização específico mencionado nesta descrição. Apesar de modalidades específicas da, e exemplos para a, invenção serem acima descritos para propósitos ilustrativos, várias modificações equivalentes são possíveis dentro do escopo da invenção, como aqueles versados na técnica relevante reconhecerão. Também, os ensinamentos da invenção aqui providos podem ser aplicados a outros sistemas, não necessariamente o sistema acima descrito. Os elementos e atos das várias modalidades acima descritas podem ser combinados para prover modalidades adicionais.
[0078] Todas as patentes e pedidos acima e outras referências, incluindo qualquer uma que possa ser listada em documentos de depósito acompanhantes, estão aqui incorporados por referência. Aspectos da invenção podem ser modificados, se necessário, para empregar os sistemas, funções, e conceitos das várias referências acima descritas para prover ainda modalidades adicionais da invenção. Mudanças podem ser feitas na invenção à luz da "Descrição Detalhada" acima. Apesar da descrição acima detalhar certas modalidades da invenção e descrever o melhor modo contemplado, não imposta quão detalhada o acima aparece em texto, a invenção pode ser praticas em muitos modos. Portanto, os detalhes de implementação podem variar consideravelmente enquanto ainda sendo abrangidos pela invenção aqui descrita. Como acima notado, a terminologia específica utilizada quando descrevendo certas características ou aspectos da invenção não deve ser tomado implicar que a terminologia está sendo aqui redefinida para ser restrita a quaisquer características, atributos, ou aspectos da invenção com a qual está terminologia está associada.
[0079] Apesar de certos aspectos da invenção serem abaixo apresentados em certas formas de reivindicação, o inventor contempla os vários aspectos da invenção em qualquer número de formas de reivindicação. Consequentemente, o inventor reserva o direito de adicionar reivindicações adicionais após depositar o pedido para adotar tais formas de reivindicação adicionais para outros aspectos da invenção.

Claims (17)

1. Sistema de autenticação para permitir a um usuário que tem um dispositivo eletrônico pessoal registrar e/ou fazer login em um sistema receptor através de uma rede para uma negociação ou transação desejada no sistema receptor, o sistema caracterizado por compreender: um servidor de autenticação em comunicação através da rede, com tanto o dispositivo eletrônico pessoal quanto o sistema receptor, o servidor de autenticação adaptado para estabelecer uma conta para o usuário identificando o dispositivo eletrônico pessoal do usuário e atribuindo um ID de token para o usuário, o qual é unicamente atribuído ao usuário, e adaptado para enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário para uma decisão do usuário para prosseguir com a autenticação do sistema receptor ou não; o dispositivo eletrônico pessoal configurado por uma aplicação de software residente no dispositivo eletrônico pessoal para armazenar informações pessoais do usuário em uma memória acessível a este para, subsequentemente, recuperar as informações pessoais e enviar as informações pessoais para o sistema receptor sem enviar as informações pessoais ao servidor de autenticação em resposta à solicitação de autenticação quando autorizado pelo usuário em resposta a receber a solicitação de autenticação, em que as informações pessoais são requeridas pelo sistema receptor para que o usuário conduza a negociação ou transação desejada no sistema receptor e inclui pelo menos um dentre nome, endereço, número de cartão de crédito, número de telefone e endereço de email; e o sistema receptor configurado por uma aplicação de software residente no sistema receptor para solicitar ao usuário o ID de Token para a negociação ou transação desejada, comunicando o ID de token do usuário para o servidor de autenticação, e para receber as informações pessoais diretamente do dispositivo eletrônico pessoal para identificar ou autenticar o usuário por meio das informações pessoais; em que: em resposta a uma solicitação de negociação ou transação pelo usuário, o sistema receptor está ainda configurado para solicitar ao usuário o seu ID de token único e enviar o ID de token para o servidor de autenticação, o servidor de autenticação está ainda configurado para enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário, em resposta à recepção do ID de token do sistema receptor de modo que o dispositivo eletrônico pessoal do usuário solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não, o dispositivo eletrônico pessoal, se autorizado pelo usuário, é configurado para recuperar as informações pessoais da memória e enviar as informações pessoais para o sistema receptor, e o sistema receptor é configurado ainda para identificar o usuário por meio das informações pessoais, e registrar e fazer o login do usuário identificado subsequentemente no sistema receptor de modo que o usuário identificado conduza a negociação ou transação desejada no sistema receptor.
2. Sistema de autenticação de acordo com a reivindicação 1, caracterizado pelo fato de que as informações pessoais estão armazenadas no dispositivo eletrônico pessoal diferenciadas entre pelo menos três subconjuntos de dados, a saber um subconjunto anônimo, um subconjunto pessoal, e um subconjunto econômico; o subconjunto anônimo sendo definido como as informações pessoais que não identificam o usuário, o subconjunto pessoal sendo definido como as informações pessoais que identificam o usuário para contactar o usuário, e o subconjunto econômico sendo definido como as informações pessoais do usuário requeridas para realizar uma transação financeira; e em que o sistema receptor está adaptado para solicitar ao usuário o seu ID de token único para informar o usuário de um tipo de subconjunto das informações pessoais requerido para registrar e/ou fazer login para o sistema receptor.
3. Sistema de autenticação de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que a memória do dispositivo eletrônico pessoal é um primeiro meio de armazenamento legível por computador acessível pelo dispositivo eletrônico pessoal.
4. Sistema de autenticação de acordo com a reivindicação 3, caracterizado pelo fato de que as informações pessoais do usuário são criptografadas e armazenadas no primeiro meio de armazenamento legível por computador, a criptografia baseada em uma chave de criptografia gerada pelo servidor de autenticação e armazenada em um segundo meio de armazenamento legível por computador; e em que o dispositivo eletrônico pessoal está adaptado para recuperar a chave de criptografia do servidor de autenticação, decifrar as informações pessoais, e enviar as informações pessoais decifradas do usuário para o sistema receptor.
5. Sistema de autenticação de acordo com qualquer uma das reivindicações 1 a 4, caracterizado pelo fato de que o ID de token atribuído pelo servidor de autenticação está baseado em identificador único do dispositivo eletrônico pessoal do usuário.
6. Sistema de autenticação de acordo com qualquer uma das reivindicações 1 a 5, caracterizado pelo fato de que o ID de token atribuído pelo servidor de autenticação está baseado em uma chave de token randômica estabelecida pelo servidor de autenticação.
7. Sistema de autenticação de acordo com qualquer uma das reivindicações 1 a 6, caracterizado pelo fato de que o sistema receptor está adaptado para, quando do recebimento da solicitação de transação do usuário, gerar um código randômico e enviá-lo para o servidor de autenticação, para receber, do dispositivo eletrônico pessoal do usuário, o código randômico, e para autenticar, com base no código randômico gerado e recebido, o usuário que enviou o ID de token único para solicitar a negociação ou transação desejada ao sistema receptor, o servidor de autenticação está adaptado para enviar o código randômico recebido do sistema receptor para o dispositivo eletrônico pessoal do usuário juntamente com a solicitação de autenticação.
8. Sistema de autenticação, de acordo com qualquer uma das reivindicações 1 a 7, caracterizado pelo fato de que as informações pessoais do usuário armazenadas na memória não são fornecidas ou armazenadas no servidor de autenticação.
9. Sistema de autenticação, de acordo com qualquer uma das reivindicações 1 a 7, caracterizado pelo fato de que o servidor de autenticação é confirgurado ainda para enviar, ao dispositivo eletrônico pessoal do usuário, informações de identificação do sistema receptor junto com a solicitação de autenticação, e o dispositivo eletrônico pessoal do usuário é configurado para enviar as informações pessoais do usuário ao sistema receptor de acordo com as informações de identificação recebidas do sistema receptor.
10. Método de autenticação para permitir a um usuário ter um dispositivo eletrônico pessoal para registrar e/ou fazer login em um sistema receptor para uma negociação ou transação desejada no sistema receptor, o método caracterizado por compreender as etapas de: a) prover um servidor de autenticação em comunicação em uma rede com o dispositivo eletrônico pessoal e o sistema receptor; b) estabelecer uma conta para o usuário no servidor de autenticação identificando o dispositivo eletrônico pessoal do usuário e estabelecendo um ID de token que é atribuído unicamente ao usuário; c) armazenar as informações pessoais do usuário em uma memória do dispositivo eletrônico pessoal, em que as informações pessoais são requeridas pelo sistema receptor para que o usuário conduza a negociação ou transação desejada no sistema receptor e inclui pelo menos um dentre nome, endereço, número de cartão de crédito, número de telefone ou endereço de email; d) o sistema receptor solicitar ao usuário seu ID de token único para a negociação ou transação desejada; e) o sistema receptor, ao receber o ID de token do usuário, comunicar com o servidor de autenticação o ID de token inserido pelo usuário; f) o servidor de autenticação enviar uma solicitação de autenticação para o dispositivo eletrônico pessoal do usuário em resposta à recepção do ID de token do sistema receptor de modo que o dispositivo eletrônico do usuário solicita ao usuário uma decisão de prosseguir com a autenticação no sistema receptor ou não; g) o usuário, se decidir prosseguir com a autenticação, autoriza o dispositivo eletrônico pessoal a recuperar as informações pessoais e enviar as informações pessoais para o sistema receptor sem enviar as informações pessoais ao servidor de autenticação em resposta ao requerimento de autenticação de modo que o sistema receptor identifique ou autentique o usuário pelas informações pessoais; e h) o sistema receptor receber as informações pessoais e identificar o usuário por meio das informações pessoais, o usuário, subsequentemente, sendo registrado e fazendo login no sistema receptor para realizar a negociação ou transação desejada no sistema receptor.
11. Método de autenticação de acordo com a reivindicação 10, caracterizado pelo fato de que as informações pessoais, na etapa c), são diferenciadas no dispositivo eletrônico pessoal entre pelo menos um subconjunto anônimo, um subconjunto pessoal, e um subconjunto econômico, o subconjunto anônimo sendo definido como as informações pessoais que não identificam o usuário, o subconjunto pessoal sendo definido como as informações pessoais que identificam o usuário para contactar o usuário, e o subconjunto econômico sendo definido como as informações pessoais do usuário requeridas para realizar uma transação financeira; e em que o sistema receptor, na etapa d), solicita ao usuário seu ID de token único e informa o usuário de um tipo de subconjunto das informações pessoais, requerido para registrar e/ou fazer login; e em que as informações pessoais, nas etapas f), g) e h), correspondem tanto ao subconjunto anônimo, quanto ao subconjunto pessoal, ou ao subconjunto econômico das informações pessoais do usuário.
12. Método de autenticação de acordo com a reivindicação 10 ou 11, caracterizado pelo fato de que a memória do dispositivo eletrônico pessoal, na etapa c), é um primeiro meio de armazenamento legível por computador acessível pelo dispositivo eletrônico pessoal.
13. Método de autenticação de acordo com a reivindicação 12, caracterizado pelo fato de que as informações pessoais do usuário, na etapa c), são criptografadas e armazenadas no primeiro meio de armazenamento legível por computador, a criptografia baseada em uma chave de criptografia gerada pelo servidor de autenticação e armazenada em um segundo meio de armazenamento legível por computador; e em que, na etapa h), o dispositivo eletrônico pessoal recupera a chave de criptografia do servidor de autenticação, decifra as informações pessoais, e envia as informações pessoais decifradas do usuário para o sistema receptor.
14. Método de autenticação de acordo com qualquer uma das reivindicações 10 a 13, caracterizado pelo fato de que o ID de token atribuído pelo servidor de autenticação na etapa b), está baseado em um identificador único do dispositivo eletrônico pessoal do usuário.
15. Método de autenticação de acordo com qualquer uma das reivindicações 10 a 14, caracterizado pelo fato de que o ID de token atribuído pelo servidor de autenticação na etapa b), está baseado em um identificador único do dispositivo eletrônico pessoal do usuário e uma chave de token randômica estabelecida pelo servidor de autenticação, e ainda incluindo a etapa j), o usuário capaz de gerar um novo ID de token com base no identificador único do dispositivo eletrônico pessoal do usuário e a chave de token randômica do servidor de autenticação a qualquer momento.
16. Método de autenticação de acordo com qualquer uma das reivindicações 10 a 15, caracterizado por ainda compreender as etapas de: pelo sistema receptor, quando do recebimento da solicitação de transação do usuário, gerar um código randômico e enviá-lo para o servidor de autenticação, pelo servidor de autenticação, enviar o código randômico recebido do sistema receptor para o dispositivo eletrônico pessoal do usuário juntamente com a solicitação de autenticação; e pelo sistema receptor, receber do dispositivo eletrônico pessoal do usuário o código randômico e autenticar, com base no código randômico gerado e recebido, o usuário que enviou o ID de token único para requerer a negociação ou transação desejada ao sistema receptor.
17. Meio de armazenamento legível por computador caracterizado por armazenar um conjunto de instruções que, quando executadas por pelo menos um processador, fazem com que o pelo menos um processador execute operações, que compreendem as etapas do método como definido em qualquer uma das reivindicações 10 a 16.
BR112016016273-0A 2014-01-14 2015-01-14 Sistema e método de autenticação e meio de armazenamento legível por computador BR112016016273B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/155,257 2014-01-14
US14/155,257 US9148284B2 (en) 2014-01-14 2014-01-14 Identification and/or authentication method
PCT/EP2015/050601 WO2015107085A1 (en) 2014-01-14 2015-01-14 Identification and/or authentication system and method

Publications (2)

Publication Number Publication Date
BR112016016273A2 BR112016016273A2 (pt) 2017-08-08
BR112016016273B1 true BR112016016273B1 (pt) 2023-07-04

Family

ID=

Similar Documents

Publication Publication Date Title
EP3266181B1 (en) Identification and/or authentication system and method
CN106537403B (zh) 用于从多个装置访问数据的系统
US9491155B1 (en) Account generation based on external credentials
CA2876629C (en) Methods and systems for using derived credentials to authenticate a device across multiple platforms
KR102482104B1 (ko) 식별 및/또는 인증 시스템 및 방법
US10491588B2 (en) Local and remote access apparatus and system for password storage and management
KR101451359B1 (ko) 사용자 계정 회복
US9787689B2 (en) Network authentication of multiple profile accesses from a single remote device
US20150180849A1 (en) Mobile token
US11444936B2 (en) Managing security credentials
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
KR102284876B1 (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
BR112016016273B1 (pt) Sistema e método de autenticação e meio de armazenamento legível por computador
AU2010361584B2 (en) User account recovery